La fraude dans l’ère « post-princes nigérians »

On a souvent l’impression qu’il ne faut vraiment pas comprendre internet pour être victime de fraude en ligne. On connaît les cas classiques: la belle Amalia viendra vous visiter si vous lui payiez un billet d’avion, vous avez «gagné» un million de dollars ou bien l’un de ces fameux princes nigérians a besoin de votre aide pour transférer de l’argent… À part deux ou trois pauvres personnes qu’on voit sporadiquement aux nouvelles, qui est-ce qui se fait vraiment avoir par ça?

Les fraudeurs ont évidemment pensé à des stratagèmes plus efficaces ces derniers temps, notamment en passant par les textos plutôt que par les courriels. Faire des arnaques de cette façon est trois fois plus efficace, souligne Geneviève Lajeunesse, analyste chez Crypto.Québec.

«Quand on reçoit un SMS de notre compagnie de téléphone, par exemple, on n’est pas sûr de ce dont ça doit avoir l’air. Le numéro de téléphone est toujours bizarre, et on s’attend à avoir un petit lien court. Les gens sont moins vigilants, et c’est assez facile à personnaliser pour une personne mal intentionnée.»

Personnaliser? Mais pourtant, les cellulaires, ce n’est pas dans le bottin?

Si on était un arnaqueur, explique Geneviève Lajeunesse, on pourrait chercher des numéros au hasard sur des bottins en ligne, et voir par exemple qu’un numéro a été émis par Rogers. On commencerait donc notre message par: «Bonjour, ici le service à la clientèle de Rogers. Vous avez dépassé la limite de données incluses dans votre contrat.» On pourrait ensuite dire que pour afficher le message complet, il faut cliquer sur un petit lien, et bingo.

«On nous met dans une situation d’urgence, et on se dit: ok, puisque c’est ainsi! Mais il faut vraiment être plus vigilants sur nos téléphones. Avec les ordinateurs, souvent, quand on a un doute ou un problème, quelqu’un dans notre entourage peut nous aider, mais pour les téléphones, on nous dit d’aller voir notre fournisseur et ils n’ont pas trop de réponses, les employés ne sont pas formés pour ça. La prévention est donc la meilleure médecine.»

C’est effectivement important, parce que si le lien est juste une pub, c’est fatigant. Mais quand il nous amène à télécharger une application contenant un logiciel malveillant… ça devient soudainement plus dangereux.

Geneviève Lajeunesse en avait d’ailleurs fait une impressionnante démonstration sur Ici Grand Montréal, en prenant le contrôle du téléphone d’une journaliste (avec son consentement évidemment) en la faisant cliquer sur un lien envoyé par texto. Elle pouvait ensuite contrôler le téléphone à partir de son ordinateur, voir et entendre toutes les communications faites à partir de l’appareil, faire des appels, rediriger tous les appels sur son téléphone à elle, accéder aux comptes en ligne sur le téléphone (médias sociaux, banque), activer le micro pour enregistrer ce qui se passait, activer la caméra pour prendre des photos, activer le système de localisation… ça pourrait difficilement être plus invasif. Que faites-vous que votre téléphone ne pourrait pas trahir d’une façon ou d’une autre, à part peut-être écrire votre journal intime?

On en parlait la semaine dernière: il n’y a pas que des criminels endurcis qui pourraient vouloir utiliser ce stratagème. Tous ceux qui bénéficieraient des informations que vous avez pourraient vouloir prendre le contrôle de votre téléphone, qu’il s’agisse d’un compétiteur au travail… ou tout simplement d’un conjoint jaloux. «Quand on pense au hacking, on imagine souvent des choses techniques et impressionnantes par leur complexité. Mais ce n’est pas toujours ça. Des logiciels comme celui que j’ai utilisé peuvent être très accessibles», souligne Geneviève Lajeunesse, qui précise quand même qu’il s’agit d’une activité criminelle.

Comme si ce n’était pas déjà assez stressant comme ça, il n’y a pas que les téléphones qu’on doit craindre. Vous connaissez les «jouets intelligents»? Non, on ne parle pas de livres ou de casse-tête éducatifs, mais bien de trucs comme la poupée Hello Barbie, qui répond aux commandes vocales des enfants.

«Pour y parvenir, Barbie transmet chacune des phrases de son interlocuteur à un serveur aux États-Unis, où elles sont analysées afin de fournir une réponse appropriée. Le serveur garde en mémoire toute cette information, puisqu’il en a besoin pour «augmenter» l’expérience», explique Geneviève Lajeunesse dans un article qu’elle a écrit pour L’actualité. Bref: le jouet enregistre ce qui se passe chez vous et le stocke sur des serveurs.

Même genre de situation avec les tablettes pour enfants, qui communiquent avec internet sans chiffrement lors des mises à jour automatiques. Le risque n’est pas hypothétique: un pirate s’est attaqué en 2015 aux tablettes de la société VTech, et a réussi à obtenir les informations de plus de 6 millions d’enfants et près de 5 millions d’adultes (nom, sexe, date de naissance, adresse, conversations, selfies). Un bijou pour le vol d’identité, entre autres scénarios sinistres, constate Geneviève Lajeunesse.

Pour la plupart des gens, dire adieu aux cellulaires serait quand même une réaction excessive. Voici quelques conseils simples de Geneviève Lajeunesse pour ne pas devenir la prochaine victime d’une fraude:

• Ne suivez pas de lien envoyé par message texte, même s’il vient d’un ami;
• Fermez votre ordinateur/cellulaire quand vous ne l’utilisez pas (on ne peut pas pirater un appareil éteint);
• Désactivez le wifi et le Bluetooth quand vous ne les utilisez pas;
• Utilisez des mots de passe complexes et différents pour vos divers comptes;
• Faites des sauvegardes de vos données sur des supports externes;
• Surveillez si votre batterie descend vite ou vos données sont utilisées de façon inhabituelle (un indice que quelqu’un pourrait contrôler votre appareil à distance);
• Renseignez-vous sur le chiffrage de vos communications pour qu’elles aient moins de chances d’être interceptées.

Ça n’est pas une mauvaise idée non plus de rester à l’affût des nouvelles qui touchent la sécurité informatique. Comme elles ne font pas souvent la première page des journaux, une bonne ressource québécoise est le podcast Les Chiens de garde, justement animé par Geneviève Lajeunesse.

Disons que le sujet risque d’être encore plus d’actualité dans les prochaines années, alors que l’utilisation des appareils mobiles ne cesse d’augmenter et que les voitures sans conducteurs commenceront à circuler sur nos routes…