Discussion sur la cybersécurité.
The Communications Security Establishment published this Christmas carol video on YouTube.
I just have to share it, because it’s fun and good advice.
Le centre de la sécurité des télécommunications a publié cette vidéo de chansons de Noël sur YouTube.
Je ne peux pas m’empêcher de la partager, parce que c’est drôle tout en étant de bons conseils.
PHOTO BRENDON THORNE, ARCHIVES BLOOMBERG
Les clés d’accès sont notamment une défense contre les attaques d’hameçonnage, où les gens sont dupés en donnant leurs mots de passe aux pirates qui leur envoient des courriels ou des textos avec des pages de connexion se faisant passer pour des entreprises légitimes.
(Toronto) Anna Pobletts a passé les dernières années à se donner pour mission de faire des mots de passe une chose du passé, mais les clés d’accès — la technologie qui pourrait les remplacer — n’ont jamais vraiment été sur le point d’être largement adoptées par les consommateurs avant cette année.
Publié hier à 19h07
Tara Deschamps La Presse Canadienne
« Nous voyons de très grands sites comme eBay, Best Buy et Google, qui a annoncé au début mai qu’il prendrait en charge les clés d’accès sur les comptes Gmail », a expliqué Mme Pobletts, responsable du « sans mot de passe » chez 1Password, une société de gestion de mots de passe de Toronto.
« C’est vraiment un point de bascule, lorsque tout d’un coup, un milliard d’utilisateurs peuvent ajouter des clés d’accès (à leur compte Gmail), s’ils le souhaitent. »
La décision de Gmail faisait suite à celles d’Apple, Shopify, Microsoft, DocuSign et PayPal, qui prenaient déjà en charge les clés d’accès – un identifiant numérique qui s’appuie sur une cryptographie qui peut déverrouiller des comptes simplement en « lisant » un visage ou une empreinte digitale sur un téléphone.
Les spécialistes croient que les clés d’accès sont plus sûres que les mots de passe puisqu’elles ne comprennent pas de chaîne de caractères, de chiffres et de symboles à mémoriser, ce qui les rend plus difficiles à pirater. Elles n’ont pas besoin d’être changées et ne peuvent pas être volées par quelqu’un qui les devine ou qui jette un coup d’œil par-dessus l’épaule d’un utilisateur. En outre, il n’y a aucun moyen d’en utiliser une de façon accidentelle ou sur un mauvais site web.
« Les clés d’accès sont si excitantes parce qu’elles sont […] en fait plus efficaces et plus sûres », a fait valoir Claudette McGowan.
Après 19 ans à la Banque de Montréal et près de trois ans à la Banque TD, Mme McGowan a récemment fondé Protexxa, une plateforme établie à Toronto qui tire parti de l’intelligence artificielle pour identifier et résoudre rapidement les problèmes de cybersécurité des employés.
Au cours de ses années passées dans le secteur bancaire, les mots de passe étaient la principale vulnérabilité.
« Quand les choses déraillaient, ce n’était jamais parce que le cryptage ne fonctionnait pas ou que les pare-feu ne fonctionnaient pas, a observé Mme McGowan. Il y avait toujours un humain au centre du problème. »
Les clés d’accès, cependant, sont une défense contre les attaques d’hameçonnage, où les gens sont dupés en donnant leurs mots de passe aux pirates qui leur envoient des courriels ou des textos avec des pages de connexion se faisant passer pour des entreprises légitimes.
Les 2000 répondants à une enquête en ligne menée pour 1Password en janvier ont indiqué avoir reçu un message d’hameçonnage au cours de l’année écoulée, ou connaître quelqu’un qui en avait reçu un.
Les clés d’accès rendent les attaques d’hameçonnage obsolètes en grande partie à cause de leur structure. Les clés d’accès, selon 1Password, comportent deux parties mathématiquement liées : une clé publique partagée sur un site web ou une application avec laquelle on détient un compte, et une clé privée qui reste toujours sur le téléphone.
Lorsqu’on se connecte à compte, le site web ou le serveur de l’application envoie une « devinette » brouillée qui ne peut être résolue que par la clé privée, qui est ensuite autorisée à être résolue par la biométrie d’un utilisateur. Une fois la devinette résolue, le service connaît la correspondance entre les clés publique et privée et connecte l’utilisateur.
Il est impossible de faire de l’ingénierie inverse sur une des deux clés à partir de l’autre. Sans accès physique aux appareils et sans moyen de les déverrouiller, comme à l’aide d’une empreinte digitale ou d’un visage, personne ne peut se connecter aux comptes protégés par un mot de passe.
Alors pourquoi le monde ne s’est-il pas rué plus tôt sur les clés d’accès ?
« Les mots de passe sont une technologie vieille de 60 ans », a expliqué Andrew Shikiar, directeur général et directeur marketing de Fast IDentity Online (FIDO) Alliance.
« Il est difficile de les remplacer, car ils sont vraiment ancrés dans tout ce que nous faisons et ils ont l’avantage d’être omniprésents. Vous pouvez entrer un mot de passe n’importe où et vous savez comment le faire. »
Les mots de passe sont devenus la norme en partie à cause de feu Fernando Corbató, informaticien au Massachusetts Institute of Technology (MIT).
Dans les années 1960, des chercheurs du MIT comme M. Corbató utilisaient un système accomplissant du temps partagé compatible (CTSS), où les utilisateurs de différents endroits pouvaient accéder simultanément à un seul système informatique par l’entremise des lignes téléphoniques.
Le modèle n’offrait pas beaucoup de confidentialité pour les fichiers, alors M. Corbató a développé le mot de passe, qui a finalement été adopté par à peu près toutes les entreprises cherchant à protéger l’accès à leurs fichiers et leurs systèmes.
