Une institution financière ne demandera jamais d'information personnelle, comme le mot de passe ou le numéro d'identification personnelle, à leurs clients que ce soit par courriel ou par téléphone
Trafiquer un afficheur est un jeu d'enfant
Marie-Ève Lafontaine - 04 décembre 2006 - 10h10
C'est un véritable jeu d'enfant de trafiquer un afficheur. Même l'auteure de ces lignes, qui a de la difficulté à trouver le bouton on d'un ordinateur, a réussi en un tournemain grâce à un site web. Il ne s'agit que d'ouvrir un compte et le tour est joué. Il est donc très facile d'écrire n'importe quel numéro de téléphone sur un afficheur.
«Beaucoup de personnes se fient sur l'afficheur pour identifier quelqu'un. On peut écrire le numéro d'une banque, et la personne qui va répondre va penser que c'est sa banque qui l'appelle, alors que ça peut être n'importe qui. La personne risque de prendre l'appel au sérieux et de donner de l'information. Les gens ne se méfient pas», souligne M. Robert Masse, président de GoSecure, une entreprise spécialisée dans la sécurité informatique située à Montréal. «Les gens n'imaginent pas que leur afficheur téléphonique peut être modifié. C'est facilement abusable», renchérit M. Pierre-Guy Lavoie, de Sekcore, qui est située dans la région de Québec.
L'inscription d'un faux numéro de téléphone ou d'un faux nom sur un afficheur est connu sous le nom de «mystification» (spoofing). On parle aussi d'«hameçonnage vocal» (vishing) lorsque des fraudeurs utilisent le téléphone pour obtenir des renseignements personnels. Si les gens se méfient lorsqu'ils reçoivent un courriel dans lequel on leur demande des informations de nature privée, ils sont plus portés à croire la personne qui est au bout du fil, surtout si l'afficheur indique qu'elle appelle d'une entreprise ou d'un organisme connu. Notons que tous les abonnés du téléphone peuvent être visés, il n'est pas nécessaire d'être un utilisateur de la téléphonie numérique.
En plus d'écrire n'importe quel numéro sur un afficheur, il est tout aussi facile de faire entrer en communication deux personnes qui ne se sont pourtant jamais appelées. «Je peux appeler et faire appeler n'importe qui d'un site web», note M. Masse. Il est même possible d'enregistrer la communication entre les deux individus.
Et pas besoin d'être un crack de l'informatique pour y parvenir. «Ce n'est pas du hacking. Ça ne prend vraiment pas quelqu'un qui connaît ça. Il faut juste savoir que ça existe et que c'est possible à faire. Tu ne hack pas le protocole ou le code du téléphone. C'est juste quelqu'un qui utilise un site web», mentionne M. Masse.
Selon ce dernier, ce phénomène risque de prendre de l'ampleur. «Ces sites web deviennent de plus en plus populaires. Originalement, il y en avait peut-être un ou deux en Amérique du Nord, et maintenant, il y en a peut-être une dizaine.»
M. Masse mentionne qu' il n'est à peu près pas possible de retracer ces individus. M. Lavoie croit, pour sa part, que c'est faisable. Quoi qu'il en soit, il semble que les compagnies de téléphone ont peu d'outils pour bloquer la transmission de ces appels. «Il n'y a aucun moyen technique pour empêcher ça actuellement», mentionne M. Lavoie.
L' «hameçonnage vocal» demeure toutefois marginal comparativement à «l'hameçonnage» (phishing) soit arnaquer les gens via des courriels ou des sites Web frauduleux. À l'Association des banquiers canadiens, on garde un oeil attentif sur ce phénomène. «Il y a un certain pourcentage (de vishing), mais ce n'est pas rendu aussi aigu que le phishing. C'est certain que ça nous inquiète et c'est tout aussi certain qu'on s'en préoccupe», mentionne M. Jacques Hébert, directeur du Québec de l'Association.
Ce dernier précise qu'une institution financière ne demandera jamais d'information personnelle, comme le mot de passe ou le numéro d'identification personnelle, à leurs clients que ce soit par courriel ou par téléphone.