jeudi 27 décembre 2007

La Roumanie, leader mondial de la fraude sur les sites de ventes aux enchères?

Un article publié dans le Los Angeles Times nous explique comment les fraudeurs roumains semblent avoir peaufiné l'art de la fraude sur les sites de ventes aux enchères, dont le plus connu est certainement eBay. Les fraudes impliquent soit la non livraison d'un bien promis, malgré le paiement par la victime, soit la livraison d'un bien qui ne correspond pas aux spécifications annoncées. Une autre variante est la fraude de la "deuxième chance", qui consiste pour les fraudeurs à contacter une personne ayant participé à une enchère sans avoir remporté cette dernière et à lui proposer un produit identique au prix qu'elle était prête à payer -- ou à un montant inférieur pour rendre l'offre encore plus attractive. Les sites d'enchères permettent dans ce dernier cas aux fraudeurs d'identifier des victimes à la recherche d'un produit en leur faisant savoir combien celles-ci sont disposées à dépenser pour obtenir celui-ci.

L'article examine l'organisation et la division du travail au sein des groupes de fraudeurs, qui emploient des étudiants pour contacter à la chaîne leurs futures victimes et des "mules" pour rapatrier l'argent transféré par le biais d'entreprises spécialisées comme Western Union. Ces groupes créent parfois également des entreprises de fournisseurs d'accès à Internet, afin de faciliter leurs opérations. L'article décrit le sentiment d'impunité qui anime les fraudeurs face à des services de police et des systèmes judiciaires de pays de l'ancienne Europe de l'Est mal équipés pour faire face à une criminalité aussi sophistiquée.

L'aspect le plus intéressant est cependant la description de l'implication d'eBay auprès des agences d'application de la loi roumaines, sous la forme de séances de formation offertes aux policiers et aux juges, d'équipements informatiques neufs et d'abonnements à Internet destinés à ces derniers. L'étroite collaboration entre le service des fraudes de l'entreprise et les organisations policières américaines présentes à l'étranger est également mise de l'avant, même si de l'aveu des acteurs impliqués, les spécificités du système judiciaire local rendent les poursuites pénales très lentes. À partir de cette expérience, eBay aurait développé un programme de sensibilisation des autorités étrangères prêt à être déployé au moindre signe qu'une région du monde est en train de développer une expertise de niveau international en matière de fraude.

Il serait intéressant de connaître les détails de ce programme. Mais il est également fascinant de voir quel rôle jouent des entreprises privées dans la gouvernance internationale de la sécurité informatique, essayant de se substituer avec des moyens dont il est difficile d'évaluer l'ampleur à des services de police et à des organisations internationales de coopération policière (Interpol, Europol) qui semblent pour le moins démunis.

dimanche 23 décembre 2007

Les sites internet des ambassades de France au service des fraudeurs

Le site français Zataz a révélé il y a quelques jours que le site Internet de l'ambassade de France en Libye avait été infecté par un code malicieux (malware), qui cherche à télécharger sur les ordinateurs des internautes qui le consultent des programmes d'enregistrement clandestin de frappes de clavier. Ces programmes enregistrent les mots de passe des Internautes et les expédient aux pirates qui s'en servent ensuite pour prendre le contrôle de leurs comptes bancaires, d'email gratuit ou Ebay. Zataz a mis à la disposition des internautes la vidéo suivante, qui illustre le fonctionnement du programme:



Hier, il semblait que l'ambassade de France en Israël ait connu le même sort.

Ces récents développements démontrent que la langue ne constitue plus un facteur de protection contre des pirates qui ciblaient jusque là principalement des sites anglophones. Par ailleurs, les administrations qui se dirigent vers un modèle de gouvernement en ligne vont devoir guarantir à leurs usagers des accès parfaitement sécurisés, au risque d'éroder une part importante de leur légitimité.

samedi 22 décembre 2007

Les campagnes de prévention facilitent-elles le travail des fraudeurs?

Une fraude actuellement menée à grande échelle en Ontario exploite la peur du vol d'identité de la population. Les fraudeurs se font ici passer pour des représentants de la Direction de la protection des consommateurs de l'Ontario, et font croire à leurs victimes que celles-ci ont fait l'objet d'un vol d'identité, puis les persuadent de leur communiquer les informations relatives à leurs comptes bancaires sous le prétexte qu'ils vont les aider à transférer leur argent en lieu sûr. L'efficacité de cette méthode (qui n'est pas nouvelle en soi) s'appuie en grande partie sur les campagnes de sensibilisation menées au Canada et aux États-Unis par les divers ordres de gouvernement et par les institutions bancaires, qui mettent en garde les consommateurs contre divers usages frauduleux de leurs renseignements personnels. Le ressort de l'arnaque consiste ici à retourner l'anxiété créée par de telles campagnes au profit des fraudeurs et à convaincre les victimes que ces derniers sont là pour les aider, la confiance ainsi établie permettant de finaliser la fraude.

Cette approche illustre parfaitement la forte composante d'ingénierie sociale mise en oeuvre par les fraudeurs, et les limites des préconisations "statiques" ou techniques faites aux consommateurs, comme par exemple de se procurer une déchiqueteuse de papier. Devant la créativité des fraudeurs, des recommandations trop spécifiques risquent d'être rapidement périmées, et on devrait certainement plutôt s'orienter vers des campagnes qui visent à changer les comportements des consommateurs, dont le sens critique vis-à-vis des diverses institutions leur demandant des renseignements personnels pourrait être avantageusement renforcé.