Post on 20-Oct-2014
description
Colloque de la sécurité de l'information pour des membres de l'Université LavalOctobre 2013
Copyright © 2013 - PR4GM4
Vol d’identitéVol d’identité
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Introduction - VidéoIntroduction - Vidéo
http://www.takethislollipop.com/
3
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
IntroductionIntroduction
3
Source: http://www.lapresse.ca/le-soleil/affaires/zone/securite-de-linformation/201310/13/01-4699388-perte-de-donnees-personne-nest-a-labri.php?utm_categorieinterne=trafficdrivers&utm_contenuinterne=cyberpresse_B9_affaires_3004_section_POS1
La sécurité de l'information en entreprise dépend des décisions prises par les gestionnaires et du respect des règles par l'ensemble des employés. Dans la majorité des cas, les brèches dans la sécurité dépendent des gens à l'interne, par négligence ou par inconscience et non à la suite d'un acte de piratage.
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
IntroductionIntroduction
4
Source: http://www.lapresse.ca/actualites/justice-et-affaires-criminelles/201310/13/01-4699346-cybercriminalite-7-millions-de-victimes-au-canada-en-2012.php
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Vol ou usurpation d’identitéVol ou usurpation d’identité
Définition:
L’activité criminelle qui consiste à s’approprier et utiliser l’identité d’une autre personne, physique ou morale, dans le but de commettre une contrefaçon ou une fraude à des fins de profit financier.
5
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Dans la vraie vie : Un jour…Dans la vraie vie : Un jour…
• Message dans ma boite vocale…me demandant de rappeler au 1(888)278-7284 et de donner le numéro suivant : 862084713…
• Hum ! Bizarre! Sceptique… encore de la publicité me dis-je!
• Mais bon… j’appelle car cela m’intrigue et je suis curieux
7
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Bonjour Edgard…de la cambrioleBonjour Edgard…de la cambriole
• Edgard me demande de confirmer l’application de demande de carte VISA……..chez TD…
• Ha! Oui? Hum…bizarre je n’ai jamais appliqué, moi?• Edgard me demande de confirmer les informations
me concernant :• NAS• Date de naissance• No de téléphone de mon employeur à Montréal (hum)• Mon adresse
8
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Merci Edgard…Merci Edgard…
Québec
Compagniesd’enquêtede crédit
Montréal
Banques
8
Christophe
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Qui prévenir rapidement?Qui prévenir rapidement?
• EQUIFAX au 1 (800) 465-7166
• TRANS UNION au 1 (800) 525-3832
• EXPERIAN au 1 (888) 243-6951
• CAC (PhoneBusters) au 1(888) 495-8501
9
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
EQUIFAX, Mercia à l’appareil…
EQUIFAX, Mercia à l’appareil…
Bonjour je m’appelle Christophe, je suis victime d’une tentative de fraude et je vous contacte afin de vous en informer…
Mercia me confirme qu’effectivement ils ont vu passer quelque chose mais pas à mon adresse en date du 28 octobre!
Elle me demande de lui envoyerdes pièces justificatives pour corriger mon adresse!
10
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
TRANSUNION, Maya à l’appareil…
TRANSUNION, Maya à l’appareil…
Bonjour je m’appelle Christophe, je suis victime d’une tentative de fraude et je vous contacte afin de vous en informer…
Protection pour 5 ans…
Retourner les deux lettres…
11
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
EXPERIAN, Thérèse à l’appareil
EXPERIAN, Thérèse à l’appareil
Bonjour je m’appelle Christophe, je suis victime d’une tentative de fraude et je vous contacte afin de vous en informer… … et blablabla.
Note au dossier, nous vous contacterons dès aujourd’hui pour confirmation…
12
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Centre antifraude du Canada, Alain à l’appareil
Centre antifraude du Canada, Alain à l’appareil
Ok, il est souhaitable d’informer aussi:• La police municipale• Vos institutions financières• Faire une vérification 1/an
LA FRAUDEIDENTIFIEZ-LA.SIGNALEZ-LA.ENRAYEZ-LA.
13
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Qui reste-il à prévenir?Qui reste-il à prévenir?
Institution(s) financière(s)
Police (enquête)
Centre Service Canada (NAS)
Revenu Canada & Revenu Québec
14
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Institution(s) financière(s)Institution(s) financière(s)
• On me recommande de mettre un mot de passe à mon compte lorsque j’appelle l’institution… car mes renseignements personnels sont dans la nature!
