Vol d'identité - cas réel

Colloque de la sécurité de l'information pour des membres de l'Université LavalOctobre 2013

Copyright © 2013 - PR4GM4

Vol d’identitéVol d’identité

Vol (ou usurpation) d’identité

Copyright © 2013Copyright © 2013

Introduction - VidéoIntroduction - Vidéo

http://www.takethislollipop.com/

3



IntroductionIntroduction

3

Source: http://www.lapresse.ca/le-soleil/affaires/zone/securite-de-linformation/201310/13/01-4699388-perte-de-donnees-personne-nest-a-labri.php?utm_categorieinterne=trafficdrivers&utm_contenuinterne=cyberpresse_B9_affaires_3004_section_POS1

La sécurité de l'information en entreprise dépend des décisions prises par les gestionnaires et du respect des règles par l'ensemble des employés. Dans la majorité des cas, les brèches dans la sécurité dépendent des gens à l'interne, par négligence ou par inconscience et non à la suite d'un acte de piratage.



IntroductionIntroduction

4

Source: http://www.lapresse.ca/actualites/justice-et-affaires-criminelles/201310/13/01-4699346-cybercriminalite-7-millions-de-victimes-au-canada-en-2012.php



Vol ou usurpation d’identitéVol ou usurpation d’identité

Définition:

L’activité criminelle qui consiste à s’approprier et utiliser l’identité d’une autre personne, physique ou morale, dans le but de commettre une contrefaçon ou une fraude à des fins de profit financier.

5



Dans la vraie vie : Un jour…Dans la vraie vie : Un jour…

• Message dans ma boite vocale…me demandant de rappeler au 1(888)278-7284 et de donner le numéro suivant : 862084713…

• Hum ! Bizarre! Sceptique… encore de la publicité me dis-je!

• Mais bon… j’appelle car cela m’intrigue et je suis curieux

7



Bonjour Edgard…de la cambrioleBonjour Edgard…de la cambriole

• Edgard me demande de confirmer l’application de demande de carte VISA……..chez TD…

• Ha! Oui? Hum…bizarre je n’ai jamais appliqué, moi?• Edgard me demande de confirmer les informations

me concernant :• NAS• Date de naissance• No de téléphone de mon employeur à Montréal (hum)• Mon adresse

8



Merci Edgard…Merci Edgard…

Québec

Compagniesd’enquêtede crédit

Montréal

Banques

8

Christophe



Qui prévenir rapidement?Qui prévenir rapidement?

• EQUIFAX au 1 (800) 465-7166

• TRANS UNION au 1 (800) 525-3832

• EXPERIAN au 1 (888) 243-6951

• CAC (PhoneBusters) au 1(888) 495-8501

9



EQUIFAX, Mercia à l’appareil…

EQUIFAX, Mercia à l’appareil…

Bonjour je m’appelle Christophe, je suis victime d’une tentative de fraude et je vous contacte afin de vous en informer…

Mercia me confirme qu’effectivement ils ont vu passer quelque chose mais pas à mon adresse en date du 28 octobre!

Elle me demande de lui envoyerdes pièces justificatives pour corriger mon adresse!

10



TRANSUNION, Maya à l’appareil…

TRANSUNION, Maya à l’appareil…

Bonjour je m’appelle Christophe, je suis victime d’une tentative de fraude et je vous contacte afin de vous en informer…

Protection pour 5 ans…

Retourner les deux lettres…

11



EXPERIAN, Thérèse à l’appareil

EXPERIAN, Thérèse à l’appareil

Bonjour je m’appelle Christophe, je suis victime d’une tentative de fraude et je vous contacte afin de vous en informer… … et blablabla.

Note au dossier, nous vous contacterons dès aujourd’hui pour confirmation…

12



Centre antifraude du Canada, Alain à l’appareil

Centre antifraude du Canada, Alain à l’appareil

Ok, il est souhaitable d’informer aussi:• La police municipale• Vos institutions financières• Faire une vérification 1/an

LA FRAUDEIDENTIFIEZ-LA.SIGNALEZ-LA.ENRAYEZ-LA.

13



Qui reste-il à prévenir?Qui reste-il à prévenir?

