Présentation

 

Calendrier

Juillet 2010
L M M J V S D
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  
<< < > >>

 

Derniers Commentaires

 

Archives

 

Liens

 

Syndication

  • Flux RSS des articles

 

Vendredi 22 janvier 2010 5 22 /01 /2010 20:09

Gare au caller ID spoofing, l’usurpation d’identité par téléphone.

Encore une autre technique de fraude, qu’en tant que nouveau « spécialiste de l’usurpation d’identité », je me dois de vous présenter, vous expliquer et par conséquent vous alerter. J’en profite également pour vous consulter afin de connaître votre ressenti, votre expérience. N’hésitez pas à me faire part des éventuelles types de fraudes que vous auriez déjà rencontrées.

 

Le caller ID spoofing de « caller ID » en anglais qui signifie « identité de l’appelant » et « spoof » qui signifie littéralement « parodie ». En d’autres termes, le caller ID Spoofing est une technique d’usurpation d’identité qui consiste à passer des appels sur des milliers de téléphones portables en se faisant passer pour une société en affichant un faux numéro. Le caller ID Spoofing est également appelé vishing, une composition de  « voice » et de  « phishing ».

Plus en détails, les pirates de vishing affichent un faux numéro pour faire passer leur appel comme provenant d’une source légitime ou connue de la victime. Ensuite, ils utilisent en général des messages enregistrés demandant au client d’appeler un numéro gratuit, en expliquant au client que sa carte bancaire à été utilisée pour une activité frauduleuse sur internet par exemple, ou encore qu’elle est sur le point d’expirer. Le système demande alors au client de saisir son numéro de carte bancaire pour vérifier son compte ou tout autre information personnelle. Les pirates peuvent ainsi récolter vos codes de carte de crédit ou encore vous vendre de faux produits. Avec cette technique, ils jouent sur une vulnérabilité psychologique du consommateur en créant chez lui un stress et un faux sentiment d'urgence lié à la possibilité d'avoir été fraudé par exemple avec des messages alarmant.

Même si la technique paraît un peu simpliste et que certains d’entre-nous sont sûrs de ne pas tomber dans le panneau, il faut tout même se méfier. Il faut savoir que cette technique semble répandue aux Etats-Unis plus qu’en France, mais qu’elle tend à se généraliser notamment du à la banalisation des technologies de voix sur IP, au développement de services gratuits et au faible coût des communications. Cette technique est également répertoriée sur le site de la gendarmerie nationale parmi d’autres informations de prévention en matière de fraude, par ici.

 

Afin de savoir si cette technique est utilisée en France, faites-nous part de votre expérience : avez-vous déjà reçu ce type d’appels ? Pensez-vous être susceptibles de tomber dans le piège ? J’attends vos réactions…

Par François
Ecrire un commentaire - Voir les 0 commentaires - Partager    
Jeudi 21 janvier 2010 4 21 /01 /2010 17:56

La technique par enregistreur de clavier existe, soyez vigilants !

En tenant un blog sur le thème de l’usurpation d’identité on se doit d’informer les internautes sur tous les types de fraudes possibles et inimaginables que les nouvelles technologies permettent, même les plus marginales. C’est pour cela que dans mon travail de veille quotidienne je suis tombé sur une l’information concernant les enregistreurs de clavier qui mérite selon moi d’être abordée ici.

 

Qu’est ce que la technique de l’enregistrement de clavier ou de keylogger ? Tout simplement un programme malintentionné qui permet d’enregistrer toutes les frappes effectuées sur un clavier à distance.  Voici un peu de théorie. Selon un document officiel publié par l’Organisation de Coopération et de Développement Economique (OCDE) pour les politiques sur le vol d’identité en ligne, le keylogger fait partie de la famille des maliciels, un terme générique désignant un code ou un programme logiciel injecté dans un système d’informations dans le but de porter atteinte à ce système ou à d’autres. On distingue plusieurs sortes de maliciels : les virus, les vers, les chevaux de troie, les portes dérobées, les enregistreurs de clavier, les gratteurs d’écran, les rootkits et les logiciels espions. Je pense que vous avez saisi la contraction des mots « malicieux » et « logiciel » afin de créer le mot « maliciel ». J’essaierai d’ailleurs dans un prochain billet de vous développer certains de ces autres maliciels.
Deux moyens de récupérer les données saisies sur le clavier

Comme l’indique le rapport de l’OCDE, il existe deux types de keylogger : il y a ceux qui nécessitent que le fraudeur récupère les données enregistrées (il faut donc imaginer que celui-ci intervienne dans le cadre d’un cercle plutôt restreint, son entourage ou sa société par exemple), et ceux qui transmettent activement les données enregistrées (ici, tout est faisable à distance sans même avoir besoin de connaître la victime).