• La personne me rappelle tout de suite sur mon cellulaire…
• Petit conseil: Profitez-en pour faire une demande de changement de carte VISA ou MasterCard… c’est gratuit!
15
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Police / GRCPolice / GRC
Il faut fournir une lettre prouvant que votre NAS a été utilisé à votre insu… de façon à faire une ouverture d’enquête et fournir le rapport à un centre de service Canada pour obtenir un nouveau NAS.
16
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Si vous êtes victime d'un vol d'identité, vous devriez faire :
Une déclaration de vol d’identité
Victime?Victime?
17
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Qu'est-ce qu'une déclarationde vol d'identité?
Qu'est-ce qu'une déclarationde vol d'identité?
Si vous êtes victime d'un vol d'identité, la déclaration vous aidera à prévenir:
• Les institutions financières
• Les émetteurs de carte de crédit et toutes autres compagnies
• Toutes autres institutions avec lesquelles vous devez transiger
18
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Centre Service CanadaCentre Service Canada
ATENTION: il faut fournir :• une lettre prouvant que votre NAS a été
utilisé à votre insu…de façon à faire une demande de remplacement de NAS.
• une copie du rapport de police (numéro de dossier), lequel doit indiquer que votre NAS a été volé.
19
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
RécapitulatifRécapitulatif
Equifax X X
TransUnion X
Experian X
CAC (PhoneBusters) X
Institution(s) financière(s) X
Police X X
Centre de service Canada X X X
20
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
ActualitéActualité
21
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013http://journalmetro.com/plus/techno/363471/securite-sur-internet-les-moins-de-34-ans-a-risque/
22
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
ActualitéActualité
Source: http://www.journaldemontreal.com/2013/08/08/usurpation-didentite
Plusieurs entreprises, incluant certaines de la région de Salaberry-de-Valleyfield, ont reçu par télécopieur ou par courriel des bons de commande pour renouveler leur inscription dans l’annuaire des Pages Jaunes.
23
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
ActualitéActualité
http://www.radio-canada.ca/emissions/la_facture/2008-2009/Reportage.asp?idDoc=69032
Vol d’identité : Fraude sur lesPac
Le vol d’identité n’a pas de frontière avec Internet. Les consommateurs qui veulent vendre ou acheter sur le web peuvent facilement en être victimes. C’est arrivé récemment chez LesPac.com, le plus important site de petites annonces en ligne au Québec. Une équipe de La Facture dévoile le stratagème qu’a utilisé un fraudeur pour piéger des clients de LesPac.
24
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
ActualitéActualité
25
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
ActualitéActualité
26
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
ContexteContexte
Les citoyens
Les niveaux de gouvernement
Les entreprises privées
Informations
=Renseignements personnels
=Identité
27
78,1 % des Québécois sont
branchés à Internet (Cefrio)
57.4% en 2007
78,1 % des Québécois sont
branchés à Internet (Cefrio)
57.4% en 2007
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Actes criminels reconnusActes criminels reconnus
Le droit criminel couvre plus de 25 infractions en vertu du Code Criminel dont entre autres:• supposition intentionnelle de personne (Art. 403);
• possession d’une carte de crédit volée ou fausse/utilisation non-autorisée de données (Art. 342)
• faux et usage de faux = emploi d’un document contrefait (Arts. 366-368)
• infractions relatives aux registres (incluant les faux certificats de baptême ou de naissance – Art. 378)
http://www.avocatcriminel.ca/blogue/category/absolution/
28
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Légal? Pas légal?Légal? Pas légal?
Attention! Le droit criminel comporte des « lacunes »; les activités suivantes ne sont pas illégales :
• la possession de multiples pièces d’identité
• la possession de renseignements personnels sur une autre personne
• la fabrication ou la possession d’une nouvelle pièce d’identité
http://www.cba.ca/tips/fr/content/consumer/tips/Avril_FR.html
29
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Êtes-vous une victime?Êtes-vous une victime?
Il existe de nombreuses façons de reconnaître que vous êtes une victime de vol d'identité. Voici quelques indices :
• demande de carte de crédit
• vous recevez un appel ou une lettre
• vous recevez des relevés de carte de crédit ou d'autres factures
• vous ne recevez plus vos relevés de carte de crédit
• recouvrement d'un compte impayé à votre nom
30
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
La théorieLa théorie
Le vol d'identité : Pourriez-vous en être victime?
