Archive for the ‘Sécurité des systèmes d’information’ Category

Les mots de passe et les questions secrètes : utile ou futile ? par Marie-France Bélanger

30 janvier 2013

Combien de mot de passe différents pouvez-vous utiliser dans une journée ? Que ce soit pour le photocopieur, la boîte vocale du bureau, pour se brancher au réseau, à l’intranet et la boîte de courrier au bureau ?  Ça fait seulement 15 minutes que je suis arrivée au bureau et j’en dénombre déjà pas mal. Au retour à la maison,  je prends mes messages personnels sur les médias sociaux, ma boîte de courrier, celle de l’université, le portable, mes comptes bancaires, bref, au moins une vingtaine, et ce, même pour les néophytes dans mon genre.

J’avoue que j’ai de la difficulté à suivre tout ça et que je ne prends pas toujours le temps de réfléchir aux conséquences d’un mot de passe trop facile ou d’une question secrète qui semble futile (visiblement les mêmes pour tout le monde)  et dont les réponses sont disponibles en 3 ou 4 clics !  

J’attire votre attention sur ce lien, une histoire vécue, afin de vous sensibiliser sur la sécurité parfois inadéquate des utilisateurs. Mais ici c’est une compagnie très connue et réputée  qui se fait avoir elle aussi, et ce, à votre détriment.

http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/

Je n’avais que d’éloges pour le magasinage en ligne dans le confort de mon foyer, moi qui suis loin des centres commerciaux, mais après avoir lu cet article, j’ai modifié mon comportement en ce qui attrait l’achat en ligne et je modifie mes mots de passe régulièrement (et pas seulement quand je ne m’en rappelle plus) et je mets à jour les logiciels anti-virus.

Bonne réflexion !

Marie-France Bélanger

Publicités

La sécurité des achats en ligne

26 novembre 2012

Internet offre de plus en plus d’opportunités d’achats en ligne. Cette nouvelle forme de magasinage est en grandissante popularité, car elle permet de faire ces achats habituels du confort de chez soi, sans avoir à se déplacer. En effet, selon statistique canada, en 2001 1.5 million de ménages ont dépensé 1.1 milliard de dollars et 9.1 millions de commandes ont été passés de leur maison. Lors de ces achats en ligne, il faut utiliser une carte de crédit pour payer et donner plusieurs informations personnelles. Il faut donc être prudent. Plusieurs dangers s’offrent à nous. L’usurpation d’identité en est une de plus grave. Cependant, il est aussi possible que la personne administrant le site web encaisse votre argent sans jamais ne vous livrer la marchandise. Pour se protéger de ces dangers, il existe plusieurs moyens. Le meilleur est de toujours vérifier la fiabilité du vendeur et comparer ces produits aux autres produits semblables qu’offre internet. Il vaut mieux acheter notre marchandise du marchand le plus fiable plutôt que celui de la meilleure offre.

Avant la transaction, l’entreprise virtuelle doit fournir un minimum d’information pour assurer sa fiabilité. Telle que sa raison sociale, son adresse complète ainsi que numéro de téléphone ou numéro de service à la clientèle. De plus, pour assurer aux gens la sécurité de son site web, l’adresse électronique doit débuter par https:// au lieu de simplement http:// et le site web doit posséder le petit cadenas dans la barre d’état du navigateur. Il est aussi important de s’assurer de la politique de garantie ou d’échange en cas de bris, de retour et de livraison.

Durant la transaction, soyer sûr que les informations relatives à l’objet sont bien détaillées (taille, couleur, poids et texture). Il faut aussi vérifier les modalités de livraison et les coûts inhérents. Garder toujours une copie ou un résumé de la transaction compléter, qui sera votre seule preuve physique de cet achat. Pour assurer la protection de vos renseignements personnels, une loi a été votée. Elle empêche un fournisseur internet de vous demander trop d’information personnelle superflue. Cette loi dicte qu’un fournisseur ne peut vous demander uniquement les renseignements nécessaires soit : nom, adresse et numéro de téléphone, adresse courriel, numéro de carte de crédit.

Le magasinage par internet nous facilite la tâche, nous fait économiser beaucoup de temps et parfois d’argent. Par contre, cette forme d’achat ouvre un grand marché aux fraudeurs. Il faut être prudent avant d’effectuer tout achat en ligne pour éviter les mauvaises surprises.

Ariane Parent

http://monidentite.isiq.ca/suivez_bonnes_pratiques/achats_en_ligne.html

http://www.guideduconsommateur.ca/fr/topics/protection-du-consommateur/achats-en-ligne

http://www.statcan.gc.ca/daily-quotidien/020919/dq020919b-fra.htm

FRAUDE PAR CARTE DE CRÉDIT

20 octobre 2012

Les cartes de crédit sont une méthode de paiement pratique, sécuritaire et souple, acceptée dans plus de 200 pays dans le monde. La fraude par carte de crédit peut survenir de plusieurs façons.

