Qu’est-ce que le vol d’identité ?

Le vol d’identité est un risque réel qui a tendance à augmenter.

Il constitue dans le vol d’informations personnelles qui permettent de vous identifier.

Quel est l’intérêt pour le voleur de voler ces informations.

En fait, il existe un marché « underground », souterrain lié à la revente de ces paquets d’informations.

Ils vont servir à monter des arnaques, que vous allez voir dans un instant avec un cas concret, basées sur cette fausse identité.

En particulier, le vol d’identité est fait grâce au Phishing.

Le Phishing va permettre de se procurer des documents officiels qui permettent d’attester de votre lieu de naissance, par un extrait d’acte de naissance.

Dans le jargon américain, ce paquet d’informations confidentielles s’appelle un « fuzzl ».

Téléchargez la vidéo : Qu’est-ce que le vol d’identité ?

AVERTISSEMENT: Cette série de vidéo présente des informations de nature générale sur les méthodes de protection en matière de sécurité informatique. Elle a comme unique objectif de vous enseigner des méthodes ou outils traditionnels pour vous préserver le plus possible des attaques des cybercriminels. Les outils présentés ne doivent être manipulés que pour un usage strictement personnel à des fins de protection ou de dépannage. Toute autre utilisation (en particulier et sans être exhaustif: fraude, piratage, tentative d’intrusion dans un système d’information, etc.) est illégale et est généralement sévèrement condamnée par la plupart des pays, dont la France. Cette série de vidéos étant à but purement pédagogique, je décline toute responsabilité dans l’utilisation des informations qui y figurent.

Comment ne plus jamais recevoir d’emails indésirables ?

Avoir son adresse email est indispensable pour être présent sur le web. Les smartphones réclament aussi votre adresse email pour tirer pleinement parti des fonctionnalités de l’appareil, ainsi que de plus en plus d’applications.

Cependant l’utilisation inconsidérée de votre adresse email peut être une atteinte à votre tranquillité.

Prenez par exemple, les situations présentées ci-dessous :

  • D’une façon ou d’une autre, les sites web vous demandent quasi systématiquement votre adresse email. L’objectif est de rester en contact avec vous. Toutefois certains abusent de cette possibilité.
  • En Europe, un particulier ne doit pas recevoir spontanément d’offres commerciales d’une société, à moins qu’il ait explicitement demandé d’en recevoir de cette société précise. Cependant cette disposition ne s’applique pas au reste du monde.
  • Votre adresse email peut être vendue, ou collectée, à votre insu. Vous recevez des spams qui vous proposent des produits qui ne vous intéressent pas.
  • Vous ne réussissez pas à vous désinscrire d’un site, bien que vous respectiez leur procédure de désinscription.

Ces situations ne sont pas loyales. Sans compter, le piratage des données des sites web par les cybercriminels.

Les méthodes conventionnelles ne sont pas suffisantes face à la malignité des spammeurs. Aussi, vous trouverez ci-dessous des méthodes plus efficaces car plus radicales.

Avertissement important

Il vous appartient de vérifier la conformité des méthodes présentées ci-dessous aux lois de votre pays.

A toutes fins utiles, quelques principes pour vous aider à prendre une décision:

  • Est-ce que ces méthodes non conventionnelles ne font de mal à personne ou ne portent préjudice à personne, en particulier pour les préjudices financiers ?
  • Ne faites jamais d’usurpation d’identité. Si cela se justifie, ne créez qu’une identité fictive qui n’existe pas déjà à votre connaissance,
  • N’utilisez pas ces méthodes pour vous soustraire à vos obligations de citoyen.
  • Ne communiquez jamais d’informations erronées aux forces de l’ordre ou à la justice.

Chacun doit réfléchir à la position qui lui paraît la plus appropriée.

L’objectif de ces méthodes non conventionnelles est de vous protéger des cybercriminels et non de devenir l’un deux.

Les États disposent de temps et de moyens importants. Si vous souhaitez devenir un cybercriminel, renoncez-y car le combat est perdu d’avance sur le long terme.

Ce qu’il ne faut pas faire

  • Avoir une seule adresse email,
  • Avoir une adresse email formée de son véritable prénom et nom,
  • Laisser un site web spécialisé gérer ses adresses emails multiples pour vous,
  • Utilisez des emails jetables auprès de sites web spécialisés.

Ce qu’il faut faire

  • Avoir autant d’adresses emails différentes que de sites web sur lesquels vous vous inscrivez,
  • Avoir une adresse email qui ne donne aucune information sur vous,
  • Installer un client de messagerie pour gérer soi-même toutes ses adresses,
  • Disposer d’un gestionnaire de mots de passe.

Outils gratuits

Astuce : Pour vérifier une adresse email, le service gratuit de Verify Email Address Online vous propose de le faire.

Astuce : Pour avoir une photo de profil libre de droit, visitez le site User Inter Faces.

Scenario 1 : 1 seule adresse email pour tous les sites

Imaginez que vous vous inscrivez aux sites web suivants avec la même adresse email :

  • www.mechant-site-web.com avec l’adresse email: eugenie.grandet@gmail.com
  • www.gentil-site-web.com avec l’adresse email: eugenie.grandet@gmail.com

Au début, tout se passe bien. Les deux sites respectent votre vie privée et vous envoient un email à la fréquence que vous avez sélectionnée.

Quelques semaines plus tard, vous recevez des propositions commerciales de ventes privées ou de produits de beauté sur de nouveaux sites web. Pourtant, ces sites vous sont totalement inconnus.

Vous décidez donc d’utiliser des méthodes conventionnelles pour lutter contre les courriels indésirables.

Pourtant, dans les emails que vous recevez et qui sont de plus en plus fréquents, il n’existe aucun lien pour vous désabonner. Pire encore, il existe bien des liens de désabonnement mais ils semblent totalement inefficaces.

Vous connaissez même l’existence et le fonctionnement de l’adresse email abuse@domaine. Cette adresse email particulière permet à l’internaute de signaler qu’il est victime d’un acte abusif ou malveillant de la part d’un site web même sans connaître l’adresse email pour entrer en contact avec le site en question.

De guerre lasse, vous faites des demandes auprès des organismes officiels de lutte contre le spam. Ces demandes restent sans réponse, ou bien vous apprenez que les sites en question sont à l’étranger et qu’ils ne dépendent pas de votre juridiction nationale.

Pour vous en sortir, vous devez changer d’adresse email puis prévenir votre famille, vos amis et vos correspondants de votre nouvelle adresse.

Vous devez aussi modifier votre email sur les sites web où vous êtes inscrits, sans oublier un seul site. A cette occasion, vous découvrez que cette modification peut être complexe sur certains sites web, voire carrément impossible sur quelques-uns.

Dans tous les cas, vous aurez consacré beaucoup de temps pour mettre fin à la nuisance causée par un seul site web.

Il est temps pour vous de réfléchir au scenario 2.

Scenario 2 : 1 adresse email différente par sites

Imaginez que vous vous inscrivez aux sites web suivants avec des emails différents :

  • www.mechant-site-web.com avec l’adresse email: Idx25033@gmail.com
  • www.gentil-site-web.com avec l’adresse email: Loop47zz@yahoo.com

Bien évidemment, cela suppose que vous avez créé 2 adresses emails différentes.

