Rappel non superflu

Investir en ligne en étant bien conscient des dangers
Jérôme Plantevin

Utiliser Internet pour effectuer ses virements bancaires, ou encore gérer son portefeuille d'actions et d'obligations en ligne, s'avère pratique, rapide, mais pas sans risque.
La menace de l'hameçonnage demeure
Pour un investisseur en ligne, le principal danger consiste aujourd'hui à se faire voler les codes d'accès à ses comptes d'institution bancaire ou de courtier en ligne.

"Les pirates ont depuis longtemps compris qu'il est plus facile de profiter des faiblesses et de l'incrédubilité des particuliers que de chercher à percer les défenses informatiques des grandes institutions financières", fait remarquer Michel Kabay, directeur de la maîtrise en sécurité informatique de l'Université Norwich, à Northfield, au Vermont.
Menace largement évoquée par le passé dans nos pages, l'hameçonnage (phishing en anglais, contraction des mots phreaking, - piratage de réseaux téléphoniques à l'aide d'Internet - et fishing), est une des techniques utilisées pour voler les noms d'usagers et les mots de passe. Au Québec, les messages des institutions financières avertissant leurs clients de fraudes de ce type se sont multipliés depuis plus d'un an.
Le dernier en date provient du Mouvement Desjardins, qui a avisé ses clients le 2 mars d'une tentative de fraude par hameçonnage menée par des pirates qui se faisaient passer pour le fictif département de confiance et de sécurité de la caisse populaire. Ces pirates auraient envoyé un courriel invitant les internautes à se brancher sur un faux site et à s'identifier en entrant leur code d'accès afin d'éviter que le compte soit désactivé le 25 mars.
Des pirates plus subtils
Ces techniques de vols d'identités semblent toutefois trop connus au goût de pirates, qui font désormais appel à une nouvelle forme de piratage appelée DNS Pharming, ou DNS poisoning. Au lieu de rediriger l'internaute vers un faux site par l'entremise d'un faux courriel de son institution financière, le pirate envoie l'investisseur vers un faux site mimant le site original au moment où il accède au site Web.
L'an dernier, des spécialistes ont par exemple constaté que le trafic vers de gros sites américains, comme celui d'American Express, détourné par des pirates.
La technique du DNS poisonning, peut-on lire sur le site de sécurité de Microsoft, est plus insidueuse que l'hameçonnage, car l'internaute peut être redirigé vers un site sans intervention de sa part. Le voleur de renseignements personnels ne pirate pas l'ordinateur personnel ni le réseau de son institution financière, mais plutôt les serveurs informatiques, baptisés serveurs DNS, qui se chargent de diriger à l'échelle mondiale le trafic internet entre internautes et sites.
Le modèle est-il en péril?
Les vols répétés des codes d'accès aux comptes Internet viennent aujourd'hui mettre en péril le modèle d'affaire des services bancaires en ligne. En France, le mois dernier, le Crédit Lyonnais a décidé de bloquer carrément son service et de suspendre pendant quelques jours les opérations de transaction en ligne. Puis la banque a depuis ouvert progressivement ses services.
Aux États-Unis, des études ont montré que l'utilisation des services bancaires en ligne a commencé à stagner, voire à régresser, principalement à cause de la multiplication des cas de vols de code d'accès et de mots de passe. En juin 2005, le Conference Board dévoilait un sondage qui montrait que plus de 13 % des internautes américains auraient été victimes, eux ou un membre de leur entourage, de vols d'identités. Plus de 40 % des sondés auraient avoué avoir moins transigé en ligne à cause de ces fraudes.
Cette statistique qui ne fait pas la part entre achat et transaction bancaire sur Internet, a quand même fait réagir plusieurs courtiers américains. Le dernier en date, Charles Schwab garantit depuis le 22 février à ses clients le remboursement total des pertes encourues en cas de vol de leur code d'accès et de l'utilisation illicite de leurs comptes.
"Au Canada, comme le phishing fait partie de la fraude, banques et courtiers en ligne sont tenus de rembourser les pertes", précise Genevieve Lafaille, porte parole de l'Association des banquiers canadiens.
Les investisseurs québécois sont-ils, comme eux, plus réticents aujourd'hui à utiliser les services bancaires en ligne?
"C'est difficile à dire, faute de données", répond Éric Lacroix, directeur, enquêtes et veille stratégique au CEFRIO (Centre francophone d'informatisation des organisations). Les seules statistiques disponibles montrent qu'en janvier 2006, 36 % des adultes de la province ont utilisé Internet au cours du dernier mois pour effectuer des opérations bancaires, et 5 % pour réaliser des placements financiers.
Selon l'organisme, l'un des rares à suivre assidûment le comportement des internautes de la province, ces pourcentages sont sensiblement équivalents à ceux observés en octobre 2004. De plus, en septembre dernier, 12,3 % des adultes québécois ont déclaré avoir été victimes d'une tentative de fraude par courriel ou par Internet.
"Une chose est sûre : plusieurs institutions financières d'ici sont préoccupées par le phénomène et tentent de maintenir la confiance de leurs clients envers les services en ligne, pour notamment inciter ceux qui ne les utilisent pas encore à faire le saut", dit M. Lacroix.
Car, en bout de ligne, plus les internautes utiliseront des services bancaires en ligne, plus les institutions financières verront leurs coûts d'opérations fondre et leur profit augmenter encore plus.

Sept conseils pour mieux lutter contre le vol de codes d'accès
1- Posséder le quatuor de logiciels suivant : parefeu personnel, anti-virus, anti-pourriels et anti-logiciels espions. Ils doivent être régulièrement mis à jour. Cela évite d'avoir la surprise de voir des logiciels chevaux de Troie, ou encore des logiciels keylogger s'installer sur votre PC. Les logiciels chevaux de Troie permettent d'accéder à distance à un ordinateur, alors que les logiciels keylogger enregistrent les frappes au clavier, dont bien sûr les mots de passe tapés.
2- S'assurer d'accéder au compte chez son courtier en ligne à l'aide des pages sécurisés. L'adresse de ces pages débute par http, et un petit cadenas s'affiche en bas de la fenêtre du navigateur. À noter toutefois que certains bon cyberpirates sont capables de créer des pages ayant ces aspects sécuritaires. Dans ces cas-là, il convient de cliquer sur le cadenas et de vérifier le certificat de sécurité. Dans la petite fenêtre qui apparaît devrait figurer le nom de l'institution. Si ce n'est pas le cas, vous êtes sur le site d'un pirate.
3- Porter une attention particulière à ce qu'on télécharge, et sur quelles fenêtres publicitaires pop-up on clique lorqu'on navigue sur le web.
4Utiliser son propre ordinateur pour accéder à ses comptes.
5- Ne pas répondre aux courriels demandant des informations personnelles. Aucun courtier en ligne qui se respecte ne demandera ces informations par courriel.
6- S'assurer de s'être complètement déconnecté à la fin d'une session.
7 Choisir son courtier, pas seulement à cause des frais de transaction qu'il exige ou de la convivialité de ses services, mais aussi pour les protections supplémentaires qu'il offre contre l'hameçonnage. J. P.

source : Jérôme Plantevin