La semaine dernière, j'ai reçu un avis de la Bank of America m'informant que ma carte de crédit faisait peut-être partie de celles affectées par une brèche visant un commerçant dont l'identité n'a pas été révélée. Le courriel mentionnait qu'il n'y a peut-être pas eu de fraude sur ma carte et qu'il s'agit d'une précaution. L’institution financière y précisait également que je ne serai pas tenu responsable financièrement pour toute transaction frauduleuse.

Cela m’a donné le goût de partager ma propre expérience en matière d'atteinte à la protection des données avec vous. Avant d'entrer dans le vif du sujet, j’aimerais préciser que le message de notification que j'ai reçu de la Bank of America me frustre un peu. D’abord, j’aurais voulu savoir quel commerçant a subi cette brèche. En effet, il se peut que d'autres données me concernant soient stockées et que je puisse prendre des mesures pour les protéger. De plus, je voudrais que la banque explique les moyens mis en place pour traquer les fraudeurs et va les traduire en justice, plutôt que de laconiquement offrir de rembourser tous les frais si mon compte est touché.

À mon avis, la manière désinvolte dont les atteintes à la protection des données sont notifiées, remboursées et plus globalement traitées, est source de complaisance parmi les personnes touchées, voire même auprès des entreprises touchées. On entend d’ailleurs très rarement parler des criminels qui sont arrêtés, ni des malheurs des personnes qui ont eu la malchance d'avoir été victimes de leurs crimes.

Mon récit de vol de données

En décembre 2018, j'ai reçu un relevé bancaire mensuel par la poste pour un compte que j’utilise rarement. Eh oui, certains d'entre nous reçoivent encore des relevés papier. Le relevé se limite généralement à une seule page avec peu ou pas de transactions, mais cette fois-ci, j'ai été choqué de voir qu’il comportait alors 7 pages. Il y avait 50 éléments sur le relevé qui n'étaient pas les miens - 35 débits et 15 crédits - et la majorité d'entre eux concernaient des compagnies d'assurance basées au Royaume-Uni.

Petite mise en contexte : il s’agit un compte offshore en dollars américains et la raison pour laquelle il est rarement utilisé est qu'il s'agit d'un fonds d'urgence. Les cartes associées sont conservées avec nos passeports et c'est un compte que nous conservons « juste au cas où quelque chose arriverait », procurant suffisamment de financement instantané accessible pour résoudre, espérons-le, tout problème que nous pourrions rencontrer lors de nos voyages. En résumé, le compte est peu utilisé, est rarement consulté en ligne et n'est vérifié que d'un simple coup d'œil sur un relevé papier.

J’ai donc passé une heure au téléphone après avoir appelé la ligne antifraude de ma banque, accessible 24 heures sur 24. Le personnel de cette ligne m’a grandement aidé, m’ayant permis de résoudre les problèmes initiaux en passant en revue avec moi chaque transaction sur le relevé pour déterminer si elle était légitime ou le fait de la fraude. Ils semblaient un peu surpris au départ que je n'aie pas remarqué les transactions plus tôt, mais après leur avoir expliqué les circonstances de l’utilisation du compte, nous sommes rapidement passés à autre chose. Au total, il y a eu environ 7 500 $ US en transactions et 1 750 $ US en remboursements, pour un solde net d'environ 5 750 $ US fraudé. La banque a immédiatement crédité cette somme sur le compte. Ils ont également bloqué le compte, afin d’empêcher d'autres transactions, en plus de réémettre les cartes associées au compte.

Dans les jours qui ont suivi, d'autres transactions sont apparues et quelques crédits supplémentaires. En fait, les crédits se sont poursuivis pendant environ quatre semaines. La banque a continué de surveiller et d'ajuster la somme remboursée en conséquence. La banque a également exigé une déclaration écrite attestant que les transactions n'avaient pas été effectuées par moi, me fournissant les documents à signer. Au-delà de la détresse causée par la situation et le temps passé au téléphone, tout a été réglé de manière relativement facile et simple.

Assurer un meilleur avenir

Qu'en est-il des transactions? L'une des premières transactions frauduleuses est très amusante dans les circonstances. Les fraudeurs ont effectivement acheté un produit VPN de Identity Cloaker. Ce produit permet d'effectuer des transactions frauduleuses en ligne sans divulguer les adresses IP des fraudeurs, cachant leur identité et leur emplacement aux commerçants et, éventuellement, aux forces de l'ordre.