Mais l’alliance FIDO, un groupe mondial visant à réduire les violations de données, aimerait perturber cette dépendance aux mots de passe.
« La grande majorité des violations de données sont causées par des mots de passe, donc, vraiment, en résolvant le problème de mot de passe, on résout le problème de violation de données », a fait valoir M. Shikiar.
Et l’alliance FIDO a beaucoup d’alliés dans son combat.
Ses membres incluent 1Password, Google, Apple, eBay, Amazon, Twitter, le propriétaire de Facebook Meta et PayPal, American Express, Sony et TikTok. 1Password commencera à prendre en charge les clés d’accès le 6 juin et permettra aux utilisateurs de déverrouiller leur compte 1Password avec une clé d’accès en juillet.
Certains se sont joints à eux parce qu’ils voient des gens abandonner leurs paniers d’achats en ligne lorsqu’ils ne se souviennent pas de leurs mots de passe, tandis que d’autres veulent simplement rendre leurs produits plus sûrs ou rendre leur utilisation plus facile pour les clients.
Mais adapter les sites web, les applications, les serveurs et plus encore pour accepter les clés d’accès « peut être délicat », a souligné Mme Pobletts.
« C’est manifestement plus complexe que les mots de passe, en partie parce que c’est nouveau. »
L’alliance FIDO a créé des normes pour aider les entreprises à faire le pas et M. Shikiar est convaincu que les noms connus qui se tournent vers la technologie inciteront les autres à adopter les clés d’accès.
Mais pour que la technologie soit vraiment un succès, le public aura besoin d’éducation, ont estimé M. Shikiar et Mme Pobletts.
L’enquête de 1Password a révélé que seulement un quart des personnes interrogées avaient entendu parler de la technologie sans mot de passe et que 42 % n’utilisent pas encore de connexion biométrique.
Certains ont des idées fausses sur le fonctionnement de l’une ou l’autre technologie, a précisé Mme Pobletts.
« Parfois, les gens ne réalisent pas que les données biométriques ne sont pas envoyées sur les sites web. Elles ne sont pas stockées par Apple et personne ne conserve vraiment les données d’empreintes digitales ou l’analyse de la rétine », a-t-elle expliqué.
« Mais une fois que les gens savent et comprennent que les données biométriques sont sûres […], ils sont vraiment à l’aise avec ça. »
M. Shikiar s’attend également à ce que les gens s’adaptent aux clés d’accès, car elles ne seront pas mises en œuvre toutes en même temps.
De nombreuses entreprises encourageront les clients à les essayer tout en conservant un mot de passe, sur lequel elles se fieront de moins en moins au fil du temps, avant que cette technologie ne soit complètement abandonnée.
« Il y a une heureuse inévitabilité à ce sujet », a-t-il affirmé, ajoutant qu’il pense que dans les trois prochaines années, la plupart des services offriront un support de clés d’accès.
« Personne ne supplie “oh, mon Dieu, donnez-moi plus de mots de passe”, que ce soit un consommateur ou une entreprise. Tout le monde est prêt à s’en défaire. »
PHOTO FOURNIE PAR GENERAL MOTORS
Le système OnStar à bord de véhicules GM a été identifié par la Fondation Mozilla comme une des façons les plus gourmandes d’accumuler des données personnelles.
Nissan et Kia qui collectent les informations sur votre « activité sexuelle ». GM qui transmet sans frein vos données de localisation aux policiers. Hyundai qui vend vos données à d’autres entreprises. Tout cela avec votre consentement, enfoui dans des politiques de confidentialité de plusieurs dizaines de pages et qu’on ne peut pratiquement pas refuser.
Publié à 1h22 Mis à jour à 5h00
Ce sont quelques-uns des exemples tirés d’une étude fouillée publiée récemment de la Fondation Mozilla, un organisme à but non lucratif établi en Californie. Des 25 marques analysées pendant 600 heures, aucune n’a passé le test de la protection des renseignements personnels. Même les consommateurs européens, un peu mieux protégés grâce au Règlement général sur la protection des données, sont victimes de cette boulimie de données personnelles. Seulement trois constructeurs ont répondu, de façon incomplète, aux demandes de clarification.
« Les voitures modernes sont un cauchemar au chapitre de la confidentialité », résument les trois auteurs de la Fondation Mozilla, Jen Caltrider, Misha Rykov et Zoë MacDonald.
Depuis 2017, Mozilla a analysé plus de 300 produits technologiques « intelligents » de consommation courante, des écouteurs Sony à la Nintendo Switch en passant par les balances, les liseuses, les sonnettes et les haut-parleurs intelligents.
Les voitures sont « la pire catégorie officielle de produits en matière de confidentialité que nous ayons jamais examinée », affirment les auteurs de l’OBNL.
Voici les trois conclusions marquantes de ce rapport :
Avec un certain humour, le rapport classe les 25 marques vendues par 14 constructeurs « du plus flippant au moins flippant ». Les trois manufacturiers qui dominent ce triste podium : Nissan, GM (Buick, Chevrolet) et Kia (voir capsules ci-contre). Ils ne sont pas les seuls à recevoir ces reproches, rappelons-le, puisque tous les constructeurs ont échoué à l’examen.
Sans se prononcer sur l’étude de Mozilla, qu’il n’a pas analysée, Habib Louafi rappelle que la voiture « est devenue une extension sur le cyberespace » de la personne, au même titre que le téléphone.
On a de plus en plus des voitures très connectées. Et si on va vers la voiture autonome ou dans des systèmes d’aide à la conduite, la voiture a besoin de récolter de plus en plus d’informations sur le client. Ces informations sont nécessaires si on veut offrir ces services.