Idéalement, vous l’avez fait chez deux fournisseurs d’emails différents. Vous verrez que cela ne pose pas de problème pour lire vos emails correctement, si vous prenez certaines précautions expliquées plus bas.

Les emails ne doivent pas comporter d’informations personnelles. En particulier, il est plus prudent de ne jamais indiquer son nom, son prénom, son année de naissance, son département ou son code secret de Carte Bancaire dans son adresse email…

Par exemple, si vous vous appelez Eugénie GRANDET, née en 1988 dans le département 23 de la France, n’utilisez jamais les combinaisons suivantes:

  • eugenie.grandet@gmail.com
  • egrandet1988@gmail.com
  • eug.grandet23@gmail.com
  • etc.

Si l’aspect social de l’adresse email est important pour vous, vous pouvez éventuellement y glisser votre véritable prénom mais ce n’est pas une bonne idée:

  • Eugenie447@gmail.com (si ces chiffres n’ont aucun rapport avec vous)

En revanche, vous pouvez utiliser sans crainte:

  • Idx25033@gmail.com (bien)
  • Jeanne1975@gmail.com (mieux)
  • Jeanne-Margueritte.Dupont-Durant@gmail.com (parfait)

Si vous cachez derrière une fausse identité vous pose un problème moral, pensez à vos enfants. Vous souhaitez leurs donner le « meilleur » et les protéger du mal, ce qui est naturel. Posséder des adresses email qui ne contiennent pas leur véritable identité permet d’égarer ceux qui leurs veulent du mal:

  • les prédateurs sexuels,
  • les pédophiles,
  • les harceleurs,
  • les escrocs,
  • les cybercriminels,
  • etc.

Par contre, vous ne devez jamais usurper l’identité d’une vraie personne. Dans la plupart des états, il s’agit d’un délit sévèrement puni !

Maintenant, continuons le déroulement du scenario.

Au début, tout se passe bien. Notamment, le site www.mechant-site-web.com respecte votre vie privée et vous envoie un email à une fréquence mensuelle.

Puis vous recevez des emails commerciaux non sollicités sur votre adresse email Idx25033@gmail.com de sociétés que vous ne connaissez pas où avec lesquelles vous n’êtes pas en relation.

Immédiatement, vous comprenez que le site www.mechant-site-web.com a vendu ou cédé vos coordonnées dont votre adresse email.

Vous le savez avec certitude car vous n’utilisez l’adresse email Idx25033@gmail.com que pour communiquer avec le site www.mechant-site-web.com.

Afin de couper toutes relations avec le site www.mechant-site-web.com, ainsi que tous les sites auxquels il a cédé votre adresse email, et pour ne pas perdre de temps, vous n’utilisez plus l’adresse email Idx25033@gmail.com.

C’est aussi simple que cela.

Pourquoi cela fonctionne-t-il ?

Tant que les adresses emails resteront gratuites, vous pourrez avoir autant d’adresses emails que vous le souhaitez.

De plus les clients de messageries (Outlook, Thunderbird, le webmail, etc.) vous permettent d’avoir accès à plusieurs boites aux lettres.

Comment créer plus d’une boîte aux lettres ?

Les fournisseurs d’adresses emails gratuits sont nombreux. Les plus connus sont:
https://eu.edit.yahoo.com/registration (Yahoo)
https://accounts.google.com/SignUp (Google avec la messagerie Gmail)
https://signup.live.com/signup.aspx (Microsoft avec la messagerie Hotmail)

et bien d’autres encore !

Certains des fournisseurs de messagerie vous demandent un numéro de téléphone mobile. Ils présentent leur requête comme étant un outil pour vous permettre de récupérer plus facilement votre mot de passe.

Quand vous pouvez, passez outre: ne communiquez pas votre numéro de téléphone sur internet, sauf s’il s’agit d’un numéro de mobile jetable.

Comment gérer plusieurs adresses emails ?

Tout d’abord, il est nécessaire d’avoir un gestionnaire de mots de passe. L’article Comment protéger ses informations personnelles avec un mot de passe explique comment faire.

Le gestionnaire de mots de passe permet de stocker différents mots de passe en toute sécurité et sans être obligé de s’en rappeler.

Il reste à installer un client de messagerie, comme par exemple Thunderbird.

http://www.mozilla.org/en-US/thunderbird/all.html

Une fois que le client de messagerie est téléchargé et installé, il ne reste plus qu’à rajouter les comptes des boites aux lettres que vous avez créées.

Adresse Email. Ajouter un nouveau compte de boite aux lettres. Adresse Email. Ajouter un nouveau compte de boite aux lettres.

Notez que dans la zone « Vos nom et prénom », vous pouvez saisir aussi votre adresse email.

Adresse Email. Ajouter un nouveau compte de boite aux lettres avec les valeurs renseignées. Adresse Email. Ajouter un nouveau compte de boite aux lettres avec les valeurs renseignées.

Cette opération a été faite pour les 3 comptes fictifs suivants:

  • Jeanne-Margueritte.Dupont-Durant@gmail.com
  • Victor-Hector.Raleigh@yahoo.com
  • Patrick-Dominique.Pyte@hotmail.com

Une fois la saisie des comptes terminée, vous obtenez dans Thunderbird la possibilité de lire les courriers reçus sur plusieurs boites aux lettres.

Lecture des emails de plusieurs boites aux lettres différentes avec Thunderbird. Lecture des emails de plusieurs boites aux lettres différentes avec Thunderbird.

Le jour où votre email Jeanne-Margueritte.Dupont-Durant@gmail.com est spammé, il ne reste plus qu’à le supprimer de la liste.

Éventuellement, vous pouvez prendre la peine de supprimer la boite aux lettres auprès du fournisseur. Cependant, cette manipulation n’est pas indispensable pour votre sécurité.

Lire aussi Pistez une adresse e-mail anonyme pour connaître son propriétaire.

Vol d’identité sur Internet

Les données privées sont la nouvelle monnaie d’échange sur Internet.

A ceux qui prétendent n’avoir rien à cacher, un juriste leur répondait: « Pourquoi mettez-vous des rideaux à vos fenêtres ? ».

Si le mot peut faire sourire, malgré sa pertinence, la réalité du Web n’est pas toujours gaie.

Le harcèlement d’un individu peut se propager et s’amplifier avec les réseaux sociaux. Ces persécutions conduisent parfois certains jusqu’au suicide. Même si cette situation est exceptionnelle, elle n’en demeure pas moins dramatique.

Qu’est-ce que le vol d’identité ?

Le vol d’identité, ou usurpation d’identité, a lieu lorsqu’une personne récupère des informations personnelles de la victime pour se faire passer pour elle afin de commettre un délit ou un crime.

Cette technique criminelle consiste donc à usurper une identité afin de « brouiller » les pistes et éviter que les forces de l’ordre « remonte » jusqu’au coupable. Celui-ci bénéficie d’un sentiment d’impunité. Cela lui permet de commettre ces crimes sans être inquiété.

Le vol d’identité est le crime qui augmente le plus vite en Californie en… 2002. Dix ans plus tard, ce phénomène est présent en France, Belgique, Suisse et consorts.

