En 1995, lorsque Sandra Bullock a joué dans le film *The Net*, l’usurpation d’identité semblait être un concept nouveau et presque incroyable. Cependant, le monde a considérablement évolué depuis. À partir de 2017, environ 17 millions d’Américains sont victimes de fraude d’identité chaque année, ce qui souligne l’ampleur du problème.
L’usurpation d’identité : un problème sérieux
Les actes d’usurpation d’identité prennent diverses formes, allant du piratage informatique qui permet de voler vos informations d’identification pour accéder à vos comptes, jusqu’à l’utilisation de votre identité financière à votre insu. Des individus peuvent se trouver à des milliers de kilomètres et engager des dépenses sur votre carte de crédit ou contracter des prêts en votre nom.
Pour vous donner une idée plus précise, la FTC décrit des scénarios où un escroc obtient une carte de crédit à votre nom, envoie la facture à une autre adresse et, bien évidemment, ne la règle jamais. Il peut aussi utiliser vos données personnelles pour s’approprier votre remboursement d’impôt ou même se faire passer pour vous en cas d’arrestation.
Il peut s’avérer extrêmement compliqué de se dépêtrer d’une situation d’usurpation d’identité, tant sur les plans juridique que financier. Les préjudices causés à votre historique de crédit peuvent avoir des répercussions durables. Dans ce contexte, il est clair qu’une petite dose de prévention vaut bien mieux qu’une montagne de remèdes.
Comment votre identité peut être subtilisée
Malheureusement, votre identité est une cible facile, accessible de multiples manières. Dans le monde physique, les criminels peuvent voler le courrier dans les boîtes aux lettres ou fouiller les poubelles, où l’on trouve souvent des offres de crédit et des informations financières personnelles (d’où l’utilité d’un destructeur de documents). Les dispositifs de skimming installés sur les pompes à essence peuvent capturer les informations de votre carte de crédit, tout comme le personnel de certains restaurants. Récemment, un caissier a été arrêté pour avoir mémorisé les données de 1300 cartes de crédit.
Le monde en ligne présente des dangers encore plus grands, malgré une sensibilisation croissante aux techniques de piratage les plus flagrantes. Si les sites web de vente au détail non sécurisés (ceux commençant par «http» plutôt que «https») sont de moins en moins nombreux, il est essentiel de rester vigilant.
Les campagnes de phishing, de plus en plus sophistiquées, visent à inciter les individus à divulguer leurs informations personnelles via des courriels frauduleux à l’apparence crédible. De nouvelles escroqueries émergent constamment.
« Les applications de rencontres en ligne représentent une autre arnaque très répandue », explique Whitney Joy Smith, présidente de Smith Investigation Agency. « Les escrocs ciblent des personnes vulnérables pour nouer une relation. Ensuite, ils demandent de l’argent ou obtiennent suffisamment d’informations personnelles pour commettre une fraude d’identité. »
Enfin, il existe des techniques de piratage plus anciennes, comme le vol de bases de données contenant des informations personnelles.
Comment vous protéger
« À moins que vous ne soyez prêt à prendre des mesures drastiques, comme renoncer à toute technologie et partir vivre en Amazonie au sein d’une tribu isolée, il est quasiment impossible d’atteindre une confidentialité totale », regrette Fabian Wosar, directeur technique chez Emsisoft. Il reconnaît toutefois l’existence de précautions raisonnables et pragmatiques que chacun peut adopter.
Nombre de ces mesures font partie des pratiques habituelles de cybersécurité dont vous avez entendu parler depuis des années. Pour être véritablement protégé, il est essentiel d’appliquer ces conseils de manière régulière. L’usurpation d’identité est généralement un crime de commodité et d’opportunité ; votre objectif est donc de devenir la cible la moins attractive possible.
Bien qu’il soit préférable de prendre le plus de précautions possibles, tout le monde ne fera pas preuve d’une vigilance extrême. Nous avons donc classé les mesures de protection en trois niveaux : le bon sens (ce que tout le monde devrait faire), la sécurité accrue (pour les plus avertis) et la mentalité bunker (pour ceux qui sont prêts à des mesures extrêmes).
Précautions d’usage courant
Si vous ne respectez pas ces consignes, c’est comme si vous laissiez votre porte d’entrée non verrouillée et votre voiture tourner au ralenti devant chez vous :
Utilisez des mots de passe robustes : Un mot de passe robuste combine généralement des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. La réalité est que plus votre mot de passe est long, plus il sera difficile à décrypter. XKCD a fait un excellent travail d’explication.
Utilisez un mot de passe unique pour chaque site et service : Cela devrait aller de soi, mais beaucoup continuent de réutiliser leurs mots de passe. Le problème est que si vos identifiants sont compromis sur un site, les pirates peuvent facilement les réutiliser sur des milliers d’autres sites. Selon Verizon, 81 % des violations de données sont causées par des mots de passe compromis, faibles ou réutilisés.
Utilisez un gestionnaire de mots de passe : Un outil comme Dashlane ou LastPass est indispensable pour assurer votre sécurité en ligne. Selon Dashlane, l’internaute moyen possède plus de 200 comptes numériques nécessitant des mots de passe. La société prévoit que ce chiffre doublera pour atteindre 400 dans les cinq prochaines années. Il est pratiquement impossible de gérer un tel nombre de mots de passe robustes et uniques sans un outil dédié.
