Cybersécurité

Discussion sur la cybersécurité.


The Communications Security Establishment published this Christmas carol video on YouTube.
I just have to share it, because it’s fun and good advice.

Le centre de la sécurité des télécommunications a publié cette vidéo de chansons de Noël sur YouTube.
Je ne peux pas m’empêcher de la partager, parce que c’est drôle tout en étant de bons conseils.

Les clés d’accès annoncent la mort du mot de passe

PHOTO BRENDON THORNE, ARCHIVES BLOOMBERG

Les clés d’accès sont notamment une défense contre les attaques d’hameçonnage, où les gens sont dupés en donnant leurs mots de passe aux pirates qui leur envoient des courriels ou des textos avec des pages de connexion se faisant passer pour des entreprises légitimes.

(Toronto) Anna Pobletts a passé les dernières années à se donner pour mission de faire des mots de passe une chose du passé, mais les clés d’accès — la technologie qui pourrait les remplacer — n’ont jamais vraiment été sur le point d’être largement adoptées par les consommateurs avant cette année.

Publié hier à 19h07

Partager

Tara Deschamps La Presse Canadienne

« Nous voyons de très grands sites comme eBay, Best Buy et Google, qui a annoncé au début mai qu’il prendrait en charge les clés d’accès sur les comptes Gmail », a expliqué Mme Pobletts, responsable du « sans mot de passe » chez 1Password, une société de gestion de mots de passe de Toronto.

« C’est vraiment un point de bascule, lorsque tout d’un coup, un milliard d’utilisateurs peuvent ajouter des clés d’accès (à leur compte Gmail), s’ils le souhaitent. »

La décision de Gmail faisait suite à celles d’Apple, Shopify, Microsoft, DocuSign et PayPal, qui prenaient déjà en charge les clés d’accès – un identifiant numérique qui s’appuie sur une cryptographie qui peut déverrouiller des comptes simplement en « lisant » un visage ou une empreinte digitale sur un téléphone.

Les spécialistes croient que les clés d’accès sont plus sûres que les mots de passe puisqu’elles ne comprennent pas de chaîne de caractères, de chiffres et de symboles à mémoriser, ce qui les rend plus difficiles à pirater. Elles n’ont pas besoin d’être changées et ne peuvent pas être volées par quelqu’un qui les devine ou qui jette un coup d’œil par-dessus l’épaule d’un utilisateur. En outre, il n’y a aucun moyen d’en utiliser une de façon accidentelle ou sur un mauvais site web.

« Les clés d’accès sont si excitantes parce qu’elles sont […] en fait plus efficaces et plus sûres », a fait valoir Claudette McGowan.

Après 19 ans à la Banque de Montréal et près de trois ans à la Banque TD, Mme McGowan a récemment fondé Protexxa, une plateforme établie à Toronto qui tire parti de l’intelligence artificielle pour identifier et résoudre rapidement les problèmes de cybersécurité des employés.

Au cours de ses années passées dans le secteur bancaire, les mots de passe étaient la principale vulnérabilité.

« Quand les choses déraillaient, ce n’était jamais parce que le cryptage ne fonctionnait pas ou que les pare-feu ne fonctionnaient pas, a observé Mme McGowan. Il y avait toujours un humain au centre du problème. »

Les clés d’accès, cependant, sont une défense contre les attaques d’hameçonnage, où les gens sont dupés en donnant leurs mots de passe aux pirates qui leur envoient des courriels ou des textos avec des pages de connexion se faisant passer pour des entreprises légitimes.

Solution à l’hameçonnage

Les 2000 répondants à une enquête en ligne menée pour 1Password en janvier ont indiqué avoir reçu un message d’hameçonnage au cours de l’année écoulée, ou connaître quelqu’un qui en avait reçu un.

Les clés d’accès rendent les attaques d’hameçonnage obsolètes en grande partie à cause de leur structure. Les clés d’accès, selon 1Password, comportent deux parties mathématiquement liées : une clé publique partagée sur un site web ou une application avec laquelle on détient un compte, et une clé privée qui reste toujours sur le téléphone.

Lorsqu’on se connecte à compte, le site web ou le serveur de l’application envoie une « devinette » brouillée qui ne peut être résolue que par la clé privée, qui est ensuite autorisée à être résolue par la biométrie d’un utilisateur. Une fois la devinette résolue, le service connaît la correspondance entre les clés publique et privée et connecte l’utilisateur.

Il est impossible de faire de l’ingénierie inverse sur une des deux clés à partir de l’autre. Sans accès physique aux appareils et sans moyen de les déverrouiller, comme à l’aide d’une empreinte digitale ou d’un visage, personne ne peut se connecter aux comptes protégés par un mot de passe.

Alors pourquoi le monde ne s’est-il pas rué plus tôt sur les clés d’accès ?

« Les mots de passe sont une technologie vieille de 60 ans », a expliqué Andrew Shikiar, directeur général et directeur marketing de Fast IDentity Online (FIDO) Alliance.

« Il est difficile de les remplacer, car ils sont vraiment ancrés dans tout ce que nous faisons et ils ont l’avantage d’être omniprésents. Vous pouvez entrer un mot de passe n’importe où et vous savez comment le faire. »

Les mots de passe sont devenus la norme en partie à cause de feu Fernando Corbató, informaticien au Massachusetts Institute of Technology (MIT).

Dans les années 1960, des chercheurs du MIT comme M. Corbató utilisaient un système accomplissant du temps partagé compatible (CTSS), où les utilisateurs de différents endroits pouvaient accéder simultanément à un seul système informatique par l’entremise des lignes téléphoniques.

Le modèle n’offrait pas beaucoup de confidentialité pour les fichiers, alors M. Corbató a développé le mot de passe, qui a finalement été adopté par à peu près toutes les entreprises cherchant à protéger l’accès à leurs fichiers et leurs systèmes.

Mais l’alliance FIDO, un groupe mondial visant à réduire les violations de données, aimerait perturber cette dépendance aux mots de passe.

« La grande majorité des violations de données sont causées par des mots de passe, donc, vraiment, en résolvant le problème de mot de passe, on résout le problème de violation de données », a fait valoir M. Shikiar.

Et l’alliance FIDO a beaucoup d’alliés dans son combat.

Ses membres incluent 1Password, Google, Apple, eBay, Amazon, Twitter, le propriétaire de Facebook Meta et PayPal, American Express, Sony et TikTok. 1Password commencera à prendre en charge les clés d’accès le 6 juin et permettra aux utilisateurs de déverrouiller leur compte 1Password avec une clé d’accès en juillet.

Certains se sont joints à eux parce qu’ils voient des gens abandonner leurs paniers d’achats en ligne lorsqu’ils ne se souviennent pas de leurs mots de passe, tandis que d’autres veulent simplement rendre leurs produits plus sûrs ou rendre leur utilisation plus facile pour les clients.

Mais adapter les sites web, les applications, les serveurs et plus encore pour accepter les clés d’accès « peut être délicat », a souligné Mme Pobletts.

« C’est manifestement plus complexe que les mots de passe, en partie parce que c’est nouveau. »

Période d’éducation et d’adaptation

L’alliance FIDO a créé des normes pour aider les entreprises à faire le pas et M. Shikiar est convaincu que les noms connus qui se tournent vers la technologie inciteront les autres à adopter les clés d’accès.

Mais pour que la technologie soit vraiment un succès, le public aura besoin d’éducation, ont estimé M. Shikiar et Mme Pobletts.

L’enquête de 1Password a révélé que seulement un quart des personnes interrogées avaient entendu parler de la technologie sans mot de passe et que 42 % n’utilisent pas encore de connexion biométrique.

Certains ont des idées fausses sur le fonctionnement de l’une ou l’autre technologie, a précisé Mme Pobletts.

« Parfois, les gens ne réalisent pas que les données biométriques ne sont pas envoyées sur les sites web. Elles ne sont pas stockées par Apple et personne ne conserve vraiment les données d’empreintes digitales ou l’analyse de la rétine », a-t-elle expliqué.

« Mais une fois que les gens savent et comprennent que les données biométriques sont sûres […], ils sont vraiment à l’aise avec ça. »

M. Shikiar s’attend également à ce que les gens s’adaptent aux clés d’accès, car elles ne seront pas mises en œuvre toutes en même temps.

De nombreuses entreprises encourageront les clients à les essayer tout en conservant un mot de passe, sur lequel elles se fieront de moins en moins au fil du temps, avant que cette technologie ne soit complètement abandonnée.

« Il y a une heureuse inévitabilité à ce sujet », a-t-il affirmé, ajoutant qu’il pense que dans les trois prochaines années, la plupart des services offriront un support de clés d’accès.

« Personne ne supplie “oh, mon Dieu, donnez-moi plus de mots de passe”, que ce soit un consommateur ou une entreprise. Tout le monde est prêt à s’en défaire. »

Techno

Les voitures classées « pires produits » en matière de confidentialité Permis d’espionner

PHOTO FOURNIE PAR GENERAL MOTORS

Le système OnStar à bord de véhicules GM a été identifié par la Fondation Mozilla comme une des façons les plus gourmandes d’accumuler des données personnelles.

Nissan et Kia qui collectent les informations sur votre « activité sexuelle ». GM qui transmet sans frein vos données de localisation aux policiers. Hyundai qui vend vos données à d’autres entreprises. Tout cela avec votre consentement, enfoui dans des politiques de confidentialité de plusieurs dizaines de pages et qu’on ne peut pratiquement pas refuser.

Publié à 1h22 Mis à jour à 5h00

Partager


Karim Benessaieh
Karim Benessaieh La Presse

Ce sont quelques-uns des exemples tirés d’une étude fouillée publiée récemment de la Fondation Mozilla, un organisme à but non lucratif établi en Californie. Des 25 marques analysées pendant 600 heures, aucune n’a passé le test de la protection des renseignements personnels. Même les consommateurs européens, un peu mieux protégés grâce au Règlement général sur la protection des données, sont victimes de cette boulimie de données personnelles. Seulement trois constructeurs ont répondu, de façon incomplète, aux demandes de clarification.

« Les voitures modernes sont un cauchemar au chapitre de la confidentialité », résument les trois auteurs de la Fondation Mozilla, Jen Caltrider, Misha Rykov et Zoë MacDonald.

La pire catégorie

Depuis 2017, Mozilla a analysé plus de 300 produits technologiques « intelligents » de consommation courante, des écouteurs Sony à la Nintendo Switch en passant par les balances, les liseuses, les sonnettes et les haut-parleurs intelligents.

Les voitures sont « la pire catégorie officielle de produits en matière de confidentialité que nous ayons jamais examinée », affirment les auteurs de l’OBNL.

Voici les trois conclusions marquantes de ce rapport :

  • toutes collectent trop de données personnelles ;
  • la plupart (84 %) partagent ou vendent vos données ;
  • la plupart (92 %) donnent aux conducteurs peu ou pas de contrôle sur leurs données personnelles.

Avec un certain humour, le rapport classe les 25 marques vendues par 14 constructeurs « du plus flippant au moins flippant ». Les trois manufacturiers qui dominent ce triste podium : Nissan, GM (Buick, Chevrolet) et Kia (voir capsules ci-contre). Ils ne sont pas les seuls à recevoir ces reproches, rappelons-le, puisque tous les constructeurs ont échoué à l’examen.

Sans se prononcer sur l’étude de Mozilla, qu’il n’a pas analysée, Habib Louafi rappelle que la voiture « est devenue une extension sur le cyberespace » de la personne, au même titre que le téléphone.

On a de plus en plus des voitures très connectées. Et si on va vers la voiture autonome ou dans des systèmes d’aide à la conduite, la voiture a besoin de récolter de plus en plus d’informations sur le client. Ces informations sont nécessaires si on veut offrir ces services.

