Symbole du gouvernement du Canada

Hameçonnage: une nouvelle forme de vol d'identité

Le terme hameçonnage et ses synonymes appâtage et pêche aux données personnelles (phishing en France) décrivent une technique d'escroquerie dont se servent les voleurs d'identité pour obtenir d'un bassin d'internautes peu méfiants des renseignements personnels à des fins criminelles, notamment la fraude. L'hameçonnage est un terme général qui définit la création et l'utilisation, par des criminels appelés hameçonneurs, de courriels et de sites Web d'apparence officielle « représentant » des entreprises, des établissements financiers et des organismes gouvernementaux légitimes et reconnus, dans le but d'obtenir des renseignements personnels, financiers et de nature délicate. Ces criminels réussissent à convaincre les internautes de divulguer des renseignements sur leurs comptes financiers et bancaires ou d'autres renseignements personnels comme leurs noms d'utilisateur et mots de passe.

Le ministère de la Sécurité publique et de la Protection civile du Canada et le département de la Justice des États-Unis publient conjointement le présent rapport spécial visant à informer le public sur les risques qu'ils court en répondant à des courriels et en visitant des sites Web d'hameçonnage, et sur les démarches qu'il devrait entreprendre s'il voit des courriels ou des sites Web qu'il soupçonne de servir à cette fin.

Faits

Depuis 2003, les responsables de l'application de la loi, les entreprises et les internautes ont remarqué une importante croissance des cas d'hameçonnage. L'utilisation à des fins illicites de l'image et des logos d'établissements financiers, d'entreprises et d'organismes gouvernementaux légitimes et reconnus en Amérique du Nord, en Europe et dans la région Asie-Pacifique devient de plus en plus courante. Un organisme des États-Unis, le Anti-Phishing Working Group (groupe de travail contre l'hameçonnage), a signalé que 1 974 cas précis d'hameçonnage ont été déclarés en juillet 2004, ce qui représente une augmentation de 1 100 % du nombre de cas déclarés en janvier 2004.

Comment s'y prennent les hameçonneurs

À première vue, les courriels hameçons, ainsi que les sites Web qui y sont rattachés, peuvent sembler entièrement légitimes. Un des cas récemment signalés aux États-Unis mettait en cause les noms de la Federal Deposit Insurance Corporation (FDIC) et de deux de ses représentants qualifiés, ainsi que le nom du département de la Sécurité intérieure des États-Unis. Ce que les internautes ne réalisent peut-être pas, c'est que les criminels peuvent facilement copier les logos et toute autre information se trouvant sur le site Web d'une entreprise légitime, et placer ces copies dans des courriels hameçons ou dans un pseudo-site Web.

De plus, si la personne qui a reçu le courriel (le lecteur) clique sur le lien qui y est inséré, même l'adresse URL de l'entreprise ou de l'établissement financier peut sembler légitime. Malheureusement, certains fraudeurs ont exploité une vulnérabilité du navigateur Internet Explorer qui permet aux hameçonneurs de mettre en place un faux site Web à un endroit dans Internet et qui donnera à l'internaute l'impression qu'il a atteint une page Web légitime située ailleurs dans Internet.

La plupart des courriels hameçons contiennent de fausses déclarations visant à donner l'impression qu'il y a un danger ou un risque immédiat au compte bancaire ou financier ou à la carte de crédit du lecteur. Dans le cas des faux courriels de la FDIC mentionnés plus haut, on y signalait faussement que le secrétaire du département de la Sécurité intérieure avait demandé à la FDIC de suspendre tous les versements d'assurance-dépôt du compte bancaire du lecteur. D'autres courriels hameçons plus récents affirmaient faussement que la carte de crédit du lecteur avait été utilisée par quelqu'un d'autre ou qu'une transaction avait récemment été refusée.

Comme autre exemple, mentionnons le cas d'un courriel, transmis en multidiffusion à l'été 2004, dans lequel on informait les clients d'une importante institution financière qui avait connu des problèmes informatiques, qu'ils devaient fournir leurs numéros de carte client pour pouvoir accéder à leur compte. En réalité, ce courriel n'avait pas été envoyé, ni autorisé par l'institution financière en question.

Dans certains cas, des courriels hameçons promettent au lecteur des prix ou leur font des offres spéciales. Bien que le message soit intéressant plutôt qu'alarmant, son objectif est le même, soit de réussir à obtenir les renseignements financiers et personnels du lecteur.

Les personnes qui reçoivent des courriels hameçons peuvent également remarquer que l'expéditeur a utilisé une technique de pollupostage (envoi du même courriel à plusieurs destinataires) pour envoyer simultanément le courriel à des milliers de gens, ce qui signifie que plusieurs des lecteurs n'ont pas de compte ou ne sont pas clients de l'entreprise ou de la compagnie de services financiers légitime qui est censée avoir envoyé le message. Les hameçonneurs comptent sur le fait que certaines des personnes qui recevront ce courriel auront un compte ou seront clientes de l'entreprise ou de la compagnie de services nommée, et qu'elles auront plus tendance à croire que le courriel vient d'une source fiable.

