•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Vol de données personnelles : jusqu'où peuvent aller les fraudeurs?

Une personne tend sa carte vers une machine à paiement direct.

Le vol de données personnelles peut notamment permettre à des fraudeurs d'obtenir facilement du crédit dans des magasins à grande surface.

Photo : Getty Images / fotostorm

Joëlle Girard

Se faire voler son nom ou son numéro de téléphone peut presque sembler anodin. Se faire voler sa date de naissance et son numéro d’assurance sociale, moins. Mais c’est la combinaison du vol de toutes ces données, comme celui dont ont été victimes 2,9 millions de clients du Mouvement Desjardins, qui a le potentiel de faire de véritables ravages.

Desjardins a annoncé jeudi que 41 % de sa clientèle était touchée par un vol massif de données comprenant leur nom, prénom, date de naissance, numéro d'assurance sociale, adresse, numéro de téléphone et courriel, mais également des renseignements portant sur leurs « habitudes transactionnelles » et les « produits » bancaires qu’ils ont acquis.

En conférence de presse, le président et chef de la direction de l'institution, Guy Cormier, a voulu rassurer le public en soulignant à plusieurs reprises que les mots de passe, les numéros d'identification personnels (NIP) des membres et leurs questions de sécurité n’avaient pas été compromis.

Or, « ce n'est pas là que se trouve le risque », explique Line Dubé, professeure titulaire au Département de technologies de l’information à HEC Montréal. « Le risque, c'est qu’on vient de mettre ensemble, entre les mains de personnes malveillantes, des informations parmi les plus confidentielles qui soient et qui permettent d'usurper une identité. »

Que les gens obtiennent les numéros d'assurance sociale, c'est déjà très problématique. Après ça, c'est la combinaison de l'ensemble qui pose problème. [...] Si on met ensemble la date de naissance et le numéro d'assurance sociale de quelqu’un, c'est à peu près ce qui vaut le plus cher.

Line Dubé, professeure titulaire au Département des technologies de l’information à HEC Montréal

« Ce sont les informations qu'on utilise presque partout, donc on peut en faire une multitude de choses », confirme également Claude Sarrazin, fondateur et président de l'entreprise d'investigation indépendante SIRCO.

M. Sarrazin cite l’exemple du rôle de plus en plus crucial que joue le numéro de téléphone portable en matière de sécurité. « Le téléphone cellulaire est de plus en plus utilisé dans le monde numérique pour confirmer notre identité avec la validation en deux étapes. » Détenir ce type d’information ouvre de nombreuses portes aux fraudeurs, dit-il.

Monnayer le vol de données

Une fois que de telles données ont été volées en bloc, les risques deviennent multiples pour les victimes : usurpation, réacheminement ou prise de contrôle d’un compte bancaire, fraude auprès de différents fournisseurs de services, fraude par carte de crédit, vol d’identité, émission de nouvelles cartes de crédit, acquisition d’une voiture, de meubles ou même carrément d’une hypothèque.

Ça concerne à peu près tous les biens qu’on peut imaginer. Nommez-les. Partout où vous pouvez avoir du financement, vous avez toutes les informations pour pouvoir assumer l'identité d'une personne. […] Ceux qui l'ont vécu s'en rappellent longtemps.

Claude Sarrazin, fondateur et président de l'entreprise d'investigation indépendante SIRCO

La professeure Line Dubé souligne au passage la facilité avec laquelle on peut obtenir du crédit à la caisse des magasins grande surface, et ce, sans grande vérification. « Dans bien des grands magasins, on octroie, directement sur place, du crédit. »

« Ce que les fraudeurs font, de façon générale, c’est qu’ils achètent des cartes-cadeaux, ce qui leur permet d’acheter plus tard. Et même, ce qu’ils font avec les cartes, c’est qu’ils les revendent. […] Il s’agit de rapidement transformer l’information en argent. »

Faux documents et fraudes hypothécaires

D’autres stratagèmes sont toutefois beaucoup plus sophistiqués et exigent plus d’effort de la part des fraudeurs. « Pour faire une fraude hypothécaire, ça demande un petit peu plus de travail. Ça prend, par exemple, des pièces d'identité falsifiées », dit Claude Sarrazin.

Il explique que les quelques informations de bases volées à la victime permettent au fraudeur de se renseigner davantage sur son identité. « À l'aide de ces informations, on peut faire quelques recherches relativement simples pour pouvoir établir qui est cette personne, qui est sa mère, qui est son père, toutes les informations qu'on pose dans les questions de sécurité. »

En possédant l’adresse d’une victime, un fraudeur peut même se poster tout près de la maison et intercepter le courrier dès qu’il arrive, de manière à obtenir encore plus d’information, raconte M. Sarrazin. « Après ça, on peut par exemple demander une deuxième hypothèque sur une résidence. Ça existe, on en voit. C'est une fraude qui a cours de façon assez régulière. »

Les fraudeurs peuvent aussi utiliser une carte d'assurance maladie à une autre fin. Ça a un prix et il y a un marché noir pour ces choses-là.

Claude Sarrazin, fondateur et président de l'entreprise d'investigation indépendante SIRCO

Line Dubé va d’ailleurs dans le même sens. Sans affirmer que le type de vol qui a eu cours chez Desjardins peut conduire directement à la falsification de pièces d’identité, la professeure soulève tout de même des inquiétudes. « Ce serait à vérifier, mais quand tu as toutes ces informations-là, je pense que tu ne dois pas être très loin d'être capable de te faire délivrer un passeport », dit-elle.

Ces fraudes-là demandent un certain niveau de sophistication, raconte Claude Sarrazin. Ça demande des gens qui sont habitués à faire ça, mais ça, il y en a. Ça ne court pas les rues, mais il y en a quand même pas mal.

Des données périssables

Une fois volées, les données n'ont toutefois pas une durée de vie infinie. « Plus le temps est long [avant qu’elles ne soient utilisées], plus les données ne valent pas grand-chose, explique Mme Dubé. Elles perdent de la valeur à l'heure près sur le web. »

Anciennement, c'était le relevé mensuel qui pouvait nous indiquer que notre carte de crédit avait été fraudée, raconte-t-elle. « Maintenant, en 48 ou 72 heures, ça ne vaut plus rien. »

« Un numéro d'assurance sociale ou une date de naissance a une plus grande pérennité dans le temps. Mais, ce qui en mine la valeur, c'est le fait qu'il y aura une alerte Equifax sur ces données. C'est là qu'elles seront plus difficilement utilisables et donc moins intéressantes », explique la professeure.

« Mais ça marche dans les deux sens. Toutes les démarches de crédit des victimes vont aussi devenir compliquées. »

Cybercriminalité

Économie