Institution(s) financière(s)

Police (enquête)

Centre Service Canada (NAS)

Revenu Canada & Revenu Québec

14



Institution(s) financière(s)Institution(s) financière(s)

• On me recommande de mettre un mot de passe à mon compte lorsque j’appelle l’institution… car mes renseignements personnels sont dans la nature!

• La personne me rappelle tout de suite sur mon cellulaire…

• Petit conseil: Profitez-en pour faire une demande de changement de carte VISA ou MasterCard… c’est gratuit!

15



Police / GRCPolice / GRC

Il faut fournir une lettre prouvant que votre NAS a été utilisé à votre insu… de façon à faire une ouverture d’enquête et fournir le rapport à un centre de service Canada pour obtenir un nouveau NAS.

16



Si vous êtes victime d'un vol d'identité, vous devriez faire :

Une déclaration de vol d’identité

Victime?Victime?

17



Qu'est-ce qu'une déclarationde vol d'identité?

Qu'est-ce qu'une déclarationde vol d'identité?

Si vous êtes victime d'un vol d'identité, la déclaration vous aidera à prévenir:

• Les institutions financières

• Les émetteurs de carte de crédit et toutes autres compagnies

• Toutes autres institutions avec lesquelles vous devez transiger

18



Centre Service CanadaCentre Service Canada

ATENTION: il faut fournir :• une lettre prouvant que votre NAS a été

utilisé à votre insu…de façon à faire une demande de remplacement de NAS.

• une copie du rapport de police (numéro de dossier), lequel doit indiquer que votre NAS a été volé.

19



RécapitulatifRécapitulatif

Equifax X X

TransUnion X

Experian X

CAC (PhoneBusters) X

Institution(s) financière(s) X

Police X X

Centre de service Canada X X X

20



ActualitéActualité

21


Copyright © 2013Copyright © 2013http://journalmetro.com/plus/techno/363471/securite-sur-internet-les-moins-de-34-ans-a-risque/

22




Source: http://www.journaldemontreal.com/2013/08/08/usurpation-didentite

Plusieurs entreprises, incluant certaines de la région de Salaberry-de-Valleyfield, ont reçu par télécopieur ou par courriel des bons de commande pour renouveler leur inscription dans l’annuaire des Pages Jaunes.

23




http://www.radio-canada.ca/emissions/la_facture/2008-2009/Reportage.asp?idDoc=69032

Vol d’identité : Fraude sur lesPac

Le vol d’identité n’a pas de frontière avec Internet. Les consommateurs qui veulent vendre ou acheter sur le web peuvent facilement en être victimes. C’est arrivé récemment chez LesPac.com, le plus important site de petites annonces en ligne au Québec. Une équipe de La Facture dévoile le stratagème qu’a utilisé un fraudeur pour piéger des clients de LesPac.

24




25




26



ContexteContexte

Les citoyens

Les niveaux de gouvernement

Les entreprises privées

Informations

=Renseignements personnels

=Identité

27

78,1 % des Québécois sont

branchés à Internet (Cefrio)

57.4% en 2007



57.4% en 2007



Actes criminels reconnusActes criminels reconnus

Le droit criminel couvre plus de 25 infractions en vertu du Code Criminel dont entre autres:• supposition intentionnelle de personne (Art. 403);

• possession d’une carte de crédit volée ou fausse/utilisation non-autorisée de données (Art. 342)

• faux et usage de faux = emploi d’un document contrefait (Arts. 366-368)

• infractions relatives aux registres (incluant les faux certificats de baptême ou de naissance – Art. 378)

http://www.avocatcriminel.ca/blogue/category/absolution/

28



Légal? Pas légal?Légal? Pas légal?

Attention! Le droit criminel comporte des « lacunes »; les activités suivantes ne sont pas illégales :

• la possession de multiples pièces d’identité

• la possession de renseignements personnels sur une autre personne

• la fabrication ou la possession d’une nouvelle pièce d’identité

http://www.cba.ca/tips/fr/content/consumer/tips/Avril_FR.html

29



Êtes-vous une victime?Êtes-vous une victime?

Il existe de nombreuses façons de reconnaître que vous êtes une victime de vol d'identité. Voici quelques indices :

• demande de carte de crédit

• vous recevez un appel ou une lettre

• vous recevez des relevés de carte de crédit ou d'autres factures

• vous ne recevez plus vos relevés de carte de crédit

• recouvrement d'un compte impayé à votre nom

30



La théorieLa théorie

Le vol d'identité : Pourriez-vous en être victime?

