Confiance Numérique - Usurpation d'identité by remink

2014

Mémoire de Recherche

Usurpation d’identité

M2 MQSE-PSI CFA UTEC - UNIVERSITÉ PARIS EST MARNE LA VALLÉE

Mémoire M2 MQSE - PSI

Usurpation d’identité

Résumé Toute personne possède une identité. Notre identité est matérialisée dans notre vie courante par une carte appelée Carte Nationale d’Identité (CNI); c’est elle qui permet de certifier différentes informations de notre état civil. Depuis quelques années deux nouveaux types de délinquance ont émergé : l’usurpation d’identité et la fraude à l’identité. D'une part la fraude à l’identité a pour but de voler des données identifiantes ou fictives qui seront utilisées de manière trompeuse. D'autre part l’usurpation d’identité consiste à prendre délibérément l’identité d’une personne en ayant pour objectif de commettre une fraude. Chaque année, environ 600.000 cartes d’identité disparaissent, perdues ou volées. Elles sont principalement utilisées par des individus pour changer d’identité ou par les filières d’immigration clandestines. Plus de 210.000 personnes se font chaque année en France usurper leur identité. Les principales motivations de fraude sont l’argent et l’emprunt de la personnalité pour diverses raisons comme la “doublette” automobile afin d’être blanchis de ses infractions du code la route. Les milieux économiques visés sont en priorité les entreprises afin de récupérer des données et en tirer profit. Les achats et les services médicaux sont aussi convoités par les pirates. Le coût de l’usurpation pour la société (les assureurs et particuliers) est de 474 millions d’euros. En cas de fraude, il faut déposer une plainte à la gendarmerie et faire opposition à toute transaction de paiements de votre banque. Sur la toile, différents supports de confiance ont été mis à disposition pour conseiller et aider les victimes, tels que la CNIL, la fédération nationale d'aide aux victimes, l’Alliance pour la Confiance Numérique (ACN), etc. Il a fallu attendre 2011 et la publication de la loi Loppsi 2 pour que le délit d’usurpation d’identité soit reconnu et sanctionnable d’un an d’emprisonnement et de 15 000 € d’amende. Depuis quelques années, des assurances proposent des offres pour assurer leurs clients. Des entreprises ont développé des logiciels adaptés pour limiter les cas de fraude. Les principales mesures à prendre sont de bien identifier les documents que nous transmettons et d’éviter de transmettre des informations personnelles numériquement.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Abstract Each person has a single identity. In our current life the National Identity Card (NIC) materializes our identity. It allowed to certify information about our civil status. Since several years two new types of offense has emerged : the identity fraud and the identity theft. On the one hand, the term 'identity fraud' is used in order to steal identifying information or fictional data that will be used in a misleading manner. On the other hand, identity theft consists in deliberately usurping one identity with the aim of committing a fraud. Each year, average 600,000 identity cards disappear, lost or stolen. They are mainly used by persons to change identity or by clandestine immigration networks. Every year more than 210,000 people have their identity card robbed/ The main fraud motivations are money and the personal borrowing for various reasons such as the 'doublet' in automobile which cleared of offenses of a person on the highway code. The economic circles concerned are in priority firms which recover data to sell or to generate profit. Shopping and medical services are also covered by pirates. For the society (insurances and individuals) the usurpation costs € 474 millions. In case of fraud you must complain to the police and oppose any transaction of bank payments on internet. On internet you can find different types of tools which have been created to help victims, for example the CNIL, a national federation for victims help or the ACN, etc. In 2011 the identity theft has finally been accepted by law and punishable of one year's imprisonment and € 15,000 fine with the Loppsi 2 publication. Since several years, insurances are proposing offers to their customers. Some firms developed softwares adapted to limit fraud. The main measure you have to take is to clearly identify the documents that we pass and avoid sending personal information.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Sommaire Résumé ................................................................................................................................................................. 1 Abstract................................................................................................................................................................. 2 Introduction .......................................................................................................................................................... 4 Définitions ................................................................................................................. Erreur ! Signet non défini. I. Généralités ................................................................................................................................................... 5 A.

Définitions .......................................................................................................................................... 5 1. 2. 3. 4.

L’usurpation d’identité en question .................................................................................................. 10 1. 2. 3. 4.

Chaque étape de notre vie .......................................................................................................... 10 Les méthodes d’usurpation d’identité ........................................................................................ 11 Les motivations de l’usurpation d’identité ................................................................................. 15 Les enjeux d’une usurpation d’identité ...................................................................................... 16

Les chiffres clés ................................................................................................................................ 18 1. 2. 3. 4. 5.

II.