Le vol d’identité numérique est une activité criminelle qui prend de plus en en plus d’ampleur. Le vol d’identité consiste à utiliser les informations d’identité (nom, prénom, date de naissance, téléphone, adresse, etc.) d’une autre personne afin de se faire passer pour elle. L’usurpation de plaques d’immatriculations de voiture est aussi une pratique répandue.

Les renseignements personnels concernent des informations qui permettent d’identifier une personne:

  • Le nom, prénom, date et lieu de naissance,
  • Le numéro de téléphone fixe ou mobile,
  • L’adresse physique personnelle ou l’adresse email personnelle,
  • L’adresse physique professionnelle ou l’adresse email professionnelle,
  • Numéro de la carte d’identité ou du passeport,
  • Numéro d’identification nationale,
  • Numéro de permis de conduire,
  • Numéro de compte bancaire et numéro d’identification personnel.

Vous vous demandez certainement comment ces informations peuvent servir des criminels.

A quoi sert l’usurpation d’identité ?

Le vol d’identité permet à un criminel d’obtenir un crédit ou un prêt personnel à votre nom. Tandis que lui obtiendra le montant du prêt, il ne vous restera plus qu’à payer les mensualités.

Il peut aussi faire ouvrir un compte de téléphone cellulaire en usurpant votre nom.

Le criminel peut aussi usurper votre identité pour obtenir un document officiel, comme un permis de conduire avec sa photo et votre nom et adresse.

Dans le domaine de l’emploi, une femme a découvert qu’elle était victime d’une usurpation d’identité en postulant à un travail. L’employeur l’a informé qu’elle était déjà recensée comme salariée de l’entreprise. Dans cet exemple, l’usurpatrice était une proche de la victime.

Un usurpateur peut aussi louer un appartement sous un nom d’emprunt qui correspond à une personne réelle.

Toutefois, le vol d’identité ne se limite pas à des questions d’argent ou de biens matériels. Il peut être bien plus grave.

A la suite d’un banal contrôle des forces de l’ordre, une personne innocente a eu des ennuis (temporaires mais très désagréables) car un criminel agissait sous couvert de son identité et à son insu.

Comment Internet simplifie-t-il le vol d’identité ?

Avec Internet, il devient de plus en plus facile de se faire voler ses renseignements personnels.

Il existe des programmes qui sont spécialisés dans la récupération d’informations personnelles. Ces programmes (spywares) s’installent souvent à votre insu. Vous pouvez les éliminer à l’aide d’un anti-virus généraliste:

ou spécialisé comme ceux-là:

Le vol d’identité simplifié

Le vol d’identité devient de plus en plus simple grâce aux informations personnelles laissées volontairement à la disposition du grand public par les internautes eux-mêmes, les sociétés et même les administrations publiques sur le web.

De manière générale, il est estimé qu’environ 90% des informations sont ouvertes au public. En langage de renseignement, il s’agit d’informations blanches. Une information blanche est une information aisément et licitement accessible.

A titre d’exemple, la toute nouvelle stratégie secrète d’une entreprise peut se trouver publiée dans l’annexe du rapport des commissaires aux comptes. Ce rapport est directement téléchargeable à partir du site Web de l’entreprise concernée.

Pour en revenir au vol d’identité, les sources deviennent littéralement innombrables. Vous allez pouvoir le vérifier par vous-même.

Important. Avant tout, téléchargez, installez et exécutez le logiciel suivant qui vous permet d’effacer les cookies de votre ordinateur avant de faire les recherches : CCleaner.

Maintenant, lancez les recherches suivantes sur vous même en combinant les critères.

Par exemple, si je suppose que vous vous nommez John Doe et que vous résidez à VilleBidon, vous pouvez essayer dans Google, puis Yahoo et enfin Bing, les recherches suivantes:

  • « John Doe »
  • « Doe John »
  • JohnDoe
  • John Doe VilleBidon
  • etc.

Vous avez peut-être déjà récupéré un âge, une date de naissance, une ancienne adresse email oubliée.

Faites aussi une recherche à partit de votre adresse email. Par exemple, si votre adresse email est john.doe@emailbidon.com:

  • john.doe@emailbidon.com
  • john.doe (at) emailbidon.dom
  • john.doe (at) email (point) com
  • etc.

Pensez à élargir à d’autres moteurs de recherche que Google. Malgré sa pertinence, il lui arrive de passer à coté de résultats que Yahoo peut trouver par exemple.

La moisson sera encore meilleure avec les sites spécialisés comme:

ou les sites de réseaux sociaux:

Les américains disposent de sites web encore plus intrusifs:

Le premier site permet notamment d’obtenir des informations personnelles comme votre revenu annuel, la valeur de votre maison ou vos antécédents juridiques.

Dans un prochain article, vous saurez comment détruire les preuves de votre présence sur le web.

Lire aussi l’article Comment connaître l’identité de quelqu’un sur Internet ?

Comment protéger ses informations personnelles avec un mot de passe ?

Certains sites web vous demandent un mot de passe pour protéger vos informations personnelles: sites financiers ou marchands, comptes emails, etc. Ce mot de passe est associé à un compte ou à une adresse email.

Le mot de passe est la clef de voûte de votre sécurité.

Si vous voulez augmenter la sécurité de vos mots de passe, vous trouverez ci-dessous les conseils sur ce qu’il ne faut pas faire et ce qu’il est préférable de faire. Les explications détaillées sont présentées avec les outils.

Ce qu’il ne faut pas faire

  • Connaître ses mots de passe ou choisir des mots de passe faciles à se rappeler,
  • Choisir le même mot de passe pour tous les sites,
  • Utiliser une série de mots de passe identiques; chaque mot de passe est associé à des sites de niveaux de confidentialités similaires,
  • Utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques,
  • Stocker ses mots de passe dans une feuille Excel protégée elle-même par un mot de passe.

Ce qu’il faut faire

  • Ne pas connaître ses mots de passe (cf. plus bas),
  • Avoir un mot de passe généré aléatoirement,
  • Générer aléatoirement un mot de passe à partir d’une combinaison de lettres MAJUSCULES, minuscules, de chiffres et de symboles (par exemple: % $ ! etc.), si c’est autorisé par le site web. Les caractères spéciaux doivent se trouver aussi au milieu du mot de passe et pas seulement au début ou à la fin du mot de passe,
  • Quand c’est possible, avoir un mot de passe d’au moins 28 caractères,
  • Avoir un mot de passe différent par site web,
  • Stocker tous ces mots de passe dans un gestionnaire de mots de passe. Le gestionnaire de mots de passe est une sorte de coffre-fort logiciel.

Outils gratuits

Plus un mot de passe est long et plus il est difficile de s’en souvenir avec exactitude. Pourtant un mot de passe long est aussi plus difficile à percer. Actuellement, il est estimé qu’un mot de passe complexe et aléatoire de 64 caractères résisterait aux attaques de force brute menées par les organismes gouvernementaux.

Dans la pratique, les sites web acceptent rarement d’aussi long mots de passe. Ils limitent souvent à 20 caractères et parfois moins, la longueur des mots de passe. Toutefois, vous avez tout intérêt à utiliser des mots de passe de 28 caractères minimum quand c’est possible. Attention de ne pas prendre trop à la lettre le fait d’avoir un mot de passe de 28 caractères. Une longueur de 27, 30, 31 ou 43 fait aussi l’affaire.