Méfiez-vous du Wi-Fi public : Ne vous connectez pas à un réseau Wi-Fi public gratuit sans être certain de sa fiabilité. Il existe des réseaux configurés spécifiquement pour surveiller votre trafic. Si vous utilisez un ordinateur public ou partagé (par exemple, pour imprimer votre carte d’embarquement en voyage), ne permettez pas au navigateur de mémoriser vos identifiants. Effacez le cache une fois que vous avez terminé.
Sécurité renforcée
Comme le dit l’adage, il n’est pas nécessaire de courir plus vite que l’ours, il suffit de distancer son compagnon. En adoptant ces bonnes pratiques de sécurité, vous serez bien plus avancé que la majorité des internautes :
Ne vous connectez jamais à d’autres sites via votre profil de réseau social : Lorsque vous vous inscrivez sur un nouveau site, vous avez souvent la possibilité de vous connecter avec votre compte Facebook ou Google. Bien que pratique, cette méthode vous expose de différentes manières en cas de violation de données. Selon Pankaj Srivastava, directeur des opérations de la société spécialisée dans la confidentialité Fig Leaf, vous risquez de « donner au site l’accès aux informations personnelles contenues dans votre compte de connexion ». Il est toujours préférable de s’inscrire avec une adresse e-mail.
Activez l’authentification à deux facteurs : Cette mesure empêche les acteurs malveillants de prendre le contrôle de vos comptes en utilisant une réinitialisation de mot de passe. Avec l’authentification à deux facteurs, ils doivent accéder non seulement à votre compte de messagerie, mais également à votre téléphone. Vous pouvez même aller plus loin (voir les conseils de la section « bunker » ci-dessous).
Minimisez votre empreinte sur les réseaux sociaux : Les réseaux sociaux sont un environnement de plus en plus risqué. N’acceptez pas les demandes de connexion ou d’amis émanant de personnes que vous ne connaissez pas. Les acteurs malveillants utilisent cette approche pour mener des campagnes de phishing ou pour attaquer vos contacts via votre profil.
Soyez conscient de ce que vous partagez sur les réseaux sociaux : « Plus vous publiez d’informations sur vous, plus un pirate informatique en apprend sur vous », explique Otavio Friere, directeur technique chez SafeGuard Cyber. « Plus vous êtes une cible facile. » Votre profil Facebook peut contenir suffisamment d’informations (adresse e-mail, école, ville natale, situation amoureuse, profession, centres d’intérêt, opinions politiques, etc.) pour qu’un criminel puisse appeler votre banque, se faire passer pour vous et convaincre un employé du service client de réinitialiser votre mot de passe. Simon Fogg, expert en confidentialité des données chez Termly, précise : « En plus d’éviter d’utiliser votre nom complet et votre date de naissance sur votre profil, réfléchissez à la manière dont toutes vos informations s’interconnectent. Même si vous ne partagez pas votre adresse personnelle, votre numéro de téléphone peut être utilisé pour la retrouver. Combiné à des photos géolocalisées, vous pourriez être surpris de la part de votre vie quotidienne que vous exposez à des inconnus et de votre vulnérabilité face à des menaces. »
En mode « bunker »
Les précautions de sécurité que vous pouvez prendre sont pratiquement illimitées ; nous n’avons même pas abordé l’utilisation d’un navigateur TOR, ni la nécessité de protéger la confidentialité des informations WHOIS de votre site web (si vous en possédez un). Si vous appliquez déjà toutes les recommandations des sections précédentes, ces mesures supplémentaires devraient vous placer parmi les 1 % des internautes les plus prudents :
N’utilisez jamais votre numéro de téléphone pour l’authentification à deux facteurs : « Les téléphones peuvent être clonés », souligne Steve Good, consultant en offres initiales de pièces de monnaie (ICO). Cela rend votre deuxième facteur d’authentification moins sûr que vous ne le pensez. Heureusement, il est facile de configurer Google Authenticator ou Authy pour centraliser tous vos besoins en matière d’authentification à deux facteurs.
Cryptez vos clés USB : Comment transférer des fichiers d’un ordinateur à un autre ? À l’aide de clés USB, bien entendu. Ces appareils constituent souvent le maillon faible de votre dispositif de sécurité. Si vous perdez une clé, n’importe qui peut récupérer et lire son contenu. Vous pouvez crypter des fichiers individuels, mais une solution plus efficace consiste à crypter l’ensemble de l’appareil. Kingston propose une gamme de clés DT2000, d’une capacité de 8 à 64 Go. Elles sont dotées de claviers numériques intégrés et protègent vos données grâce à un cryptage matériel AES 256 bits sur l’intégralité du disque, sans logiciel supplémentaire.
Utilisez un réseau privé virtuel (VPN) : L’utilisation d’un VPN vous permet de vous connecter à Internet (au moins en partie) de manière anonyme. C’est particulièrement utile lorsque vous utilisez un Wi-Fi public, mais cela peut également être pertinent à domicile. « Un VPN masque votre adresse IP et votre emplacement », explique Srivastava. « Il donne l’impression que vous naviguez à partir d’un endroit totalement différent. Vous pouvez être dans un café de Boston, mais d’autres personnes penseront que vous naviguez depuis Sydney, en Australie, ou n’importe quel endroit que vous avez choisi de simuler. » Cependant, il est important de choisir un VPN qui ne conserve pas de journaux, car cela pourrait permettre d’identifier votre identité et vos activités en ligne.
Surveillez-vous : « Un examen régulier de votre présence en ligne vous aidera à identifier la quantité d’informations personnelles publiques vous concernant », indique Fogg. Il est facile de créer des alertes Google pour surveiller ce qu’Internet sait de vous.