Vols d’identité : leçons d’Amérique

Aux Etats-Unis, les vols d’identité sont un véritable fléau. Tirons quelques enseignements du constat américain.

Avec plus de 250 000 cas déclarés en 2007, les vols d’identité restent de loin les fraudes les plus courantes aux Etats-Unis. Ils constituaient 32% des plaintes déposées par des consommateurs auprès de la FTC (Federal Trade Commission, ou Commission Fédérale du Commerce). Les Européens sont moins enclins à réaliser des études sur le sujet : le vol d’identité est moins répandu sur le vieux continent, malgré une présence significative en Grande Bretagne. Cela est en partie lié au fait que nombre de sociétés commerciales américaines (opérateurs télécom, compagnies d’électricité, ou compagnies d’assurances par exemple) requièrent le numéro de sécurité sociale de leurs clients. Fournir une partie de ce numéro sert d’ailleurs parfois à vérifier l’identité d’une personne sur Internet ou au téléphone. Il constitue donc une information très sensible, et représente l’une des principales cibles des vols de données sur Internet. En Europe, où le numéro de sécurité sociale a généralement un usage bien plus restreint, aucun identifiant n’ouvre autant de portes concernant la vie d’un individu. Malgré ces différences, il y a quelques leçons à tirer de la situation aux Etats-Unis.

:: Ne confiez pas systématiquement vos informations personnelles aux entreprises

Selon les données de l’organisme américain ITRC (Identity Theft Resource Center, ou Centre de Ressources contre les Vols d’Identité), les brèches de sécurité menant à l’exposition de fichiers clients sont en recrudescence. Elles sont de plus en plus le fait d’entreprises, qui sont à l’origine de plus du tiers des incidents répertoriés entre janvier et septembre 2008, suivies du milieu éducatif puis du secteur public. En 2006, ce trio de tête était le même, mais en ordre inversé. Réfléchissez donc à deux fois avant d’enregistrer des informations personnelles et moyens de paiement auprès d’entreprises – comme la majorité des sites de vente en ligne le proposent. Ce sont surtout les lacunes de leur politique de sécurité des données qui sont à blâmer: la première cause de fuite est liée à la mobilité (PC portable, assistant personnel ou clé USB par exemple), et on trouve maintenant en seconde position les fuites intentionnelles déclanchées par un employé ayant accès aux données. Les fausses manipulations menant à l’exposition accidentelle de données sur Internet ont, elles, diminué de manière significative, d’après l’étude.

:: La protection contre tout type de malware reste clé

Restent les actions délibérées dans le but de récolter des données. On trouve en première ligne les virus, chevaux de Troie, vers et autre malware, qui constituent un risque majeur puisque, très souvent, les attaques véhiculées par ces programmes menacent justement la confidentialité des données hébergées. D’après une étude menée par l’éditeur de logiciels de sécurité Symantec, c’était le cas d’un peu plus des deux tiers des programmes de type malware répertoriés au deuxième semestre 2007, aussi bien en Europe qu’au niveau mondial. Dans environ 9 cas sur 10, ces programmes permettent un contrôle à distance de la machine infectée. Dans plus des deux tiers des cas, ils permettent d’enregistrer les touches tapées et d’exporter des données personnelles. On en revient donc ici aux indispensables outils de sécurité que sont un logiciel anti-virus à jour et un pare-feu judicieusement paramétré.

Annabelle BOUARD pour BNP Paribas