Les outils présentés ci-dessous, vont vous permettre de mettre en application le principe d’avoir des mots de passe longs, complexes et aléatoires. Ils vous permettent même d’utiliser vos mots de passe sans jamais les connaître !

Gestionnaire de mots de passe

Il s’agit d’utilitaires de base de données de mots de passe. Les utilisateurs peuvent conserver leurs mots de passe cryptés sur leurs ordinateurs. Une seule combinaison du coffre les déverrouille tous.

Dans la vraie vie, il n’est pas possible de se rappeler tous les mots de passe: connexion au réseau Windows, compte e-mail, compte FTP de votre site web, etc.

En outre, vous devez utiliser un mot de passe différent pour chaque compte. Si vous utilisez un seul mot de passe sur tous les sites, ou sur une certaine catégorie de sites, il suffit qu’un cybercriminel vole le mot de passe sur un site peu protégé pour se connecter sur d’autres sites comme celui que vous utilisez pour gérer vos emails ou votre compte bancaire.

Stocker ses mots de passe dans un document Excel, ou Word, protégé lui-même n’est pas suffisant non plus. Bien que Microsoft ait largement renforcé la sécurité des documents dans les nouvelles versions (Office 2007 et surtout Office 2010 / 2014), ce n’est pas le cas des versions anciennes (2003 et avant) qui restent facilement « crackables ».

Les gestionnaires de mot de passe vous aident à gérer vos mots de passe de manière sécurisée. Vous pouvez mettre tous vos mots de passe dans une base de données, qui est verrouillée avec une clé maître et / ou un fichier clé et / ou votre compte Windows. Il suffit donc de se rappeler un mot de passe principal et / ou de sélectionner le fichier clé pour déverrouiller la base de données avec les mots de passe cryptés.

KeePass Password Safe
KeePass est certifié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Password Safe
La communauté autour de Password Safe est aussi très active. Password Safe affiche peu d’informations à l’écran, ce qui est positif.

L’avantage d’un gestionnaire de mot de passe est de pouvoir les générer automatiquement. Il est aussi possible de copier-coller le mot de passe, ainsi que l’identifiant du compte, l’URL et d’autres informations. De cette manière, vous n’êtes pas obligé de connaître votre mot de passe.

Démonstration avec KeePass

keepass-creation-compte Une entrée est créée dans Keepass pour stocker le mot de passe du compte email. Un mot de passe est généré automatiquement.

keepass-generation-mot-de-passe Un nouveau mot de passe peut être généré. Dans Keepass, la complexité est exprimée en bits. Plus le nombre de bits est grand, plus la complexité est importante. Par défaut, le mot de passe n’apparaît jamais.

keepass-nouveau-mot-de-passe Un nouveau mot de passe a été généré. Par défaut, il n’apparaît pas en clair. Pour connaître sa valeur il faut cliquer sur les 3 points en face de Password.

keepass-copie-mot-de-passe Grâce à un copier-coller, il est possible de copier le mot de passe sans le connaître.

Il est important de ne pas connaître le mot de passe, car il n’est pas rare d’entendre un utilisateur le dire, au moins partiellement, pendant qu’il le tape.

Il n’est pas toujours possible de coller un mot de passe. Certains site, comme par exemple PayPal à la création d’un compte, n’autorise pas la copie dans la zone de mot de passe. D’autres sites génèrent un clavier numérique aléatoire, comme par exemple le site de la Caisse d’épargne ou celui de Boursorama lors de l’accès à son compte.

Certains sites interdisent aussi l’utilisation de caractères spéciaux et même parfois des lettres accentuées (!). Toutefois, grâce aux paramètres et aux options des gestionnaires de mot de passe, il est possible de s’adapter à chaque exigence particulière des sites web.

Démonstration avec Password Safe

password-safe-entree Une nouvelle entrée pour stocker un compte et son mot de passe a été créée dans Password Safe.

Modification de la stratégie de mot de passe dans Password Safe Il est possible de s’adapter à une stratégie de mot de passe propre à un site en jouant sur ces critères.

Vérification de la complexité des mots de passe

Les études qui portent sur l’analyse des mots de passe utilisés par les internautes révèlent l’utilisation intensive de mots du dictionnaire. Ce qui est une erreur car les cybercriminels vont pouvoir faire des attaques sur les mots de passe en utilisant des dictionnaires gigantesques. Outre les mots des dictionnaires usuels, ces dictionnaires contiennent aussi des noms propres, des noms figurés, des prénoms, des personnages de dessins animés, des jurons, etc.

Cela est vrai aussi pour les altérations de mots du dictionnaire:

  • mots au pluriel,
  • lettres inversées (totalement ou en partie),
  • rajout d’un ou plusieurs chiffres ou caractères spéciaux ($ % ! …) en début ou en fin de mot de passe,
  • abréviations habituelles (Sté pour Société, h pour heure, …)
  • conversions connues (€ pour e, @ pour a, 2 pour de, …)

Idem pour l’utilisation de mots d’une langue étrangère à la vôtre: les cybercriminels sont très ouverts au monde…

La complexité d’un mot de passe dépend de l’usage ou pas de mots du dictionnaire, mais aussi d’autres critères. Par exemple, l’utilisation des lettres adjacentes du clavier est connue aussi. Tout comme la répétition (aaaaaaa) ou la séquence (abcd, 1234, …).

Le mot de passe ne doit surtout pas utiliser des informations personnelles ou de vos proches ou même de vos animaux domestiques:

  • Prénom, surnom, …
  • Date de naissance, d’anniversaire, …
  • Numéro de sécurité sociale, de passeport, de permis, ..
  • etc.

Tous les sites n’offrent pas la possibilité de vérifier la complexité des mots de passe. Les outils de vérification qui existent permettent d’étalonner la complexité mais ils ne garantissent pas la sécurité absolue.

Password Checker

Contrairement à une idée fausse, Microsoft est très soucieux de la sécurité de ses produits. L’outil Password Checker permet de tester la complexité d’un mot de passe en tenant compte de plusieurs critères: longueur globale du mot de passe, mélange de caractères aléatoires, existence du mot dans un dictionnaire, etc.

Si vous ne connaissez pas la réputation de l’éditeur du site web, soyez prudent aussi vis à vis des outils de vérification de mots de passe. Il serait facile pour des cybercriminels de se faire passer pour une honnête organisation en vous proposant de vérifier la solidité de votre mot de passe. Une fois que vous aurez trouvé un mot de passe fort, il pourrait vous proposer un cadeau en échange d’un email et (pourquoi pas !) du nom de votre site web préféré. Restez attentif !

Algorithme de création de mots de passe

Pour les raisons qui viennent d’être évoquées, il ne faut pas utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques.

Cependant, il est parfois impossible de faire autrement. Notamment, lorsque vous utilisez un logiciel de cryptage de données (ce qui sera vu dans un autre billet) ou un gestionnaire de mots de passe (vu plus haut).

En effet, les mots de passe du gestionnaire de mots de passe sont cryptés. Leur décryptage nécessite de déverrouiller la base grâce à un mot de passe que vous devez savoir par cœur.

