Quiconque fait des affaires sous forme électronique court le risque d'être la cible de fraude. Selon les statistiques sur le sujet, neuf fois sur 10, c'est le secteur financier qui est visé par les pirates informatiques. Hameçonnage, espiogiciels, vol d'identité, ces menaces aux noms évocateurs n'ont toujours pas disparu, au contraire.
La semaine dernière, des chercheurs de l'Université du Michigan révélaient que le site web de 76% des institutions financières américaines comportait des failles de sécurité. Une situation qui encourage les cybercriminels à redoubler d'efforts et à inonder la Toile de messages frauduleux, de faux sites web et de logiciels espions.
Chez nos voisins du Sud, trois sites bancaires sur quatre n'utilisent pas de page entièrement sécurisée pour l'identification de leurs usagers, redirigent sur le site d'une autre entreprise sans avertissement ou utilisent le numéro d'assurance sociale ou l'adresse courriel de leurs clients comme nom d'usager. Sans être majeures, ces pratiques sont autant d'outils que peuvent utiliser des cybercriminels pour accéder au compte de véritables usagers de ces sites.
Hameçonnage en hausse
Évidemment, ça a un impact jusque dans la messagerie électronique des internautes canadiens, car malgré une meilleure connaissance du phénomène et une prévention accrue, le secteur financier canadien n'a pas vu de relâchement au chapitre de la cybercriminalité.
«Au niveau de l'envoi de courriels de type hameçonnage, on en voit toujours autant», confirme Nathalie Genest, porte-parole du Mouvement Desjardins.
«La réaction des internautes a changé, note-t-elle cependant. Les gens sont mieux renseignés et la valeur des fraudes diminue.»
Le hameçonnage, ces courriels frauduleux imitant des directives provenant d'une institution bancaire, mais redirigeant l'internaute vers un autre site où le code d'accès est récupéré par d'éventuels pirates informatiques, n'est pas en baisse. Le Groupe de travail contre l'hameçonnage (Anti-Phishing Working Group, ou APWG), qui regroupe 3000 sociétés du secteur informatique et financier, a constaté une hausse du nombre de tentatives d'hameçonnage en 2008, à la fois à partir de sites web imitant celui d'une institution, et à partir de logiciels espions installés sur l'ordinateur personnel de la victime.
Pour expliquer cette hausse, l'organisme estime que les pirates informatiques derrière ces sites utilisent de nouveaux outils automatisés plus efficaces. Ils ont aussi changé la façon dont ils recueillent l'information soutirée des internautes imprudents, afin de contourner la protection intégrée aux nouveaux fureteurs web, comme Internet Explorer, de Microsoft, ou Firefox, de Mozilla.
Double vérification
Depuis le début de l'année, les institutions canadiennes ont implanté de nouvelles mesures visant à éliminer cette menace et ont amélioré la façon dont elles identifient les usagers qui désirent accéder à leurs services en ligne.
Ainsi, depuis janvier dernier, la méthode d'identification des usagers sur le site web des Caisses Desjardins, AccèsD, comporte trois étapes d'identification. Le système s'assure que l'internaute est le bon. Inversement, l'internaute peut lui aussi reconnaître qu'il s'agit bel et bien du site AccèsD, et non d'une imitation. Le truc est simple: l'utilisateur inscrit une phrase personnalisée et choisit une image qui s'afficheront par la suite chaque fois qu'il s'enregistre sur le site. S'il ne les retrouve pas, c'est que le site sur lequel il se trouve n'est pas le bon.
Inversement, le site identifie l'ordinateur à partir duquel l'internaute tente de se connecter. Si c'est toujours le même ordinateur, il ne demandera que le mot de passe, mais si l'internaute passe par un autre appareil (un second ordinateur ou même un téléphone intelligent), il demandera automatiquement une seconde preuve d'identification, parmi une liste de questions-réponses établies précédemment par l'utilisateur.