Habib Louafi, expert en cybersécurité et vie privée
Cet expert en cybersécurité et vie privée, professeur adjoint au département de science et technologie de l’Université TÉLUQ, note qu’il s’agit d’un « problème très ancien », avec lequel des géants comme Amazon, Facebook et Google ont dû jongler depuis leur fondation. « Les compagnies ont besoin d’informations pour des services personnalisés. […] Si la voiture se met en mode écoute, elle doit tout écouter, puis filtrer ce dont elle a besoin. »
Il convient que l’information et le consentement de l’usager sont au cœur du problème et qu’il est très difficile de contrôler l’utilisation que les entreprises font des données récoltées. « Les organismes gouvernementaux doivent vérifier ça avec des audits. »
Lui-même, comme citoyen, reconnaît qu’il est « difficile de garder le contrôle ». Il tente de limiter autant que possible les informations qu’il fournit dans le cyberespace. « Les clients doivent être vigilants. »
Les auteurs de la Fondation Mozilla ne sont pas naïfs, les consommateurs ont peu de choix considérant que tous les constructeurs ont de graves lacunes au chapitre de la protection de la vie privée. Le refus de fournir des informations peut mener à la désactivation de certaines fonctions. Leur piste de solution : mettre en ligne une pétition dénonçant le caractère « éhonté » de cette récolte d’informations et demandant aux entreprises « d’arrêter de collecter, de partager et de vendre nos informations privées ».
Lisez « *Confidentialité non incluse » sur l’industrie automobile (en anglais)
PHOTO GONZALO FUENTES, ARCHIVES REUTERS
« La politique de confidentialité de Nissan est probablement la politique de confidentialité la plus ahurissante, effrayante, triste et tarabiscotée que nous ayons jamais lue », indique l’étude de la Fondation Mozilla.
« La politique de confidentialité de Nissan est probablement la politique de confidentialité la plus ahurissante, effrayante, triste et tarabiscotée que nous ayons jamais lue », indique-t-on. Nissan déclare notamment qu’elle peut collecter et partager les informations sur « votre activité sexuelle, vos données de diagnostic de santé, ainsi que vos informations génétiques et autres informations personnelles sensibles à des fins de marketing ciblé ». Précisons que si ce paragraphe ahurissant figure bel et bien dans les politiques de Nissan USA, nous n’avons pu le trouver dans les documents en ligne de Nissan Canada.
PHOTO SEAN KILPATRICK, ARCHIVES LA PRESSE CANADIENNE
Pour ses modèles Buick et Chevrolet, General Motors mise beaucoup sur son application myChevrolet et les services connectés OnStar.
Pour ses modèles Buick et Chevrolet, General Motors mise beaucoup sur son application myChevrolet et les services connectés OnStar. On précise dans les politiques pouvoir collecter « nom, adresse, données de géolocalisation, les caractéristiques telles que l’âge, la race, la religion, les conditions médicales, les handicaps physiques ou mentaux, le sexe, l’identité de genre, la grossesse, les conditions médicales, l’orientation sexuelle, la génétique, caractéristiques physiologiques, comportementales et biologiques telles que les empreintes digitales ». Et GM a été épinglé par de nombreux médias pour sa grande ouverture à donner ces informations aux policiers aux États-Unis, notamment en matière d’immigration.
PHOTO NAM Y. HUH, ARCHIVES ASSOCIATED PRESS
Tout comme Nissan, Kia se donne le droit de récolter des données sur « vos informations génétiques » ou votre « vie sexuelle », ainsi que « vos croyances religieuses ou philosophiques ».
Tout comme Nissan, Kia se donne le droit de récolter des données sur « vos informations génétiques » ou votre « vie sexuelle », ainsi que « vos croyances religieuses ou philosophiques ». Le constructeur sud-coréen peut en outre partager et vendre ces données à tous les « affiliés », les « partenaires », les « prestataires de services », les « publicités et réseaux sociaux », ainsi que les « fournisseurs d’analyse de données, d’amélioration des données et d’études de marché ». Ces tierces parties peuvent également fournir en retour de l’information à Kia.
C’est quand même intéressant. On pousse beaucoup à réduire la possession automobile pour des impératifs environnementaux, urbains, de santé ou de sécurité publique… Mais maintenant on peut rajouter pour des raisons de vie privée.
Les constructeurs poussent pour des véhicules de plus en plus onéreux et luxueux (un contraste avec les dernières décennies), délaissant le segment des voitures “simples” abordables, et le prix est alimenté par ces systèmes invasifs qui semblent là plus pour vendre des informations privées aux partenaires que d’offrir une vraie bonification.
On peu dire que les constructeurs automobiles agissent comme de véritables ogres qui en plus de vendre toujours plus cher des véhicules toujours plus sophistiqués, qui dépassent largement les besoins de la moyenne des conducteurs. Se permettent maintenant d’envahir leur vie privée en vendant des données acquisses par des systèmes électroniques non sollicités, à des partenaires tout aussi avides de d’intrusions et d’abus toujours plus invasifs de la personne.
Tout simplement scandaleux!
PHOTO ANDRÉ PICHETTE, ARCHIVES LA PRESSE
Nicolas Vermeys, professeur et spécialiste en sécurité de l’information à la faculté de droit de l’Université de Montréal
Vous vous êtes connecté à votre compte bancaire avec un téléphone infecté par un virus. Le numéro d’identification personnel (NIP) de votre carte de débit est votre date de naissance. Vous avez répondu à un courriel qui vous demandait des renseignements personnels et avez ensuite été fraudé.
Publié à 7h00
Et votre tablette n’est pas protégée par un code de verrouillage.
Beaucoup de consommateurs et d’entreprises l’ignorent, mais ces quatre raisons, et des centaines d’autres consignées dans de longues pages de « conditions d’utilisation » consultées par La Presse, peuvent être invoquées par les institutions financières pour refuser un dédommagement si vous deviez être victime d’une fraude.