Qu’est ce que l’identité ? ............................................................................................................. 5 Fraudes identitaires et usurpation d’identité ................................................................................ 6 Données à caractère personnel et identité numérique .................................................................. 7 L’évolution des données à caractère personnel ............................................................................ 8

Hors ligne .................................................................................................................................. 18 En ligne ...................................................................................................................................... 19 Les Statistiques en France .......................................................................................................... 20 Les statistiques à l’étranger ....................................................................................................... 21 Coûts .......................................................................................................................................... 23

Identité et confiance : une succession d’échecs .......................................................................................... 25 A.

Carte Nationale d’Identité ................................................................................................................ 25 1. 2. 3.

Création d’une Carte Nationale d’Identité ................................................................................. 25 Renouvellement d’une Carte Nationale d’Identité ..................................................................... 26 Les contres mesures ................................................................................................................... 26

Le vol massif de données personnelles ............................................................................................. 27 1. 2. 3. 4.

Les attaques de fichier client ...................................................................................................... 27 La faille OpenSSL (heartbleed) ................................................................................................. 29 L’ingénierie sociale .................................................................................................................... 30 Les avis de consommateurs........................................................................................................ 31

III. Comment instaurer un climat de confiance ? ............................................................................................. 32 A.

Au travers de moyens réglementaires ............................................................................................... 32 1. 2. 3.

Les bonnes pratiques ........................................................................................................................ 34 1. 2. 3.

Les institutions et associations ................................................................................................... 32 Normes....................................................................................................................................... 32 Contexte juridique...................................................................................................................... 32

La Prévention au quotidien ........................................................................................................ 34 Prévention sur internet ............................................................................................................... 35 Comment vous en protéger ........................................................................................................ 36

Les solutions techniques ................................................................................................................... 36 1. 2. 3.

Comment savoir si l’on en est victime ? .................................................................................... 36 Mesures à prendre si vous en êtes victime ................................................................................. 37 Progrès technologiques .............................................................................................................. 37

Conclusion .......................................................................................................................................................... 40 Glossaire ............................................................................................................................................................. 41 Annexe ................................................................................................................................................................ 47

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Introduction Notre génération a vécu une révolution technologique sans précédent. En effet l’essor et la généralisation des technologies du numérique ont progressivement entraîné une utilisation massive des nouveaux moyens de communication, durant ces 35 dernières années. C’est en 1969 qu'apparaît le précurseur d’Internet, Arpanet, le premier réseau de transfert de données crée par le département de la défense des Etats-Unis. Aujourd’hui, on recense 3 milliards d’internautes sur 7,5 milliards d’êtres humains. Cette généralisation a donné naissance à un monde d’échanges d’informations permanent, notamment, grâce aux diverses technologies de l’information et de communication telles que les tablettes numériques, les Smart phones ou les ordinateurs. Cette transition numérique a entraîné une modification du comportement des citoyens vis à vis de leurs données personnelles et on a pu remarquer une recrudescence des cas d’usurpation d’identité ces dernières années. Bien que cette pratique ne soit pas inhérente aux nouvelles technologies, leur omniprésence a facilité l'accès aux données personnelles, et donc à l’usurpation d’identité Lorsque l'on pense au vol, on imagine généralement une personne nous dérobant nos biens. Pour éviter tout risque de vol, nous prenons par exemple la peine d'installer un système d'alarme dans notre maison ou d'enfermer nos objets précieux dans un coffre à domicile ou à la banque. Cependant, à l'heure actuelle, les biens matériels ne sont plus seuls à devoir être protégés. Notre identité est menacée. Les voleurs s'intéressent aussi depuis quelques années à notre identité. Les nouvelles technologies permettent aujourd’hui de récupérer des informations sur notre identité et permettent de les falsifier. Ce type de fraude est appelé usurpation d’identité et peut servir à l’usurpateur pour subtiliser votre argent, utiliser votre réserve de crédit, voire ruiner votre réputation, et d’en tirer frauduleusement des informations qu’elles soient financières ou autres. Chacun d'entre nous peut être victime d'une usurpation d'identité dans la mesure où toutes nos informations personnelles sont disséminées à de nombreux endroits: carte d’identité, passeport, permis de conduire, sites web de vente en ligne et bases de données d'entreprise, portefeuilles et autres bouts de papier. Nous pouvons donc nous demander, comment nous pouvons instaurer un climat de confiance face au fléau de l’usurpation d’identité. Afin de répondre à cette question, nous étudierons dans un premier temps les différents aspects de l’usurpation d’identité puis nous nous focaliserons sur les moyens disponibles pour créer une identité numérique de confiance.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Généralités A. Définitions 1. Qu’est ce que l’identité ?

