J’ai été hameçonnée

J’étais la troisième victime de la semaine, me dit, flegmatique, le technicien de la boutique Apple. Je devais changer tous mes mots de passe, en plus d’effacer tout le contenu de mon ordinateur. Aussi bien dire, mourir un peu. Ayant une connaissance très sommaire du merveilleux monde de l’algorithme, toute excursion inusitée dans ce domaine déclenche une certaine panique en moi. Toute ma vie, comme sans doute la vôtre, est aujourd’hui tenue par le collet par le « World Wide Web » : travail, loisirs, vie personnelle. Je contemplais soudain les profondeurs abyssales du néant.

Moi qui croyais (fièrement) avoir échappé à une arnaque de 300 $ par un supposé technicien d’imprimante, j’étais en magasin pour y voir plus clair, j’apprenais que mon prestidigitateur au suave accent indien, pendant qu’il me faisait la description apocalyptique de mes bris de sécurité, de mes « logiciels malveillants », de mes piratages en tout genre, le fin finaud captait, imaginez-vous, mes contenus informatiques ! Croyant qu’il était le digne représentant de la compagnie Hewlett-Packard, dont je possède une imprimante, j’avais naïvement permis qu’il prenne contrôle de mon ordinateur. (Je sais, je sais. Où avais-je la tête ?)

« En 15 minutes, il aurait pu saisir une grande partie du contenu de votre ordi », me dit mon cool conseiller. « Si j’étais vous, je changerais aussi de numéro de téléphone. »

Comme si ça ne suffisait pas d’avoir été parmi les piratés chez Desjardins, deux fois (car deux comptes) plutôt qu’une, en plus d’un vol semblable par l’intermédiaire de Radio-Canada/CBC quelque temps auparavant, surveillée en permanence par le grand Cerbère de la sécurité financière (Equifax), bien que même le chien à trois têtes n’inspire plus tellement confiance par les temps qui courent. Me voilà royalement « hameçonnée », pour reprendre le terme employé par le département de fraude de la Caisse pop (qui m’a au passage obligée à changer de carte de guichet). En plus de tout le reste.

Oh, il pourrait m’arriver pire. Aux États-Unis en ce moment, on note une épidémie de romance scams (arnaques sentimentales). Le FBI a reçu pas moins de 18 500 plaintes de personnes (presque toutes déposées par des femmes, mettons un 100 $ là-dessus) qui ont été bernées par des individus prétendant être des soldats en mission, photos de patriotes tatoués à l’appui. Le tout se passe sur Facebook qui compte pas moins de 120 millions de faux comptes (en tout genre) en circulation à l’heure actuelle. Les victimes auraient perdu 372 millions de dollars US dans cette combine, une augmentation de 71 % depuis 2017.

Certains jeunes Nigérians sont morts de rire. Une enquête du New York Times a relié plusieurs de ces correspondances frauduleuses à ce pays africain où la combinaison de la pauvreté, de l’accès facile à l’Internet et de l’anglais pave la voie au commerce interlope. Il serait tentant de voir la chose comme une espèce de revanche du tiers-monde : les déshérités de la terre profitant des deux grands fléaux de ce monde — la solitude et l’ignorance en matière informatique — pour combler leur fin de mois. Mais le problème est beaucoup plus large.

Vous avez vu qu’après les trois millions de membres piratés chez Desjardins, six millions de Canadiens viennent de subir le même sort aux mains de Capital One ? C’est sans parler des piratages à Bell Canada, CBC, Uber, la chaîne hôtelière Marriott et j’en passe. Des piratages qui ont été faits de l’intérieur, pour la plupart. Sans parler de l’effronterie de Facebook qui a vendu à des tiers, sans permission, les données de milliers de ses membres. À l’heure actuelle, il est facile d’imaginer que tout le monde va y goûter à un moment donné. Ce n’est qu’une question de temps avant qu’on soit tous « hameçonnés » car le ver est non seulement dans la pomme, mais il en fait également intrinsèquement partie.