• Jamais ouvert ce compte bancaire

• Jamais commandé une carte supplémentaire

• Lorsque quelqu'un utilise votre nom, numéro d'assurance sociale (NAS), numéro de carte de crédit ou toute autre information relative à votre identité à votre insu, il s'agit tout simplement d'une fraude

31



Les tendancesLes tendances

Escroqueries diverses ? (autre que le vol d’identité)

1. Attention aux numéros « 900 » 2. Lettres frauduleuses 3. Frais d'emprunt payables à l'avance 4. Conseils aux consommateurs 5. Œuvres de bienfaisance frauduleuses 6. Vol d'identité 7. Héritage 8. Hameçonnage 9. Vous avez gagné un prix 10. Vente pyramidale 11. Récupération de votre argent 12. Voyage

Source: Service Antifraude du Canada

32



Les tendancesLes tendancesAnnée Nb de vol

d’identité au Canada

Nb de vol d’identité au

Québec

Pertes évaluées

2002 8207 1648 11,8 M$

2003 14594 4113 21.8 M$

2004 11990 3368 19 M$

2005 12864 3108 8.7 M$

2006 14330 3877 15.7 M$

2007 10327 2424 6.4 M$

2008 11541 2477 9.7 M$

2009 11127 1524 10.9 M$

2010 4643 686 9.6 M$

2011 5617 840 13.2 M$

2012 5643 894 16 M$

* mise à jour le 3 septembre 2013, Source: anciennement PhoneBusters….. Maintenant Centre antifraude du Canada

Ratio vs la population :

33

3.17 ‰ 3 ‰

3 victimes / 1000 personnes



Renseignements personnels:• Nom• Adresse• Numéro de téléphone• Date de naissance• Numéro d’assurance sociale• Information sur la famille• Permis de conduire• Passeport, carte d’assurance-maladie• Certificat de naissance*• Certificat de citoyenneté

Renseignements financiers:• Institutions financières, numéros de comptes bancaires, NIP, numéros de cartes de

crédit, informations sur les placements, rapports d’impôts, etc.• Pour une personne morale: tous renseignements corporatifs, fiscaux et/ou

financiers, etc.

Les renseignements visés = information à protéger

Les renseignements visés = information à protéger

34



Information à protéger? Oui mais…Information à protéger? Oui mais…

Employeur

Compagniesd’enquêtede crédit Banques &

Assurances

Ministères et organismes SAAQ ARQ MESS Etc.

Notaire

Comptable / agent immobilier

HôpitalCLSCDentiste

Concessionnaires/commerçants

35



Qui sont les fraudeurs?Qui sont les fraudeurs?

• Tous ceux qui sont de l’autre côté de la barrière…

• Ils passent leur temps à cela…

• Leur objectif est le plus souvent financier…

36



Méthodes utilisées par les fraudeurs


• Pirate des bases de données gouvernementales et d’entreprises

• Les pêcheurs de poubelles

• La surveillance

37





• Les «INSIDERS»

• Les offres d’emploi frauduleuses

• La mystification («PHISHING»)

• L’écrémage («CREAMING»)

38



Mesures préventivesMesures préventives

Protection des renseignements personnels:• Tout déchiqueter;• Ne pas dévoiler mots de passe, NIP, NAS, etc.;

• On n’est pas obligé de donner son NAS (sauf ARQ, Service Canada);

• Attention à l’hameçonnage (phishing) – se renseigner adéquatement avant de répondre;

• Vérifier régulièrement ses dossiers de crédit;

• Ne pas perdre de vue ses cartes de crédit.

39



RecommandationsRecommandations

Garder son sang froid

Ne pas avoir peur ne pas se monter un scénario catastrophe

http://www.rcmp-grc.gc.ca/scams-fraudes/victims-guide-victimes-fra.htm

S’armer de patience • attendre• parler au téléphone • prendre des notes

40



ConclusionConclusionmieux vaut prévenir que guérir! En…

…protégeant votre information individuellement

…protégeant l’information des autres en tant qu’employé!

