Qui sont les voleurs d'identité?

Je viens de publier, avec Guillaume Louis, une note de recherche qui analyse à partir de données empiriques le profil des voleurs d'identité, ainsi que leurs modes opératoires.

Voici quelques faits saillants de cette note:

• Le vol d’identité a frappé 1,7 millions de personnes au Canada en 2008 et a fait 340.000victimes au Québec l’année précédente. Malgré le volume significatif de cette forme émergente de criminalité, les connaissances dont nous disposons sur le sujet restent encore relativement limitées, particulièrement en ce qui concerne le profil des auteurs de ces crimes et leurs modes opératoires.
• Le vol d’identité est souvent représenté dans les médias comme une forme de délinquance nécessitant des compétences techniques très développées et étroitement associée au crime organisé.
• Cette recherche, qui s’appuie sur des sources secondaires provenant en grande majorité des États‐Unis, permet de mieux comprendre la dynamique du vol d’identité et de démontrer qu’il s’agit en réalité d’une forme de délinquance très diversifiée englobant des stratagèmes dont la sophistication varie grandement.
• Notre base de données est constituée à partir de 574 articles de presse recueillis de janvier à juin 2008. Elle contient 195 affaires de vol d’identité impliquant 422 délinquants.
• Les femmes représentent près de 40% des délinquants. Cette forte présence s’explique selon nous par l’absence de violence inhérente à ce type de crime et par la possibilité de le commettre sans le soutien de pairs délinquants.
• Les auteurs de vols d’identité sont relativement plus âgés que les autres délinquants, avec une moyenne de 33 ans. Le délinquant le plus âgé figurant dans notre base de données avait 67 ans.
• Les délinquants ont agi seul dans une grande majorité des cas (64,6%), ce qui semble contredire la thèse d’une forte implication du crime organisé dans ce type de crime.
• Concernant les techniques d’acquisition des identités, des moyens technologiquement rudimentaires comme le vol physique de portefeuille ou de sac à main et l’escroquerie représentent plus de la moitié des cas (53,4%). Il semble donc que les délinquants habituels exploitent les opportunités qui leurs sont fournies pour s’adonner au vol d’identité.
• Par ailleurs, il est intéressant de noter que le second mode d’acquisition le plus répandu concerne des professionnels qui détournent à leur profit les renseignements personnels de clients, patients ou bénéficiaires qu’ils rencontrent dans le cadre de leur emploi (28,3%).
• À l’étape de la fraude, Internet devient un outil privilégié des délinquants qui souhaitent extraire un bénéfice financier des identités volées, puisque 45,3% des cas impliquent l’achat de biens ou de services en ligne, ainsi que l’obtention de lignes de crédit via Internet.
• Contrairement à l’image d’un crime faisant un grand nombre de victimes lors de chaque incident, notre échantillon n’identifie qu’une seule victime par affaire dans 57% des cas. Il est possible qu’un biais de sélection soit à l’origine de ce résultat surprenant.
• Le montant médian des profits réalisés par les auteurs de vol d’identité est de 26.000 dollars US, ce qui fait du vol d’identité un crime relativement profitable au vu des faibles risques encourus.
• Parmi les personnes arrêtées et condamnées, les peines infligées sont relativement lourdes, avec une peine moyenne de 54 mois de prison. Cette sévérité nous semble influencée par une volonté de dissuasion à l’égard de délinquants pouvant penser qu’ils jouissent en ce domaine d’une véritable impunité. Par contre, il semble que les affaires les plus complexes se règlent plus fréquemment par une peine assortie d’un sursis, en raison du pouvoir de négociation dont disposent les criminels à qui on demande de fournir des informations sur le mode opératoire utilisé.

Un traité international pour la sécurité du cyberespace?

Le New York Times, dans son édition du 27 juin, publie un article faisant état discussions qui auraient été engagées entre les États Unis et la Russie sur l'opportunité d'un traité international portant sur la sécurité du cyberespace. La Russie propose qu'un traité similaire à ceux existant dans le domaine du contrôle des armes chimiques ou nucléaires soit envisagé, alors que les États Unis privilégient plutôt le renforcement des mécanismes de coopération policière internationale.

Comme le souligne l'auteur de l'article, la difficulté du recours à un instrument traditionnel de la diplomatie internationale est que l'Internet est par définition un système technique ouvert aussi bien aux États qu'aux individus, et que la responsabilité des attaques malfaisantes qui peuvent en émaner restent très difficiles à attribuer.

Sur le plan historique, de premières discussions auraient eu lieu dès 1996, dirigées côté américain par John Arquilla, un chercheur en stratégie adepte de la théorie de la guerre en réseaux.

La Chine aurait également été approchée par la Russie afin d'appuyer le projet d'un tel traité.

Quelques outils de protection de la vie privée sur Internet

Un article provenant d'un journal destiné aux professionnels de la sécurité informatique CSOonline offre quelques bonnes adresses pour les personnes qui souhaitent préserver leur vie privée lorsqu'ils naviguent sur Internet (et ils semblent nombreux ceux qui s'inquiètent depuis le dépôt hier de deux projets de lois canadiens). L'auteur de l'article ne propose pas ces outils à des fins de défense des libertés individuelles, mais plutôt dans le cadre d'enquêtes. Cependant, l'utilité reste la même:

• Un faux générateur de noms (y compris francophones) vous permettra de vous inventer des identités d'usage convaincantes, comprenant date de naissance, adresse postale, nom de jeune fille de la mère, etc.: www.fakenamegenerator.com.
• Un navigateur Internet qui s'appuie sur le système TOR (sans l'installation fastidieuse) et vous permet de cacher votre adresse IP, de crypter vos données de navigation et de ne conserver aucun cookie (par contre, le téléchargement de films ou de morceaux de musique risque de prendre pas mal de temps): xerobank.com/download/xb-browser/
• Un site Internet qui permet de vérifier l'adresse IP qui vous est allouée, afin de vérifier que Xerobank fait bien son travail: whatismyipaddress.com/
• Un site Internet qui vous permet d'expédier des courriers électroniques anonymes en imitant n'importe quelle adresse d'expédition (même si cela peut s'avérer compliqué en cas de réponse attendue): send-email.org/ [attention, dans certains pays, ce type de pratique peut être considéré comme du vol d'identité si vous utilisez l'adresse d'une personne existante]

Projets de loi C-46 et C-47

Voici les liens vers les deux projets de loi (C-46 et C-47) déposés aujourd'hui par le Gouvernement conservateur du Canada afin de faciliter les enquêtes criminelles à forte composante technologique. Ces dispositions, si elles sont adoptées par le Parlement, permettront notamment au Canada de ratifier la convention du Conseil de l'Europe sur la cybercriminalité qu'il a signé en 2001 (sous un gouvernement libéral donc).

Ces deux projets de loi de près d'une centaine de page ne prévoient pas d'abaisser -- voire de supprimer -- les exigences relatives à l'obtention d'un mandat. Ils précisent par contre les conditions d'émission par les juges d'ordonnances de communication, de préservation et de non-divulgation des données de communication et de localisation des usagers suspectés de violer le Code criminel. Ils viennent aussi créer pour les opérateurs de télécommunication l'obligation de se doter d'équipements technologiques permettant de procéder aux interceptions autorisées par un juge dans les meilleurs conditions possibles. Un article plutôt anodin a cependant attiré mon attention: l'article 14 (4) du projet C-47 prévoit en effet que "le ministre peut fournir au télécommunicateur l'équipement et les autres biens qu'il estime nécessaires pour lui permettre de se conformer à l'arrêté". De quel équipement s'agit-il et quelles sont ses capacités? Est-ce une référence indirecte aux solutions de surveillance développées par le FBI aux États-Unis, dont j'avais signalé les ramifications canadiennes dans un billet de la Sécurisphère ici?

Les services de police et de renseignement pourront également obtenir sans mandat des renseignements sur les abonnés des opérateurs comme le nom, le numéro de téléphone, l'adresse IP ou encore l'adresse de courrier électronique, mais ces procédures seront encadrées par la Commissaire à la protection de la vie privée.

Le vol d'identité médical et la crise

Avec l'augmentation du nombre de chômeurs qui accompagne la crise économique, de nombreux américains se retrouvent du jour au lendemain sans mutuelle de santé, et le vol d'identité médical offre à certains d'entre eux la possibilité de se faire soigner en cas de besoin en usurpant l'identité d'une personne couverte. Le New York Times nous offre une enquête intéressante sur le sujet. Le World Privacy Forum avait produit dès 2006 un rapport consacré à cette forme spécifique de vol d'identité. Le secteur de la santé est par ailleurs très vulnérable au vol ou à la perte de données personnelles, comme nous l'avions démontré il y a quelques mois dans un rapport de recherche de la Chaire sur l'insécurité de l'information dans les organisations nord-américaines.

Les cambrioleurs vous suivent-ils sur Twitter?

C'est en tout cas ce que prétend cet article de l'Associated Press repris par Technology Review. La victime d'un cambriolage résidentiel est convaincue que c'est l'annonce de son départ en vacances sur Twitter, un très populaire site de microblogage, et la description fastidieuse de ses activités ("je monte dans ma voiture", "plus que 100 km avant que j'arrive", "youpi je suis arrivé", etc.) qui a permis à des cambrioleurs de savoir que son domicile serait inoccupé pendant quelques jours. Ce qui lui a mis la puce à l'oreille? Le fait que les délinquants n'ont paru intéressés que par son matériel professionnel de production vidéo, et qu'il se serve justement de Twitter comme un outil de promotion afin de communiquer avec des clients potentiels. Il diffusait à cet effet ses messages à environ 2.000 abonnés (ou 'followers') qui recevaient ses courtes mises à jour (moins de 140 caractères), y compris ceelles faisant état du déroulement de ses vacances.

Cet article, reposant sur un seul cas non probant illustre néanmoins à quel point les préoccupations légitimes concernant la sécurité sur Internet peuvent facilement sombrer dans une certaine forme de paranoïa paralysante. Les journalistes auraient certainement dû prêter une plus grande attention à l'épouse de la victime, pour qui cette affaire relève du pur hasard. Un utilisateur moins paniqué de Twitter est également cité, faisant remarquer que cela prendrait un cambrioleur anormalement motivé pour identifier des victimes particulières dans le déluge d'informations insignifiantes qui déferlent à longueur de journée de ce type de sites.

Ridicule ou affligeant?

À vous de juger:

Une française est convoquée par la police pour avoir déposé un commentaire qui qualifiait une ministre (secrétaire d'état à la famille plus précisément) de "menteuse" sur un site de vidéo en ligne.

On peut imaginer que les enquêteurs ayant d'autres chats à fouetter, c'est la plainte de Madame Morano qui a mis la machine policière en branle. Pour mettre en contexte les rapports de Madame Morano à l'Internet, voici deux citations assez récentes:

«Internet peut être un outil dangereux, celui se trouve derrière l'écran peut-être un prédateur»

«Internet, c’est comme une magnifique voiture de course. Si vous n’avez pas votre permis de conduire et que vous ratez un virage, c’est la mort»

C'est vrai qu'elle semble parler d'expérience.