Noël, période bénie des escrocs en ligne
Alors que les boites email regorgent d'offres publicitaires, annonçant la traditionnelle frénésie d'achats -en ligne- durant toute la période de noël, un rapide communiqué de presse de Visa nous apprend « Nearly Two-Thirds of Largest U.S. Merchants Now PCI Compliant ». Ce qui, en Français et en langage sécurité, pourrait être traduit par « plus du tiers des grands marchands sur Internet américains ne respectent pas les consignes minimales de sécurité dans le cadre de leurs procédures de vente en ligne ». Ce n'est certes pas le cas en France, puisque le GIE Carte Bleue ou Visa n'ont émis aucun communiqué semblable ou traitant des éventuels stockages abusifs de coordonnées bancaires. Ca n'existe donc pas. Vente en ligne critiquée, encore, dans les colonnes du Reg, qui titre « Découverte d'un disfonctionnement dans les clefs de sécurité Paypal ». Selon Chris Romero, pour peu qu'un attaquant possède les crédences d'un vendeur (login, mot de passe, question de type « chalenge-réponse », rien de très compliqué pour un bon spyware), il devient possible de dactylographier n'importe quelle suite de 6 chiffres pour forcer le sésame de Paypal. Comme nous le rappelle un lecteur de CSO France qui semble avoir, ces jours ci, été la proie d'un vol par « détournement de compte de vendeur », la première mesure de sécurité de Paypal est de demander aux clients victimes qui n'auraient pas le bonheur de figurer au nombre de leurs clients... de créer précisément un compte Paypal. En d'autre terme, de communiquer un numéro de carte de crédit associé à diverses informations personnelles. En général, profiter d'un levier psychologique -inquiétude ou état de stress- d'un consommateur pour le forcer à communiquer des données bancaires confidentielles, n'appellerait-on pas ceci du phishing ? Pourtant, les menaces se font moins pressantes, affirme la Federal Trade Commission (FTC) américaine qui, dans un récent rapport sur le vol d'identité, estime que les pertes de données personnelles n'atteignent, en 2006, que le tiers de ce qu'elles étaient en 2003. Entrent, dans ces métriques, aussi bien les escroqueries « classiques » utilisant des échange par courrier papier ou des vols de portefeuilles, que les « méthodes modernes » que sont le phishing et autres spywares récupérateurs de mots de passe. Mais en y regardant de plus près, l'on s'aperçoit que la méthodologie d'enquête et les techniques de sondage sont devenues plus sélectives. Toute conclusion sur le ralentissement des vols d'identité serait excessivement hâtive. Il ressort en revanche une tendance très intéressante : les escrocs préfèrent créer de nouveaux comptes d'achat en imputant leurs dépenses aux victimes des vols, plutôt que d'utiliser des comptes pré-existants et en détourner les coordonnées du bénéficiaire. Le vol moyen par opérations de « création de compte » oscille aux environ des 1300 dollars (15 000 dollars pour les plus gros méfaits), tandis que la méthode du « détournement » ne rapporte aux malfaiteurs que 350 dollars en moyenne (et 4000 $ maximum) Et la « confiance » dans tout çà ?Elle prend un sacré coup, estime Cloudmark, un prestataire britannique de service de messagerie qui commande relativement souvent des études sur les conséquences du phishing. Son dernier rapport laisse entendre que 42 % des clients interrogés estiment qu'ils auront moins confiance en une marque qui aurait été utilisé dans une campagne de phishing. 41% affirment même que si cette attaque concernait une banque, leur confiance envers son enseigne serait « grandement affectée ». 40 % pensent de la même manière si ce phishing ciblait un fournisseur de services Internet, et 36% s'il s'agissait d'une boutique de e-commerce. Lorsque Cloudmark aborde le chapitre de la responsabilité, 26% des sondés pensent être responsables de leur propre protection. 23 % rejettent cette responsabilité sur leur propre fournisseur de service Internet, tandis que 17 % avancent que les premiers travaux de « salubrité publique » devraient incomber au FAI qui héberge l'émetteur de ces courriels frauduleux. 17 % de la population qui, indirectement, pose la question de la « responsabilité pénale » des ISP, voilà qui est bien peu pour faire bouger les choses.