Et ce n’est pas que théorique : de nombreuses causes, des petites créances jusqu’en Cour supérieure, font état de « manquements » reprochés aux consommateurs qui se disaient victimes de fraude (voir autre onglet « Est-ce votre faute ? »). Il s’agit souvent d’accusations de négligence dans la conservation d’une carte de débit, du manque de protection du NIP et d’un comportement plus vaguement jugé « imprudent ».
Le portrait n’est pas complet : on estime qu’une grande partie des litiges sont réglés hors tribunaux, notamment auprès d’un ombudsman. La jurisprudence, quant à elle, est nuancée : les tribunaux donnent raison parfois au consommateur, parfois à l’institution financière.
« Ça va dépendre évidemment du contexte et de la personne », résume Nicolas Vermeys, professeur et spécialiste en sécurité de l’information à la faculté de droit de l’Université de Montréal. En règle générale, le consommateur pourra être indemnisé s’il arrive à démontrer qu’il n’a pas été négligent. Il s’agit pour le consommateur de prouver qu’il est « une personne raisonnablement prudente et diligente ».
À l’inverse, l’institution financière relèvera des comportements qu’elle estime imprudents et qui contreviennent aux conditions d’utilisation de ses services.
« La jurisprudence est assez constante à ce chapitre depuis plusieurs années », note le professeur Nicolas Vermeys.
Pour la carte de débit, les exigences sont relativement simples. Mais les choses se sont compliquées depuis une vingtaine d’années avec les services bancaires en ligne, rappelle Alexandre Plourde, avocat et analyste à l’organisme Option consommateurs. « Ces contrats ont maintenant toutes sortes d’obligations contractuelles, qui peuvent être très larges en matière de sécurité pour le consommateur. »
PHOTO CATHERINE LEFEBVRE, ARCHIVES COLLABORATION SPÉCIALE
Alexandre Plourde, avocat et analyste à l’organisme Option consommateurs
M. Plourde a épluché quelques-uns de ces contrats et ne souhaite pas épingler une institution financière en particulier. « Sincèrement, c’est pas mal du même acabit d’une banque à l’autre. Il n’y a pas tellement de différence : ça peut être formulé de façon différente, mais ça revient essentiellement au même. »
Beaucoup d’exigences des institutions financières concernent la sécurité informatique. Voici quelques conditions d’utilisation répertoriées par La Presse. Rappelons que le défaut de respecter une de ces clauses peut être présenté comme une négligence.
Quelques conditions d’utilisation répertoriées
Chez Desjardins, on apporte une nuance : il ne suffit pas d’enfreindre une seule règle pour être qualifié d’imprudent. « C’est du cas par cas, affirme Jean-Benoit Turcotti, porte-parole. On pourrait transposer dans le domaine de l’assurance : si tu laisses ta voiture, portières débarrées, et que tu as été volé, tu as été négligent. J’ai barré mes portières, ma clé sans contact était à l’intérieur de mon domicile et grâce à des outils technologiques, on a intercepté le code de déverrouillage de mon auto… Je n’aime pas le terme “indulgence”, mais il va y avoir une plus grande compréhension de la situation par nos équipes de fraude. »
PHOTO MARTIN CHAMBERLAND, LA PRESSE
Valérie Parente, conseillère principale en prévention de la fraude chez Desjardins
« On dit souvent que la plus grande menace pour notre propre sécurité, c’est probablement nous-même », renchérit Valérie Parente, conseillère principale en prévention de la fraude chez Desjardins. Elle donne en exemple deux profils d’utilisateur. Le premier « protège ses données, navigue prudemment sur le web, va s’assurer que toutes ses transactions sont légitimes, fait des recherches sur les entreprises ». Le second est « conquis par les réseaux sociaux, sur lesquels il va mettre photos et vidéos, va jouer à des jeux en ligne, va discuter avec plusieurs personnes de sa vie privée, sa famille, va donner des informations ».
« Quel est le profil qui est le plus susceptible finalement d’être la cible d’un fraudeur ? demande Mme Parente. Le second, évidemment. C’est un exemple poussé à l’extrême, mais le message de prévention est là. Il faut prendre les mesures nécessaires pour se protéger. »
Pour Simon Marchand, vice-président, produits et risques, à la firme de cybersécurité GeoComply, il est clair qu’on assiste depuis quelques années à un « déplacement de la responsabilité sur le consommateur ». « On dirait que, de plus en plus, les banques se déresponsabilisent. Elles vont se servir de toutes les petites excuses de leur politique, que malheureusement très peu de gens vont prendre la peine de lire, pour essayer de se dédouaner. »
PHOTO FOURNIE PAR GEOCOMPLY
Simon Marchand, vice-président, produits et risques, à la firme de cybersécurité GeoComply
Le consommateur est peu au courant de cette tendance, note-t-il, parce qu’il croit généralement que ses services bancaires bénéficient de la même protection qu’avec les cartes de crédit. Pour celles-ci, le montant maximal pour une utilisation qu’il n’a pas autorisée est de 50 $, et les institutions financières sont réputées pour leur grande compréhension à rembourser la victime.
Aucune limite du genre n’existe pour les cartes de débit et les services bancaires en ligne, une situation dénoncée de longue date par Option consommateurs.
« C’est ça, le problème, actuellement, affirme Alexandre Plourde. Ça fait des décennies qu’on demande d’harmoniser la protection des consommateurs en matière de paiement, qui s’appliquerait à tous les modes, que les services en ligne prévoient des règles uniformes, des protections aussi élevées que ce qu’on trouve pour les cartes de crédit. »
Les institutions financières ont peu d’intérêt à étendre les protections offertes pour l’utilisation des cartes de crédit, estime Nicolas Vermeys. « Elles remboursent assez facilement pour les cartes de crédit, évidemment, parce que le poids financier est sur le commerçant. Il est facile alors d’annuler une transaction. »
Depuis le début du mois de mai de cette année, 245 fraudes impliquant des cryptomonnaies ont été signalées, selon le bureau central des fraudes de la police de Toronto.