Il y aurait donc deux groupes de pirates afin de pouvoir réaliser ce type de fraude : certains groupes spécialisés dans la création et la distribution de ces logiciels espions, d'autres revendant les informations recueillies ou réalisant les transactions frauduleuses proprement dites.

Même si je n’ai pas trouvé de chiffres officiels sur la présence de ce type de fraude sur le territoire Français, il semblerait qu’il s’agisse d’une technique beaucoup moins répandue que le phishing par exemple. Rassurez-vous. Mais je me dis également que si cette technique est évoquée dans le rapport de l’OCDE sur le vol d’identité en ligne, c’est qu’elle existe bel et bien… Alors prudence !

Répandue ou non, l’existence de ce type d’intrusion dans votre système vient montrer l’importance d’équiper vos ordinateurs d’un anti-virus efficace maintenu à jour ainsi que d’un logiciel coupe-feu configuré. Normalement, ceux-ci ne devraient laisser passer aucun maliciel…

Par François
Ecrire un commentaire - Voir les 0 commentaires - Partager    
Lundi 18 janvier 2010 1 18 /01 /2010 16:37

Ouvertures frauduleuses de lignes téléphoniques, comment est-ce possible ?

Petit jeu, saisissez dans votre moteur de recherche « ouverture frauduleuse de ligne téléphonique » et vous découvrirez une multitude de discussions sur ce sujet sur les forums ! Le nombre d’internautes qui racontent leur expérience est assez frappant. Alors, la question que l’on se pose est : comment est-ce possible puisque normalement pour l’ouverture d’une ligne téléphonique nous devons fournir de nombreux papiers d’identité, des données bancaires et autres ?

Lorsque vous vous rendez chez un opérateur téléphonique pour ouvrir une ligne, il vous est très souvent demandé de fournir une voire deux pièce d’identité, un RIB ou un chèque barré, un justificatif de domicile… Pourtant, de nombreux français se disent été victimes d’usurpation d’identité en se rendant compte qu’ils reçoivent des factures pour une ligne dont ils n’ont pas connaissance. La plupart d’entre-eux disent effectivement avoir déjà perdu leur carte d’identité par exemple, mais pas de RIB ni de facture EDF, Certes dans le cas d’un vol de poubelles ou de courrier, la fraude semble largement facilitée puisque les fraudeurs se sont certainement procurés tous ces documents. Dans d’autres cas où les personnes n’ont perdu aucun papier, elles mettent plutôt en cause le sérieux des opérateurs téléphoniques et fournisseurs d’accès Internet en matière de vérification.

En effet, il semblerait dans certains cas qu’il soit possible d’ordonner l’ouverture d’une ligne par un simple appel téléphonique. Et c’est justement là qu’est le problème… Etant donné la conjoncture actuelle et les objectifs fixés aux équipes commerciales, certaines victimes évoquent un manquement dans la vérification des données et des documents au profit de la vente et la rentabilité. On peut alors imaginer que pour ne pas perdre une vente, certains commerciaux fermeraient les yeux sur un manque de documents attestant de l’identité exacte au moment de l’ouverture d’une ligne, en partant d’un principe de confiance…

Pire, certains internautes accusent directement certains vendeurs d’avoir effectué eux-mêmes ces ouvertures de ligne en utilisant les données accessibles depuis leur base de données. Par exemple, votre fournisseur d’accès fait partie du même groupe qu’un opérateur de téléphonie mobile. Vous êtes client chez le fournisseur d’accès Internet, mais pas encore chez l’opérateur mobile, mais les données sont existantes dans le fichier, et voilà le tour est joué ! Le vendeur procède lui-même à une ouverture de ligne en votre nom… Certes, il est difficile d’émettre des certitudes sur ce type de comportement uniquement avec des témoignages de victimes, mais cela n’empêche pas d’envisager cette possibilité au moment d’un doute ou de la réception d’une facture suspecte. Tout est envisageable, alors restez vigilants !

Par François
Ecrire un commentaire - Voir les 2 commentaires - Partager    
Vendredi 15 janvier 2010 5 15 /01 /2010 15:13

Qu’est-ce la technologie 3D Secure ?