Ce qui fait la merveille de la révolution numérique — la notion d’un village global infiniment connecté où l’information circule plus aisément que l’eau des rivières et où chacun (en principe) peut venir s’abreuver, s’inventer des histoires, se monter une business, donner son opinion, se sentir moins seul — porte flanc également à tous les excès. Sa facilité, sa gratuité, le fait que par définition il n’y a pas de barrières à l’Internet, que tout est possible et que tout le monde est bienvenu, expliquent pourquoi, au sein de ce village global, les bandits pullulent et les autorités se tournent les pouces. Prenez la sanction de 5 milliards $US dont vient d’écoper Facebook pour son manque de sécurité. L’amende peut paraître salée, mais pas pour cette institution devenue, littéralement, le nombril du monde, et dont les profits équivalent à ce montant aux trois mois. En l’absence de nouvelle réglementation vis-à-vis d’Internet, la mesure équivaut à un soufflet, guère plus.

Nous ne sommes pas prêts à remettre en question le fonctionnement des géants du Web, de peur de devoir renoncer au rêve d’un monde au bout des doigts et aux possibilités infinies. Mais ça ne peut plus continuer. J’ai eu ma leçon. À quand la vôtre ?

LE COURRIER DES IDÉES

Recevez chaque fin de semaine nos meilleurs textes d’opinion de la semaine par courriel. Inscrivez-vous, c’est gratuit!


En vous inscrivant, vous acceptez de recevoir les communications du Devoir par courriel. Les envois débuteront la fin de semaine du 19 janvier 2019.

25 commentaires
  • Mario Jodoin - Abonné 31 juillet 2019 01 h 42

    Mais, n'ayez crainte...

    ... les voitures autonomes seront 100 % fiables. De même que toutes les applications basées sur l'intelligence artificielle. C'est sûr, ils le disent!

    Blague à part, j'attends encore la disparition du premier 1 % des 47 % d'emplois qui sont supposés disparaître entre 2013 et 2023 ou 2033, comme le prévoyaient Carl Benedikt Frey et Michael A. Osborne dans l'étude (parue en 2013) la plus citée sur le sujet...

    • Nadia Alexan - Abonnée 31 juillet 2019 11 h 04

      Tant et autant que nos gouvernements continuent d'adopter une politique de laissez-faire envers les entreprises et les banques qui détiennent notre information, la fraude des données personnelles va se poursuivre. Pourquoi notre gouvernement canadien n'a-t-il pas imposé une pénalité salée à l'entreprise privée «EQUIFAX» censée de protéger les détenteurs de cartes de crédit? Elle devra verser 750 M$ pour avoir mal protégé les données de clients américains.
      Plus de 19 000 Canadiens ont été touchés par la cyberattaque contre Equifax, mais notre gouvernement n'a pas l'intention de punir cette multinationale. Pourquoi? Nos gouvernements protègent les intérêts des multinationales bien avant le bienêtre de ses citoyens. C'est honteux!

    • Nadia Alexan - Abonnée 31 juillet 2019 11 h 16

      Suite à mon commentaire: Le Canada est devenu la capitale mondiale du blanchiment d’argent. L’année dernière, plus de 5 milliards de dollars appartenant à des criminels du monde entier ont été blanchis en Colombie-Britannique. C’est ce que révèle un rapport du gouvernement provincial. Les criminels étrangers utilisent les vides juridiques de la législation locale pour transférer les revenus de leurs activités frauduleuses au Canada et les injecter dans le circuit légitime.
      Sans l'intervention musclée du gouvernement fédéral, l'arnaque va se poursuivre.

  • Jean-Pierre Martel - Abonné 31 juillet 2019 04 h 03

    Il faut interdire la collecte _inutile_ de donnés confidentielles

    Aucune institution n’est à l’abri de la piraterie. Pas même Microsoft.