De plus en plus de Canadiens se font escroquer par le biais de la fraude à l’investissement dans les cryptomonnaies, selon le Centre antifraude du Canada. (Photo d’archives)
Photo : Getty Images / Chinnapong
Publié à 5 h 33 HNE
De plus en plus de Canadiens se font escroquer par le biais de la fraude à l’investissement dans les cryptomonnaies, selon le Centre antifraude du Canada. Certains se font même frauder sur les réseaux sociaux.
Stephen Carr, un Ontarien de Meaford, a lui-même perdu presque la majorité de son épargne-retraite, soit près d’un demi-million de dollars, l’année dernière. Il raconte avoir été victime d’une publicité d’investissement dans les cryptomonnaies sur YouTube.
Le tout s’est fait sur une plateforme appelée Atomic Traders, à l’aide de conseils d’un de ses courtiers.
Après avoir investi une première somme de 250 $, en près de quatre jours, l’investissement de Stephen Carr avait presque doublé en valeur.
Après s’être fait voler presque 500 000 $, l’Ontarien Stephen Carr s’est promis de ne plus jamais investir en ligne.
Photo : Soumis par Stephen Carr
Il a voulu retirer une petite somme pour vérifier la légitimité du processus. Pour cela, les fonds ont été échangés par Bitbuy, Netcoins, et ensuite transférés vers sa banque canadienne.
Ils vous invitent à investir plus d’argent lorsque vous commencez à faire des profits à un taux assez élevé.
Une citation de Stephen Carr, victime de fraude
Il a éventuellement investi environ 498 000 $. Son investissement a fructifié pour atteindre près de 2 millions de dollars. Quand est venu le temps de retirer ses fonds, les choses se sont compliquées, dit-il.
Afin de pouvoir retirer de plus grosses sommes de ses investissements, le courtier d’Atomic Traders a affirmé qu’il fallait établir un portefeuille de chaîne de blocs sur la plateforme Binance.
Après avoir fait le transfert, M. Carr a reçu un document d’apparence très officielle de Binance indiquant qu’en raison de la Federal Anti-Corruption Law of the United States of America and Canada, il fallait qu’il fournisse un dépôt de garantie d’environ 150 000 $.
C’est à ce moment-là que j’ai soupçonné une anomalie. Je réalise maintenant que toute cette opération est une escroquerie. La plateforme de négociation très élaborée et convaincante n’est qu’une simulation, et cette société se fait passer illégalement pour des organisations légitimes.
Une citation de Stephen Carr, victime de fraude
Depuis, il a envoyé plusieurs lettres au courtier pour demander la fermeture de son compte et la restitution de son argent sans recevoir de réponse.
Stephen Carr a contacté la police de Toronto et la division antifraude de la Gendarmerie royale du Canada (GRC), mais les deux agences ont confirmé que la probabilité de récupérer ses fonds est presque inexistante.
Il a vécu de nombreuses crises de panique après avoir été escroqué et a eu des pensées suicidaires. Il envisage maintenant de vendre sa maison.
Le Canada vit une épidémie des fraudes à l’investissement dans les cryptomonnaies, selon l’avocat David Milosevic.
Photo : Soumis par David Milosevic
Stephen Carr est loin d’être la seule victime des fraudes associées à la cryptomonnaie.
Depuis le début du mois de mai de cette année, 245 fraudes impliquant des cryptomonnaies ont été signalées, selon le bureau central des fraudes de la police de Toronto. Elles ont entraîné des pertes d’un peu plus de 21 millions de dollars.
Un des détectives, David Coffey, affirme que ces escroqueries utilisent généralement les médias sociaux pour attirer les victimes de fraudes à l’investissement, à l’amour et à l’emploi.
Mais les fraudes à l’investissement entraînent les plus grosses pertes, selon le Centre antifraude du Canada : plus de 300 millions de dollars en 2022.
David Milosevic est un avocat en droit commercial à la firme Milosevic & Associates (Nouvelle fenêtre). Cette année, son bureau a reçu entre 40 à 60 demandes par semaine de clients qui ont été escroqués.
C’est une véritable épidémie de fraudes par les cryptomonnaies.
Une citation de David Milosevic, avocat et expert des fraudes commerciales
Selon Me Milosevic, la situation de Stephen Carr est un cas type de fraude à l’investissement dans les cryptomonnaies.
Les clients commencent à investir des sommes d’argent et les fraudeurs affichent des résultats de gains qui sont faux sur leurs sites. Les clients se mettent ainsi à investir encore plus. Aussitôt, que les fraudeurs prennent les fonds investis, l’argent disparaît, explique Me Milosevic.
Même si certains fraudeurs remboursent, à l’occasion, leurs clients des sommes à cinq ou six chiffres, ce n’est que pour les encourager à investir davantage.
Les méthodes des fraudeurs sont très sophistiquées, mais le résultat à long terme est toujours une perte massive et les clients finissent tous par être des victimes.
Une citation de David Milosevic, avocat et expert des fraudes commerciales
La fraude à l’investissement dans les cryptomonnaies est le problème principal que les gens signalent au sujet des plateformes de cryptomonnaies, selon Sarah Bradley, ombudsman des services bancaires et d’investissement.
Photo : Soumis par Sarah Bradley
Sarah Bradley est l’ombudsman des services bancaires et d’investissement (Nouvelle fenêtre), qui intervient souvent lorsque des plaintes de fraude de cryptomonnaies concernent des entreprises légitimes de cryptomonnaies.
