Prendre ça pour du cash

« Bonjour. As-tu reçu mon courriel ? » C’était signé du prénom de mon père et envoyé de son adresse courriel, samedi dernier. « Non, rien reçu », lui a répondu ma belle-sœur.

Un nouveau courriel, toujours signé du prénom de mon père, lui expliquait qu’il se sentait honteux, qu’il n’en avait parlé à personne et qu’il espérait qu’elle garde cette information confidentielle, mais qu’on lui avait découvert trop tard une tumeur au larynx et qu’il avait besoin de son aide.

Il lui racontait qu’il faisait la navette entre l’hôpital et la maison pour des examens, qu’il devait se rendre sous peu en salle d’observation pour une échographie, que les téléphones cellulaires n’y étaient pas autorisés, mais qu’il gardait sa tablette à portée de main en attente de sa réponse. « Pendant ce temps, j’ai besoin que tu me rendes un service, peux-tu trouver un IGA ou une station d’essence ou pourras-tu t’y rendre facilement ? »

Ma belle-sœur, qui est médecin, s’est doutée que quelque chose clochait. « Ton père a déjà publié un recueil de poésie. Il écrit mieux que ça ! », m’a-t-elle expliqué.

Ceux qui ont déjà reçu ce genre de message auront reconnu une tentative typique d’hameçonnage de la part d’un arnaqueur ayant usurpé une identité numérique lui donnant accès à une liste de contacts.

Il y a environ deux ans, j’ai reçu un message semblable de la part d’un fraudeur qui se faisait passer pour un vieil ami, de qui je n’avais pas eu de nouvelles depuis des années. Même modus operandi. « Je suis désolé de te déranger, mais j’ai reçu une très mauvaise nouvelle. On m’a diagnostiqué un cancer en phase terminale et je suis très mal en point. »

J’avais répondu, moi aussi, au premier courriel. Puis, comprenant l’arnaque, j’avais voulu en savoir plus. On espérait que je cède au subterfuge et que j’achète, dans un supermarché ou une station d’essence moi aussi, une carte-cadeau dont j’enverrais le code par courriel.

Avant de comprendre le stratagème, avant que le dessein de mon interlocuteur ne soit clair, pendant quelques minutes, j’ai cru à la possibilité que ce courriel de détresse soit authentique. C’était, d’une certaine façon, plausible. Spontanément, mon premier réflexe n’a pas été de croire qu’un vieil ami qui m’écrivait n’était pas un vieil ami, mais un pirate informatique tentant de m’escroquer. Ça m’apprendra à présumer de la bonne foi des gens…

Je n’ai pas vu le courriel de mon « père », le week-end dernier. Il s’est perdu dans mes courriels indésirables. Un ami de mon père, qui habite en France, m’a écrit pour me mettre en garde contre ce qui lui semblait être une arnaque. Il n’avait pas osé écrire directement à mon père.

Mon père, qui n’est pas techno pour deux sous – il n’a même pas d’ordinateur –, a passé la journée à gérer les désagréments du piratage de son compte. Mon frère jumeau l’a aidé à modifier son mot de passe, puis à créer une nouvelle adresse courriel. Il a dû rassurer sa famille en Gaspésie, son dentiste, l’entrepreneur qui a fait des rénovations chez lui, un ami brésilien avec qui il a déjà fait un échange de maisons…

Ni lui ni moi n’avions mesuré l’impact et les répercussions de cette tentative d’hameçonnage sur son entourage élargi. Je ne parle pas des conséquences technologiques, mais du choc émotif de se faire annoncer ce que l’on croit être une très mauvaise nouvelle.

Mon petit frère a reçu un appel inquiet de ses beaux-parents, qui avaient lu le courriel annonçant le soi-disant cancer de mon père. N’ayant pas l’habitude de ce type d’hameçonnage, ils y ont cru et ont été bouleversés. Ils se demandaient même s’ils devaient en parler à mon frère, qui a lui-même eu le souffle coupé momentanément à la lecture du courriel.

Les hameçonneurs ne font pas de sentiment, évidemment. Ils n’en ont cure. Les tentatives d’hameçonnage deviennent de plus en plus sophistiquées. Il ne s’agit plus seulement de fraudeurs se faisant passer pour des veuves éplorées de Côte d’Ivoire, prêtes à partager un généreux héritage. Cette semaine, j’ai reçu un texto de ce qui semblait être mon fournisseur de téléphone cellulaire me proposant un remboursement. Je n’ai pas cliqué sur le lien.

Lorsque je vois ce type d’arnaque, je pense à mes parents ou à mes beaux-parents, moins habitués à la fraude électronique. Je crains que machinalement ils n’appuient sur l’hyperlien d’un texto équivoque ou d’un courriel malveillant, et que, de fil en aiguille, ils ne deviennent la proie de pirates informatiques.

À tout âge, bien sûr, on peut subir un vol d’identité. Il faut être extrêmement vigilant.

Les Canadiens tendent d’ailleurs à surestimer leur capacité à reconnaître un courriel frauduleux, selon le Centre antifraude du Canada. Seulement 31 % des 7800 répondants à un sondage réalisé l’automne dernier par l’Association des banquiers canadiens étaient capables de discerner les signes révélateurs d’un courriel malveillant utilisé comme hameçon par des fraudeurs.

En raison de la pandémie et du télétravail, qui rend les gens plus vulnérables au piratage de données, les activités des fraudeurs informatiques se sont multipliées en 2020. Les programmes d’aide gouvernementale mis sur pied en réaction à la COVID-19, comme la PCU, ont poussé des pirates informatiques à se faire passer pour l’Agence du revenu du Canada, Revenu Québec, des institutions financières ou encore Postes Canada. Selon le Centre antifraude du Canada, la fraude en ligne a coûté aux Canadiens plus de 40 millions de dollars l’an dernier.

Une entreprise québécoise, Terranova Security, spécialisée dans la sensibilisation à la cybersécurité, a procédé à une simulation de cyberattaque par hameçonnage, dans 98 pays, en octobre dernier, avec la collaboration de Microsoft. Les résultats de cet exercice sont alarmants : en Amérique du Nord, le quart des participants ont cliqué sur un hyperlien frauduleux et 18 % d’entre eux ont partagé leurs données d’accès, notamment leurs identifiants et leurs mots de passe.

Il est de plus en plus difficile de séparer le bon grain de l’ivraie et de ne pas tomber dans le panneau. Dans le doute, bien sûr, mieux vaut s’abstenir et ne pas cliquer sur un hyperlien douteux et s’informer avant de compromettre ses données informatiques. Si Hydro-Québec, pour prendre un autre exemple récent, vous envoie un courriel, même d’une adresse qui semble crédible, en vous offrant un remboursement, de grâce, ne prenez pas ça pour du cash.