Habib Louafi, expert en cybersécurité et vie privée

Intervention gouvernementale

Cet expert en cybersécurité et vie privée, professeur adjoint au département de science et technologie de l’Université TÉLUQ, note qu’il s’agit d’un « problème très ancien », avec lequel des géants comme Amazon, Facebook et Google ont dû jongler depuis leur fondation. « Les compagnies ont besoin d’informations pour des services personnalisés. […] Si la voiture se met en mode écoute, elle doit tout écouter, puis filtrer ce dont elle a besoin. »

Il convient que l’information et le consentement de l’usager sont au cœur du problème et qu’il est très difficile de contrôler l’utilisation que les entreprises font des données récoltées. « Les organismes gouvernementaux doivent vérifier ça avec des audits. »

Lui-même, comme citoyen, reconnaît qu’il est « difficile de garder le contrôle ». Il tente de limiter autant que possible les informations qu’il fournit dans le cyberespace. « Les clients doivent être vigilants. »

Les auteurs de la Fondation Mozilla ne sont pas naïfs, les consommateurs ont peu de choix considérant que tous les constructeurs ont de graves lacunes au chapitre de la protection de la vie privée. Le refus de fournir des informations peut mener à la désactivation de certaines fonctions. Leur piste de solution : mettre en ligne une pétition dénonçant le caractère « éhonté » de cette récolte d’informations et demandant aux entreprises « d’arrêter de collecter, de partager et de vendre nos informations privées ».

Lisez « *Confidentialité non incluse » sur l’industrie automobile (en anglais)

Les trois pires constructeurs, selon Mozilla

Nissan

PHOTO GONZALO FUENTES, ARCHIVES REUTERS

« La politique de confidentialité de Nissan est probablement la politique de confidentialité la plus ahurissante, effrayante, triste et tarabiscotée que nous ayons jamais lue », indique l’étude de la Fondation Mozilla.

« La politique de confidentialité de Nissan est probablement la politique de confidentialité la plus ahurissante, effrayante, triste et tarabiscotée que nous ayons jamais lue », indique-t-on. Nissan déclare notamment qu’elle peut collecter et partager les informations sur « votre activité sexuelle, vos données de diagnostic de santé, ainsi que vos informations génétiques et autres informations personnelles sensibles à des fins de marketing ciblé ». Précisons que si ce paragraphe ahurissant figure bel et bien dans les politiques de Nissan USA, nous n’avons pu le trouver dans les documents en ligne de Nissan Canada.

GM

PHOTO SEAN KILPATRICK, ARCHIVES LA PRESSE CANADIENNE

Pour ses modèles Buick et Chevrolet, General Motors mise beaucoup sur son application myChevrolet et les services connectés OnStar.

Pour ses modèles Buick et Chevrolet, General Motors mise beaucoup sur son application myChevrolet et les services connectés OnStar. On précise dans les politiques pouvoir collecter « nom, adresse, données de géolocalisation, les caractéristiques telles que l’âge, la race, la religion, les conditions médicales, les handicaps physiques ou mentaux, le sexe, l’identité de genre, la grossesse, les conditions médicales, l’orientation sexuelle, la génétique, caractéristiques physiologiques, comportementales et biologiques telles que les empreintes digitales ». Et GM a été épinglé par de nombreux médias pour sa grande ouverture à donner ces informations aux policiers aux États-Unis, notamment en matière d’immigration.

Kia

PHOTO NAM Y. HUH, ARCHIVES ASSOCIATED PRESS

Tout comme Nissan, Kia se donne le droit de récolter des données sur « vos informations génétiques » ou votre « vie sexuelle », ainsi que « vos croyances religieuses ou philosophiques ».

Tout comme Nissan, Kia se donne le droit de récolter des données sur « vos informations génétiques » ou votre « vie sexuelle », ainsi que « vos croyances religieuses ou philosophiques ». Le constructeur sud-coréen peut en outre partager et vendre ces données à tous les « affiliés », les « partenaires », les « prestataires de services », les « publicités et réseaux sociaux », ainsi que les « fournisseurs d’analyse de données, d’amélioration des données et d’études de marché ». Ces tierces parties peuvent également fournir en retour de l’information à Kia.

1 Like

C’est quand même intéressant. On pousse beaucoup à réduire la possession automobile pour des impératifs environnementaux, urbains, de santé ou de sécurité publique… Mais maintenant on peut rajouter pour des raisons de vie privée.

Les constructeurs poussent pour des véhicules de plus en plus onéreux et luxueux (un contraste avec les dernières décennies), délaissant le segment des voitures “simples” abordables, et le prix est alimenté par ces systèmes invasifs qui semblent là plus pour vendre des informations privées aux partenaires que d’offrir une vraie bonification.

1 Like

On peu dire que les constructeurs automobiles agissent comme de véritables ogres qui en plus de vendre toujours plus cher des véhicules toujours plus sophistiqués, qui dépassent largement les besoins de la moyenne des conducteurs. Se permettent maintenant d’envahir leur vie privée en vendant des données acquisses par des systèmes électroniques non sollicités, à des partenaires tout aussi avides de d’intrusions et d’abus toujours plus invasifs de la personne.

Tout simplement scandaleux!

Fraudes bancaires Attention, clauses inconnues

PHOTO ANDRÉ PICHETTE, ARCHIVES LA PRESSE

Nicolas Vermeys, professeur et spécialiste en sécurité de l’information à la faculté de droit de l’Université de Montréal

Vous vous êtes connecté à votre compte bancaire avec un téléphone infecté par un virus. Le numéro d’identification personnel (NIP) de votre carte de débit est votre date de naissance. Vous avez répondu à un courriel qui vous demandait des renseignements personnels et avez ensuite été fraudé.

Publié à 7h00

Partager


Karim Benessaieh
Karim Benessaieh La Presse

Et votre tablette n’est pas protégée par un code de verrouillage.

Beaucoup de consommateurs et d’entreprises l’ignorent, mais ces quatre raisons, et des centaines d’autres consignées dans de longues pages de « conditions d’utilisation » consultées par La Presse, peuvent être invoquées par les institutions financières pour refuser un dédommagement si vous deviez être victime d’une fraude.

Et ce n’est pas que théorique : de nombreuses causes, des petites créances jusqu’en Cour supérieure, font état de « manquements » reprochés aux consommateurs qui se disaient victimes de fraude (voir autre onglet « Est-ce votre faute ? »). Il s’agit souvent d’accusations de négligence dans la conservation d’une carte de débit, du manque de protection du NIP et d’un comportement plus vaguement jugé « imprudent ».

Services en ligne et complexité

Le portrait n’est pas complet : on estime qu’une grande partie des litiges sont réglés hors tribunaux, notamment auprès d’un ombudsman. La jurisprudence, quant à elle, est nuancée : les tribunaux donnent raison parfois au consommateur, parfois à l’institution financière.

« Ça va dépendre évidemment du contexte et de la personne », résume Nicolas Vermeys, professeur et spécialiste en sécurité de l’information à la faculté de droit de l’Université de Montréal. En règle générale, le consommateur pourra être indemnisé s’il arrive à démontrer qu’il n’a pas été négligent. Il s’agit pour le consommateur de prouver qu’il est « une personne raisonnablement prudente et diligente ».

À l’inverse, l’institution financière relèvera des comportements qu’elle estime imprudents et qui contreviennent aux conditions d’utilisation de ses services.

« La jurisprudence est assez constante à ce chapitre depuis plusieurs années », note le professeur Nicolas Vermeys.

Pour la carte de débit, les exigences sont relativement simples. Mais les choses se sont compliquées depuis une vingtaine d’années avec les services bancaires en ligne, rappelle Alexandre Plourde, avocat et analyste à l’organisme Option consommateurs. « Ces contrats ont maintenant toutes sortes d’obligations contractuelles, qui peuvent être très larges en matière de sécurité pour le consommateur. »

PHOTO CATHERINE LEFEBVRE, ARCHIVES COLLABORATION SPÉCIALE

Alexandre Plourde, avocat et analyste à l’organisme Option consommateurs

Quelques exigences

M. Plourde a épluché quelques-uns de ces contrats et ne souhaite pas épingler une institution financière en particulier. « Sincèrement, c’est pas mal du même acabit d’une banque à l’autre. Il n’y a pas tellement de différence : ça peut être formulé de façon différente, mais ça revient essentiellement au même. »

Beaucoup d’exigences des institutions financières concernent la sécurité informatique. Voici quelques conditions d’utilisation répertoriées par La Presse. Rappelons que le défaut de respecter une de ces clauses peut être présenté comme une négligence.

Quelques conditions d’utilisation répertoriées

  • Ne pas prêter, donner ou vendre sa carte de débit, et protéger la confidentialité du NIP.
  • Récupérer sa carte et le reçu dès qu’un paiement est effectué.
  • Ne pas utiliser un ordinateur public, dans un cybercafé ou une bibliothèque.
  • Utiliser sa propre connexion sans fil, jamais un réseau sans fil public.
  • Supprimer toute information bancaire avant tout transfert ou mise au rebut d’un téléphone ou d’une carte SIM.
  • Passer régulièrement en revue les relevés de compte et signaler rapidement toute irrégularité.
  • Installer un logiciel antivirus efficace.

Selon le profil

Chez Desjardins, on apporte une nuance : il ne suffit pas d’enfreindre une seule règle pour être qualifié d’imprudent. « C’est du cas par cas, affirme Jean-Benoit Turcotti, porte-parole. On pourrait transposer dans le domaine de l’assurance : si tu laisses ta voiture, portières débarrées, et que tu as été volé, tu as été négligent. J’ai barré mes portières, ma clé sans contact était à l’intérieur de mon domicile et grâce à des outils technologiques, on a intercepté le code de déverrouillage de mon auto… Je n’aime pas le terme “indulgence”, mais il va y avoir une plus grande compréhension de la situation par nos équipes de fraude. »

PHOTO MARTIN CHAMBERLAND, LA PRESSE

Valérie Parente, conseillère principale en prévention de la fraude chez Desjardins

« On dit souvent que la plus grande menace pour notre propre sécurité, c’est probablement nous-même », renchérit Valérie Parente, conseillère principale en prévention de la fraude chez Desjardins. Elle donne en exemple deux profils d’utilisateur. Le premier « protège ses données, navigue prudemment sur le web, va s’assurer que toutes ses transactions sont légitimes, fait des recherches sur les entreprises ». Le second est « conquis par les réseaux sociaux, sur lesquels il va mettre photos et vidéos, va jouer à des jeux en ligne, va discuter avec plusieurs personnes de sa vie privée, sa famille, va donner des informations ».

« Quel est le profil qui est le plus susceptible finalement d’être la cible d’un fraudeur ? demande Mme Parente. Le second, évidemment. C’est un exemple poussé à l’extrême, mais le message de prévention est là. Il faut prendre les mesures nécessaires pour se protéger. »

Harmonisation demandée

Pour Simon Marchand, vice-président, produits et risques, à la firme de cybersécurité GeoComply, il est clair qu’on assiste depuis quelques années à un « déplacement de la responsabilité sur le consommateur ». « On dirait que, de plus en plus, les banques se déresponsabilisent. Elles vont se servir de toutes les petites excuses de leur politique, que malheureusement très peu de gens vont prendre la peine de lire, pour essayer de se dédouaner. »

PHOTO FOURNIE PAR GEOCOMPLY

Simon Marchand, vice-président, produits et risques, à la firme de cybersécurité GeoComply

Le consommateur est peu au courant de cette tendance, note-t-il, parce qu’il croit généralement que ses services bancaires bénéficient de la même protection qu’avec les cartes de crédit. Pour celles-ci, le montant maximal pour une utilisation qu’il n’a pas autorisée est de 50 $, et les institutions financières sont réputées pour leur grande compréhension à rembourser la victime.

Aucune limite du genre n’existe pour les cartes de débit et les services bancaires en ligne, une situation dénoncée de longue date par Option consommateurs.