    La constitution de toute base de données colligeant des informations confidentielles fait courir un risque sécuritaire aux personnes concernées.

    Que cette base de donnés soit celle d’une banque, d’une institution financière, d’un géant de l’informatique et même de l’État.

    Par exemple, quand l’Autorité des marchés financiers (du Québec) oblige votre banque à vous demander votre salaire annuel et la fameuse question ‘Combien valez-vous?’ — à l’occasion d’un prêt, ce qui n’est pas pertinent — cela est abusif et fait courir inutilement un risque sécuritaire à tous les citoyens du pays.

    Quant la CAQ veut privatiser l’hébergement des données de l’État sur les serveurs étrangers, cette décision, motivée par le désir d’economiser ds bouts de chandelle, est d’une stupidité incommensurable.

    À la fin de l’article ‘L’espionnage de l’État canadien n’a pas de limite’, on trouvera une longue liste d’organismes dont les bases de données ont été piratées.

    Cette liste exclut les cas de piraterie à l’interne par un employé malveillant; il ne s’agit que de cas de piraterie ‘externe’ (sans accès privilégié aux ordinateurs de l’entreprise).

    Cela donne froid dans le dos.

    Bref, tant qu’on n’interdit pas la collecte injustifiée de ces donnés, les fuites continueront.

    • Jean-Pierre Martel - Abonné 31 juillet 2019 09 h 37

      Erreur dans le texte : — en n’importe quelle occasion _sauf_ un prêt —

    • Jean-Yves Arès - Abonné 31 juillet 2019 18 h 32

      "Aucune institution n’est à l’abri de la piraterie. Pas même Microsoft."

      Et même pas l'État non plus !

  • J-F Garneau - Abonné 31 juillet 2019 04 h 42

    Des cas d'espèce

    Mme Pelletier nous raconte “Croyant qu’il était le digne représentant de la compagnie Hewlett-Packard, dont je possède une imprimante, j’avais naïvement permis qu’il prenne contrôle de mon ordinateur. (Je sais, je sais. Où avais-je la tête ?)”.
    Il me semble que c’est exactement comme si un inconnu l’avait accostée sur la rue en disant: “Je travaille pour la compagnie qui fabrique vos chaussures, permettez-moi d’ouvrir votre sac à main, et de fouiller dans votre portefeuille” et que Mme Pelletier l’avait sagement accommodé. Oubliez la “révolution numérique”, c’est seulement du gros bon sens.

    Pareil pour les arnaques de type “romance scams” version électronique, très abondamment documentées (des centaines de sites web existent pour informer et débusquer). Encore une fois, ceci n’est pas le résultat de la “révolution numérique” qui a seulement permis de développer un autre type de “romance scams”. Ces arnaques existent depuis toujours, en version analogue elles étaient plus compliquées, et surtout plus lentes. (i.e. "mail order bride") Encore une fois, à mon avis moins rapport avec “l’ignorance informatique”, qu'avec le gros bon sens? Il ne faut pas confondre la fin avec les moyens.

    Ces deux cas sont très différents des piratages de grandes sociétés, parfaitement exécutés par des “hackers” criminels autant que "professionels". Dans les deux exemples précédents, les victimes sont parfaitement consentantes.

    Si Mme Pelletier vient tout juste de découvrir le hameçonnage, et décide humblement de partager son expérience, cela aidera peut-être à prévenir d’autres cas. Mais en revanche, ce sont des phénomènes déjà largement documentés. Et le b-a ba du gros bon sens, informatique ou non, est que l’on “n’ouvre” pas plus son ordinateur à un étranger au téléphone que l’on ouvrirait son sac à main, au même étranger, sur la rue.

    • Jean Lacoursière - Abonné 31 juillet 2019 07 h 57

      D'accord avec votre point de vue. D'ailleurs, être journaliste et se faire hameçonner de la sorte, n'est-ce pas un beau cas de cordonnier mal chaussé ?

