Tony Ascombe
La semaine dernière, j’ai reçu un avis de la Bank of America m’informant que ma carte de crédit faisait peut-être partie de celles affectées par une brèche visant un commerçant dont l’identité n’a pas été révélée. Le courriel mentionnait qu’il n’y a peut-être pas eu de fraude sur ma carte et qu’il s’agit d’une précaution. L’institution financière y précisait également que je ne serai pas tenu responsable financièrement pour toute transaction frauduleuse.
Cela m’a donné
le goût de partager ma propre expérience en matière d’atteinte à la protection
des données avec vous. Avant d’entrer dans le vif du sujet, j’aimerais préciser
que le message de notification que j’ai reçu de la Bank of America me frustre
un peu. D’abord, j’aurais voulu savoir quel commerçant a subi cette brèche. En
effet, il se peut que d’autres données me concernant soient stockées et que je
puisse prendre des mesures pour les protéger. De plus, je voudrais que la
banque explique les moyens mis en place pour traquer les fraudeurs et va les
traduire en justice, plutôt que de laconiquement offrir de rembourser tous les
frais si mon compte est touché.
À mon avis, la manière désinvolte dont les
atteintes à la protection des données sont notifiées, remboursées et plus
globalement traitées, est source de complaisance parmi les personnes touchées,
voire même auprès des entreprises touchées. On entend d’ailleurs très rarement
parler des criminels qui sont arrêtés, ni des malheurs des personnes qui ont eu
la malchance d’avoir été victimes de leurs crimes.
Mon récit de vol de données
En décembre 2018, j’ai reçu un relevé bancaire
mensuel par la poste pour un compte que j’utilise rarement. Eh oui, certains
d’entre nous reçoivent encore des relevés papier. Le relevé se limite
généralement à une seule page avec peu ou pas de transactions, mais cette
fois-ci, j’ai été choqué de voir qu’il comportait alors 7 pages. Il y avait 50
éléments sur le relevé qui n’étaient pas les miens – 35 débits et 15 crédits –
et la majorité d’entre eux concernaient des compagnies d’assurance basées au
Royaume-Uni.
Petite mise en contexte : il
s’agit un compte offshore en dollars américains et la raison pour laquelle il
est rarement utilisé est qu’il s’agit d’un fonds d’urgence. Les cartes
associées sont conservées avec nos passeports et c’est un compte que nous
conservons « juste au cas où quelque chose arriverait », procurant
suffisamment de financement instantané accessible pour résoudre, espérons-le,
tout problème que nous pourrions rencontrer lors de nos voyages. En résumé, le
compte est peu utilisé, est rarement consulté en ligne et n’est vérifié que
d’un simple coup d’œil sur un relevé papier.
J’ai donc passé une heure au
téléphone après avoir appelé la ligne antifraude de ma banque, accessible 24
heures sur 24. Le personnel de cette ligne m’a grandement aidé, m’ayant permis
de résoudre les problèmes initiaux en passant en revue avec moi chaque
transaction sur le relevé pour déterminer si elle était légitime ou le fait de
la fraude. Ils semblaient un peu surpris au départ que je n’aie pas remarqué
les transactions plus tôt, mais après leur avoir expliqué les circonstances de
l’utilisation du compte, nous sommes rapidement passés à autre chose. Au total,
il y a eu environ 7 500 $ US en transactions et 1 750 $ US en remboursements,
pour un solde net d’environ 5 750 $ US fraudé. La banque a immédiatement
crédité cette somme sur le compte. Ils ont également bloqué le compte, afin
d’empêcher d’autres transactions, en plus de réémettre les cartes associées au
compte.
Dans les jours qui ont suivi, d’autres transactions
sont apparues et quelques crédits supplémentaires. En fait, les crédits se sont
poursuivis pendant environ quatre semaines. La banque a continué de surveiller
et d’ajuster la somme remboursée en conséquence. La banque a également exigé
une déclaration écrite attestant que les transactions n’avaient pas été
effectuées par moi, me fournissant les documents à signer. Au-delà de la
détresse causée par la situation et le temps passé au téléphone, tout a été
réglé de manière relativement facile et simple.
Assurer un meilleur avenir
Qu’en est-il des transactions? L’une des premières
transactions frauduleuses est très amusante dans les circonstances. Les
fraudeurs ont effectivement acheté un produit VPN de Identity Cloaker. Ce
produit permet d’effectuer des transactions frauduleuses en ligne sans
divulguer les adresses IP des fraudeurs, cachant leur identité et leur
emplacement aux commerçants et, éventuellement, aux forces de l’ordre.
Article complet sur https://www.welivesecurity.com/fr/2019/05/31/breche-fait-vecu/