Desjardins, Equifax, Capital One... les fuites de données personnelles n'ont jamais autant été au centre de l'actualité. Très peu d'informations sont parfois nécessaires pour voler l'identité de quelqu'un. Un numéro de téléphone et une adresse courriel peuvent suffire.

Mathieu Legault s'est aperçu que quelque chose clochait la semaine dernière, quand son téléphone a soudainement cessé de se connecter au réseau cellulaire. Il a rapidement compris qu'il était victime d'un voleur d'identité, qui a usurpé son numéro.

« La personne a acheté un téléphone prépayé et a demandé le transfert de ce numéro de téléphone là de mon opérateur Fido chez Bell et a fourni les renseignements que Bell a demandé à ce moment-là », explique le montréalais.

Le voleur en question connaissait vraisemblablement son numéro de téléphone et son adresse courriel. Avec ces deux informations, il a réussi à prendre le contrôle de son compte PayPal, associé à sa carte de crédit et sa carte de débit.

Une fois sur le site web du service de paiement en ligne, le voleur a probablement entré l'adresse courriel de Mathieu Legault, et ensuite indiqué qu'il avait oublié le mot de passe pour se connecter. Il a par la suite eu l'option de recevoir un code de sécurité par texto pour entrer dans le compte.

Comme le fraudeur était en possession du numéro de téléphone associé au compte, c'est lui qui a reçu le texto permettant d'y entrer. « Et voilà, ils étaient à l'intérieur de mon compte, ils ont changé le mot de passe et je n'avais plus accès à mon compte à partir de ce moment-là », explique le trentenaire.

La personne mal intentionnée a ensuite acheté pour 1700 $ de marchandises avec son compte Pay Pal, en donnant deux adresses de livraison dans l'est de Montréal. « Elle a réussi à faire des transactions chez deux commerçants, a acheté du matériel informatique, des PlayStation entre autres, et dans une autre transaction, c'était des valises. »

Heureusement, Mathieu Legault a réagi rapidement et pu faire annuler ces achats effectués en son nom. Il s'est écoulé moins d'une heure entre le transfert de sa ligne téléphonique et les achats effectués frauduleusement sur son compte PayPal.

Il est l'une des victimes du vol de données chez Desjardins, mais on ignore si c'est la cause de sa mésaventure. Il a porté plainte à la police.

Des questions soulevées sur le transfert de lignes téléphoniques

Le stratagème n'aurait pas pu fonctionner si le numéro de téléphone de Mathieu Legault n'avait pas été attribué au voleur. « Je ne trouve pas ça normal encore aujourd'hui qu'une personne soit capable de prendre possession d'un numéro de téléphone avec la facilité avec laquelle la personne qui a tenté de me frauder l'a fait. »

À la suite de notre demande de renseignements pour clarifier quelles informations sont demandées à un client pour prouver son identité lors du transfert d'une ligne téléphonique, Bell Canada nous a renvoyé au site web de l'Association canadienne des télécommunications sans fil (ACTS).

Selon l'ACTS, les clients doivent habituellement présenter leur dernière facture mensuelle pour changer d'opérateur. Si le client n'a pas sa facture, il peut alors donner son numéro de téléphone, en plus d'une des informations suivantes : son numéro de compte, son mot de passe ou NIP, ou le numéro de série électronique de l'appareil. Il est impossible de savoir si ces procédures ont été appliquées à la lettre dans le cas du transfert de la ligne de Mathieu Legault.

Selon l'expert en sécurité informatique Steve Waterhouse, les marchands devraient en faire davantage pour freiner les fraudes potentielles. « La concurrence force cette complaisance à ce que tout le monde puisse avoir accès au produit le plus rapidement possible, pour qu'on puisse dire que le service a été rapidement donné, sans trop questionner. Donc, si on veut réduire ces fraudes-là, il doit y avoir davantage de vérifications systématiques de la part des commerçants. »