Les fuites chez Desjardins et Capital One marqueront le début d'une nouvelle ère dans les façons d'aider et de traiter les victimes de vol d'identité et de fraude, espère Benoît Dupont, expert en cybercriminalité et professeur à l'École de criminologie de l'Université de Montréal. Explications.

« Les études démontrent qu'il y a des préjudices psychologiques et même physiologiques. Par exemple, pour les victimes plus âgées, les risques de souffrir de certaines affections cardiovasculaires, de dépression et d'un sentiment d'isolement social augmentent. Les gens s'en veulent à eux-mêmes et ne font plus confiance aux institutions. Il y a des populations vulnérables pour lesquelles l'impact est très important. Il ne faut pas sous-estimer le préjudice psychologique », dit M. Dupont.

On entend souvent dire que les fraudes sont un crime sans violence, que le préjudice est purement financier et qu'une fois que la victime est remboursée, c'est terminé et elle passe à autre chose. Benoît Dupont n'est pas d'accord.

Des victimes souvent désemparées

Le professeur espère qu'à la suite des affaires Desjardins et Capital One, les autorités et dirigeants s'intéresseront davantage aux impacts sur les victimes. Il dit recevoir parfois lui-même des appels de victimes démunies face à la fraude, craintives et, à la limite, paranoïaques.

« Cela mériterait peut-être une prise de conscience plus vaste et des campagnes de sensibilisation plus musclées et développées pour à la fois aider les gens à se protéger, leur expliquer les tenants et aboutissants de ce type de fraude et leur dire où ils peuvent trouver de l'aide. Et quand les victimes vont dans leur poste de quartier, les agents sont souvent débordés, ont plein d'autres choses à faire et n'ont pas toujours le temps de les accueillir avec toute l'attention qu'elles mériteraient. »

Un thème de campagne électorale

Benoît Dupont croit que le principal impact des fuites massives de données chez Desjardins et Capital One est d'« avoir déclenché une préoccupation beaucoup plus soutenue de la part des autorités politiques, gouvernementales et policières ».

« On s'en rend compte tout d'un coup, car Desjardins est un symbole au Québec. Depuis plusieurs années, la délinquance diminue, mais la cybercriminalité augmente. Desjardins et Capital One viennent de propulser cette thématique dans le discours politique. Le vol d'identité, ça n'a jamais été pris très au sérieux et ce n'était pas très vendeur en campagne électorale. On vit à une ère numérique, le sujet est incontournable et je crois qu'il devrait alimenter les discussions durant la prochaine campagne. Est-ce que nos lois sont adéquates ? Est-ce que les corps de police ont assez de ressources pour enquêter ? Comment devrait-on intervenir pour aider les gens ? », demande M. Dupont.

L'union fait la force

Benoît Dupont, qui est aussi titulaire des chaires de recherche en cybersécurité et en prévention de la cybercriminalité, est favorable à la création d'une escouade policière mixte, qui aurait des liens avec des corps de police internationaux, pour lutter efficacement contre les fraudes.

« C'est une idée intéressante et un modèle qui existe déjà aux États-Unis et en Angleterre. Quant au Centre antifraude du Canada, la Gendarmerie royale du Canada a reçu environ 130 millions sur cinq ans dans le budget de 2018 pour créer un centre de lutte intégrée contre la cybercriminalité et de coordination des enquêtes canadiennes en matière de cybercriminalité. Cela fait partie de leur mandat de connecter avec leurs partenaires privés et de suivre les enquêtes menées par les Américains et Europol, en Europe. Ils sont en train de le mettre sur pied, mais ça risque de prendre encore un ou deux ans avant qu'il devienne opérationnel », affirme le professeur à l'UdeM.

Il y aura toujours un risque

Loin de lancer la pierre aux institutions financières, Benoît Dupont croit qu'elles font le maximum pour prévenir les fuites.

« Chaque incident du genre, ce sont des millions de dollars en pertes pour elles et leur réputation est affectée. Les banques ont toujours été plus ou moins à la pointe de la protection des données, mais c'est presque impossible de garantir un risque zéro, car les systèmes informatiques sont devenus tellement complexes, sont imbriqués les uns dans les autres et aucun ne peut fonctionner sans données personnelles. Desjardins et Capital One, ce sont des incidents qui se répéteront de façon assez régulière. On voit également des villes être attaquées. C'est la manifestation de l'évolution de la délinquance », dit-il.

Le prix à payer

Le professeur Benoît Dupont croit que le désir des clients des institutions financières de faire une transaction d'un simple toucher du doigt ne rime pas avec sécurité.

« Les clients eux-mêmes, dès que l'on ajoute trop de couches de sécurité, deviennent impatients. Ils veulent que les applications et les outils soient faciles à utiliser. Un arbitrage doit donc continuellement être fait entre la sécurité et la protection des données d'un côté et, de l'autre, la facilité d'utilisation, qui est devenue un peu notre drogue. On veut que tout soit instantané et on veut avoir accès à tous nos comptes sur notre téléphone intelligent. Il y a un prix à payer pour ça », prévient-il.

Un fléau mal défini

Selon M. Dupont, il n'existe actuellement pas de données qui permettent de chiffrer les pertes causées chaque année par le vol d'identité et les fraudes bancaires et par carte au Québec et au Canada. Toutefois, il y a une dizaine d'années, un sondage a été mené et les réponses ont permis d'établir qu'à l'époque, environ 5 % de la population du Québec disait avoir été victime d'un vol d'identité, soit environ 400 000 personnes, et près de 1,7 million de personnes au Canada. Le professeur reprend des données dévoilées récemment par Statistique Canada selon lesquelles seulement 5 % des dossiers de vol d'identité sont élucidés par la police, parce que celle-ci n'a pas toujours les ressources suffisantes pour enquêter et que les suspects sont souvent dans un autre pays, croit-il.