Depuis maintenant un peu plus d’un an, on a pu remarquer sur certains sites marchands un logo « Vérified by Visa » ou « MasterCard SecureCode » ainsi qu’un nouvel argument émanant des banques pour nos cartes bancaires : la technologie 3D Secure. Alors de quoi s’agit-il au juste ?

3D Secure est un protocole de paiement sécurisé sur Internet, développé par Visa pour augmenter le niveau de sécurité des e-transactions, puis adopté par Mastercard et désormais commercialisé par l’ensemble des établissements financiers. Le principe de base consiste à demander au cyber-acheteur, en plus de son numéro de carte bancaire, une information indépendante de ladite carte. Sa date de naissance, par exemple, ou un autre élément personnel. Les sites acceptant ce type d'authentification peuvent alors apposer sur leurs pages les logos "Verified by Visa" ou "MasterCard SecureCode". Un gage de sérieux de la part du commerçant qui rassure ainsi son client.
3d-secure.jpg Pour les internautes, 3D Secure est une sécurité supplémentaire pour leur shopping en ligne. Cette technologie rassure ainsi ceux qui hésitaient encore à franchir le pas, de peur que leurs données bancaires soient récupérées et utilisées à leur insu. 3D Secure se généralisant, le nombre de transactions frauduleuses online devrait diminuer. Aujourd’hui, chaque établissement bancaire vous propose le service 3D Secure avec votre carte de paiement et adapte le code de vérification supplémentaire. Il s’agit souvent de la date de naissance, d’une question secrète, ou les codes d’accès de ses comptes en ligne.
Pour les e-commerçants, même si leur première peur est de rallonger le processus de commande en rajoutant un frein et par conséquent de voir certains visiteurs interrompre leur commande, 3D Secure vient leur apporter des solutions pour les soulager.
En effet, le « Liability Shift », autrement dit le transfert de responsabilité, (opérationnel pour tout marchand 3D Secure même en cas de porteur non 3D) dégage le commerçant des risques de paiements contestés : le commerçant 3D Secure ne reçoit plus d’impayés non seulement pour fraude mais aussi pour les contestations du type « ce n’est pas moi qui ait fait la transaction ». Autant dire que la technologie enlève une belle épine au pied de marchands pour compenser le risque d’abandon de la part des cyber-acheteurs.
En effet, avant le service 3D Secure, lors de tout achat internet, à aucun moment votre identité n'est prouvée (code PIN ou signature). Cela veut dire qu'il suffit de contester un paiement pour que votre banque vous rembourse. La responsabilité est du côté de la banque du commerçant, auprès de laquelle votre banque réclamera la somme. Désormais, lors d'un achat en mode 3DSecure, si l'authentification est un succès, il y a un transfert de responsabilités vers votre banque. (Puisqu'elle a affirmé que c'était bien vous qui étiez en train de payer, elle ne peut plus contester et doit transférer l'argent à la banque du commerçant.). Et bien entendu, votre banque transfèrera cette responsabilité vers vous : vous ne pourrez plus contester un paiement 3DSecure et vous faire rembourser (d’où l’importance que votre banque choisisse un mode d’authentification solide).
Alors si ce service vous intéresse, sachez qu’aujourd’hui la quasi-totalité des cartes bancaires nouvellement fabriquées sont désormais 3DSecure, que pour les anciennes, selon les banques, le basculement 3DSecure sera automatique. Dans tous les cas, cela ne nécessite aucun changement de carte ni de modification de votre carte existante. Le passage à 3DSecure ne doit normalement rien vous coûter.
Par François
Ecrire un commentaire - Voir les 0 commentaires - Partager    
Vendredi 8 janvier 2010 5 08 /01 /2010 18:13

Que comprend une « assurance informatique » ?

Dans le cadre de mes recherches sur l'éventualité de commercialiser un produit d'assurance couvrant l'usurpation d'identité, l'idée de l'intégrer à une assurance informatique a été abordée. En effet, l'intégration dans un produit d'assurance global est peut-être la solution à envisager pour offrir à nos clients un service complet. Après la possibilité de l'ajouter à une « assistance protection juridique », étant donné que les risques d'usurpation d'identité sont de plus en plus liés à Internet et à l'utilisation des données personnelles en ligne, pourquoi ne pas l’ajouter à une « assurance informatique » pour en faire une sorte de « Pack Internet ». Mais avant de vous demander votre avis, je vais déjà essayer de détailler ce que comprend ce type d'assurance.