• Jamais ouvert ce compte bancaire
• Jamais commandé une carte supplémentaire
• Lorsque quelqu'un utilise votre nom, numéro d'assurance sociale (NAS), numéro de carte de crédit ou toute autre information relative à votre identité à votre insu, il s'agit tout simplement d'une fraude
31
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Les tendancesLes tendances
Escroqueries diverses ? (autre que le vol d’identité)
1. Attention aux numéros « 900 » 2. Lettres frauduleuses 3. Frais d'emprunt payables à l'avance 4. Conseils aux consommateurs 5. Œuvres de bienfaisance frauduleuses 6. Vol d'identité 7. Héritage 8. Hameçonnage 9. Vous avez gagné un prix 10. Vente pyramidale 11. Récupération de votre argent 12. Voyage
Source: Service Antifraude du Canada
32
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Les tendancesLes tendancesAnnée Nb de vol
d’identité au Canada
Nb de vol d’identité au
Québec
Pertes évaluées
2002 8207 1648 11,8 M$
2003 14594 4113 21.8 M$
2004 11990 3368 19 M$
2005 12864 3108 8.7 M$
2006 14330 3877 15.7 M$
2007 10327 2424 6.4 M$
2008 11541 2477 9.7 M$
2009 11127 1524 10.9 M$
2010 4643 686 9.6 M$
2011 5617 840 13.2 M$
2012 5643 894 16 M$
* mise à jour le 3 septembre 2013, Source: anciennement PhoneBusters….. Maintenant Centre antifraude du Canada
Ratio vs la population :
33
3.17 ‰ 3 ‰
3 victimes / 1000 personnes
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Renseignements personnels:• Nom• Adresse• Numéro de téléphone• Date de naissance• Numéro d’assurance sociale• Information sur la famille• Permis de conduire• Passeport, carte d’assurance-maladie• Certificat de naissance*• Certificat de citoyenneté
Renseignements financiers:• Institutions financières, numéros de comptes bancaires, NIP, numéros de cartes de
crédit, informations sur les placements, rapports d’impôts, etc.• Pour une personne morale: tous renseignements corporatifs, fiscaux et/ou
financiers, etc.
Les renseignements visés = information à protéger
Les renseignements visés = information à protéger
34
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Information à protéger? Oui mais…Information à protéger? Oui mais…
Employeur
Compagniesd’enquêtede crédit Banques &
Assurances
Ministères et organismes SAAQ ARQ MESS Etc.
Notaire
Comptable / agent immobilier
HôpitalCLSCDentiste
Concessionnaires/commerçants
35
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Qui sont les fraudeurs?Qui sont les fraudeurs?
• Tous ceux qui sont de l’autre côté de la barrière…
• Ils passent leur temps à cela…
• Leur objectif est le plus souvent financier…
36
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Méthodes utilisées par les fraudeurs
Méthodes utilisées par les fraudeurs
• Pirate des bases de données gouvernementales et d’entreprises
• Les pêcheurs de poubelles
• La surveillance
37
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Méthodes utilisées par les fraudeurs
Méthodes utilisées par les fraudeurs
• Les «INSIDERS»
• Les offres d’emploi frauduleuses
• La mystification («PHISHING»)
• L’écrémage («CREAMING»)
38
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Mesures préventivesMesures préventives
Protection des renseignements personnels:• Tout déchiqueter;• Ne pas dévoiler mots de passe, NIP, NAS, etc.;
• On n’est pas obligé de donner son NAS (sauf ARQ, Service Canada);
• Attention à l’hameçonnage (phishing) – se renseigner adéquatement avant de répondre;
• Vérifier régulièrement ses dossiers de crédit;
• Ne pas perdre de vue ses cartes de crédit.
39
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
RecommandationsRecommandations
Garder son sang froid
Ne pas avoir peur ne pas se monter un scénario catastrophe
http://www.rcmp-grc.gc.ca/scams-fraudes/victims-guide-victimes-fra.htm
S’armer de patience • attendre• parler au téléphone • prendre des notes
40
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
ConclusionConclusionmieux vaut prévenir que guérir! En…
…protégeant votre information individuellement
…protégeant l’information des autres en tant qu’employé!