En 2022, environ 11 % des plaintes au sujet d’investissements touchaient des plateformes de cryptomonnaies. En 2023, ce pourcentage a atteint à 15 %, selon elle. De ces cas, environ 90 % concernaient des fraudes.
La fraude à l’investissement dans les cryptomonnaies est donc le problème principal que les gens signalent au sujet des plateformes de cryptomonnaies malheureusement, dit Sarah Bradley.
Même si le fait d’inciter quelqu’un à investir ou à fournir des fonds sur la base d’une fausse déclaration est illégal, la capacité des avocats à démasquer les criminels demeure limitée, selon David Milosevic. Seuls les fraudeurs moins expérimentés sont souvent pénalisés.
Si les fonds se trouvent dans des banques canadiennes ou américaines, nous pouvons faire geler ces comptes et récupérer l’information pour déterminer qui les gère et éventuellement récupérer les fonds, explique-t-il, en ajoutant que les fonds peuvent également être récupérés si les fraudeurs les dépensent dans l’immobilier.
Cependant, la majorité des fraudeurs envoient l’argent dans des banques internationales, le plus souvent à Hong Kong ou en Malaisie.
À part dans ces circonstances particulières où l’argent passe par une banque canadienne ou américaine, nous ne pouvons pas faire grand-chose pour récupérer les fonds.
Une citation de David Milosevic, avocat et expert des fraudes commerciales
Même si dans certains cas, les avocats peuvent récupérer les fonds des clients, les coûts associés à ce processus peuvent être prohibitifs pour certains. C’est pour cela que David Milosevic mise plutôt sur des conseils préventifs.
Si quelqu’un te contacte sur les réseaux sociaux et te promet des sommes mirobolantes, ne réponds pas. C’est illogique que quelqu’un approche des étrangers, par hasard, avec quelque chose d’aussi lucratif.
Une citation de David Milosevic, avocat et expert des fraudes commerciales
Même son de cloche de Stephen Carr.
On nous a fait croire qu’Internet offre une plateforme sécurisée. Ce n’est pas le cas. Il y a beaucoup de fraudes. Ne faites rien sur Internet. Allez voir de vraies personnes, découvrez où elles travaillent et allez leur serrer la main, conseille-t-il.
Est-ce le début de la fin des mots de passe ?.PHOTO : getty images/istockphoto / lukbar
Publié le 25 janvier 2024
En a-t-on fini avec les mots de passe dont on a de la difficulté à se souvenir? Adieu, les combinaisons risquées comme 1234abcd? Il semble bien que la technologie évolue en ce sens, constate Fabien Loszach. « C’est une technologie qui est vieille, qui est dépassée en matière de sécurité », explique-t-il.
Fabien Loszach parle des types d’identification qu’on trouve en ligne, dont le mot de passe, une technologie qui a été inventée en 1961.
« Le plus gros problème [du mot de passe], c’est le facteur humain. C’est notre capacité à créer des bons mots de passe et à s’en souvenir. »
— Une citation de Fabien Loszach
Le chroniqueur souligne les nombreuses failles sécuritaires qui viennent avec le mot de passe, notamment l’utilisation de la même combinaison sur plusieurs plateformes numériques différentes.
Il nous en apprend plus sur une solution de rechange au mot de passe – la biométrie – et comment elle serait plus à l’épreuve de la cybercriminalité.
PHOTO JOSIE DESMARAIS, LA PRESSE
Des messages textes frauduleux circulent pour exiger de Québécois le règlement de « frais impayée » (sic) après l’utilisation du pont à péage de l’A25.
Une vague de messages textes malveillants qui déferle sur le Québec est liée à une infrastructure russe responsable de nombreuses attaques et opérations d’hameçonnage partout dans le monde dans les dernières semaines, a constaté La Presse.
Publié à 0h52 Mis à jour à 5h00
Charles-Éric Blais-Poulin Équipe d’enquête, La Presse
Dans les derniers jours, de nombreux Québécois ont reçu des textos sur leur téléphone cellulaire exigeant le paiement d’une contravention pour excès de vitesse.
« Un radar a détecté que votre véhicule circulait à 56 km/h dans une zone scolaire limitée à 30 km/h », indiquent les messages en provenance de différents numéros de téléphone bidon. « Veuillez régler cette infraction avant le 4 février 2024 afin d’éviter des frais de retard excessifs. »
Les liens sur lesquels on est invité à cliquer conduisent à des pages qui reprennent en tous points l’environnement graphique du site web du ministère de la Justice du Québec. Des coordonnées personnelles et des informations bancaires y sont demandées ; celles-ci pourront ensuite être vendues dans le web clandestin (dark web) ou utilisées pour réaliser des transactions courantes.
Cette technique d’hameçonnage (phishing) par texto (smishing) a le vent dans les voiles, notamment en raison de la facilité avec laquelle les fraudeurs de partout dans le monde peuvent opérer sans être inquiétés par les autorités.
« Il n’y a pas nécessairement plus de tentatives, mais elles sont plus ciblées », explique Fyscillia Ream, coordonnatrice scientifique à la Chaire de recherche en prévention de la cybercriminalité. Et les fraudeurs, note-t-elle, sont plus réactifs à l’actualité. Elle cite par exemple l’envoi massif de textos frauduleux après une panne d’Hydro-Québec causée par une tempête de verglas en avril dernier.
Vendredi dernier, le ministère de la Justice a tenu à rappeler par communiqué qu’il ne joignait jamais le public par texto. Il « demande aux citoyennes et citoyens qui reçoivent un tel message de n’ouvrir aucune pièce jointe, de ne cliquer sur aucun hyperlien, de ne transmettre aucune information personnelle et de supprimer le message ».