« C’est ça, le problème, actuellement, affirme Alexandre Plourde. Ça fait des décennies qu’on demande d’harmoniser la protection des consommateurs en matière de paiement, qui s’appliquerait à tous les modes, que les services en ligne prévoient des règles uniformes, des protections aussi élevées que ce qu’on trouve pour les cartes de crédit. »

Les institutions financières ont peu d’intérêt à étendre les protections offertes pour l’utilisation des cartes de crédit, estime Nicolas Vermeys. « Elles remboursent assez facilement pour les cartes de crédit, évidemment, parce que le poids financier est sur le commerçant. Il est facile alors d’annuler une transaction. »

« C’est une épidémie » : plus de Canadiens sont victimes de fraude à l’investissement

Depuis le début du mois de mai de cette année, 245 fraudes impliquant des cryptomonnaies ont été signalées, selon le bureau central des fraudes de la police de Toronto.

Des pièces de cryptomonnaies sur un téléphone intelligent.

De plus en plus de Canadiens se font escroquer par le biais de la fraude à l’investissement dans les cryptomonnaies, selon le Centre antifraude du Canada. (Photo d’archives)

Photo : Getty Images / Chinnapong

Publié à 5 h 33 HNE

Écouter l’article | 7 minutes

De plus en plus de Canadiens se font escroquer par le biais de la fraude à l’investissement dans les cryptomonnaies, selon le Centre antifraude du Canada. Certains se font même frauder sur les réseaux sociaux.

Stephen Carr, un Ontarien de Meaford, a lui-même perdu presque la majorité de son épargne-retraite, soit près d’un demi-million de dollars, l’année dernière. Il raconte avoir été victime d’une publicité d’investissement dans les cryptomonnaies sur YouTube.

Le tout s’est fait sur une plateforme appelée Atomic Traders, à l’aide de conseils d’un de ses courtiers.

Après avoir investi une première somme de 250 $, en près de quatre jours, l’investissement de Stephen Carr avait presque doublé en valeur.

Stephen Carr

Après s’être fait voler presque 500 000 $, l’Ontarien Stephen Carr s’est promis de ne plus jamais investir en ligne.

Photo : Soumis par Stephen Carr

Il a voulu retirer une petite somme pour vérifier la légitimité du processus. Pour cela, les fonds ont été échangés par Bitbuy, Netcoins, et ensuite transférés vers sa banque canadienne.

Ils vous invitent à investir plus d’argent lorsque vous commencez à faire des profits à un taux assez élevé.

Une citation de Stephen Carr, victime de fraude

Il a éventuellement investi environ 498 000 $. Son investissement a fructifié pour atteindre près de 2 millions de dollars. Quand est venu le temps de retirer ses fonds, les choses se sont compliquées, dit-il.

Afin de pouvoir retirer de plus grosses sommes de ses investissements, le courtier d’Atomic Traders a affirmé qu’il fallait établir un portefeuille de chaîne de blocs sur la plateforme Binance.

Après avoir fait le transfert, M. Carr a reçu un document d’apparence très officielle de Binance indiquant qu’en raison de la Federal Anti-Corruption Law of the United States of America and Canada, il fallait qu’il fournisse un dépôt de garantie d’environ 150 000 $.

C’est à ce moment-là que j’ai soupçonné une anomalie. Je réalise maintenant que toute cette opération est une escroquerie. La plateforme de négociation très élaborée et convaincante n’est qu’une simulation, et cette société se fait passer illégalement pour des organisations légitimes.

Une citation de Stephen Carr, victime de fraude

Depuis, il a envoyé plusieurs lettres au courtier pour demander la fermeture de son compte et la restitution de son argent sans recevoir de réponse.

Stephen Carr a contacté la police de Toronto et la division antifraude de la Gendarmerie royale du Canada (GRC), mais les deux agences ont confirmé que la probabilité de récupérer ses fonds est presque inexistante.

Il a vécu de nombreuses crises de panique après avoir été escroqué et a eu des pensées suicidaires. Il envisage maintenant de vendre sa maison.

À lire aussi :

Une épidémie, selon plusieurs

David Milosevic

Le Canada vit une épidémie des fraudes à l’investissement dans les cryptomonnaies, selon l’avocat David Milosevic.

Photo : Soumis par David Milosevic

Stephen Carr est loin d’être la seule victime des fraudes associées à la cryptomonnaie.

Depuis le début du mois de mai de cette année, 245 fraudes impliquant des cryptomonnaies ont été signalées, selon le bureau central des fraudes de la police de Toronto. Elles ont entraîné des pertes d’un peu plus de 21 millions de dollars.

Un des détectives, David Coffey, affirme que ces escroqueries utilisent généralement les médias sociaux pour attirer les victimes de fraudes à l’investissement, à l’amour et à l’emploi.

Mais les fraudes à l’investissement entraînent les plus grosses pertes, selon le Centre antifraude du Canada : plus de 300 millions de dollars en 2022.

David Milosevic est un avocat en droit commercial à la firme Milosevic & Associates (Nouvelle fenêtre). Cette année, son bureau a reçu entre 40 à 60 demandes par semaine de clients qui ont été escroqués.

C’est une véritable épidémie de fraudes par les cryptomonnaies.

Une citation de David Milosevic, avocat et expert des fraudes commerciales

Selon Me Milosevic, la situation de Stephen Carr est un cas type de fraude à l’investissement dans les cryptomonnaies.

Les clients commencent à investir des sommes d’argent et les fraudeurs affichent des résultats de gains qui sont faux sur leurs sites. Les clients se mettent ainsi à investir encore plus. Aussitôt, que les fraudeurs prennent les fonds investis, l’argent disparaît, explique Me Milosevic.

Même si certains fraudeurs remboursent, à l’occasion, leurs clients des sommes à cinq ou six chiffres, ce n’est que pour les encourager à investir davantage.

Les méthodes des fraudeurs sont très sophistiquées, mais le résultat à long terme est toujours une perte massive et les clients finissent tous par être des victimes.

Une citation de David Milosevic, avocat et expert des fraudes commerciales

Sarah Bradley.

La fraude à l’investissement dans les cryptomonnaies est le problème principal que les gens signalent au sujet des plateformes de cryptomonnaies, selon Sarah Bradley, ombudsman des services bancaires et d’investissement.

Photo : Soumis par Sarah Bradley

Sarah Bradley est l’ombudsman des services bancaires et d’investissement (Nouvelle fenêtre), qui intervient souvent lorsque des plaintes de fraude de cryptomonnaies concernent des entreprises légitimes de cryptomonnaies.

En 2022, environ 11 % des plaintes au sujet d’investissements touchaient des plateformes de cryptomonnaies. En 2023, ce pourcentage a atteint à 15 %, selon elle. De ces cas, environ 90 % concernaient des fraudes.

La fraude à l’investissement dans les cryptomonnaies est donc le problème principal que les gens signalent au sujet des plateformes de cryptomonnaies malheureusement, dit Sarah Bradley.

Un remboursement peu probable

Même si le fait d’inciter quelqu’un à investir ou à fournir des fonds sur la base d’une fausse déclaration est illégal, la capacité des avocats à démasquer les criminels demeure limitée, selon David Milosevic. Seuls les fraudeurs moins expérimentés sont souvent pénalisés.

Si les fonds se trouvent dans des banques canadiennes ou américaines, nous pouvons faire geler ces comptes et récupérer l’information pour déterminer qui les gère et éventuellement récupérer les fonds, explique-t-il, en ajoutant que les fonds peuvent également être récupérés si les fraudeurs les dépensent dans l’immobilier.

Cependant, la majorité des fraudeurs envoient l’argent dans des banques internationales, le plus souvent à Hong Kong ou en Malaisie.

À part dans ces circonstances particulières où l’argent passe par une banque canadienne ou américaine, nous ne pouvons pas faire grand-chose pour récupérer les fonds.

Une citation de David Milosevic, avocat et expert des fraudes commerciales

Comment se protéger?

Même si dans certains cas, les avocats peuvent récupérer les fonds des clients, les coûts associés à ce processus peuvent être prohibitifs pour certains. C’est pour cela que David Milosevic mise plutôt sur des conseils préventifs.

Si quelqu’un te contacte sur les réseaux sociaux et te promet des sommes mirobolantes, ne réponds pas. C’est illogique que quelqu’un approche des étrangers, par hasard, avec quelque chose d’aussi lucratif.

Une citation de David Milosevic, avocat et expert des fraudes commerciales

Même son de cloche de Stephen Carr.

On nous a fait croire qu’Internet offre une plateforme sécurisée. Ce n’est pas le cas. Il y a beaucoup de fraudes. Ne faites rien sur Internet. Allez voir de vraies personnes, découvrez où elles travaillent et allez leur serrer la main, conseille-t-il.

Le mot de passe, une technologie bientôt désuète

Moteur de recherche
Moteur de recherche, ICI Première.

Est-ce le début de la fin des mots de passe ?.PHOTO : getty images/istockphoto / lukbar

Publié le 25 janvier 2024

En a-t-on fini avec les mots de passe dont on a de la difficulté à se souvenir? Adieu, les combinaisons risquées comme 1234abcd? Il semble bien que la technologie évolue en ce sens, constate Fabien Loszach. « C’est une technologie qui est vieille, qui est dépassée en matière de sécurité », explique-t-il.

Fabien Loszach parle des types d’identification qu’on trouve en ligne, dont le mot de passe, une technologie qui a été inventée en 1961.

« Le plus gros problème [du mot de passe], c’est le facteur humain. C’est notre capacité à créer des bons mots de passe et à s’en souvenir. »

— Une citation de Fabien Loszach

Le chroniqueur souligne les nombreuses failles sécuritaires qui viennent avec le mot de passe, notamment l’utilisation de la même combinaison sur plusieurs plateformes numériques différentes.

Il nous en apprend plus sur une solution de rechange au mot de passe – la biométrie – et comment elle serait plus à l’épreuve de la cybercriminalité.

En complément :

1 Like

Hameçonnage par texto L’A25 comme appât, un système russe comme allié

PHOTO JOSIE DESMARAIS, LA PRESSE

Des messages textes frauduleux circulent pour exiger de Québécois le règlement de « frais impayée » (sic) après l’utilisation du pont à péage de l’A25.

Une vague de messages textes malveillants qui déferle sur le Québec est liée à une infrastructure russe responsable de nombreuses attaques et opérations d’hameçonnage partout dans le monde dans les dernières semaines, a constaté La Presse.

Publié à 0h52 Mis à jour à 5h00

Partager


Charles-Éric Blais-Poulin
Charles-Éric Blais-Poulin Équipe d’enquête, La Presse

Dans les derniers jours, de nombreux Québécois ont reçu des textos sur leur téléphone cellulaire exigeant le paiement d’une contravention pour excès de vitesse.

« Un radar a détecté que votre véhicule circulait à 56 km/h dans une zone scolaire limitée à 30 km/h », indiquent les messages en provenance de différents numéros de téléphone bidon. « Veuillez régler cette infraction avant le 4 février 2024 afin d’éviter des frais de retard excessifs. »

Les liens sur lesquels on est invité à cliquer conduisent à des pages qui reprennent en tous points l’environnement graphique du site web du ministère de la Justice du Québec. Des coordonnées personnelles et des informations bancaires y sont demandées ; celles-ci pourront ensuite être vendues dans le web clandestin (dark web) ou utilisées pour réaliser des transactions courantes.

Cette technique d’hameçonnage (phishing) par texto (smishing) a le vent dans les voiles, notamment en raison de la facilité avec laquelle les fraudeurs de partout dans le monde peuvent opérer sans être inquiétés par les autorités.

« Il n’y a pas nécessairement plus de tentatives, mais elles sont plus ciblées », explique Fyscillia Ream, coordonnatrice scientifique à la Chaire de recherche en prévention de la cybercriminalité. Et les fraudeurs, note-t-elle, sont plus réactifs à l’actualité. Elle cite par exemple l’envoi massif de textos frauduleux après une panne d’Hydro-Québec causée par une tempête de verglas en avril dernier.

Vendredi dernier, le ministère de la Justice a tenu à rappeler par communiqué qu’il ne joignait jamais le public par texto. Il « demande aux citoyennes et citoyens qui reçoivent un tel message de n’ouvrir aucune pièce jointe, de ne cliquer sur aucun hyperlien, de ne transmettre aucune information personnelle et de supprimer le message ».