Il est vrai que les logiciels de cryptage de données ou les gestionnaires de mots de passe vous offrent la possibilité de crypter avec un fichier, par exemple une photo, et donc sans la nécessité d’un mot de passe.

Cependant, il est préférable d’avoir un mot de passe en plus du fichier. Ce mot de passe doit avoir les caractéristiques suivantes:

  • Il ne doit être connu que de vous-même,
  • Vous devez vous en rappeler ou le retrouver aisément,
  • Il doit être très difficile de le découvrir,
  • Il doit être très difficile de le déduire même en vous connaissant bien.

La tâche n’est pas aisée. Aussi, pour vous aider, vous pouvez utiliser la technique décrite ci-dessous. Il est important comprendre que la description d’un procédé automatique de calcul de mot de passe est facilement programmable par un cybercriminel.

Si vous faites preuve de la prudence la plus élémentaire

Sélectionnez une phrase tirée d’un texte que vous connaissez par cœur: chanson, poésie, proverbe, autre. La phrase doit faire au moins une trentaine de caractères, espaces compris. Ne prenez pas une phrase que vous répétez souvent !

Par exemple: Pour le meilleur et pour le pire !

Si vous êtes conscient des dangers potentiels d’internet

Supprimez les espaces entre les mots :
Pourlemeilleuretpourlepire!

Si vous savez qu’il existe des cyber-criminels

Insérer après le second ou le troisième mot, un ou plusieurs chiffres. Par exemple, ce chiffre peut représenter le nombre de mots que vous avez « sautés » ou le nombre de lettres précédentes:
Pourlemeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés

Les spécialistes du crackage du mot de passe savent que les utilisateurs les plus avertis ont l’habitude de mettre une majuscule en début d’un mot de passe et le caractère spécial ou le chiffre à la fin. Aussi, ne laissez pas la majuscule en début du mot de passe. Déplacez la majuscule sur un des mots:
pourleMeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés et dotés de moyens importants

Ne laissez pas le caractère spécial en fin de mot de passe. Déplacez le ailleurs:
pourleMeilleur3etpourle!pire

Quand vous aurez terminé, n’oubliez pas de vérifier la complexité de votre mot de passe ainsi créé avec Password Checker !

Password Checker

Un dernier conseil: n’utilisez surtout pas les mots de passe de cette page !

Qu’est-ce que l’Identité Numérique ?

De nombreuses informations sont collectées sur vous sans que vous le sachiez. Au rythme où va le web, il sera bientôt possible de connaître :

  • Votre nom complet
  • Votre adresse et numéro de téléphone
  • Votre âge
  • Vos parents
  • Vos voisins
  • Vos revenus moyens
  • La valeur moyenne de votre maison

Il ne s’agit pas de science-fiction. C’est déjà la réalité aux Etats-Unis.

Intelius.com

Outre les informations ci-dessus, le site américain intelius.com donne aussi des informations sur les condamnations, les poursuites judiciaires, le mariage ou le divorce d’une personne contre 50 $.

La réglementation des Etats-Unis est différente de celle de la France, la Belgique ou la Suisse. C’est justement pour cette raison qu’il sera difficile d’interdire à un site web implanté à l’étranger de chercher à collecter des informations sur des ressortissants Européens.

Les informations accessibles sur votre identité numérique deviennent de plus en plus nombreuses.L’identité numérique peut être définie comme étant les informations que vous laissez dans votre profil lors d’une inscription sur un site web, de vos contributions sur les forums ou les blogs et de vos traces lors de visites de sites web.Vos informations du domaine public alimentent aussi l’identité numérique.

Outils de recherche

A titre d’exemples, il existe actuellement des moteurs de recherches dédiés à la recherche de personnes, dont :

  • 123people.fr

Des moteurs spécialisés peuvent compléter l’information sur une personne morale ou un site web :

Les informations des sites de réseaux sociaux ou des sites de partage de photos peuvent être partagées avec la famille et les amis. Toutefois des données vous concernant peuvent être fournies à votre insu. Ces sites des réseaux sociaux permettent aussi de compléter l’information qui est détenue sur vous :

A partir d’un numéro de téléphone fixe, il est maintenant possible de connaître votre localisation géographique (géolocalisation), même si l’abonné est sur liste rouge. Selon les cas, vous pouvez obtenir la ville ou le quartier d’habitation de cette personne grâce à son numéro de téléphone fixe :

Comment effacer ses données personnelles sur le web ?

En premier lieu, il est préférable d’effacer les données qui viennent alimenter ces sites. Autrement dit, vous devez effacer les informations qui se trouvent à la source. La procédure est décrite en détail dans l’article Comment Effacer ses Informations Personnelles sur le Web.

En France, il existe aussi la possibilité de s’adresse à la CNIL.

En particulier, si vous avez demandé sans succès la suppression de vos données d’un site internet, ou à ne plus recevoir de publicités, ou encore à accéder ou faire rectifier des informations vous concernant.Dans ce cas, vous pouvez déposer une plainte auprès d’eux. La CNIL interviendra auprès du responsable du site que vous lui avez désigné. Si nécessaire, elle pourra faire usage de ses pouvoirs de contrôle et de sanction pour faire respecter vos droits.

J’ai déposé plainte auprès de la CNIL à deux reprises, en suivant scrupuleusement leur procédure. Je n’ai eu aucun retour de leur part. Il a donc fallu procéder comme expliqué dans l’article Comment Effacer ses Informations Personnelles sur le Web. Cette dernière procédure s’est révélée plus efficace.

Méthodes conventionnelles pour lutter contre les courriels indésirables

Il serait émis 200 milliard de spams chaque jour, soit 95% du volume d’emails échangé quotidiennement.

Le spam ou pourriel en français n’est pas seulement une nuisance. Un spam peut être parfois une menace potentielle: arnaque, fausse loterie, renvoie vers un site piégé pour une tentative de phishing (hameçonnage) ou de propagation de virus.

Dans cet article, les méthodes conventionnelles de lutte contre les courriers électroniques indésirables sont détaillées. Le prochain article présentera des méthodes moins conventionnelles pour lutter contre ce fléau. Un autre article arbordera la lutte contre les SMS spams.

Imaginez que vous recevez des emails non sollicités (spam) du site web www.monbosite.com, ou bien vous souhaitez simplement mettre fin à votre relation avec eux.

Passons en revue les différentes possibilités que vous avez à votre disposition pour réagir.

Etape 1 : Répondre à un email non sollicité

Pour arrêter de recevoir des emails indésirables d’un site web, vous pouvez être tenté de répondre en demandant d’être désabonné.

S’il s’agit réellement d’un spam, c’est une très mauvaise idée: ne répondez pas ! Car en faisant ainsi vous confirmez explicitement la validité de votre adresse email. Le spammeur en sera ravi.

Il est préférable d’aller directement à l’étape 4, voire à l’étape 5.

S’il s’agit simplement de mettre fin à l’envoi d’un email d’une liste de diffusion à laquelle vous vous étiez abonné et si l’expéditeur est sérieux et honnête, il doit y avoir un lien de désabonnement dans l’email. Si c’est le cas, allez à l’étape 2.

En l’absence de lien de désabonnement, formulez votre requête en étant court, anonyme et poli.

