Usurpation d’identité : comment désamorcer la bombe à retardement ?

0
74

Ces temps-ci, il semblerait que chacun connaît au moins une personne victime d’un vol d’identité. Un vol d’identité se produit quand un criminel parvient à accéder aux informations personnelles d’un individu, comme son nom, son adresse, sa date de naissance ou ses coordonnées bancaires, avec l’intention de lui voler de l’argent ou d’en retirer d’autres avantages.

Tribune par Ashish Thapar, Directeur Général RISK team APAC chez Verizon Enterprise Solutions – Et c’est un problème de dimension mondiale. Aux Etats-Unis, le “Identity Theft Resource Center” a rapporté une progression de 45% par rapport aux chiffres de 2016. Au Royaume-Uni, la fraude à l’identité a augmenté de 125% au cours des dix dernières années. L’année dernière la Banque de France alertait le grand public sur la recrudescence des vols d’identité.

Une soif insatiable de données

Le nombre de données personnelles présent sur le web est plus important que jamais. Dans le monde numérique, les entreprises collectent des informations à propos de leurs clients et utilisateurs pour mieux comprendre leurs besoins et leur faire vivre une meilleure expérience. Chaque point de contact numérique établi par un utilisateur crée potentiellement des données attractives pour chaque secteur d’industrie, comme l’âge, la position géographique, les sites web préférés, les applications téléchargées ou bien d’autres éléments encore.

L’industrie du retail, par exemple, a accès à une myriade d’outils de data mining qui promettent de recueillir des informations personnelles recherchées permettant de mieux comprendre les besoins et les souhaits des clients. Le secteur de la santé, cible privilégiée des criminels, vit une transformation numérique rapide qui expose à des risques les données confidentielles des patients, comme leurs coordonnées, leur historique médical et leurs informations financières en ligne.

Un groupe de cybercriminels ayant obtenu l’accès à vos informations confidentielles peut s’en servir de multiples façons. Ils peuvent, par exemple :

  • Faire une demande de carte bancaire ou contracter un emprunt en votre nom
  • Immatriculer un véhicule
  • Présenter leur candidature pour un emploi
  • Souscrire un abonnement mobile
  • Faire de fausses déclarations auprès d’assurances

Le fait que n’importe quelle entreprise puisse collecter les données de tierces parties la soumet à une obligation supplémentaire de protéger les données, en particulier dans l’actuel contexte réglementaire. Il peut s’écouler des mois avant qu’une entreprise découvre un cas de compromission de données, ce qui peut avoir des implications dévastatrices pour les individus dont les identifiants personnels auront été compromis. 

Le dark web

Qu’advient-il donc des identifiants personnels volés ? La plupart des gens connaissent le « web surfacique », la partie du World Wide Web instantanément accessible dans laquelle le grand public peut faire des recherches. La partie moins connue d’Internet est le dark web, accessible uniquement via des navigateurs spéciaux. On y trouve du contenu chiffré, non-indexé, en mode peer-to-peer, conçu à l’origine pour apporter une protection maximale aux chercheurs, aux professionnels du droit et de la justice et même aux lanceurs d’alerte. Malheureusement, aujourd’hui, comme c’est également le cas des plateformes les plus prisées, les cybercriminels s’en servent pour héberger et négocier des contenus volatiles/volés/confidentiels.

Le dark web héberge des marketplaces généralistes, comme un grand magasin, mais aussi des marketplaces spécialisées, qui vendent par exemple des identifiants volés, des dépôts PII, des iPhones, des malwares, des référentiels de cartes bancaires volées, des médicaments, et d’autres produits de contrebande ; il existe même des marketplaces spécialisées dans l’extorsion et les pratiques criminelles. Les criminels n’utilisent quasiment jamais les données qu’ils volent de crainte d’être tracés. Ils les vendent à d’autres criminels ou groupements présents sur le dark web, qui à leur tour monétisent les données volées en ayant recours à plusieurs couches d’anonymat. Vos données personnelles permettent, par exemple, à un criminel de faire une demande de carte bancaire ou d’emprunt ; d’immatriculer un véhicule ; de souscrire un abonnement mobile ou de faire de fausses déclarations d’assurance, le tout en votre nom. Et vous pourriez très bien l’ignorer pendant des mois et des mois. 