Depuis le mois de décembre, des messages circulent en outre pour exiger de Québécois le règlement d’un « frais impayée » (sic) après l’utilisation du pont Olivier-Charbonneau (pont à péage de l’A25).

Là encore, la plateforme du gestionnaire est reproduite à l’identique. « C’est à s’y méprendre », lance Sylvie Godin, porte-parole de Transurban, entreprise australienne qui gère l’autoroute et le pont par l’entremise de la société Concession A25. « Les imitations de logos et de sites web, c’est ce qui est bouleversant. »

Exemples de sites internet frauduleux

1/4

Mme Godin tient à préciser que la réception de textos malveillants par des usagers du lien routier n’est aucunement liée à une brèche informatique dans les systèmes de Transurban. Elle explique aussi que l’entreprise ne communique pas au moyen de la messagerie texte.

Paradis pour les pirates

Les URL incluses dans les textos récents faussement attribués à Concession A25 ou au ministère de la Justice ont en commun une même adresse IP hébergée par l’entreprise Prospero, située en Russie. Des centaines de sites frauduleux en émanent, imitant notamment l’identité de services comme Netflix, Amazon et Spotify.

L’infrastructure en cause : le système autonome russe AS200593, au cœur de cybermenaces contre des organisations mondiales. « Un système autonome est comme un grand quartier sur l’internet avec ses propres règles et méthodes de gestion du trafic », explique Adam Lopez, expert de la firme américaine de sécurité informatique HYAS.

L’entreprise de San Francisco a neutralisé au moins une fraude au faux technicien – le fraudeur se faisait passer pour un employé afin d’installer un logiciel malveillant dans les appareils de « collègues » d’une banque mondiale – exploitant l’infrastructure AS200593.

Des fraudeurs ont récemment inscrit dans ce « quartier » russe une multitude de noms de domaine pour piéger les Québécois.

« Ils sont enregistrés en grand nombre car leur utilisation est généralement de courte durée », précise David Brundson, ingénieur en sécurité et « pirate éthique » chez HYAS.

Sites frauduleux partageant l’infrastructure AS200593*

Des pirates russes connaissent-ils donc le pont Olivier-Charbonneau, entre Montréal et Laval ?

« Les fraudeurs peuvent utiliser des serveurs mandataires inverses [reverse proxys] et des services VPN pour masquer leur véritable emplacement, en donnant l’impression qu’ils se trouvent en Russie alors qu’ils pourraient opérer à partir de n’importe quel endroit dans le monde », explique M. Lopez.

L’entreprise russe Prospero, derrière le système autonome AS200593, « semble être un service pare-balles [bulletproof hosting, type d’hébergement web qui échappe aux autorités], un facteur clé pour permettre la fraude », ajoute M. Brundson. « Toute société d’hébergement digne de confiance a intérêt à éliminer les sites malveillants de sa plateforme, sous peine de voir sa responsabilité engagée. »

Le système AS200593 héberge aussi des simulacres de sites d’organisations canadiennes comme Postes Canada, l’autoroute à péage 407 ETR à Toronto ou la Ville de Vancouver.

CAPTURE D’ÉCRAN LA PRESSE

Avertissement de Google signalant un site frauduleux

Selon l’équipe de cybersécurité de Google, le Threat Analysis Group (TAG), les tentatives d’hameçonnage en provenance de la Russie contre des citoyens de pays membres de l’OTAN ont triplé de 2020 à 2022, année marquée par l’invasion de l’Ukraine.

Le climat politique est un facteur important. De nombreuses campagnes de fraude importantes proviennent d’endroits où les forces de l’ordre locales ne tiennent pas compte des plaintes émanant d’autres pays.

David Brundson, ingénieur en sécurité et « pirate éthique » chez HYAS

Dans son essai This Is How They Tell Me the World Ends : The Cyberweapons Arms Race, la journaliste américaine Nicole Perlroth souligne que Vladimir Poutine a instauré seulement deux règles en matière de piratage : « ne pas mener d’attaque au sein de la mère patrie » et « répondre aux demandes du Kremlin ».

Des attaques clés en main

Mener des opérations de phishing anonyme comme celles qui ont cours actuellement au Québec est un jeu d’enfant partout dans le monde. Nul besoin d’avoir des connaissances informatiques ou des équipements avancés.

Sur la plateforme de messagerie Telegram, créée en Russie et établie à Dubaï, de nombreux usagers offrent des ensembles d’hameçonnage clés en main. Vantant ses trois années d’expérience, un codeur propose pour un seul prix la conception de la page d’accueil, l’hébergement web, l’inscription du nom de domaine ainsi que des instructions de démarrage.

Des trousses « prêtes à l’emploi » vendues de 40 à 150 $ montrent des interfaces factices du réseau social Snapchat, du géant des télécommunications T-Mobile, du service de livraison UPS ou encore de l’entreprise de lutte WWE.

1/2

Selon les forfaits, le pirate promet aux fraudeurs de collecter auprès des usagers des informations telles que leur prénom, leur nom de famille, leur adresse postale, leur numéro de téléphone ainsi que toutes les données de leur carte de crédit : numéro, cryptogramme et date d’expiration.

Contacté sur Telegram par La Presse, cet usager a assuré pouvoir nous fournir une réplique du portail du site de paiement du ministère de la Justice du Québec et tous les outils pour mener à bien notre opération d’hameçonnage. Coût ? « Allons-y pour 150 $. »

En prime, notre interlocuteur mentionne qu’il peut nous transmettre 45 000 numéros de téléphone issus d’une brèche de sécurité « récente » au Québec.

Est-ce que notre opération sera 100 % anonyme ? demandons-nous. « Oui », nous assure-t-on. « Nos VPS [serveurs privés virtuels] sont situés à Kyiv, en Ukraine. Ils ignorent aussi le DMAC [Digital Millennium Copyright Act, loi américaine qui permet la suppression de contenus]. Nous commandons [les serveurs] avec de fausses informations au moyen de cryptomonnaies. »

CAPTURE D’ÉCRAN LA PRESSE

Extrait de la conversation Telegram entre un usager offrant des trousses d’hameçonnage et La Presse

La Presse n’a pas conclu de transaction, contrairement à des centaines d’utilisateurs de Telegram qui sont abonnés à de tels services.

Qu’elles proviennent de l’Ukraine, de la Russie ou d’autres terreaux de la cybercriminalité, les tentatives d’hameçonnage n’ont pas fini de polluer les boîtes de messagerie des Québécois, croit Fyscillia Ream.

« Si c’est important, on trouvera un moyen de vous joindre autrement, dit-elle. Il vaut mieux ne jamais cliquer sur le lien d’un texto et contacter directement l’entreprise ou l’institution avant de faire un paiement. »

LockBit Le groupe de pirates « le plus nuisible » au monde démantelé

PHOTO HANDOUT, VIA REUTERS

« Après avoir infiltré le réseau du groupe, la NCA (agence de lutte contre la criminalité britannique, NDLR) a pris le contrôle des services de LockBit, compromettant la totalité de leur entreprise criminelle ».

(Londres) Le groupe de cybercriminels LockBit, présenté comme « le plus nuisible » au monde, a été démantelé lors d’une opération de police internationale, ont annoncé mardi les autorités de plusieurs pays.

Publié à 7h47

Partager

Agence France-Presse

« Après avoir infiltré le réseau du groupe, la NCA (agence de lutte contre la criminalité britannique, NDLR) a pris le contrôle des services de LockBit, compromettant la totalité de leur entreprise criminelle », a déclaré la NCA dans un communiqué. Selon elle, le rançongiciel a ciblé « des milliers de victimes à travers le monde » et causé des pertes qui au total se chiffrent en milliards d’euros.

« Nous avons piraté les pirates », s’est félicité Graeme Biggar, directeur général de la NCA, annonçant la mise hors d’état de nuire de LockBit lors d’une conférence de presse à Londres.

LockBit a perçu plus de 120 millions de dollars de rançons au total, selon les États-Unis.

LockBit est présenté comme un logiciel malveillant parmi les plus actifs au monde, avec plus de 2500 victimes, dont plus de 200 en France, y compris « des hôpitaux, des mairies, et des sociétés de toutes tailles », a indiqué dans un communiqué le parquet de Paris.

« Ce site est à présent sous contrôle des forces de l’ordre », indiquait un message sur un site de LockBit, précisant que la NCA britannique a pris la main sur le site, en coopération avec le FBI américain et les agences de plusieurs pays.

« Nous pouvons confirmer que les services de LockBit sont perturbés en raison d’une opération de police internationale, il s’agit d’une opération en cours », ajoute le message.

En novembre 2022, le ministère américain de la Justice (DoJ) avait qualifié le rançongiciel LockBit de « plus actif et plus destructeur des variants dans le monde ».

LockBit a ciblé les infrastructures critiques et les grands groupes industriels, avec des demandes de rançon allant de 5 à 70 millions d’euros. En 2023, le groupe a notamment attaqué l’opérateur postal britannique et un hôpital canadien pour enfants.

Selon un site des autorités américaines faisant référence mi-juin à des données de la police fédérale (FBI), le groupe a mené plus de 1700 attaques contre des victimes aux États-Unis et dans le monde (Australie, Canada, Nouvelle-Zélande notamment).

1 Like

Des arnaqueurs envoient des textos avec le NAS

PHOTO DAVID BOILY, ARCHIVES LA PRESSE

Les bureaux de l’Agence de revenu du Canada à Montréal, boulevard René-Levesque.

Vous recevez un texto d’un numéro inconnu contenant votre nom et votre numéro d’assurance sociale ? Surtout, ne répondez pas. Le Centre antifraude du Canada alerte lundi sur ces messages frauduleux élaborés où les arnaqueurs se font passer pour l’Agence du revenu du Canada.

Publié à 16h14

Partager


Lila Dussault
Lila Dussault La Presse

« Le Centre antifraude du Canada (CAFC) reçoit des rapports de messages textes prétendant provenir de l’Agence du revenu du Canada, utilisant le nom complet et le NAS de la victime, et demandant un paiement », a prévenu lundi sur X le CAFC.

L’agence a joint une capture d’écran d’un texto frauduleux (en anglais seulement).

PHOTO TIRÉE DU COMPTE X DU CENTRE ANTIFRAUDE DU CANADA

L’agence a joint une capture d’écran d’un texto frauduleux (en anglais seulement).

Sur son site internet, l’Agence du revenu du Canada (ARC) rappelle ne jamais utiliser de messages instantanés « pour discuter de vos impôts, de vos remboursements ou de Mon dossier ». L’Agence ne demandera jamais non plus par courriel ou texto de fournir des renseignements personnels ou bancaires.

Plusieurs arnaqueurs se faisant passer pour l’ARC tentent d’hameçonner des citoyens, prévient aussi l’agence. Certaines arnaques en cours concernent la Remise canadienne sur le carbone, les prestations canadiennes en cas de catastrophe, les remboursements au sujet de l’épicerie et les crédits pour la TPS/TVH.

L’Agence indique aussi que certains messages envoyés par les arnaqueurs peuvent contenir des renseignements personnels « comme un nom, une date de naissance ou un numéro d’assurance sociale ».

Consultez Le site de l’Agence du revenu du Canada

Si vous croyez avoir été victime d’une arnaque ou que vous avez fourni des renseignements personnels, contactez votre service de police local.

Selon le site internet de l’Agence, vous pouvez aussi contacter l’ARC si vous constatez les irrégularités suivantes :

  • Vous croyez que votre ID utilisateur ou votre mot de passe de l’Agence a été compromis
  • Vous constatez que des modifications que vous n’avez pas demandées ont été apportées à vos données bancaires, à votre adresse, à vos données professionnelles ou à vos données personnelles
  • Vous constatez qu’une demande de prestations a été faite pour vous à votre insu
  • Vous voulez désactiver l’accès en ligne à vos renseignements sur les services d’ouverture de session de l’Agence
  • Vous voulez réactiver l’accès en ligne à vos renseignements sur les services d’ouverture de session de l’Agence après qu’il a été désactivé

The Supreme Court has rendered a 4-5 judgement today that there is an expectation of privacy for IP addresses, under the Charter of Rights and Freedoms.