41
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
RéférencesRéférences
Site Webhttp://www.rcmp-grc.gc.ca/scams-fraudes/id-theft-vol-fra.htm
http://www.antifraudcentre-centreantifraude.ca/francais/recognizeit_identitythe.html
http://cmcweb.ca/eic/site/cmc-cmc.nsf/fra/fe00078.html
http://www.priv.gc.ca/resource/topic-sujet/itf-vif/index_f.asp
http://www.priv.gc.ca/resource/fs-fi/02_05_d_10_f.asp
http://www.cefrio.qc.ca/netendances/equipement-branchement-2013/
http://www.experiangroup.com/
https://www.econsumer.equifax.ca/ca/main?forward=/view/common/template.jsp&body=/view/home/home.jsp&lang=fr
http://www.creditprofile.transunion.ca/index.jsp?lang=fr&bn=4000&kw=1028
http://www.rcmp-grc.gc.ca/index-fra.htm
http://www.sb-1386.com/
http://www.antifraudcentre-centreantifraude.ca/francais/documents/Annual%202012%20CAFC%20FR.pdf
http://www.rcmp-grc.gc.ca/ci-rc/reports-rapports/spawn/spawn-fra.pdf
42
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Reproduction de ce documentReproduction de ce document
Ce document est diffusé selon les termes de la licence BY-NC-ND du Creative Commons. Vous êtes libres de reproduire, distribuer et communiquer cette création au public selon les conditions suivantes :
• Paternité. Vous devez citer le nom de l’auteur original de la manière indiquée par l’auteur de l’œuvre ou le titulaire des droits qui vous confère cette autorisation (mais pas d’une manière qui suggérerait qu’ils vous soutiennent ou approuvent votre utilisation de l’œuvre).• Pas d’utilisation commerciale. Vous n’avez pas le droit d’utiliser cette création à des fins commerciales.• Pas de modification. Vous n’avez pas le droit de modifier, de transformer ou d’adapter cette création.
Pour toute demande veuillez communiquer avec Christophe Jolivet à cjolivet@pr4gm4.com ou au 418-261-6320. Merci.
43
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
FIN
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Et la sécurité, alors!Et la sécurité, alors!
Les dimensions de la sécurité vu du côté des gouvernements et des entreprises privées
– Juridique– Humaine– Organisationnelle– Technologique
La dimension de la sécurité vu du côté des citoyens– La ceinture de sécurité dans la voiture– La Police– Anti-virus
ImpersonnelRéprimer?, surveiller?,Limiter dans leur « liberté »?
Protéger nos renseignements personnels = identité = l’information
DISPONIBILITÉINTEGRITÉCONFIDENTIALITÉ
57,4 % des Québécois sont
branchés à Internet (Cefrio)
57,4 % des Québécois sont
branchés à Internet (Cefrio)
Enjeu = Services en ligneEnjeu = Services en ligne
45
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Et la sécurité alors!Et la sécurité alors!
Imputabilité
Disponibilité Intégrité
Confidentialité
Information
Garantie d’identifier l’émetteur
Nonmodification24h / 24h
Garantiedu secret
Quadrature des besoins de sécurité
§ Importance
§ Rôle de l’architecture
§ Type de besoins
§ Scellement électronique
§ Confidentialité de base
§ Authentification
§ Non-répudiation
§ Auditabilité
§ Traçabilité
46
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Et la sécurité alors!Et la sécurité alors!
Rappels…
– L'authentification est la procédure qui consiste (pour un système informatique) à vérifier l'identité d'une entité (personne, ordinateur...), afin d'autoriser l'accès de cette entité à des ressources (systèmes, réseaux, applications, institutions financières...).
– L'authentification peut inclure une phase d'identification, au cours de laquelle l'entité indique son identité. Cependant, cela n'est pas obligatoire; il est en effet possible d'avoir des entités munies de droits d'accès mais restant anonymes.
– L'identification permet donc de connaître l'identité d'une entité alors que l'authentification permet de vérifier cette identité.
47
Vol (ou usurpation) d’identité
Copyright © 2013Copyright © 2013
Et la sécurité alors!Et la sécurité alors!
Quatre critères pour s’identifier
• ce que j’ai = carte bancaire, permis, certificat de naissance, etc.
• ce que je connais = NIP, date de naissance, NAS, nom d’employeur, etc.
• qui je suis = Christophe en personne, empreinte, visage, iris, etc. (biométrie).
• Ce que je sais faire = geste, signature, etc.
Niveau d’authentification
Forte = 2 critères d’identification au moins(salle des serveurs = carte+NIP)
48