Les perfectionnements technologiques ont contribué à améliorer la sécurité des renseignements personnels chez les entreprises et ils ont également ouvert de nouvelles portes aux criminels. Si des experts en TI existent pour implanter des systèmes de protection sur les renseignements personnels de leurs clients, bon nombre de criminels existent aussi pour déjouer ces TI et ainsi s’acquérir des données dont ils ont besoin. Des escrocs répandus en technologie tentent constamment de découvrir de nouveaux moyens de frauder les gens par achat direct, en ligne, par courriel, par téléphone, etc.

De nos jours, les voleurs d’identité s’approprient des renseignements signalétiques sur les gens par des moyens beaucoup plus sophistiqués que le vol de portefeuilles. Les escrocs inventent sans cesse et maîtrisent des technologies rendues de moins en moins coûteuses et de plus en plus perfectionnées.

Les criminels arrivent à décoder et à changer les renseignements sur les bandes magnétiques. Ils les copient sur les fausses cartes qu’ils ont fabriquées. Ils peuvent également trafiquer les terminaux chez des détaillants afin d’obtenir l’information stockée sur la carte et en fabriquer une falsifiée. Aussi, une autre façon de s’approprier votre carte de crédit est de vous remettre une fausse carte après le paiement de votre achat, avec un nom bidon et une date d’expiration expirée. La plupart du temps les gens reprennent leur carte sans vérifier. Surveillez particulièrement ceux qui ont des cellulaires car ces appareils sont tous munis de caméras. Les fraudeurs s’en servent pour photographier votre carte et ainsi utiliser vos renseignements personnels pour reproduire une fausse carte.

L’hameçonnage ou l’usurpation de  marque sont des formes répandues de cyber crime. Le message hameçon consiste à envoyer à un utilisateur un courriel prétendument en provenance d’une entreprise légitime, dans le but de berner l’utilisateur et de l’amener à divulguer des renseignements personnels. Ces courriels réclament souvent des renseignements comme des numéros de carte de crédit, des renseignements sur les comptes bancaires, le numéro d’assurance social et les mots de passe qui serviront par la suite au vol d’identité. Surveillez ces courriels frauduleux. Souvent ils vous préviennent avec très peu de préavis. Les fraudeurs utilisent des messages troublants pour vous inciter à réagir sur le champ. Ne répondez pas à ces courriels et ne cliquez pas sur le lien. Ces courriels ne se sont pas personnalisés tandis qu’un message de votre fournisseur de carte de crédit par exemple le sont en général.

Les fraudeurs utilisent également le téléphone. Ils savent comment amadouer leurs victimes. Même s’ils ont l’air d’être honnêtes, tout ce qu’ils veulent, c’est votre argent. Pareillement ils vous incitent à réagir immédiatement.

Soyez prudents lorsque vous transmettez vos renseignements personnels de votre carte de crédit et signalez les escroqueries.

Par Caroline  Coulombe

La technologie et la sécurité des cartes à puces

13 octobre 2012

Au début du 20e siècle, suite aux progrès technologique on a vu l’apparition des cartes à bande magnétique qui sont actuellement encore utilisées de nos jours.  On retrouve plusieurs exemples de cartes à supports magnétiques dont les cartes de crédits, de débits, de fidélité, de contrôle d’accès, etc.  La bande noire s’appelle une piste magnétique.  On la dit ainsi par sa composition de particules d’oxyde de fer alignées par un champ magnétique.  Elle contient des informations codées telles des renseignements confidentiels identifiant l’utilisateur sous forme de codes numériques.  Le lecteur dans lequel elle est glissée lit les codes inscrits sur la piste magnétique, les emmagasinent et les transmets par ligne téléphonique à une centrale informatique. Après vérification, la centrale envoie un signal électrique au lecteur pour lui accorder ou non la transaction.  Ce sont les compagnies de crédit ou les institutions bancaires qui codent les renseignements personnelles sur le magnétique au verso de la carte. Par contre, la sécurité n’est pas assurée à 100% puisqu’il n’y a aucun moyen sûr pour protéger les données enregistrées sur la bande magnétique. 

Dans les années passées, on a vu plusieurs fraudes par carte de crédit.  Au canada, en 2011, seulement pour les cartes de crédits, le total des fraudes s’élèvent à 436 588 757$, une augmentation de 19.38% par rapport à 2010.  Ce type de fraude peut survenir de plusieurs façons.  Une carte perdue ou volée peut être utilisée pour acheter des biens et des services.  Des organisations criminelles peuvent obtenir votre numéro de carte ainsi que sa date d’expiration et se servir de ses informations pour faire des achats en ligne ou par téléphone.  De plus, les terminaux chez les détaillants peuvent être trafiqués pour obtenir l’information et fabriquer une carte falsifiée. 