1 Like

Pour l’internaute québécois, la loi 25 est surtout synonyme depuis quelques mois de fenêtres « pop-up » demandant son consentement. Pour les entreprises, il s’agit souvent d’un casse-tête. Une poignée d’entre elles s’y conformeraient, et une majorité n’a pas l’intention de la respecter. Pourtant, plaident des experts, des ressources et des guides simples sont offerts pour dompter cette loi complexe.

Résumé

Protection des renseignements personnels L’art de survivre à la loi 25

PHOTO JENNY KANE, ARCHIVES ASSOCIATED PRESS

Depuis septembre 2022, dans le cadre de la loi 25, les entreprises québécoises sont assujetties à une série d’obligations visant à protéger les données personnelles qu’elles recueillent. À peine 3 %, selon les plus récentes estimations, respectent la loi.

Pour l’internaute québécois, la loi 25 est surtout synonyme depuis quelques mois de fenêtres « pop-up » demandant son consentement. Pour les entreprises, il s’agit souvent d’un casse-tête. Une poignée d’entre elles s’y conformeraient, et une majorité n’a pas l’intention de la respecter. Pourtant, plaident des experts, des ressources et des guides simples sont offerts pour dompter cette loi complexe.

Mis à jour hier à 6h00

Partager


Karim Benessaieh
Karim Benessaieh La Presse

3 %

Selon un sondage effectué auprès de 100 PME et OBNL québécois en juin 2023 par le Groupe de recherche interdisciplinaire en cybersécurité (GRIC) de l’Université de Sherbrooke, 40 % se disaient prêts pour la loi 25. En réalité, après analyse, à peine 3 % l’étaient effectivement. En février dernier, un sondage de la firme française Axeptio arrivait à une conclusion similaire, avec 5 % des entreprises qui peuvent être considérées comme conformes.

En trois temps

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, ou loi 25, adoptée en septembre 2021 et inspirée de la législation européenne, prévoit trois phases, exigeant chaque fois un peu plus des entreprises manipulant des renseignements personnels.

Depuis septembre 2022, elles doivent notamment désigner un responsable de la protection de ces renseignements et signaler tout incident à la Commission d’accès à l’information (CAI).

En septembre 2023 s’est implantée l’obligation de respecter les règles de consentement (d’où l’apparition des fenêtres sur la plupart des sites web) et l’élaboration d’une « évaluation des facteurs relatifs à la vie privée (EFVP) ».

La dernière étape, en septembre 2024, concerne le droit à la « portabilité », en vertu duquel chacun peut demander une copie des données le concernant.

La loi prévoit des amendes maximales de 25 millions.

Une évaluation coriace

Une des exigences qui semble la plus lourde est l’évaluation des facteurs relatifs à la vie privée. Ce terme intimidant est expliqué par l’organisme chargé de l’application de la loi 25, la CAI, dans un guide… de 60 pages.

C’est précisément sur cette obligation qu’Emeline Manson, formatrice en prévention des fraudes et en cybersécurité, a décidé de lancer un outil gratuit. Essentiellement, l’EFVP doit être rédigée pour toute entreprise qui offre des services impliquant des renseignements personnels ou communique ceux-ci à l’extérieur du Québec.

PHOTO MATHIEU CHEVALIER, FOURNIE PAR EMELINE MANSON

Emeline Manson, formatrice en prévention des fraudes et en cybersécurité et présidente de la firme CY-clic

Là, on a une organisation qui regarde ça et qui se dit : ‟concrètement, qu’est-ce que je fais demain matin ?” C’est décourageant, vraiment décourageant.

Emeline Manson, formatrice en prévention des fraudes et en cybersécurité et présidente de la firme CY-clic

La formatrice n’aime pas le concept de « conformité », préférant insister sur les comportements sécuritaires d’une entreprise.

« Notre objectif, c’est vraiment de rendre ça moins gros, de rendre ça plus le fun, plus réconfortant, moins culpabilisant. C’est la réputation de la cybersécurité et de la loi 25 en ce moment d’être beaucoup dans la culpabilité. »

Petits pas

Selon elle, il s’agit avant tout de dresser un bilan des renseignements personnels qu’une entreprise gère, établir comment ils sont stockés et prendre des mesures efficaces pour les protéger.

« La Commission d’accès à l’information veut avoir une preuve qu’on s’est au moins posé la question. Si on ne le documente pas, si ce n’est écrit nulle part, c’est comme si on n’avait pas eu la réflexion. Si la Commission débarque chez nous, on doit pouvoir leur prouver qu’on a fait cette évaluation, qu’on a eu cette réflexion, qu’on a fait cette démarche. »

Plutôt que de terroriser les petites et moyennes entreprises avec des exigences insurmontables, Mme Manson affirme préférer la « méthode des petits pas ». « Si tu vois toute la montagne, ça te décourage et tu ne fais rien. C’est pire que de le faire par petites bouchées, de le faire du mieux que tu peux et de pouvoir démontrer que tu es dans une démarche, que tu as cherché à te conformer. »

Élargir le débat

Pour Nicolas Duguay, co-directeur général d’In-Sec-M, un organisme regroupant des acteurs clés en cybersécurité, il faut voir le respect de la loi 25 dans une perspective plus large.

PHOTO CATHERINE LEFEBVRE, ARCHIVES COLLABORATION SPÉCIALE

Nicolas Duguay, co-directeur général d’In-Sec-M

Pendant des années, le gouvernement du Québec a encouragé les organisations privées de toutes les tailles à se numériser, mais sans s’assurer que les structures en matière de cybersécurité soient présentes. Ça explique notamment pourquoi il y a une explosion des cyberattaques.

Nicolas Duguay, co-directeur général d’In-Sec-M

Plutôt que de s’attarder uniquement à la conformité à la loi 25, son organisme a mis sur pied un programme subventionné par Québec, MaLoi25, intégrant également ce qu’on qualifie de « cyberrésilience ».

Jusqu’à maintenant, reconnaît-il, l’écoute des entrepreneurs est, disons, minimale.

« Je suis appelé à faire des allocutions, des présentations, je demande systématiquement aux gens : ‟Qui a entendu parler de la loi 25 ?” J’ai toujours une minorité de gens qui lèvent la main. Il y a vraiment un déficit de communication. »

En attente d’amendes

MaLoi25 offre comme point de départ un autodiagnostic, une base pour un accompagnement offert par la suite à un tarif qu’on promet « avantageux ». Si M. Duguay ne peut préciser ce qui se dégage des milliers d’autodiagnostics effectués, il fait ce constat général : « C’est typique, et ce n’est pas seulement en matière de protection des renseignements personnels ou en cybersécurité : il y a une forme de candeur qu’on observe sur les entreprises ici. On attend de voir les sanctions. J’ai l’impression qu’il va y avoir un boom assez important de demandes pour la loi 25, le jour où dans La Presse, Le Journal de Montréal ou sur Radio-Canada, on va voir que telle entreprise s’est fait épingler par le gouvernement du Québec et s’est fait mettre à l’amende. Ce qui n’est pas demain, évidemment. »

Cross-posting it here, because it touches a piece of cybersecurity software.

Une panne informatique mondiale paralyse des industries du monde entier. Les explications de Sarah Déry à l’émission D’abord l’info.

3:53

Information

Panne informatique

Résumé

Une importante panne informatique paralyse de nombreuses entreprises

Microsoft, touché, a affirmé prendre des « mesures d’atténuation » le temps de régler le problème.

Des passagers regardent un écran affichant les vols retardés à l'aéroport de Barcelone le 19 juillet 2024 à Barcelone, en Espagne. Les entreprises, les agences de voyages et les utilisateurs de Microsoft du monde entier font aujourd’hui partie des personnes touchées par une panne technologique.

Des passagers regardent un écran affichant les vols retardés à l’aéroport de Barcelone le 19 juillet 2024 à Barcelone, en Espagne. Les entreprises, les agences de voyages et les utilisateurs de Microsoft du monde entier font aujourd’hui partie des personnes touchées par une panne technologique.

Photo : Getty Images / David Ramos

Faits saillants

  • De nombreuses compagnies aériennes ont fait atterrir leurs avions vendredi en raison de problèmes de communication liés à une panne informatique géante.

De nombreuses compagnies aériennes ont fait atterrir leurs avions vendredi en raison de problèmes de communication liés à une panne informatique géante.

  • Elle touche aussi des transports ferroviaires, des sociétés de télécommunications, des banques, des hôpitaux et certains médias dans le monde.

Elle touche aussi des transports ferroviaires, des sociétés de télécommunications, des banques, des hôpitaux et certains médias dans le monde.

  • Les opérations de la télévision d’ICI RDI sont perturbées par cette panne. Certaines émissions de radio pourraient être aussi concernées.

Les opérations de la télévision d’ICI RDI sont perturbées par cette panne. Certaines émissions de radio pourraient être aussi concernées.

  • Microsoft a déclaré que la « cause sous-jacente » de la panne mondiale a été résolue, mais que l’impact résiduel » des pannes continue de nuire à des applications et à des services d’Office 365.

Microsoft a déclaré que la « cause sous-jacente » de la panne mondiale a été résolue, mais que l’impact résiduel » des pannes continue de nuire à des applications et à des services d’Office 365.

  • La panne serait liée à une « mise à jour défectueuse » de l’antivirus CrowdStrike, et pas à une cyberattaque. Le problème aurait été déterminé et serait « en cours de de correction ».

La panne serait liée à une « mise à jour défectueuse » de l’antivirus CrowdStrike, et pas à une cyberattaque. Le problème aurait été déterminé et serait « en cours de de correction ».

Aujourd’hui

  • 7 h 34

Les services de transport dans la plupart des grandes villes du Canada ne sont pas affectés

La Commission de transport de Toronto (TTC) confirme qu’il n’y a pas d’impact immédiat sur ses services, les systèmes de signalisation et de sécurité étant opérationnels.

Du côté de VIA Rail, tous les trains sont à l’heure et les employés de la gare d’Ottawa disent ne pas être affectés par la panne mondiale.

7 h 32

Une panne informatique mondiale paralyse des industries du monde entier. Les explications de Sarah Déry à l’émission D’abord l’info.

3:53

Information

Panne informatique

  • 7 h 31

Un écran au-dessus d'un carrousel à bagages affiche un message d'erreur, à l'aéroport de Newark, au New Jersey.

Un écran au-dessus d’un carrousel à bagages affiche un message d’erreur, à l’aéroport de Newark, au New Jersey.

Photo : Reuters / Bing Guan

7 h 20

L’un des plus grands réseaux d’hôpitaux à Toronto se dit partiellement touché

Sur X, University Health Network indique que certains de ses systèmes sont affectés par la panne. Les activités cliniques se poursuivent, mais des patients pourraient être aux prises avec des retards.

Même son de cloche du côté de NL Health Services, la régie de soins de santé intégrés de Terre-Neuve-et-Labrador, qui rapporte des conséquences sur ses services informatiques, dont celui utilisé pour gérer les soins aux patients et les informations financières. Cette interruption de service devrait avoir un impact sur la disponibilité de certains services de santé. Des mises à jour régulières seront fournies au fur et à mesure que de nouvelles informations seront disponibles, indique l’organisme dans un communiqué de presse.

Le Centre hospitalier de l’Université de Montréal (CHUM) indique, lui, que la panne n’a aucun impact sur ses services.

7 h 19

Porter Airlines annule ses vols

Porter Airlines annule ses vols jusqu’à midi. Cela s’applique à tous les domaines du site Web, de l’application mobile, des réservations, des modifications de vols et des systèmes de demandes de renseignements. D’autres retards et annulations sont également possibles.