En fin de compte, les gens qui répondent aux courriels hameçons mettent leurs comptes bancaires et leur situation financière à risque de trois principales façons. Premièrement, les hameçonneurs peuvent utiliser les données obtenues pour accéder aux comptes existants d'internautes pour retirer de l'argent ou pour acheter des biens ou des services coûteux. Deuxièmement, ils peuvent se servir de ces données pour ouvrir de nouveaux comptes bancaires ou comptes de cartes de crédit au nom de la victime, en utilisant une autre adresse. Troisièmement, l'internaute peut ne pas se rendre compte que l'on se sert de son identité à son insu.

Que faire contre les manouvres d'hameçonnage?

Le ministère de la Sécurité publique et de la Protection civile du Canada et le département de la Justice des États-Unis recommandent aux internautes de garder en tête les trois éléments suivants s'ils reçoivent des courriels ou s'ils voient des sites Web qui pourraient faire partie d'une manouvre d'hameçonnage :

  1. Décelez-la -- Si vous recevez un courriel imprévu d'une entreprise bancaire ou de carte de crédit vous informant que votre compte sera fermé si vous ne confirmez pas votre information de facturation, ne répondez pas au courriel et ne cliquez pas sur les liens qui se trouvent dans le message. Les hameçonneurs n'ont habituellement qu'une idée en tête, inciter les gens à réagir immédiatement à de la fausse information ou à des demandes en cliquant sur le lien et en entrant leur mot de passe ou leur numéro de carte de crédit, avant de prendre le temps de penser à ce qu'ils sont en train de faire. Vous devez prendre le temps de réfléchir.

  2. Signalez-la -- Communiquez avec votre banque ou votre compagnie de carte de crédit si vous avez fourni des renseignements personnels ou financiers. Vous devriez également signaler le cas au service de police de votre municipalité. Il arrive souvent que la police prenne une déposition même si un autre organisme d'application de la loi sera responsable de l'enquête. De plus, un créancier croyant par erreur que vous êtes responsable d'une transaction frauduleuse pourrait demander à voir la copie du rapport de police avant de corriger votre compte de crédit ou votre rapport de solvabilité. Enfin, signalez immédiatement le vol de vos données personnelles aux organismes compétents du gouvernement et du secteur privé au Canada et aux États-Unis dont la liste figure à la fin de ce message. Ces organismes compilent les données sur les cas de vol d'identité pour en déterminer les tendances et utilisent ces renseignements pour aider les organismes d'application de la loi dans le cadre d'enquêtes.

  3. Enrayez-la -- Familiarisez-vous avec les pratiques de votre institution financière ou de votre entreprise émettrice de carte de crédit, qui n'ont pas l'habitude d'envoyer des courriels pour confirmer les renseignements de leurs clients. Tenez-vous au courant des avis de sécurité et des mesures à suivre pour vous protéger de la fraude et du vol d'identité. Plusieurs institutions financières et entreprises légitimes ayant été ciblées dans les courriels hameçons ont distribué des listes comportant les noms de personnes-ressources auxquelles on peut signaler les cas potentiels d'hameçonnage et ont affiché en ligne des publications à l'intention de leurs clients sur la façon de reconnaître l'hameçonnage et de se protéger.

De plus, les utilisateurs du navigateur Internet Explorer devraient visiter immédiatement la page de Microsoft sur la sécurité, y compris l'hameçonnage (phishing), où ils pourront télécharger un sous-programme spécial de protection contre certaines des manouvres d'hameçonnage par courriel.

Comment signaler l'hameçonnage

Au Canada

  • RECOL (Signalement en direct des délits économiques)
  • PhoneBusters (centre d'appel antifraude du Canada)
    Téléphone (sans frais) : 1 888 495-8501
    Télécopieur (sans frais) : 1 888 654-9426
    Courriel : info@phonebusters.com

Aux États-Unis

Puisque le fait de divulguer vos renseignements personnels vous met à risque d'être victime de vol d'identité, vous devriez également visiter le site Web de la Federal Trade Commission qui porte sur le vol d'identité, et suivre les instructions qui y sont données pour signaler l'information aux agences d'évaluation du crédit, aux entreprises émettrices de cartes de crédit et aux organismes d'application de la loi.

Ressources à la disposition des victimes de vol d'identité

Au Canada

Placez des alertes à la fraude dans vos rapports de solvabilité en communiquant avec les agences d'évaluation du crédit canadiennes.

Equifax Canada
Sans frais : 1 800 465-7166

TransUnion Canada
Sans frais : 1 877 525-3823

Aux États-Unis

Site Web de la Federal Trade Commission sur le vol d'identité (en anglais)
Sans frais : 1 877 IDTHEFT (438-4338).

Placez des alertes à la fraude dans vos rapports de solvabilité en communiquant avec les agences d'évaluation du crédit des États-Unis.

Equifax
Sans frais : 1 800 525-6285

Experian
Sans frais : 1 888 EXPERIAN (1 888 397-3742)

TransUnion
Sans frais : 1 800 916-8800

Si vous avez besoin d'autres renseignements ou si vous avez d'autres questions concernant le vol d'identité, veuillez communiquer avec le centre d'appel national Phonebusters au Canada ou la Federal Trade Commission aux États-Unis, aux numéros donnés plus haut.

Renseignements supplémentaires

Hameçonnage


Vol d'identité

Cybercrime