Depuis le mois de décembre, des messages circulent en outre pour exiger de Québécois le règlement d’un « frais impayée » (sic) après l’utilisation du pont Olivier-Charbonneau (pont à péage de l’A25).
Là encore, la plateforme du gestionnaire est reproduite à l’identique. « C’est à s’y méprendre », lance Sylvie Godin, porte-parole de Transurban, entreprise australienne qui gère l’autoroute et le pont par l’entremise de la société Concession A25. « Les imitations de logos et de sites web, c’est ce qui est bouleversant. »
Exemples de sites internet frauduleux
1/4
Mme Godin tient à préciser que la réception de textos malveillants par des usagers du lien routier n’est aucunement liée à une brèche informatique dans les systèmes de Transurban. Elle explique aussi que l’entreprise ne communique pas au moyen de la messagerie texte.
Les URL incluses dans les textos récents faussement attribués à Concession A25 ou au ministère de la Justice ont en commun une même adresse IP hébergée par l’entreprise Prospero, située en Russie. Des centaines de sites frauduleux en émanent, imitant notamment l’identité de services comme Netflix, Amazon et Spotify.
L’infrastructure en cause : le système autonome russe AS200593, au cœur de cybermenaces contre des organisations mondiales. « Un système autonome est comme un grand quartier sur l’internet avec ses propres règles et méthodes de gestion du trafic », explique Adam Lopez, expert de la firme américaine de sécurité informatique HYAS.
L’entreprise de San Francisco a neutralisé au moins une fraude au faux technicien – le fraudeur se faisait passer pour un employé afin d’installer un logiciel malveillant dans les appareils de « collègues » d’une banque mondiale – exploitant l’infrastructure AS200593.
Des fraudeurs ont récemment inscrit dans ce « quartier » russe une multitude de noms de domaine pour piéger les Québécois.
« Ils sont enregistrés en grand nombre car leur utilisation est généralement de courte durée », précise David Brundson, ingénieur en sécurité et « pirate éthique » chez HYAS.
Sites frauduleux partageant l’infrastructure AS200593*
Selon le site d’analyse web urlscan.io
Des pirates russes connaissent-ils donc le pont Olivier-Charbonneau, entre Montréal et Laval ?
« Les fraudeurs peuvent utiliser des serveurs mandataires inverses [reverse proxys] et des services VPN pour masquer leur véritable emplacement, en donnant l’impression qu’ils se trouvent en Russie alors qu’ils pourraient opérer à partir de n’importe quel endroit dans le monde », explique M. Lopez.
L’entreprise russe Prospero, derrière le système autonome AS200593, « semble être un service pare-balles [bulletproof hosting, type d’hébergement web qui échappe aux autorités], un facteur clé pour permettre la fraude », ajoute M. Brundson. « Toute société d’hébergement digne de confiance a intérêt à éliminer les sites malveillants de sa plateforme, sous peine de voir sa responsabilité engagée. »
Le système AS200593 héberge aussi des simulacres de sites d’organisations canadiennes comme Postes Canada, l’autoroute à péage 407 ETR à Toronto ou la Ville de Vancouver.
CAPTURE D’ÉCRAN LA PRESSE
Avertissement de Google signalant un site frauduleux
Selon l’équipe de cybersécurité de Google, le Threat Analysis Group (TAG), les tentatives d’hameçonnage en provenance de la Russie contre des citoyens de pays membres de l’OTAN ont triplé de 2020 à 2022, année marquée par l’invasion de l’Ukraine.
Le climat politique est un facteur important. De nombreuses campagnes de fraude importantes proviennent d’endroits où les forces de l’ordre locales ne tiennent pas compte des plaintes émanant d’autres pays.
David Brundson, ingénieur en sécurité et « pirate éthique » chez HYAS
Dans son essai This Is How They Tell Me the World Ends : The Cyberweapons Arms Race, la journaliste américaine Nicole Perlroth souligne que Vladimir Poutine a instauré seulement deux règles en matière de piratage : « ne pas mener d’attaque au sein de la mère patrie » et « répondre aux demandes du Kremlin ».
Mener des opérations de phishing anonyme comme celles qui ont cours actuellement au Québec est un jeu d’enfant partout dans le monde. Nul besoin d’avoir des connaissances informatiques ou des équipements avancés.
Sur la plateforme de messagerie Telegram, créée en Russie et établie à Dubaï, de nombreux usagers offrent des ensembles d’hameçonnage clés en main. Vantant ses trois années d’expérience, un codeur propose pour un seul prix la conception de la page d’accueil, l’hébergement web, l’inscription du nom de domaine ainsi que des instructions de démarrage.
Des trousses « prêtes à l’emploi » vendues de 40 à 150 $ montrent des interfaces factices du réseau social Snapchat, du géant des télécommunications T-Mobile, du service de livraison UPS ou encore de l’entreprise de lutte WWE.
1/2
Selon les forfaits, le pirate promet aux fraudeurs de collecter auprès des usagers des informations telles que leur prénom, leur nom de famille, leur adresse postale, leur numéro de téléphone ainsi que toutes les données de leur carte de crédit : numéro, cryptogramme et date d’expiration.
Contacté sur Telegram par La Presse, cet usager a assuré pouvoir nous fournir une réplique du portail du site de paiement du ministère de la Justice du Québec et tous les outils pour mener à bien notre opération d’hameçonnage. Coût ? « Allons-y pour 150 $. »
En prime, notre interlocuteur mentionne qu’il peut nous transmettre 45 000 numéros de téléphone issus d’une brèche de sécurité « récente » au Québec.