À noter que les sièges ne peuvent pas être modifiés lorsque les systèmes sont hors ligne. Le processus de modification de réservation prendra un certain temps, les nouveaux vols étant confirmés sur plusieurs jours en raison du volume élevé de passagers.

Les communications par courriel et messagerie texte seront aussi retardées, indique la compagnie.

7 h 13

Panne à ICI Première dans l’Est-du-Québec

La diffusion régulière des émissions radio à l’antenne d’ICI Première au Bas-Saint-Laurent, en Gaspésie–Îles-de-la-Madeleine ainsi que sur la Côte-Nord vendredi matin.

C’est l’émission de la Gaspésie–Îles-de-la-Madeleine qui est diffusée depuis 6 h 40 en Gaspésie et au Bas-Saint-Laurent.

Un problème technique gêne la diffusion d’une émission sur les ondes de la Côte-Nord.

Les trois régions ont subi une paralysie tôt vendredi matin.

7 h 09

Plusieurs services bancaires interrompus à travers le monde

Les applications de plusieurs banques ont été affectées en Australie, selon la télévision australienne ABC. Un problème qui a aussi concerné des banques en Ukraine, dont la banque en ligne Sense Bank.

En Turquie, la banque Deniz Bank a signalé des perturbations à ses clients.

La banque centrale norvégienne a connu des perturbations plus tôt dans la journée, les offres devant être soumises par courriel et par téléphone. À l’heure actuelle, le système d’enchères est de nouveau opérationnel.

Avec les informations de l’Agence France-Presse et de Reuters

Problème résolu, dit Microsoft

Microsoft a déclaré que la cause sous-jacente de la panne mondiale a été résolue, mais que mais l’impact résiduel des pannes de cybersécurité continue d’affecter des applications et services d’Office 365.

Nous surveillons cela de près pour nous assurer que nous progressons vers un rétablissement complet, a ajouté le géant américain.

Avec les informations de Reuters et de l’Agence France-Presse

Le logo de Microsoft au siège social de l'entreprise à Redmond, Washington.

Le logo de Microsoft au siège social de l’entreprise à Redmond, Washington.

Photo : Getty Images / David Ryder

7 h 02

Désordre minimal pour l’aéroport Pearson de Toronto

Les vols continuent d’arriver et de partir à l’aéroport Pearson de Toronto. Pour l’instant, les opérations d’Air Canada, de Westjet, de Sunwing et de Flair n’ont pas été affectées.

Par ailleurs, des problèmes avec les principales compagnies aériennes américaines comme Delta, American, United Airlines ainsi qu’avec Porter Airlines sont constatées.

6 h 50

Des services de l’aéroport Montréal-Trudeau suspendus

À l’aéroport Montréal-Trudeau, tout se passe généralement bien, mais plusieurs vols en direction des États-Unis ont été suspendus ou annulés.

Comme c’est le cas pour les aéroports canadiens et ailleurs dans le monde, la panne informatique a engendré des enjeux pour certains partenaires d’Aéroports de Montréal (ADM). Ce fut le cas notamment pour US Customs and Border Protection, qui ne pouvait traiter les passagers ayant des vols vers des destinations américaines. Heureusement, le problème s’est résorbé et le traitement des passagers reprend graduellement, mais évidemment, des délais sont à prévoir à ce niveau, engendrant nécessairement des retards de vols ce matin.

La compagnie aérienne Porter a également été touchée par la panne et a décidé d’annuler tous ses vols ce matin jusqu’à midi.

Il est conseillé aux passagers de valider l’horaire et l’état de leur vol avant de se déplacer vers l’aéroport.

Avec les informations de Carla Geib

La gestion « lacunaire » de la cybersécurité dans un organisme paramunicipal où des mots de passe étaient affichés sur des papillons adhésifs (Post-it) a mis à risque des infrastructures névralgiques de la Ville de Montréal l’automne dernier, lors d’une importante attaque informatique.

Résumé

Cyberattaque à la Ville de Montréal Des mots de passe étaient affichés sur des Post-it

PHOTO DOMINICK GRAVEL, LA PRESSE

Façade de la Commission des services électriques de Montréal

La gestion « lacunaire » de la cybersécurité dans un organisme paramunicipal où des mots de passe étaient affichés sur des papillons adhésifs (Post-it) a mis à risque des infrastructures névralgiques de la Ville de Montréal l’automne dernier, lors d’une importante attaque informatique.

Publié à 1h12 Mis à jour à 5h00

Partager


Vincent Larin
Vincent Larin La Presse

L’histoire jusqu’ici

  • 23 août 2023 : La Commission des services électriques de Montréal (CSEM), un organisme paramunicipal responsable du réseau de câblage souterrain de l’île, est victime d’une cyberattaque.
  • 4 décembre 2023 : Montréal entame une poursuite à l’endroit de la firme venue à la rescousse de la CSEM, Vertisoft, à qui elle reproche d’avoir « pris en otage » ses données.
  • 6 décembre 2023 : Vertisoft et Montréal en viennent à une entente.
  • 12 juillet 2024 : Vertisoft dépose à son tour une poursuite à l’endroit de la Ville qui dévoile l’existence de brèches de sécurité à la CSEM au moment de la cyberattaque.

C’est ce que révèle par la bande une poursuite intentée récemment par la firme venue à la rescousse de la Commission des services électriques de Montréal (CSEM) en août 2023.

Peu connu du grand public, cet organisme responsable des milliers de kilomètres du réseau de câblage souterrain de l’île avait alors été victime d’une attaque au rançongiciel par des pirates de Lockbit.

Ce groupe de cybercriminels, autrefois considéré comme l’un des plus prolifiques de la planète, réclamait à la CSEM une rançon de 2 millions de dollars américains pour rendre les données dérobées, dont des plans de conduits filaires souterrains1.

Refusant de payer, la CSEM avait alors fait appel à la firme Vertisoft de Victoriaville qui affirme avoir travaillé « nuit et jour » pour rétablir l’infrastructure informatique de l’organisme sur ses propres serveurs.

La Ville accusée de « mauvaise foi »

Des mésententes sur la gestion informatique de la CSEM ont toutefois émergé au fil des semaines avec son sous-traitant. La situation a culminé avec le dépôt d’une poursuite par la Ville en décembre dernier2.

Montréal et la CSEM affirmaient alors que Vertisoft avait « pris en otage » ses données et lui avait « retiré, de son propre chef et sans préavis, les accès administrateurs » à ses serveurs.

Or, ces propos étaient « faux » et la Ville le savait « fort bien », réplique maintenant Vertisoft dans une nouvelle poursuite déposée cette semaine au palais de justice de Montréal où elle reproche aux fonctionnaires municipaux leur « mauvaise foi ».

C’est qu’au moment d’autoriser la poursuite initiale à l’endroit de Vertisoft, des négociations étaient déjà bien avancées afin de transférer lesdits accès. Une entente à l’amiable est d’ailleurs intervenue depuis et la Ville a retiré sa poursuite.

Si Vertisoft agissait avec autant de prudence durant ce transfert, à l’automne 2023, c’est que la firme observait depuis des semaines déjà les pratiques « lacunaires » en matière de sécurité informatique à la CSEM.

« Failles critiques » à l’interne

Après y avoir mené une étude exhaustive, l’entreprise affirme que « la porte d’entrée » des pirates de Lockbit « était liée aux pratiques internes en matière de sécurité informatique » dans l’organisation paramunicipale.

La gestion des noms d’utilisateurs et mots de passe était lacunaire au sein de la CSEM, si bien que les mots de passe étaient partagés, parfois affichés ou disponibles à plusieurs utilisateurs, augmentant de manière exponentielle les risques d’attaques subreptices par des pirates informatiques.

Vertisoft, dans sa poursuite

Or, la CSEM gère des installations névralgiques à Montréal : son réseau filaire souterrain. Une nouvelle brèche de sécurité pourrait ainsi « favoriser une attaque visant à le court-circuiter, sans parler des données personnelles, confidentielles ou sensibles appartenant [à la CSEM et à la Ville] ainsi qu’à tous ses clients », poursuit Vertisoft.

La Commission des services électriques de Montréal détient notamment « des informations privilégiées dont certaines sont hautement confidentielles » sur certains de ses partenaires, dont Hydro-Québec, Bell Canada et Vidéotron, qui partagent tous l’immense réseau souterrain de 770 kilomètres.

Face à ce constat alarmant, le président de Vertisoft, Sylvain Belleau, écrit lui-même au président de la CSEM, Robert Gauthier, le 1er novembre dernier, par courrier recommandé.

Sa lettre, déposée en preuve à la cour, est également adressée à tous les membres de son conseil d’administration dont font partie de hauts fonctionnaires municipaux et des représentants de partenaires de la CSEM.

Elle fait état d’une vingtaine de « compromissions ou failles critiques de sécurité », dont le fait que « des mots de passe envoyés de manière sécurisée à la CSEM ont été découverts sur des papiers et des Post-it » dans les bureaux de l’organisation.

On y lit également que l’ancien président de la CSEM, Sid Zerbo, avait affirmé à Sylvain Belleau qu’il soupçonnait que « la faille venait potentiellement de l’interne ». Sid Zerbo a démissionné depuis, après des révélations de La Presse quant à de potentiels conflits d’intérêts3.

Une dénonciation restée lettre morte

La missive de Sylvain Belleau est toutefois restée lettre morte, a confirmé l’avocat représentant Vertisoft, Me Vincent Langlois.

Ce qui est préoccupant dans ce dossier, ce n’est pas nécessairement qu’on ait détecté des failles potentielles de sécurité, comme cela arrive dans plusieurs organisations. C’est le fait qu’on ait dénoncé de façon exhaustive à un ensemble d’administrateurs et que personne à la Ville de Montréal n’ait daigné donner suite.

Me Vincent Langlois

« Compte tenu de la judiciarisation du dossier, la Ville ne commentera pas le dossier publiquement », a indiqué par courriel, jeudi, le relationniste Gonzalo Nunez.

Le contrat liant la CSEM à Vertisoft a depuis fait l’objet d’une résiliation dont l’entreprise attribue la responsabilité à la Ville. « Ils ont préféré résilier le contrat plutôt que de tenter d’avoir une discussion qui était à la base constructive avec un sous-traitant qui ne cherchait pas seulement à réparer les pots cassés, mais à prévenir d’éventuels bris », déplore Me Vincent Langlois.

En tout, la firme réclame donc environ un demi-million de dollars en dommages et en indemnisation à Montréal, y compris des sommes pour diffamation compte tenu des allégations contenues dans la poursuite intentée par la Ville l’automne dernier.

La CSEM en chiffres

770 kilomètres
Longueur du réseau souterrain de distribution électrique et de télécommunications

70 500
Nombre de raccordements souterrains aux bâtiments sur le territoire de la Ville de Montréal

68 %
Proportion du réseau utilisé par Hydro-Québec. Le reste est partagé entre la Ville (15 %) et différents partenaires.

1. Lisez l’article « Des pirates s’attaquent à des infrastructures souterraines critiques » 2. Lisez l’article « Montréal accuse une firme de prendre des données en otage » 3. Lisez l’article « Le président de la Commission des services électriques démissionne »

Meta, terrain de jeu des arnaqueurs

Faux profils, arnaques sur Marketplace, articles bidon, publicités trompeuses : Facebook héberge plus de quatre fraudes sur cinq impliquant les réseaux sociaux, selon les signalements répertoriés sur le site Fraude-Alerte, une initiative de l’École de criminologie de l’Université de Montréal. Les plateformes de Meta peuvent-elles être tenues responsables des infractions qui y prospèrent ?

Résumé

« Facebook est le pollueur numérique numéro 1 »

PHOTOMONTAGE LA PRESSE

Les publicités mensongères ou frauduleuses sur Meta pullulent, souvent sans que leurs auteurs soient inquiétés.

L’atelier d’Émelie est une petite entreprise de bijoux créée par une jeune artisane et sa grand-mère, « une aventure entrepreneuriale unique, axée sur l’artisanat écologique et vegan », peut-on lire sur le site de la charmante boutique.