  • Une simple phrase comme « Prière de me désinscrire de votre liste d’abonné. Merci » suffit,
  • N’indiquez pas votre nom, ni vos coordonnées: peu importe, que le site possède ou non ces informations,
  • Dans le cas où vous possédez plusieurs adresses emails, répondez avec la bonne adresse email.

Etape 2 : Utiliser le lien de désabonnement

Généralement, ce lien se trouve tout en bas, ou parfois en haut de l’email. Dans tous les cas, c’est écrit en tout petit caractères:

Lien de désabonnement dans un email. Lien de désabonnement dans un email.

Le lien de désabonnement n’est à utiliser que s’il s’agit d’emails venant de sites que vous connaissez et fréquentez: ne cliquez jamais sur un lien qui se trouve dans un spam.

De manière générale, abstenez-vous de cliquer sur un lien d’un email, si vous avez le moindre doute.

Si vous cliquez sur le lien de désabonnement d’un email dans lequel vous avez confiance, prenez soin de bien lire le message qui s’affiche, car certains messages de désinscription sont tendancieux !

Dans tous les cas, vous ne devez pas donner plus que votre adresse email: pas de nom, ni de coordonnées, ni rien d’autres.

Les liens de désabonnements les mieux conçus ne demandent rien. Un code, contenu dans le lien, identifie automatiquement votre adresse email.

Confirmation de la désinscription d'une liste d'abonnés. Confirmation de la désinscription d’une liste d’abonnés.

Toutefois, certains liens de désabonnement ne fonctionnent pas. Dans ce cas, vous avez intérêt à utiliser l’email abuse@domaine qui est expliqué dans l’étape 3.

Etape 3 : Ecrire à l’adresse email abuse@domaine

Si le lien de désabonnement n’existe pas, ou semble ne pas fonctionner, ou si vous ne voulez pas l’utiliser, il vous reste encore la possibilité d’écrire à l’adresse email abuse@domaine, où « domaine » est le vrai nom de domaine du site qui émet l’email.

Cette adresse email particulière vous permet de signaler au propriétaire du site concerné que vous êtes victime d’un acte abusif ou malveillant de la part de son site web. Vous n’êtes même pas obligé de connaître une autre adresse email pour entrer en contact avec le site en question.

Si, par exemple, vous recevez un email abusif du site www.monbosite.com; vous pouvez leur envoyer un email à l’adresse abuse@monbosite.com pour le leur signaler.

Bien évident, ce n’est pas si simple car le propriétaire peut n’avoir pas mis en œuvre une adresse abuse@monbosite.com pour son domaine, ou il peut être négligent et ne pas traiter de manière régulière les messages reçus à l’adresse abuse@monbosite.com.

Pour ces raisons, il faut aussi envoyer un double de son email à l’hébergeur de www.monbosite.com.

Etape 4 : Ecrire à l’adresse email abuse@domaine de l’hébergeur du site abusif

Le principe est le même que celui décrit dans l’étape 3. La seule différence c’est que vous écrivez à l’hébergeur pour lui signaler les abus d’un site qu’il héberge.

L’hébergeur a les moyens d’agir sur le propriétaire du site pour que cesse les envois abusifs d’emails, s’ils sont avérés. L’hébergeur peut notamment « couper » le site web.

Le risque juridique de résilier l’hébergement, ou ne pas le résilier; est important pour l’hébergeur. Aussi, il y a de fortes chances que celui-ci instruise votre demande avec sérieux. Si votre demande est isolée, elle a peu de chances d’aboutir. En revanche, si votre demande vient s’ajouter à de nombreuses autres plaintes contre le propriétaire, celui-ci devra prendre les mesures pour que cesse les envois abusifs.

Le cas le moins favorable est la situation où l’hébergeur et le propriétaire du site sont une seule et unique personne, ou bien ils appartiennent tous les deux à la même organisation motivée par des objectifs crapuleux, politiques ou religieux.

Pour trouver l’hébergeur d’un site web, vous pouvez utiliser les outils suivants.
http://www.whoishostingthis.com (site WhoIsHostingThis, très simple)
http://uptime.netcraft.com/up/graph (site Netcraft, riche en informations)
Une fois que vous aurez trouvé l’hébergeur, vous pouvez le contacter à son adresse email abuse@domaine.

En cas d’échec, il est possible de s’adresser à des organismes officiels de lutte contre le spam, qui peuvent prendre le relais de vos demandes.

Etape 5 : Organismes de lutte contre les spams

A titre d’exemples, vous trouverez des réalisations faites en matière de lutte anti-spam, dans quelques pays francophones.

Les sites officiels de lutte contre les spams offrent la possibilité de dénoncer plus ou moins rapidement un abus.

SpamSquad est le portail belge de la lutte contre le spam.
http://www.spamsquad.be/fr/home.html
Signal Spam est association, soutenue par les pouvoirs publiques français, pour lutter contre les spams.
https://www.signal-spam.fr
La Confédération Suisse met plus l’accent sur l’information.
http://www.cybercrime.admin.ch/content/kobik/fr/home/themen/spam.html

S’équiper d’un logiciel anti-spam ?

Lorsqu’un email vous parvient, il a généralement subi plusieurs contrôles pour vérifier que ce n’est pas un spam. Le logiciel qui vous permet de lire vos emails (Thunderbird, Outlook, le webmail, etc.) est aussi équipé d’une protection contre les spams.

Ces filtres sont de plus en plus efficaces, en particulier dans les dernières versions.

A ce propos: plutôt que de supprimer directement un spam, il est préférable d’utiliser d’abord la fonction intégrée de votre logiciel anti-spam pour indiquer que ce message est un spam. Les filtres fonctionneront encore mieux.

Toutefois, si vous n’êtes pas satisfait du filtrage, vous pouvez éventuellement installer un logiciel anti-spam complémentaire. Il en existe beaucoup sur le marché mais prudence !

Une bande organisée de développeurs cybercriminels pourrait créer un logiciel qui assurerait en apparence les fonctionnalités anti-spam. Mais en réalité, l’objectif serait de récupérer des informations sur vos emails.

En effet, pour fonctionner ces logiciels tiers doivent analyser les emails que vous recevez. Ce fonctionnement pose déjà un problème non négligeable. Mais alors, comment s’assurer qu’ils n’analysent pas aussi ceux que vous émettez ? Ils pourraient s’en servir pour du ciblage commercial ou, pire encore, de la divulgation d’informations ciblées.

Si vous rencontrez des problèmes importants liés aux courriels indésirables, il est donc plus sage de changer votre client de messagerie pour une version plus récente.

Vous pouvez aussi consulter la liste des lies informatique du site SpamSquad. Il y a une rubrique consacrée aux logiciels anti-spams.
http://www.spamsquad.be/fr/fiches/fiche35.html

Anti Spam basé sur un système Challenge/Response ?

C’est un système où l’expéditeur d’un email doit prouver qu’il n’est pas un spammer.

Généralement, l’expéditeur reçoit la première fois un message lui demandant de cliquer sur un lien de contrôle ou de saisir un code Captcha.

Si l’opération se déroule correctement, l’adresse email de l’expéditeur est identifiée comme fiable. Les fois suivantes, il pourra envoyer un email au destinataire sans être interrogé.

Bien que ce système soit efficace pour stopper les spams, il présente des inconvénients. Par exemple, l’expéditeur peut ne pas être attentif au fait qu’une action est attendue de lui.