Après pas mal de requêtes auprès des différents assureurs français, je peux donc rapidement vous dire ce que contient une assurance informatique.

La plupart d’entre-elles semblent couvrir uniquement le matériel informatique (ordinateur et périphériques pour les risques de vol, perte, incendie, explosions, foudre, dégâts des eaux, dommages accidentels, catastrophes naturelles, actes de vandalisme, attentats.  Les assurances proposent alors la prise en charge du matériel neuf dans ces différents cas de dégradation. Certaines sociétés proposent également le marquage de votre matériel et son tracking via Internet en cas de vol. Et il semblerait que ce soit à peu près tout. 

Je n’ai pas trouvé de sociétés d’assurances couvrant par exemple les dégâts causés sur votre matériel par d’éventuels virus ou autres intrusions. En tous cas, pour le marché des particuliers. Il semblerait en effet que les assurances « informatique » pour les professionnels soient plus étoffées, comprenant notamment la couverture de la perte de certaines données…

Alors peut-être que justement cette offre est à développer ? Qu’en pensez-vous ?

Selon vous, une assurance informatique prenant en charge votre matériel mais aussi vos données personnelles vous paraît-elle pertinente ? Devrait-elle par exemple vous dédommager des fraudes dont vous pourriez être victime à l’usage d’internet ? En quelque sorte, une assurance « Pack Internet » et non seulement une assurance informatique ? Mais peut-être que la question à se poser est la légitimité de votre assureur à vous proposer ce type d’assurance ? Trouveriez-vous plus légitime que ce soit votre fournisseur d’accès Internet qui vous la propose ?

Par François
Ecrire un commentaire - Voir les 0 commentaires - Partager    

Recherche

 

Pourquoi ce blog ?

Parce que j'ai besoin de vous ! Je souhaite faire appel à vous quant à la mise en place d'un nouveau produit d'assurance. En effet, je suis en charge du lancement d'une offre innovante de protection contre l'usurpation d'identité.

Ce blog est pour moi l'occasion de recueillir vos témoignages, vos remarques, vos besoins, vos craintes quant à l'utilisation frauduleuse de vos données personnelles (code de carte bleue, mais aussi adresse, compte email...).

Par exemple avez-vous peur qu'on vous vole vos données personnelles ? Qu'on nuise à votre image ? Seriez-vous prêt à souscrire à une assurance pour vous protéger ? Ce projet étant encore en préparation, je vais pouvoir tenir compte de vos avis pour l'adapter au mieux !
Au fil de ce blog, je souhaite également échanger mes réflexions sur la construction de cette offre avec vous. Alors n'hésitez pas à vous exprimer, à me poser des questions ! J'essaierai de vous apporter un maximum de réponses, tout comme les autres internautes à qui il est peut-être arrivé la même chose.

Le but de ce blog : me nourrir de vos expériences, vos ressentis, vos besoins afin de construire un produit qui vous ressemble. Je compte sur vous pour m'aider dans cette démarche !

 

A propos de moi

Je suis ce qu'on appelle un chef de produit. Je travaille dans l'assurance et je crée, je teste, j'analyse, avant leur commercialisation, des assurances pour les particuliers pour tous les risques existants ou futurs. Je m'appelle François, j'ai 32 ans et j'ai toujours travaillé dans les assurances, ce qui fait de moi un convaincu.


Je pratique le basket qui me permet de me défouler et me détendre à la fois, parce que je peux vous « assurer » (désolé, ceci doit être une déformation professionnelle !) que mon métier est stressant ! Je suis marié et bientôt heureux papa puisque ma femme doit accoucher en novembre. Et figurez-vous que depuis qu'elle est enceinte, elle s'intéresse enfin aux assurances que nous pouvons souscrire pour protéger notre famille et notre patrimoine !
Mon discours de rabat-joie a fini par avoir de l'effet sur elle... Désormais nous sommes deux à la maison à penser que s'assurer pour tous les désagréments de la vie est un bon moyen d'être tranquille et serein !

Alors convaincus ou non, vous êtes les bienvenus et si vous souhaitez me contacter c'est par ici : volidentite@gmail.com

 

Créer un blog gratuit sur over-blog.com - Contact - C.G.U. - Signaler un abus - Articles les plus commentés