Publié à 5h00

Partager


Charles-Éric Blais-Poulin
Charles-Éric Blais-Poulin Équipe d’enquête, La Presse

Les clients s’y rendent après avoir été attirés par l’une des dizaines de publicités qui circulent sur Facebook depuis le mois de janvier. Mais le projet « éthique » sera bientôt mis sur pause, ont annoncé avec force chagrin ses instigatrices.

IMAGE TIRÉE D’UNE CAPTURE D’ÉCRAN, LA PRESSE

La page d’accueil du site L’atelier d’Émelie

« Actuellement, ma grand-mère n’est pas en mesure de continuer à gérer l’entreprise avec moi », annonce la plus jeune moitié du duo d’entrepreneures dans une publication Facebook commanditée. « Sans elle, je préfère mettre en pause la boutique pour le moment. » Mince consolation pour les clients : « des remises exceptionnelles allant jusqu’à 70 % sur une large gamme de produits ».

IMAGE TIRÉE D’UNE CAPTURE D’ÉCRAN, LA PRESSE

Publicité diffusée par L’atelier d’Émelie sur les réseaux de Meta

Le hic ? Il n’existe ni Émelie, ni grand-mère malade, ni aventure « éthique, écologique et vegan ». Tout le stock promu par l’entreprise sur les réseaux de Meta, maison mère de Facebook et d’Instagram, provient de fournisseurs chinois et se marchande à une fraction du prix sur des sites comme AliExpress, Shein ou eBay.

Les publicités mensongères ou frauduleuses sur Meta pullulent, souvent sans que leurs auteurs soient inquiétés. « Facebook est le pollueur numérique numéro 1 en matière de fraudes dans le monde développé à l’heure actuelle », souligne Benoît Dupont, professeur de criminologie à l’Université de Montréal (UdeM).

« Si on veut se préoccuper de la délinquance, le vol de véhicules, c’est important, dit-il. Mais à mon avis, c’est vraiment la fraude en ligne qui devrait intéresser les politiciens fédéraux s’ils veulent avoir un impact sur la vie quotidienne de leurs citoyens. »

Dans le cas de L’atelier d’Émelie, nous avons signalé le compte une dizaine de fois en un mois, question de tester l’algorithme de Meta. Résultat ? Rien. Au moment de publier, quelque 150 publications payantes répétaient la fausse histoire de la grand-mère malade à un bassin de dizaines de milliers d’utilisateurs québécois.

En tête de liste

À la demande de La Presse, Fraude-Alerte, initiative associée à l’École de criminologie de l’UdeM, a jeté un œil aux 2375 signalements de fraude et de fausse représentation répertoriés sur son site du 22 octobre 2022 au 29 février 2024.

Les réseaux sociaux ont servi d’appât dans environ 20 % des cas, tous types d’arnaques confondus (amoureuses, commerciales, etc.), selon les données fournies par l’expert Benoît Dupont. Et Facebook représente quelle part de ces réseaux sociaux ? « De 80 à 85 %. »

Plus de 70 clients québécois ont écrit sur le site Fraude-Alerte avoir été floués par L’atelier d’Émelie, notamment parce qu’ils n’ont jamais reçu leur commande, depuis le mois de janvier.

D’autres, qui ont déballé des produits de sous-qualité provenant de Chine au bout de plusieurs semaines, dénoncent une pratique « immorale ».

Karine Otis est l’une de celles qui croyaient avoir fait affaire avec une entreprise locale et artisanale, comme annoncé dans les publicités hébergées par Meta. Elle a dépensé une centaine de dollars sur la boutique.

« Avec le numéro de repérage, je me suis aperçue que la commande partait de Chine », dit-elle. Mme Otis s’est aussitôt enquise auprès de L’atelier d’Émelie, qui a invoqué des problèmes logistiques en réitérant son « engagement envers la qualité et l’excellence locale ».

Les messages courriel reçus par la cliente ont été générés par l’intelligence artificielle, selon différents outils de détection utilisés par La Presse. « La qualité du français était impeccable », souligne Mme Otis, qui dénonce une pratique « frauduleuse » cautionnée par le réseau social.

Meta n’accorde pas d’entrevues aux médias canadiens.

Manque de responsabilité

Au Canada, « il n’y a pas d’incitatif particulier pour Meta, que ce soit sur Facebook ou Instagram, pour faire plus que le minimum nécessaire contre la fraude », souligne M. Dupont, de l’Université de Montréal. « Les dommages ne sont subis que par les victimes. Facebook génère beaucoup d’engagement et vend de la publicité grâce à certains types de fraude. La plateforme produit beaucoup de pollution numérique, et il n’y a aucun moyen de la tenir responsable. »

La législation canadienne a tendance à considérer les opérateurs de réseaux sociaux comme des hébergeurs, ce qui limite au minimum leur responsabilité vis-à-vis des contenus qui y sont partagés. Un projet de loi fédéral sur les préjudices en ligne (C-63) vise à accroître la responsabilité des plateformes en ligne en matière de sécurité numérique, mais les fraudes et les publicités mensongères sont exclues de l’initiative. Celle-ci cible notamment les contenus qui incitent à la violence, fomentent la haine ou portent préjudice aux enfants. Les réseaux sociaux devront en outre rendre inaccessibles, dans un délai de 24 heures, les images intimes distribuées de manière non consensuelle et le matériel pédopornographique.

Pourquoi avoir écarté les préjudices économiques du projet de loi ? « La cyberfraude est déjà illégale au Canada en vertu de l’article 380 du Code criminel, qu’elle soit commise en ligne ou en personne », indique par courriel Chantalle Aubertin, attachée de presse d’Arif Virani, ministre fédéral de la Justice.

PHOTO FOURNIE PAR L’UNIVERSITÉ DE MONTRÉAL

Benoît Dupont, professeur de criminologie à l’Université de Montréal

Agir contre les géants 2.0 demanderait « qu’on implante des régulations et des pénalités qui les forceraient à revoir tout leur modèle d’affaires », indique le professeur Benoît Dupont.

En général, le continent européen offre de meilleures protections contre la fraude et la fausse représentation dans les réseaux sociaux. Au Royaume-Uni, par exemple, les opérateurs doivent « mettre en place des systèmes et des processus proportionnés pour prévenir la publication ou l’hébergement de publicités frauduleuses sur leur service et les supprimer lorsqu’elles en ont connaissance », selon de récentes dispositions de l’Online Safety Bill.

La loi britannique prévoit aussi un mécanisme de « super plaintes » pour traiter les dossiers où un important bassin de consommateurs serait lésé, entre autres dans les réseaux sociaux.

C’est environ 60 % de tous les cas de fraude au Royaume-Uni qui émanaient des plateformes de Meta en 2023, selon la société financière Revolut.

Aux États-Unis, la Federal Trade Commission a transmis l’an dernier des injonctions à Meta et à sept autres plateformes pour connaître « la manière dont ces entreprises examinent et limitent la publicité commerciale payée qui est trompeuse ou expose les consommateurs à des produits de santé frauduleux, à des escroqueries financières, à des marchandises contrefaites ou à d’autres fraudes ».

Des instances sans dents ?

D’un point de vue d’usager, « c’est troublant comme il n’y a pas de considérations de Meta par rapport à sa marque », déplore Vincent Gautrais, professeur titulaire à la faculté de droit de l’UdeM, qui note de manière colorée une « emmerdification » des réseaux sociaux.

Pour l’instant, les citoyens lésés doivent s’en remettre à des instances régulatrices comme le Bureau de la concurrence au Canada, le Bureau de la consommation ou l’Office de la protection du consommateur (OPC) au Québec, « qui ont des ressources limitées », indique M. Gautrais. Dans l’attente d’une législation plus sévère, « je pense que les organismes institutionnels devraient peut-être unir leurs forces et au moins faire des déclarations de principe », poursuit le spécialiste du droit des technologies de l’information et du commerce électronique.

L’OPC affirme avoir reçu neuf plaintes contre Facebook Canada depuis 2018. À ce jour, l’organisme n’a mené aucune action judiciaire contre l’entreprise.

« Une multinationale comme Meta, quand elle sent que ça ne bouge pas tellement au niveau étatique pour s’assurer du contrôle des activités en ligne, qu’est-ce qu’elle fait ? demande M. Gautrais. Elle ne fait rien. Elle continue. Et elle continue de faire des sous. »

La capitalisation boursière de Meta atteint aujourd’hui quelque 1350 milliards de dollars. Malgré sa taille et son influence, l’entreprise de San Francisco n’offre aucun accès direct à un service à la clientèle, que ce soit par messagerie ou par téléphone, aux détenteurs de comptes gratuits.

« Meta apporte comme réponse qu’il compte autour de 20 000 personnes qui répondent aux signalements, note Benoît Dupont, de l’École de criminologie de l’UdeM. Oui, c’est le cas, mais il y a juste… 4 milliards d’utilisateurs actifs dans le monde. » Le ratio est donc d’environ un arbitre pour quelque 200 000 joueurs, « une goutte d’eau dans l’océan ».

Lisez la chronique « Se laisser attendrir, et perdre son argent »

Résumé

Des arnaques sous les yeux de Meta

PHOTOMONTAGE LA PRESSE

Meta ne peut pas plaider que Facebook est un simple hébergeur lorsqu’il met à disposition un réseau publicitaire impliquant des contrats commerciaux, estime un avocat aux commandes d’une demande d’action collective.

Quelques cas répertoriés sur Facebook

Publié à 5h00

Partager


Charles-Éric Blais-Poulin
Charles-Éric Blais-Poulin Équipe d’enquête, La Presse

Épidémie de fausses nouvelles

IMAGE TIRÉE D’UNE CAPTURE D’ÉCRAN, LA PRESSE

Exemple de fausse nouvelle mettant en vedette Maripier Morin

Ces jours-ci, la plateforme relaie par l’entremise de sa bibliothèque publicitaire de fausses nouvelles mettant en vedette Maripier Morin et Karine Vanasse dans un environnement usurpant l’image de différents médias québécois. Le but est d’appâter des usagers vers des plateformes d’investissement bidon. Des personnalités comme Marie-Claude Barrette, Normand Brathwaite, Émilie Bégin et Régis Labeaume ont tour à tour goûté à la médecine des usurpateurs.

Les nombreuses doléances d’usagers, de vedettes et de médias ne sont pas venues à bout du stratagème, qui est apparu il y a plus de trois ans avec le milliardaire Elon Musk comme appât principal.

Au Québec, une demande d’action collective a été déposée par BGA Avocats en avril 2023 après qu’une des victimes a perdu environ 1 million. Une seconde requête, qui inclut non seulement les utilisateurs fraudés, mais aussi les personnalités lésées, a été soumise par le cabinet Derhy en mars 2024. Un arbitre devra décider laquelle des demandes sera soumise à l’approbation du tribunal.

Meta ne peut pas plaider que Facebook est un simple hébergeur lorsqu’il met à disposition un réseau publicitaire impliquant des contrats commerciaux, croit l’avocat Gérard Samet, aux commandes de la demande déposée par Derhy. « À partir du moment où Facebook laisse passer des publicités qui sont en fait des appels à l’escroquerie, avec des renvois vers des sites falsifiés, je considère que Facebook ne respecte même pas ses propres conditions, ses propres normes. »

Selon Me Samet, il ne s’agit pas pour le tribunal de trancher quant à la responsabilité d’un réseau social, mais plutôt quant à celle « d’un support, quel qu’il soit, qui accepte de la publicité ». Un tel support professionnel « devrait vérifier que la publicité ne comporte pas une atteinte à un certain nombre de droits des gens qui la consultent », fait-il valoir.

De faux profils par millions

Chaque semaine, l’expert en cybersécurité Terry Cutler doit se battre avec Meta pour faire retirer des comptes qui usurpent son identité. Certains « Terry » de fortune marchandent des services factices, tandis que d’autres organisent des concours frauduleux.