Par ailleurs, certains systèmes ne valident l’adresse d’un expéditeur que pour un destinataire donné. Dans le cas d’une organisation, cela suppose que l’opération d’identification doit être renouvelée pour chaque nouveau destinataire.

Comment effacer ses informations personnelles sur le web ?

De nombreuses informations peuvent être recueillies sur vous grâce au web et souvent sans votre permission.

Par exemple, avec un nom ou un numéro de téléphone, n’importe qui peut potentiellement identifier la maison où vous vivez et découvrir toutes sortes de renseignements personnels détaillés que vous ne voudriez pas que des étrangers apprennent.

Usurpation d’identité

Aussi, une des raisons qui peut motiver de vouloir effacer ses informations personnelles du Web est l’usurpation d’identité. L’usurpation d’identité est un phénomène qui prend de plus en plus d’ampleur. L’usurpateur se fait passer pour vous grâce aux informations qu’il a pu collecter sur le web et qui vous concerne.

Le principe est simple. Le criminel collecte votre nom, prénom, adresse, date de naissance, ainsi que d’autres données personnelles vous concernant. Ensuite, il utilise ses informations et vous vous retrouvez avec des amendes à payer, des redressements d’impôts ou d’autres tracasseries qui sont liées à ses agissements.

Dénigrement

Il existe une autre raison qui peut justifier que vous souhaitiez effacer vos données du Web. En particulier, si vous êtes l’objet d’une campagne de dénigrement ou de calomnie. Ce genre de campagne touche autant les entreprises que des particuliers.

Les informations récoltées sur vous peuvent se retourner contre vous. Dans le cas d’une campagne de dénigrement, certains excités n’hésiterons pas à venir vous harceler jusqu’à chez vous.

Préserver son intimité

Vous pouvez aussi craindre que vos informations soient vendues à des sociétés commerciales à votre insu.

Enfin, le souhait légitime de préserver votre intimité est suffisant.

Comment supprimer les informations personnelles sur Internet ?

Vous remarquerez qu’il est extrêmement facile de s’inscrire sur un site Web. Par contre, la désinscription ou la suppression du compte peut être parfois particulièrement difficile, voire impossible comme sur Facebook.

Cela signifie que vos données personnelles, celles que vous avez données à l’inscription ou par la suite, peuvent être indexées par un moteur de recherche ou pire volées.

J’ai testé des centaines de demandes de désinscription ou de suppression de compte sur des sites Web.

Même si la situation s’améliore pour les sites français, le constat est le suivant:

Dans l’ensemble, il existe quelques sites qui proposent une suppression directe du compte dans les menus. A de très rares exceptions près, cette option n’est pas facilement repérable dans les menus. Aussi, une recherche longue et méthodique sur le site est souvent nécessaire pour la trouver.

Très souvent, il faut faire manuellement une demande au webmestre du site en question. Au bout d’environ 72h, le webmestre répond favorablement à la requête. Mais, dans tous les cas, vous n’avez aucune certitude sur la réalité de la suppression. Finalement, la situation est la même que les sites qui refusent la suppression (Facebook, Google par exemple).

Malgré ces difficultés, vous avez des solutions pour effacer vos informations personnelles sur le web même quand c’est impossible de le faire.

Méthode pour supprimer systématiquement ses informations personnelles

Si vos intentions sont honnêtes, vous pouvez utiliser la méthode suivante qui fonctionne, y compris sur Facebook.

  • N’utilisez cette méthode que sur les sites qui n’ont plus aucune espèce d’importance pour vous,
  • Ne l’utilisez que si ce n’est pas illégal dans votre pays,
  • Ne l’utilisez pas sur des sites web officiels (impôts, administration, banques, etc.),
  • Ne l’utilisez pas pour tromper quelqu’un à des fins frauduleuses.

En cas d’escroqueries, les services de police vous retrouveraient avec votre adresse IP ou grâce à vos demandes de résolution DNS, via votre fournisseur d’accès à Internet. Ils disposent aussi de bien d’autres moyens.

En revanche, cette méthode est applicable si elle ne lèse personne.

Son seul objectif est de protéger légitimement votre vie privée ou de lutter contre toutes les formes de harcèlement.

Modifier vos informations

Cette méthode consiste à modifier vos informations personnelles AVANT de demander la suppression du compte.

Dans la gestion du compte, vous indiquez un faux nom (par exemple: Jean Martin), une fausse adresse (par exemple: 5 rue du Gal De Gaulle), un faux numéro de téléphone (par ex, 01 01 01 01 01), une fausse date de naissance (01/01/1970) etc.

Donnez des informations plausibles mais qui ne sont pas réelles, puis prenez soin de bien enregistrer ces informations.

N’usurpez jamais la véritable identité d’une personne: c’est illégal dans la plupart des pays. En France, l’usurpation d’identité est un délit prévu à l’article 226-4-1 du Code pénal et il est sanctionné d’un an de prison et de 15 000 euros d’amende.

Adresse email

Le changement d’adresse de messagerie n’est pas si simple car votre email sert souvent d’identifiant du compte. En cas de changement, le webmaster procède automatiquement à une vérification d’existence de l’email, ou encore il cherche à savoir si le nouvel email communiqué vous appartient réellement.

Aussi, après un changement d’email, vous recevrez un nouveau message de confirmation sur la nouvelle adresse de messagerie que vous aurez fourni. Pour parer à cette éventualité, vous pouvez créer un email temporaire et l’utiliser le temps de la demande de suppression.

Patienter pour plus d’efficacité

Une fois que les modifications sont faites, vous avez intérêt à patienter au moins 24 heures pour être certain que les données sont bien enregistrées. Il est même conseillé d’attendre 4 semaines avant de demander la suppression de votre compte.

Si vous avez pu modifier toutes les informations personnelles vous concernant, c’est à vous de voir s’il est réellement nécessaire de demander leurs suppressions…

Compte inactif

Dans l’hypothèse où votre compte ne serait pas supprimé, vous savez avec certitude qu’il ne renseignera plus personne sur vous, même en cas de défaillance du site web.

Pour savoir comment supprimer vos informations personnelles stockées chez Google, consultez l’article Comment supprimer ses traces de Google ?

Pour trouver les données détenues sur vous et publiées sur le web, lisez l’article Qu’est-ce que l’Identité Numérique ?

Être anonyme sur Internet

Comment devenir anonyme sur Internet : http://www.jesaisquivousetes.com/comment-devenir-anonyme-internet/#post-32

Comment changer et camoufler votre user-agent : http://www.jesaisquivousetes.com/changer-camoufler-user-agent/#post-34

Créez votre propre fournisseur de mails pour survivre sur Internet : http://www.jesaisquivousetes.com/creer-fournisseur-de-mails-illimite-gratuit/#post-36

Configurer votre Facebook pour ne laisser fuir aucune information privée : http://www.jesaisquivousetes.com/regler-confidentialite-facebook/#post-41

Google Demande de suppression de résultat de recherche au titre de la législation européenne en matière de protection des données : https://support.google.com/legal/contact/lr_eudpa?product=websearch&hl=fr

Méthodes conventionnelles pour lutter contre l’usurpation d’identité

Niveau: Débutant.