Est-ce que notre opération sera 100 % anonyme ? demandons-nous. « Oui », nous assure-t-on. « Nos VPS [serveurs privés virtuels] sont situés à Kyiv, en Ukraine. Ils ignorent aussi le DMAC [Digital Millennium Copyright Act, loi américaine qui permet la suppression de contenus]. Nous commandons [les serveurs] avec de fausses informations au moyen de cryptomonnaies. »
CAPTURE D’ÉCRAN LA PRESSE
Extrait de la conversation Telegram entre un usager offrant des trousses d’hameçonnage et La Presse
La Presse n’a pas conclu de transaction, contrairement à des centaines d’utilisateurs de Telegram qui sont abonnés à de tels services.
Qu’elles proviennent de l’Ukraine, de la Russie ou d’autres terreaux de la cybercriminalité, les tentatives d’hameçonnage n’ont pas fini de polluer les boîtes de messagerie des Québécois, croit Fyscillia Ream.
« Si c’est important, on trouvera un moyen de vous joindre autrement, dit-elle. Il vaut mieux ne jamais cliquer sur le lien d’un texto et contacter directement l’entreprise ou l’institution avant de faire un paiement. »
PHOTO HANDOUT, VIA REUTERS
« Après avoir infiltré le réseau du groupe, la NCA (agence de lutte contre la criminalité britannique, NDLR) a pris le contrôle des services de LockBit, compromettant la totalité de leur entreprise criminelle ».
(Londres) Le groupe de cybercriminels LockBit, présenté comme « le plus nuisible » au monde, a été démantelé lors d’une opération de police internationale, ont annoncé mardi les autorités de plusieurs pays.
Publié à 7h47
Agence France-Presse
« Après avoir infiltré le réseau du groupe, la NCA (agence de lutte contre la criminalité britannique, NDLR) a pris le contrôle des services de LockBit, compromettant la totalité de leur entreprise criminelle », a déclaré la NCA dans un communiqué. Selon elle, le rançongiciel a ciblé « des milliers de victimes à travers le monde » et causé des pertes qui au total se chiffrent en milliards d’euros.
« Nous avons piraté les pirates », s’est félicité Graeme Biggar, directeur général de la NCA, annonçant la mise hors d’état de nuire de LockBit lors d’une conférence de presse à Londres.
LockBit a perçu plus de 120 millions de dollars de rançons au total, selon les États-Unis.
LockBit est présenté comme un logiciel malveillant parmi les plus actifs au monde, avec plus de 2500 victimes, dont plus de 200 en France, y compris « des hôpitaux, des mairies, et des sociétés de toutes tailles », a indiqué dans un communiqué le parquet de Paris.
« Ce site est à présent sous contrôle des forces de l’ordre », indiquait un message sur un site de LockBit, précisant que la NCA britannique a pris la main sur le site, en coopération avec le FBI américain et les agences de plusieurs pays.
« Nous pouvons confirmer que les services de LockBit sont perturbés en raison d’une opération de police internationale, il s’agit d’une opération en cours », ajoute le message.
En novembre 2022, le ministère américain de la Justice (DoJ) avait qualifié le rançongiciel LockBit de « plus actif et plus destructeur des variants dans le monde ».
LockBit a ciblé les infrastructures critiques et les grands groupes industriels, avec des demandes de rançon allant de 5 à 70 millions d’euros. En 2023, le groupe a notamment attaqué l’opérateur postal britannique et un hôpital canadien pour enfants.
Selon un site des autorités américaines faisant référence mi-juin à des données de la police fédérale (FBI), le groupe a mené plus de 1700 attaques contre des victimes aux États-Unis et dans le monde (Australie, Canada, Nouvelle-Zélande notamment).
PHOTO DAVID BOILY, ARCHIVES LA PRESSE
Les bureaux de l’Agence de revenu du Canada à Montréal, boulevard René-Levesque.
Vous recevez un texto d’un numéro inconnu contenant votre nom et votre numéro d’assurance sociale ? Surtout, ne répondez pas. Le Centre antifraude du Canada alerte lundi sur ces messages frauduleux élaborés où les arnaqueurs se font passer pour l’Agence du revenu du Canada.
Publié à 16h14
« Le Centre antifraude du Canada (CAFC) reçoit des rapports de messages textes prétendant provenir de l’Agence du revenu du Canada, utilisant le nom complet et le NAS de la victime, et demandant un paiement », a prévenu lundi sur X le CAFC.
L’agence a joint une capture d’écran d’un texto frauduleux (en anglais seulement).
PHOTO TIRÉE DU COMPTE X DU CENTRE ANTIFRAUDE DU CANADA
L’agence a joint une capture d’écran d’un texto frauduleux (en anglais seulement).
Sur son site internet, l’Agence du revenu du Canada (ARC) rappelle ne jamais utiliser de messages instantanés « pour discuter de vos impôts, de vos remboursements ou de Mon dossier ». L’Agence ne demandera jamais non plus par courriel ou texto de fournir des renseignements personnels ou bancaires.
Plusieurs arnaqueurs se faisant passer pour l’ARC tentent d’hameçonner des citoyens, prévient aussi l’agence. Certaines arnaques en cours concernent la Remise canadienne sur le carbone, les prestations canadiennes en cas de catastrophe, les remboursements au sujet de l’épicerie et les crédits pour la TPS/TVH.
L’Agence indique aussi que certains messages envoyés par les arnaqueurs peuvent contenir des renseignements personnels « comme un nom, une date de naissance ou un numéro d’assurance sociale ».
Consultez Le site de l’Agence du revenu du Canada
Si vous croyez avoir été victime d’une arnaque ou que vous avez fourni des renseignements personnels, contactez votre service de police local.
Selon le site internet de l’Agence, vous pouvez aussi contacter l’ARC si vous constatez les irrégularités suivantes :
The Supreme Court has rendered a 4-5 judgement today that there is an expectation of privacy for IP addresses, under the Charter of Rights and Freedoms.