Malgré de nombreux signalements, « les comptes restent actifs, ou bien s’ils finissent par être bloqués, d’autres reviennent aussitôt », regrette le spécialiste montréalais de renommée internationale. « Ça devrait être facile de voir des manipulations suspectes à des comptes, par exemple grâce à l’adresse IP avec laquelle les modifications sont faites. »

IMAGE TIRÉE D’UNE CAPTURE D’ÉCRAN, LA PRESSE

Faux profil du pirate informatique éthique Terry Cutler

En 2021, le Montréalais a vu son identité usurpée dans le cadre d’une arnaque amoureuse sur Facebook Rencontres, un contre-emploi aussi ironique que dramatique. Le nom et la photo du pirate informatique éthique ont été utilisés par un fraudeur pour soutirer 40 000 livres sterling (environ 70 000 $) à une Britannique qui croyait avoir trouvé l’amour.

Terry Cutler, mis au courant du stratagème par la victime, a signalé le compte à Facebook. Réponse reçue à l’époque : le faux profil « ne contrevient pas aux standards de la communauté ».

Le ratio de faux comptes sur la plateforme de Meta oscille entre 5 et 50 % selon les sources. Meta indique avoir retiré 691 millions d’entre eux seulement pour le dernier trimestre de 2023. Combien subsistent ? Impossible de le savoir.

Le bordel Marketplace

Depuis plusieurs mois, des dizaines de faux comptes profitent de la popularité de l’humoriste Simon Leblanc pour vendre des billets frauduleux sur Marketplace.

Le Service de police de Sherbrooke a décrit le stratagème au début du mois de mai sur Facebook : « Il y a échange de courriels et messages. Par la suite, le vendeur demande un virement Interac. Dès que le transfert d’argent est fait, le vendeur bloque l’acheteur et disparaît des médias sociaux. »

PHOTO ANDRÉ PICHETTE, ARCHIVES LA PRESSE

L’humoriste Simon Leblanc

Dix mois après les premiers signalements recensés par La Presse, soit en septembre 2023, les fraudeurs qui vendent des billets factices de Simon Leblanc sont encore actifs sur les plateformes de Meta, avons-nous constaté.

Les salles de spectacles doivent elles-mêmes prendre des mesures pour combattre le fléau. « Pour contrer la revente illégale et protéger notre clientèle, aucun billet PDF ne sera émis pour [le] spectacle » de Simon Leblanc, indique par exemple le Grand Théâtre de Québec pour des représentations à l’automne prochain.

Faux billets de spectacles, fraudes au logement, vente de produits contrefaits, paiements à l’avance par cartes-cadeaux : le nombre de plaintes concernant des arnaques sur Marketplace a bondi de 825 % de 2020 à 2023, selon des données de la Sûreté du Québec d’abord publiées dans Le Journal de Québec.

Facebook, Marketplace et Messenger, toutes sous le giron de Meta, comptent pour 94 % des dossiers ouverts l’an dernier – 1027 sur 1087 – en matière de fraudes dans les petites annonces en ligne.

Le groupe « Fraude marketplace, dénoncer », qui compte quelque 2500 membres, a lui-même été ciblé par des fraudeurs qui cherchaient des internautes jugés « vulnérables » parce qu’ils avaient déjà été arnaqués, raconte Marco Jesus, l’un des administrateurs de la page qui répertorie les fraudes québécoises sur Facebook.

Le modérateur constate une forte augmentation des escroqueries dans la dernière année. « Facebook, c’est rendu une trop grosse machine, observe-t-il. Je signale régulièrement des annonces, des faux profils. On répond presque chaque fois qu’ils respectent les standards, alors que ce sont clairement des arnaques. »

Résumé

Une nouvelle tactique de fraude liée aux virements bancaires à Québec

Par Victoria Baril, Le Soleil

15 août 2024 à 15h30|

Mis à jour le15 août 2024 à 22h43

1

Pour protéger ses fonds, la victime est invitée à se faire un virement Interac à elle-même.

Pour protéger ses fonds, la victime est invitée à se faire un virement Interac à elle-même. (Simon Séguin-Berrand/Archives Le Droit)

Adeptes des virements par Interac, soyez vigilants! La police de Québec observe une nouvelle tactique de fraude bien active dans la région.


Depuis la mi-juillet, une quinzaine de signalements ont été faits à la police de Québec concernant une fraude du faux représentant bancaire. Tous rapportent un modus operandi particulier qui implique que la victime se fasse un virement à elle-même.

Dans ce stratagème, le fraudeur, qui se présente faussement comme l’employé d’une institution financière, convainc sa victime que son compte bancaire est compromis, explique Pierre-Olivier Lévesque, porte-parole du Service de police de la Ville de Québec (SPVQ).



Pour protéger ses fonds, la victime est invitée à se faire un virement Interac à elle-même. Le fraudeur justifie cette demande en disant que la carte bancaire de sa victime sera bloquée et qu’un virement est nécessaire pour transférer les fonds dans la nouvelle carte.

Au téléphone, le fraudeur dit à la victime d’inscrire une réponse à la question de sécurité en particulier. Avec cette réponse en main et quelques connaissances en informatique, le fraudeur sera en mesure d’encaisser lui-même le virement et dérober l’argent.


Vigilance

Pour éviter que plus de victimes tombent dans le panneau, la police de Québec souhaite aviser la population de ce nouveau stratagème.

«Une institution financière ne va jamais vous demander de vous faire un virement à vous-même», rappelle Pierre-Olivier Lévesque.

Les citoyens sont appelés à faire preuve de vigilance. Les fraudeurs peuvent modifier l’affichage de leur numéro de téléphone pour le nom d’une institution bancaire. «En cas de doute, raccrochez et rappelez votre institution bancaire», recommande le porte-parole.

La SPVQ rappelle que les fraudeurs sont créatifs et convaincants. Il est important de ne pas céder à la pression.

Je publie cet article purement à titre d’information technologique, car je ne suis sûrement pas le seul qui se pose des questions et qui voudrais comprendre les nouveaux dangers qui menacent la société civile. J’ajouterais que je réprouve fortement, indépendamment du contexte, ce genre d’action offensif qui représente une dangereuse escalade, brutale, immorale et aveugle vis à vis de la vie humaine.

Résumé

Des téléavertisseurs trafiqués pour exploser à distance

PHOTO ANWAR AMRO, AGENCE FRANCE-PRESSE

Une ambulance traverse Beyrouth après l’explosion simultanée de téléavertisseurs au Liban, mardi.

Les téléavertisseurs qui se sont transformé en engins explosifs et qui ont provoqué la mort d’au moins neuf personnes au Liban, mardi, auraient été fabriqués à Taïwan puis trafiqués par Israël avant leur livraison au Hezbollah libanais, selon des sources américaines citées par le New York Times. De 28 à 55 grammes d’explosifs auraient ainsi été ajoutés à chacun de ces appareils, évidemment à l’insu de leurs destinataires.

Mis à jour hier à 23h03

Partager


Alain McKenna
Alain McKenna La Presse

L’opération est, en soi, un exploit technique qui démontre la capacité technologique « très sophistiquée » de l’État d’Israël, disent les experts. Selon le New York Times, le Hezbollah aurait commandé des centaines d’exemplaires de quatre modèles de téléavertisseurs de la société taïwannaise Gold Apollo. Les appareils auraient été interceptés pour y ajouter des explosifs et un détonateur pouvant être activé à distance.

Ces téléavertisseurs ont explosé en simultané dans différentes régions du Liban et ont tué ou blessé des milliers de personnes. « Ce ne sont pas des pagettes normales qui font ça », avait d’ailleurs affirmé un peu plus tôt mardi à La Presse Michel Juneau-Katsuya, ancien agent du Service canadien du renseignement de sécurité (SCRS) et expert en sécurité nationale.

Selon M. Juneau-Katsuya, la communauté internationale devrait réagir vivement à « cet acte répréhensible. »

Ça démontre le niveau de sophistication technologique [derrière l’explosion]. Ça démonte aussi un esprit guerrier féroce, qui fait peu de cas de la vie des civils.

Michel Juneau-Katsuya, ancien agent du Service canadien du renseignement de sécurité (SCRS)

Ce n’est pas non plus le premier acte du genre dans la région. Il y a quelques années, un dirigeant du Hezbollah avait vu son téléphone cellulaire lui exploser au visage. Le coup des téléavertisseurs n’est qu’une version un peu plus sophistiquée de cet évènement.

Lisez « Explosion de téléavertisseurs : neuf morts et près de 2800 blessés au Liban »

D’objet connecté à cyberarme

Faire exploser à distance un objet connecté n’est pas si inédit et pourrait même devenir plus répandu. Des experts en cybersécurité ont prévenu dès 2022 qu’il était « extrêmement facile de transformer n’importe quel objet connecté en cyberexplosif ».

« Si vous voyez des objets connectés se mettre à exploser sans avertir, rappelez-vous que vous avez vu pour la première fois comment faire ici, à DefCon 2022 », avaient déclaré sur scène à Las Vegas en août 2022 deux programmeurs de la société technologique californienne Synack. L’entreprise possède un réseau de « pirates à chapeau blanc », ou pirates « éthiques », des spécialistes en cybersécurité qui inspectent les nouvelles technologies en quête de failles de sécurité à colmater.

Sans le savoir à ce moment, deux de ces spécialistes, Patrick Wardle et Colby Moore, ont démontré comment il était techniquement possible de réaliser, à faible coût et avec très peu de moyens techniques, une attaque à distance comme celle qui a impliqué des membres du Hezbollah libanais.

La différence est que plutôt que des téléavertisseurs, la démonstration des deux experts en cybersécurité tournait autour de caméras vidéo à connexion WiFi de la marque DropCam (devenue depuis la propriété de Google)1.

Dans leur exemple, un individu reçoit par la poste une caméra vidéo en apparence tout à fait banale. Il la déballe, l’installe dans son logement et la connecte à l’internet. Deux minutes plus tard, l’appareil explose et déclenche un incendie dans l’appartement.

« Il est possible d’ajouter quelques composants matériels seulement à n’importe quel objet connecté – et ça en fera une cyberarme. »

Un moyen de communication « sûr »

Les téléavertisseurs étaient des outils de communication populaires au courant des années 1980 et 1990 qui ont depuis été remplaces par la téléphonie mobile. Ils sont néanmoins encore utilisés dans certaines situations précises, comme au sein du réseau québécois de la santé.

Leur portée sans fil peut être supérieure au téléphone et ils peuvent être plus efficaces pour communiquer une urgence spécifique à leur porteur. « L’alerte ne se perd pas parmi toutes les autres qu’on peut recevoir sur un téléphone », dit l’expert québécois en cybersécurité Steve Waterhouse.

Cela dit, un tel appareil, s’il n’est pas modifié, ne peut pas exploser avec force, précise M. Waterhouse. L’exemple du Defcon 2022 prouve qu’il faut avoir trafiqué au préalable l’appareil pour contenir le matériel requis pour provoquer des dégâts importants à la réception d’un signal précis.

Ce ne sont pas des téléavertisseurs normaux dans lesquels on a simplement fait surchauffer la batterie.

Steve Waterhouse, expert en cybersécurité

Sans explosif, le résultat serait probablement plus près de l’épisode des téléphones Samsung survenu en 2016, et dont la batterie surchauffait2 : de la fumée s’échappe de l’appareil, ou la batterie gonfle, autant de signes précurseurs d’une batterie qui surchauffe, bien avant qu’elle n’explose.

L’expert en cybersécurité se veut donc rassurant pour les propriétaires d’un téléavertisseur au Québec. « La question est surtout de savoir qui distribue les téléavertisseurs », dit-il. « S’il s’agit d’une personne de confiance, il n’y a pas de raison de s’inquiéter. »

1. Visionnez la conférence de Patrick Wardle et Colby Moore au Defcon 2022 (en anglais) 2. Lisez « Samsung rappelle un million de téléphones pour risque d’explosion »

1 Like