41



RéférencesRéférences

Site Webhttp://www.rcmp-grc.gc.ca/scams-fraudes/id-theft-vol-fra.htm

http://www.antifraudcentre-centreantifraude.ca/francais/recognizeit_identitythe.html

http://cmcweb.ca/eic/site/cmc-cmc.nsf/fra/fe00078.html

http://www.priv.gc.ca/resource/topic-sujet/itf-vif/index_f.asp

http://www.priv.gc.ca/resource/fs-fi/02_05_d_10_f.asp

http://www.cefrio.qc.ca/netendances/equipement-branchement-2013/

http://www.experiangroup.com/

https://www.econsumer.equifax.ca/ca/main?forward=/view/common/template.jsp&body=/view/home/home.jsp&lang=fr

http://www.creditprofile.transunion.ca/index.jsp?lang=fr&bn=4000&kw=1028

http://www.rcmp-grc.gc.ca/index-fra.htm

http://www.sb-1386.com/

http://www.antifraudcentre-centreantifraude.ca/francais/documents/Annual%202012%20CAFC%20FR.pdf

http://www.rcmp-grc.gc.ca/ci-rc/reports-rapports/spawn/spawn-fra.pdf

42



Reproduction de ce documentReproduction de ce document

Ce document est diffusé selon les termes de la licence BY-NC-ND du Creative Commons. Vous êtes libres de reproduire, distribuer et communiquer cette création au public selon les conditions suivantes :

• Paternité. Vous devez citer le nom de l’auteur original de la manière indiquée par l’auteur de l’œuvre ou le titulaire des droits qui vous confère cette autorisation (mais pas d’une manière qui suggérerait qu’ils vous soutiennent ou approuvent votre utilisation de l’œuvre).• Pas d’utilisation commerciale. Vous n’avez pas le droit d’utiliser cette création à des fins commerciales.• Pas de modification. Vous n’avez pas le droit de modifier, de transformer ou d’adapter cette création.

Pour toute demande veuillez communiquer avec Christophe Jolivet à [email protected] ou au 418-261-6320. Merci.

43



FIN



Et la sécurité, alors!Et la sécurité, alors!

Les dimensions de la sécurité vu du côté des gouvernements et des entreprises privées

– Juridique– Humaine– Organisationnelle– Technologique

La dimension de la sécurité vu du côté des citoyens– La ceinture de sécurité dans la voiture– La Police– Anti-virus

ImpersonnelRéprimer?, surveiller?,Limiter dans leur « liberté »?

Protéger nos renseignements personnels = identité = l’information

DISPONIBILITÉINTEGRITÉCONFIDENTIALITÉ





Enjeu = Services en ligneEnjeu = Services en ligne

45



Et la sécurité alors!Et la sécurité alors!

Imputabilité

Disponibilité Intégrité

Confidentialité

Information

Garantie d’identifier l’émetteur

Nonmodification24h / 24h

Garantiedu secret

Quadrature des besoins de sécurité

§ Importance

§ Rôle de l’architecture

§ Type de besoins

§ Scellement électronique

§ Confidentialité de base

§ Authentification

§ Non-répudiation

§ Auditabilité

§ Traçabilité

46




Rappels…

– L'authentification est la procédure qui consiste (pour un système informatique) à vérifier l'identité d'une entité (personne, ordinateur...), afin d'autoriser l'accès de cette entité à des ressources (systèmes, réseaux, applications, institutions financières...).

– L'authentification peut inclure une phase d'identification, au cours de laquelle l'entité indique son identité. Cependant, cela n'est pas obligatoire; il est en effet possible d'avoir des entités munies de droits d'accès mais restant anonymes.

– L'identification permet donc de connaître l'identité d'une entité alors que l'authentification permet de vérifier cette identité.

47




Quatre critères pour s’identifier

• ce que j’ai = carte bancaire, permis, certificat de naissance, etc.

• ce que je connais = NIP, date de naissance, NAS, nom d’employeur, etc.

• qui je suis = Christophe en personne, empreinte, visage, iris, etc. (biométrie).

• Ce que je sais faire = geste, signature, etc.

Niveau d’authentification

Forte = 2 critères d’identification au moins(salle des serveurs = carte+NIP)

48

Documents

Vol d'identité - cas réel