Internet simplifie le vol d’identité. Aussi, il est évident que cette pratique va s’amplifier de plus en plus. Toutefois l’usurpation d’identité se répand dans le monde réel. Parfois, les usurpateurs se révèlent être des proches des victimes. Cette situation étant plus fréquente qu’on ne l’imagine.

Un exemple est à lire dans l’article L’échevin des travaux de Stavelot va porter plainte pour usurpation d’identité.

Comment se protéger contre l’usurpation d’identité ?

La meilleure technique pour se protéger contre l’usurpation d’identité est d’éviter se la faire voler. Ce n’est pas une provocation gratuite. C’est du bon sens.

Surveillez l’arrivée de vos factures

Si vous ne recevez pas vos factures d’électricité, d’eau, de gaz ou de téléphone, contactez la compagnie concernée pour vérifier l’adresse qu’ils ont enregistrée pour vos factures. L’objectif est de vérifier que ces factures n’ont pas été illicitement détournées.

Vérifiez vos comptes bancaires

La finalité de l’usurpation d’identité est généralement lucrative.

Si c’est le cas, des anomalies apparaîtront sur vos relevés de compte. Dans ce cas, si vous pointez systématiquement vos relevés de comptes, vous découvrirez des débits pour lesquels vous n’avez aucune trace. Vous pourrez agir rapidement auprès de votre banque ou de votre organisme financier.

Certaines victimes ont mis des mois avant de s’apercevoir que des petites sommes étaient prélevées sur leurs comptes. Les cybercriminels prenaient soin de subtiliser des montants anodins afin de ne pas éveiller les soupçons. Par ailleurs la victime ne rapprochait jamais ses dépenses avec son relevé de compte. C’est à l’occasion d’un contrôle inhabituel des dépenses que la victime a détecté la fraude.

M. Sarkozy, ancien président français, a été victime d’une fraude de ce type. Les escrocs avaient ouvert 150 lignes de téléphonie mobile en utilisant les coordonnées bancaires appartenant à une quarantaine de personnes, dont les siennes. Ils avaient pu les récupérer grâce à un de leurs complices qui travaillait dans une société qui gère notamment les abonnements d’un opérateur de télévision câblée, où il avait accès aux coordonnées bancaires de tous les clients, dont celui de M. Sarkozy. Celui-ci aurait remarqué des prélèvements douteux sur son compte personnel pour un montant inférieur à 200 euros et il a ensuite porté plainte.

Déchiquetez vos documents personnels

Vous trouvez probablement répugnant de fouiller les poubelles à la recherche de documents personnels parmi les vieilles pelures de bananes et les odeurs fétides. Pourtant, dès qu’il s’agit d’argent gagné facilement, les escrocs ne s’arrêtent pas à ce genre de détails.

Il existe encore des escrocs « old school » qui ne veulent pas entendre parler d’Internet. Ils préfèrent les « bonnes vieilles méthodes » qui continuent de faire leurs preuves, car selon eux, chaque jour de nouvelles victimes naissent.

Gardez à l’esprit que ces personnes n’ont aucun scrupule. Par exemple, elles vous expliquent que voler ce n’est pas grave: ce n’est que de l’argent…

Aussi, faites attention à ce que vous jetez à la poubelle.

Il faut déchiqueter (ou brûler) tous les documents où figurent vos renseignements personnels: documents administratifs obsolètes, vieux relevés, offres commerciales de votre banque ou assureur, etc.

Pour déchiqueter correctement, vous devez acheter un destructeur de documents: couper en 4 (ou en 8) un papier est inutile. Le premier prix d’un destructeur de documents commence à partir de 25 euros (par exemple sur le site d’Amazon). Ce n’est pas cher payé pour garder sa tranquillité.

Si vous en avez les moyens, des appareils plus performants (nombre de feuilles, capacité du bac receveur, autres possibilités) se trouvent aux alentours de 60 € (et plus) environ.

Ne remplissez jamais un formulaire sans en connaître son utilisation

Lorsqu’une personne vous demande des informations personnelles, ne remplissez pas le formulaire ou ne répondez pas sans poser ces questions :

  • « Quelle utilisation sera faite des données ? »,
  • « Qui aura le droit de les consulter ? »,
  • « Comment ces données personnelles seront protégées ? ».

Passez outre la réaction de votre interlocuteur et demandez des réponses précises: votre tranquillité en dépend.

Dans la mesure du possible, ne fournissez que les informations obligatoires. Si vous remplissez un formulaire sur Internet et que vous souhaitez connaître les renseignements obligatoires, appuyez sur la touche entrée sans rien saisir. Généralement, les erreurs sont signalées ainsi que les champs obligatoires du formulaire: laissez les autres champs vides.

Ne fournissez jamais de renseignements personnels dans un email

Si un organisme quelconque vous demande de fournir des renseignements personnels, voire confidentiels comme un mot de passe, dans un email, téléphonez lui pour lui demander ce qui se passe mais ne répondez jamais à l’email en donnant les informations demandées.

Prenez la peine de chercher le numéro de téléphone par vous-même: n’utilisez pas le numéro de téléphone indiqué éventuellement dans l’email.

Certains escrocs n’hésitent pas à créer une fausse ligne téléphonique dédiée aux réclamations clients. Le numéro figure en bonne place dans l’email. La ligne a été ouverte sous un faux nom et elle a été payée avec une carte bancaire volée.

Ne communiquez vos identifiants qu’avec discernement

Tous les états modernes attribuent à leurs citoyens un numéro d’identification nationale. Tous vos identifiants (nationaux, permis de conduire, numéros de comptes, etc.) ne doivent jamais être divulgués dans un email, ni même par téléphone si vous êtes appelé.

De nombreuses escroqueries se font toujours par téléphone. Un prétexte, parfois farfelu, permet de soustraire des informations personnelles de la victime.

Ne communiquez pas d’informations personnelles en HTTP

Lorsque vous vous connectez sur ce site web, votre communication utilise le protocole HTTP. Celui-ci n’est pas sécurisé. Cela signifie que les pages qui arrivent sur votre ordinateur ne sont pas cryptées. Si un cybercriminel écoutait le réseau par lequel transitent les pages, il pourrait donc en connaître le contenu. Pour ce site web, cela n’a évidemment pas d’importance.

Les informations que vous envoyez au serveur web qui héberge le site ne sont pas cryptées, non plus. Sur ce site ce n’est pas gênant, car il ne s’agit que du lien de la page que vous voulez consulter.

En revanche, sur un site bancaire, vous n’avez pas envie que l’état de vos comptes soit connu. Surtout, vous ne voulez pas que quelqu’un d’autre que vous connaisse votre identifiant et votre mot de passe pour se connecter sur le site bancaire.

C’est la raison pour laquelle, la banque utilise le protocole HTTPS. Le S à la fin signifie qu’il est plus sécurisé que le protocole HTTP car les données échangées entre le serveur web qui héberge le site de la banque et votre ordinateur les données sont chiffrées.

Il serait illusoire de croire que le chiffrage suffise à lui-seul. Dans un premier temps, nous dirons qu’il est préférable d’échanger en HTTPS qu’en HTTP qui lui n’assure aucune protection. Toutefois, sachez que certains cybercriminels savent récupérer les données même quand elles sont cryptées avec HTTPS.