En personnalisant ce processus, l'institution complique la tâche des pirates, qui peuvent plus difficilement le reproduire de façon identique. «C'est bon dans les deux sens, estime Mme Genest. On s'assure que c'est le bon client, et le client s'assure que c'est le bon site web.»
|
Commenter
 Vous désirez commenter cet article? Vous devez posséder votre Visa Cyberpresse
| |||
|
Un petit truc en passant. Lorsque vous entrez sur un site non reproduit, (sécuritaire), Vous devriez voir dans votre barre en haut où le site est inscrit https. le ''s'' à la fin est très important car il indique 'sécurité'. Les sites frauduleux ne l'on pas. C'est un petit détail qui vaut la peine d'être pris en considération.
anniep, 30 juillet 2008 à 11h27
Je suis un agent de service à la clientèle dans une institution financière. Des appelles aux niveaux de la sécurité j'en déjeune,dîne et soupe tout les jours. Beaucoup de gens se plaignent et d'autre meme menace de fermer leurs compte. Sachez que la sécurité n'est pas a négocier et qu'il suffit de s'adapter si vous tenez à vos sous. Sachez que plusieurs site prendrons cette direction! Prennez le temps de vous adapter s'il vous plaît.
jayb, 30 juillet 2008 à 17h29
En réponse à Annie, attention au proxy! Un proxy dans un cybercafé par exemple peu très facilement vous proposer une connexion sécurisé (entre votre poste et lui) et être ainsi en mesure de voir en clair tout vos communications, qui auront la mention "sécurisées/https". Il faut être très vigilant lorsqu'on accepte un certificat.
cybnomix, 31 juillet 2008 à 05h27
En réponse à Annie, attention au proxy! Un proxy dans un cybercafé par exemple peu très facilement vous proposer une connexion sécurisé (entre votre poste et lui) et être ainsi en mesure de voir en clair tout vos communications, qui auront la mention "sécurisées/https". Il faut être très vigilant lorsqu'on accepte un certificat.
cybnomix, 31 juillet 2008 à 05h28
J'apprécie fortement les mesures mises en place par Desjardins. C'est ingénieux, simple et non intrusif.
sylvainmtl, 31 juillet 2008 à 11h54
les mesures entreprises par les institutions financieres pour contrer les fraudes restent insuffisantes quelques soient leurs techniques, parce que deja, le fait de divulguer les moyens utilises en informant le consommateur, c'est un piege qui pousse ces pirates en informatiques d'aller creuser leurs menages pour trouver l'anti-dot.
J'estime que si une institution financiere deploie des efforts pour assurer a ses clients une securite optimum de leur compte, il faut neanmois que cette securite reste secrete. De quoi se poser la question suivante: Doit-on tout dire a nos clients? Moi, personnellement, je ne fais point confiance a ces technologies car les pirates eux sont plus intelligents. Le mieux serait que les institutions financieres reviennent a ces methodes traditionnelles, LE GUICHET. fatinekabbaj, 31 juillet 2008 à 12h04
J'abonde dans le même sens que sylvainmtl. Simple et plus sécuritaire. Plus nous érigeons des obstacles devant ces "envahisseurs", plus nous y gagnons en sécurité.
frissons, 31 juillet 2008 à 16h08
fatinekabbaj, la sécurité par l'obscurité n'a jamais mené à une bonne sécurité. En restant muet, une faille béante de conception peut longuement passer inaperçue puis exploitée à souhait par des organisations frauduleuses. En dévoilant ses moyens, les institutions démontrent leur confiance en leurs systèmes tout en prouvant qu'ils respectent bel et bien les promesses de sécurité. C'est facile de clamer d'être sécuritaire, c'est plus difficile de réellement l'être. Oui, cela peut donner des pistes de solution aux pirates (juste avec cet article, je vois deux façons potentielles de contourner les nouvelles dispositions d'AccèsD), mais cela force également les institutions à innover et rendre ainsi leurs systèmes encore plus blindés. La recherche de la sécurité optimale n'est pas une quête passive, mais plutôt active.
Tant qu'à ne faire confiance qu'aux guichets, aussi bien revenir à l'argent papier dans un coffre-fort à la maison, puisque les guichets sont loin d'être une référence côté sécurité... Wrawrat, 01 août 2008 à 09h08
D'accord avec anniep, il faut observer les indices. Entre autres maintenez active en tout temps votre bar d'état dans votre fureteur et notez l'adresse affichée lorsque vous pointez un lien URL avant même de cliquer:
ex: http://desjardins.com.jeveuxvotreargent.net/ vous mène vers le site jeveuxvotreargent.net et non desjardins.com. L'adresse URL se lit de droite à gauche à partir du premier oblique rencontré à droite de http://.../. noiram50, 01 août 2008 à 14h11
|
 Envoyer |
 Imprimer |
 Retour |
 Haut |
 Partager:
|
Facebook
|
digg
|
del.icio.us
|
Google
|
Qu'est-ce? |
Nouvelles
Technaute vous suggère de lire
Publicité
; "Clavier")
;){kind=small}