    • Michel Petiteau - Abonné 31 juillet 2019 09 h 19

      "Seulement du gros bon sens ..."
      Francine Pelletier dépourvue de gros bon sens?
      Pour l'avoir lue et entendue, et même quand je ne partage pas son point de vue, je tiens Francine Pelletier pour une personne de grand talent, d'une haute intelligence et d'une grande finesse. Je compatis avec elle.
      Pareille mésaventure est survenue à une amie. Elle a compris qu'elle était l'objet d'une tentative d'arnaque quand elle s'est vue, en direct, sur son écran d'ordinateur. Elle m'a appelé juste après. Elle était dans tous ses états.
      Comettre une erreur, c'est la première étape de l'apprentissage.
      Personne n'est à l'abri du piégeage. Le gros (synonyme: épais) bon (antonyme: mauvais) sens n'est pas un truc que je peux me procurer en ligne ... ou à la ligne. Toute ma vie j'ai beaucoup hameçonné les poissons, des petits et des plus gros, parfois avec succès, parfois non.
      Mais patience! Le gros bon sens sera bientôt - peut-être l'est-il déjà - accessible via un implant, minuscule, qui vous rendra transhumain.

    • J-F Garneau - Abonné 31 juillet 2019 15 h 20

      M. Petiteau, je n'ai pas affirmé que Mme Pelletier était dépourvue de gros bon sens de façon générale. Mais si un inconnu nous accoste sur la rue et demande à avoir accès à notre portefeuille/sac à main, peu importe la prémisse, je crois que vous serez d'accord avec moi que
      1) on ne le fera pas;
      2) si on le fait on peut être admettre avoir fait preuve de naiveté ou d'un manque (certes temporaire) de jugement ou de GBS, et
      3) si on se fait arnaquer sur la rue, on ne peut pas blâmer la rue.

      Je tenais seulement à souligner, qu'en cette ère de vol de données, ouvrir volontairement son ordinateur à un pur étranger relève de ... D'autant plus que le phénomène de "phishing" ou hameçonnage est tellement documenté...
      Bien d'accord, personnne n'est à l'abri. Mais avant de donner le contrôle de son ordinateur à un inconnu...

    • Serge Lamarche - Abonné 1 août 2019 00 h 29

      Je crois que ça fait l'affaire de Francine Pelletier d'avoir été victime. Son encre coule mieux.

  • Clermont Domingue - Abonné 31 juillet 2019 07 h 11

    La leçon.

    Les migrants passeront bientôt par dessus les murs grâce aux drones. L'argent voyage par intrnet. Des petits futés s'emparent de nos données. Nos égoĩsmes sont-ils entrain d'être vaincus?

  • Françoise Labelle - Abonnée 31 juillet 2019 07 h 44

    Le ver dans la pomme

    Vous abordez plusieurs thémes qui ont en commun l'outil informatique. Votre véritable thème de base est la détérioration de la confiance dans les rapports humains. Le prédateur en chef élu par nos voisins en est un symptôme parmi d'autres.

    Vous avez fait confiance à un technicien. Ce n'est pas une faille informatique. Les arnaques sur les réseaux sociaux ou de rencontre sont du même ordre. De même, le vol de données à l'interne (Desjardins, Capital One). Le cas d'Equifax est plutôt une piraterie venant de l'extérieur, ce qui me semble une faille plus grave, qui aurait dû être évitée. Férue de sécurité informatique, j'ai été victime d'un vol d'identité et je pense qu'on a exploité une organisation caritative à laquelle je contribuais.
    En faisant confiance à Apple et Microsoft, vous leur permettez d'amasser au cours des années une masse de données sur vos activités. La procédure pour connaître l'ampleur de ces données n'est pas évidente. Linux, étant décentralisé en d'innombrables variantes, est moins intrusif.
    La centralisation des données est peut-être le ver dans votre pomme. Et j'appliquerais cette analyse à la fausse fédération canadienne.