Il y a trois transactions qui ne sont pas liées au monde de l'assurance : deux billets Eurostar et une réservation d'hôtel au Radission à Paris. J'espère qu'ils se sont bien amusés et que leur prochain séjour dans un pénitencier sera dans un endroit moins confortable!

Pourquoi le fraudeur, ou en fait, appelons les choses par leur nom, le criminel, a-t-il décidé d’acheter toutes ces assurances?

Toutes les polices d'assurance achetées sont situées au Royaume-Uni et les transactions sont toutes en livres sterling, ce qui aurait logiquement dû déclencher une alerte à la fraude de la banque, ce compte en étant dollars américains.  Les compagnies d'assurance au Royaume-Uni sont légalement obligées d'offrir une période de réflexion de 14 jours, au cours de laquelle vous pouvez annuler une police pour n'importe quelle raison. L'assureur est alors tenu de rembourser la police moins les jours assurés pendant que la police était en vigueur et il peut ajouter des frais d'administration raisonnables. Si, comme dans ce cas, l'assuré est antérieur à la date d'entrée en vigueur de la police, la déduction des jours assurés devient sans importance.

Lorsque j'ai scanné les transactions et que j'ai essayé d'identifier les quelques crédits avec des débits, j'ai vu une tendance, il est devenu clair que certaines entreprises n'autorisent que l'annulation et le remboursement selon la méthode de paiement originale, soit sur ma carte de débit. D'autres permettent le remboursement sur d'autres comptes, voire même l’envoi d’un chèque.

Le criminel a donc utilisé mon compte pour faire des transactions par carte de débit dans le but d’obtenir des remboursements en argent comptant, du moins dans les cas où l’entreprise visée acceptait de procéder au remboursement sur un autre compte ou via une autre méthode.

Comment cela a-t-il pu m’arriver? Je travaille dans l'industrie de la sécurité; cela n'arrive sûrement qu'à d'autres personnes. La raison peut être liée à une transaction antérieure. Dans le cas présent, il s'agit peut-être de la dernière transaction avant l’apparition de frais frauduleux sur le compte. Entre le 20 et le 24 juillet, la carte de débit du compte a été utilisée pour effectuer trois achats pour des vols sur British Airways. Pendant toute l'année 2018, il n'y avait que trois commerçants, outre ceux utilisés par le criminel, pour lesquels une transaction a été effectuée avec cette carte : une entreprise de vêtements à Londres, une société de location de véhicules récréatifs (VR) et British Airways.

En septembre 2018, British Airways a annoncé avoir subi une brèche de données entre le 21 août et le 5 septembre, ayant touché 380 000 transactions. L'enquête cette brèche a révélé que la compagnie aérienne a subi une nouvelle atteinte à la protection des données entre le 21 avril et le 28 juillet. Les deux brèches divulguées sont identifiées comme pouvant mettre les cartes touchées à risque, et pourrait permettre à des fraudeurs d’utiliser celles-ci pour effectuer des achats. Je vous laisserai tirer vos propres conclusions sur ce qui a pu faire tomber les détails de ma carte entre de mauvaises mains, sachant qu’un seul des trois commerçants a subi une ou plusieurs atteintes à la protection des données.

En résumé....

La morale de cette histoire personnelle est que n'importe qui, même dans l'industrie de la cybersécurité, peut être une victime aléatoire d'une brèche de sécurité et de la fraude qui en découle. Ce que nous entendons rarement, et dont nous sommes rarement témoins, c'est l'histoire d'une personne qui a été la victime et la façon dont elle a été touchée. Dans mon cas, le résultat n’a pas été si dramatique, simplement gênant. Malheureusement, beaucoup de gens subissent des pertes financières, un vol d'identité et d'autres problèmes aux mains des cybercriminels. La bonne nouvelle, c'est que Forbes a récemment publié un article indiquant que la fraude par carte de crédit a diminué en 2018, passant de 8,1 milliards de dollars américains en 2017 à 6,4 milliards de dollars américains en 2018. Malgré tout, cela constitue une énorme somme d'argent et d’occasions à saisir pour les criminels.

Je termine sur un dernier point : ma recommandation, comme vous pouvez le lire dans cet article publié précédent, a toujours été (et c’est encore vrai) de toujours utiliser une carte de crédit pour les transactions en ligne. De plus, celle-ci devrait disposer d’une limite de crédit peu élevée. Dans cet incident, il s'agissait d'une carte de débit utilisée pour me faciliter la vie pendant que je voyageais. À l’avenir, vous vous en doutez, je vais suivre mes propres conseils!