Quiconque fait des affaires sous forme électronique court le risque d'être la cible de fraude. Selon les statistiques sur le sujet, neuf fois sur 10, c'est le secteur financier qui est visé par les pirates informatiques. Hameçonnage, espiogiciels, vol d'identité, ces menaces aux noms évocateurs n'ont toujours pas disparu, au contraire.
La semaine dernière, des chercheurs de l'Université du Michigan révélaient que le site web de 76% des institutions financières américaines comportait des failles de sécurité. Une situation qui encourage les cybercriminels à redoubler d'efforts et à inonder la Toile de messages frauduleux, de faux sites web et de logiciels espions.
Chez nos voisins du Sud, trois sites bancaires sur quatre n'utilisent pas de page entièrement sécurisée pour l'identification de leurs usagers, redirigent sur le site d'une autre entreprise sans avertissement ou utilisent le numéro d'assurance sociale ou l'adresse courriel de leurs clients comme nom d'usager. Sans être majeures, ces pratiques sont autant d'outils que peuvent utiliser des cybercriminels pour accéder au compte de véritables usagers de ces sites.
Hameçonnage en hausse
Évidemment, ça a un impact jusque dans la messagerie électronique des internautes canadiens, car malgré une meilleure connaissance du phénomène et une prévention accrue, le secteur financier canadien n'a pas vu de relâchement au chapitre de la cybercriminalité.
«Au niveau de l'envoi de courriels de type hameçonnage, on en voit toujours autant», confirme Nathalie Genest, porte-parole du Mouvement Desjardins.
«La réaction des internautes a changé, note-t-elle cependant. Les gens sont mieux renseignés et la valeur des fraudes diminue.»
Le hameçonnage, ces courriels frauduleux imitant des directives provenant d'une institution bancaire, mais redirigeant l'internaute vers un autre site où le code d'accès est récupéré par d'éventuels pirates informatiques, n'est pas en baisse. Le Groupe de travail contre l'hameçonnage (Anti-Phishing Working Group, ou APWG), qui regroupe 3000 sociétés du secteur informatique et financier, a constaté une hausse du nombre de tentatives d'hameçonnage en 2008, à la fois à partir de sites web imitant celui d'une institution, et à partir de logiciels espions installés sur l'ordinateur personnel de la victime.
Pour expliquer cette hausse, l'organisme estime que les pirates informatiques derrière ces sites utilisent de nouveaux outils automatisés plus efficaces. Ils ont aussi changé la façon dont ils recueillent l'information soutirée des internautes imprudents, afin de contourner la protection intégrée aux nouveaux fureteurs web, comme Internet Explorer, de Microsoft, ou Firefox, de Mozilla.
Double vérification
Depuis le début de l'année, les institutions canadiennes ont implanté de nouvelles mesures visant à éliminer cette menace et ont amélioré la façon dont elles identifient les usagers qui désirent accéder à leurs services en ligne.
Ainsi, depuis janvier dernier, la méthode d'identification des usagers sur le site web des Caisses Desjardins, AccèsD, comporte trois étapes d'identification. Le système s'assure que l'internaute est le bon. Inversement, l'internaute peut lui aussi reconnaître qu'il s'agit bel et bien du site AccèsD, et non d'une imitation. Le truc est simple: l'utilisateur inscrit une phrase personnalisée et choisit une image qui s'afficheront par la suite chaque fois qu'il s'enregistre sur le site. S'il ne les retrouve pas, c'est que le site sur lequel il se trouve n'est pas le bon.
Inversement, le site identifie l'ordinateur à partir duquel l'internaute tente de se connecter. Si c'est toujours le même ordinateur, il ne demandera que le mot de passe, mais si l'internaute passe par un autre appareil (un second ordinateur ou même un téléphone intelligent), il demandera automatiquement une seconde preuve d'identification, parmi une liste de questions-réponses établies précédemment par l'utilisateur.
En personnalisant ce processus, l'institution complique la tâche des pirates, qui peuvent plus difficilement le reproduire de façon identique. «C'est bon dans les deux sens, estime Mme Genest. On s'assure que c'est le bon client, et le client s'assure que c'est le bon site web.»