Pour mieux prévenir les fraudes, le Canada passe à la technologie de la carte à puce et s’inscrit dans l’engagement pris par l’Association Interac de fournir des services sûrs et innovateurs.  Cette carte utilise une nouvelle technologie de paiement rendant sont clonage presque impossible.  Elle possède des zones ou l’écriture voire la lecture est interdite.  Simple à utiliser avec un NIP.  La « cryptographie » est la technologie utilisée qui permet la communication entre la carte, le terminal du détaillant  et la centrale.  Technologie de pointe, la micro-puce est très difficile à copier pour les criminels.  Cette technologie a permis de réduire la fraude dans d’autres pays où sont utilisées les cartes à puces.

Les banques, cherchant toujours de nouvelles technologies et une meilleure sécurité pour protéger les consommateurs, ont mis en circulation les nouvelles cartes sans contact que nous verrons de plus en plus (exemple : PayPass, PayWawe).  Cette carte à puce couplée à une antenne électronique, vous permet de faire vos transactions de petits achats, rapidement, sans NIP.

Même si on dit que la carte à puce est infaillible,  il faut toujours avoir l’œil ouvert sur notre carte!

Source : cba.ca, securiteinfo.com, association des banquiers canadiens

Usurpation d’identité par voie numérique ou informatique

13 octobre 2012

Avez-vous déjà reçu dans votre boîte de courriel, un message vous indiquant que vous êtes l’unique héritier d’une personne qui soit disant vous est apparentée, habitant à l’autre bout du monde? L’auteur de celui-ci vous demande de lui fournir diverses informations personnelles ainsi qu’une certaine somme d’argent pour recevoir votre héritage. Ou encore, un message d’un contact avec un sujet inhabituel.  Et bien, voilà là des exemples de ce qui est une escroquerie en voie de devenir le crime du 21e siècle.  Notez qu’il existe plusieurs types de fraude. L’usurpation c’est prendre délibérément l’identité d’une autre personne dans le but de réaliser des actions frauduleuses commerciales, civiles ou pénales.

L’hameçonnage qui consiste à simuler des messages électroniques de compagnies ou de personnes qui demandent des informations personnelles aux receveurs. Malheureusement, les réponses, dues à la naïveté des répondeurs, sont perçues par les fraudeurs qui utilisent ensuite ces informations pour frauder leurs victimes.   Les données recueillies peuvent être le nom, le téléphone, la date de naissance, le numéro d’assurance social, le numéro de compte bancaire, etc. 

À l’ère des réseaux sociaux et des nouvelles technologies, la protection des renseignements personnels est un sujet d’actualité pour les entreprises et les particuliers.  Afin de minimiser les coûts pour les industries, il est important de les responsabilisés face aux données confidentielles que contiennent leurs ordinateurs.  On peut parler ici de vente de banque de données ou d’intrusion dans les systèmes informatiques de petites et de grandes entreprises un peu partout dans le monde.  Comment réussissent-ils à s’introduire dans les systèmes informatiques?  Il s’agit de l’intrusion locale sur le navigateur.  Un intrus peut reprendre une session sur un site simplement un utilisant l’historique du navigateur si l’utilisateur a seulement fermé l’onglet.  Il peut alors avoir accès au profil, le modifier, le détourner et usurper l’identité.  Facilement, il peut effectuer des transactions frauduleuses sans que l’utilisateur légitime en soit conscient.  Vigilance aussi sur votre lieu de travail et dans les endroits publics.   La subtilisation de mots de passe est possible en utilisant un enregistreur de frappe, en installant une caméra dans un endroit stratégique ou en regardant par-dessus l’épaule. 

Au Québec, le recours aux technologies de l’information peuvent augmenter les risques de divulgation d’informations.  Pour assurer la protection de la vie privée et de la dignité des personnes lors de transactions faites par le biais de documents technologiques, la loi a prévu des dispositions.  Elle prévoit des conditions d’utilisation pour assurer la confidentialité de documents. Par exemple, l’article 20 se cite : « La protection des renseignements personnels et confidentiels doit être assurée avant de détruire un document dont la loi exige la conservation et qui ont fait l’objet d’un transfert. »

Prudence lors de vos échanges, vos publications, vos achats, vos transactions bancaires  sur Internet.  Toutes vos informations personnelles peuvent être accessibles aux escrocs en un simple clic!

Source : Secrétariat du Conseil du Trésor du Québec, Le Devoir, Wikipédia