Mieux vaut prévenir que guérir

Après avoir mené des investigations sur plus de 2000 cas confirmés de compromission de données, l’édition  2018 du Verizon Data Breach Investigations Report (DBIR) révèle que 68% des compromissions sont restées indétectées pendant des mois, même si pour 87% des compromissions examinées, les données ont été compromises en quelques minutes seulement après le début de l’attaque. Ce rapport met également en évidence une évolution des attaques d’ingénierie sociale, comme celles de demandes financières falsifiées et des attaques de phishing, qui infiltrent les entreprises via les salariés. Il apparaît que les services des Ressources Humaines (RH) de plusieurs segments verticaux sont désormais ciblés dans l’objectif d’extraire des données fiscales et relatives à la paye des salariés, si bien que les criminels peuvent ensuite frauder les impôts et détourner des remboursements.

Voici 6 étapes que les entreprises devraient observer pour se protéger contre les compromissions de données :

  1. Restez vigilants : les fichiers log et les systèmes de gestion du changement peuvent être des indicateurs d’alerte précoce d’une compromission.
  2. Utilisez vos salariés comme première ligne de défense : formez-les pour qu’ils sachent détecter les signes d’alerte.
  3. Appliquez le principe des «  accès sélectifs » : seuls les salariés ayant besoin d’avoir accès aux systèmes pour travailler sont effectivement autorisés.
  4. Installez les correctifs dans les meilleurs délais : c’est le meilleur moyen de se protéger de très nombreuses attaques.
  5. Chiffrez les données sensibles : rendez vos données inexploitables en cas de vol.
  6. Utilisez l’authentification à double facteurs : vous limiterez l’ampleur des dégâts en cas d’identifiants perdus ou volés.
  7. Ne négligez pas la sécurité physique : tous les vols de données ne se produisent pas en ligne.

Que faire au niveau individuel ?

En cas de compromission, les dirigeants d’une entreprise peuvent solliciter une myriade de consultants et de fournisseurs de services pour les aider à surmonter les risques et les enjeux de réputation. Mais quand ce sont les informations personnelles en ligne d’un individu qui sont compromises, ce dernier doit souvent se débrouiller seul. Il est conseillé de se montrer particulièrement vigilant quant aux informations que l’on partage en ligne et quant aux autorisations, implicites ou explicites, que l’on accorde à une organisation. A l’inverse, il est fortement déconseillé d’utiliser les mêmes mots de passe pour plusieurs sites web, aussi tentant que cela puisse être !

Activer l’authentification à double facteurs chaque fois que possible permet également d’ajouter une couche de sécurité supplémentaires. Enfin, souscrire à une cyberassurance personnelle, conçue spécifiquement pour protéger les individus des menaces en ligne visant leur réseau informatique personnel, leurs équipements, systèmes IT et de communication, peut être envisagé. Si le mal est déjà fait et que vous vous rendez compte que vos identifiants personnels ont été compromis, voici ce que vous pouvez faire de faire :

  1. Activez des services de monitoring de crédit/de protection contre le vol d’identité et placez une alerte à la fraude sur vos relevés de comptes
  2. Vérifiez l’historique des accès à vos comptes en ligne et consultez vos relevés bancaires
  3. Envisagez d’activer une alerte étendue à la fraude ou un mécanisme de sécurité/gel de crédit sur votre compte
  4. Informez toutes les institutions compétentes et fermez tous vos comptes frauduleux ayant été ouverts en se servant de votre identité
  5. Déposez plainte auprès de la police si les informations volées avaient été émises ou
    conservées par une administration et demandez un identifiant de remplacement
  6. Changez vos mots de passe/questions secrètes sur tous les sites web/portails ; activez l’authentification multifactorielle chaque fois que possible

Dans un monde parfait, le cybercrime n’existerait pas. Malheureusement, le monde d’aujourd’hui est loin d’être parfait et le niveau de menace va croissant. Mais si les entreprises ET les individus collaborent, alors nous pourrons en réduire l’impact.