D’après le petit Larousse, l’identité se définit comme étant « l’ensemble des circonstances qui font qu’une personne est bien telle personne déterminée ». Cette première approche de la notion d’identité reste cependant un concept un peu flou. Dans son livre « L’usurpation d’identité », Guy de Felcourt complète cette définition et nous explique qu’une personne possède une identité unique « puisqu’elle se caractérise par des éléments distinctifs objectivement définissables » mais que cette identité dans la vie réelle « se rapporte chaque fois à un environnement particulier ».

Identité légale •Nom •Date de naissance •Lieu de naissance •Nom des parents

Identité contractuelle

Identité biographique

•Carte de membre, •Identifiants •Documents •Cartes bancaires •Codes d'accès

•Evènement de la vie •Mariage •Naissance •Résidence

IDENTITE

Identité autres ou communes

Identité numérique • Adresse IP • Adresses e mail • pseudonymes • ...

•Adresses •Numéro de téléphone

Identité biométrique •Voix •Empreintes digitales •Rétine •Profil ADN Figure 1 Les multiples facettes de l'identité

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

On peut donc en déduire que bien que notre identité soit unique, il existe autant de facettes de notre identité que d’environnements auxquels nous sommes soumis. Notre identité se compose donc à la fois de notre identité administrative, biométrique, biographique, contractuelle… Notre identité est matérialisée dans notre vie courante par un document administratif appelé Carte Nationale d’Identité (CNI). Cette carte permet de certifier les différentes informations contenues dans notre état civil. D’autres documents sont également utilisés dans la formalisation de l’identité tels que le passeport, le livret de famille ou encore le permis de Figure 2 Exemple de CNI conduire. 2.

Fraudes identitaires et usurpation d’identité

En droit français, la fraude en matière civile ou pénale est définie comme « tout acte qui a été réalisé en utilisant des moyens déloyaux destinés à surprendre un consentement, à obtenir un avantage matériel ou moral indu ou réalisé avec l’intention d’échapper à l’exécution des lois ». Dans notre cas, il faut néanmoins dissocier ce qu’est une usurpation d’identité d’une fraude à l’identité. L’usurpation d’identité consiste à prendre de manière délibérée, l’identité d’une personne généralement avec pour objectif de commettre des actes frauduleux. Autrement dit, cela consiste donc à collecter et utiliser des données d’identité dans le but de réaliser une fraude à l’identité. Pour Guy de Felcourt « usurper l’identité consiste simplement à s’emparer frauduleusement d’éléments d’information susceptibles de déterminer à la fois l’unicité (un parmi plusieurs) et parfois l’authenticité (celui qu’il prétend être) d’une personne. On parle de fraude à l’identité dès lors que des données identifiantes d’une personne (vivante ou non) sont utilisées de façon trompeuse. Les données d’identité utilisées dans l’opération de fraude à l’identité peuvent être fictives. Le plus souvent, la fraude identitaire se résume donc à une combinaison « astucieuse » ou frauduleuse de plusieurs de ces informations. Pour résumer :

Acquisition, transfert, possession, utilisation de données d’identité

Utilisation frauduleuse de données

Usurpation d’identité

Fraude identitaire Figure 3 Définition de l’usurpation d’identité

Dès lors, l’usurpation d’identité peut être définie, simplement comme le fait d’utiliser frauduleusement une information « identifiante » concernant autrui. Plus simplement, l’OCDE donne la définition suivante « l’usurpation d’identité consiste en l’acquisition, le transfert, la possession ou l’utilisation non autorisés des informations personnelles d’une personne physique ou morale dans l’intention de commettre, ou en relation avec, des actes frauduleux ou autres délits 1».

Document exploratoire sur le vol d’identité en ligne, OCDE, juin 2008

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

3. Données à caractère personnel et identité numérique L’expansion de l’utilisation des nouvelles technologies de l’information a entraîné une profonde transformation des « informations relatives à la reconnaissance d’une identité ». En effet, aujourd’hui, elles ne se matérialisent plus uniquement sous forme de données de l’état civil : on parle d’identité numérique. L’identité numérique au sens législatif du terme n’existe pas. On parle pour le moment d’identifiants ou de données à caractère personnel. Comme expliqué dans son ouvrage par Guy de Felcourt « on utilise désormais de nombreuses autres informations « identifiantes » des activités de notre vie, toutes exprimées sous la forme de données à caractère personnel ». La notion de donnée à caractère personnel introduite par l’auteur est aujourd’hui omniprésente. La loi informatique et liberté 2définit une « donnée à caractère personnel » comme étant « toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement, par référence à un numéro d’identification ou à plusieurs éléments qui lui sont propres ». Bien qu’un individu possède dans le monde physique une seule et unique identité, celle-ci peut se représenter de façon multiple dans le monde dématérialisé3 qu’est Internet.

Figure 4 Les représentation de l'identité numérique

Source : http://www.solucominsight.fr

Guy de Felcourt en déduit que « ce sont dorénavant des données personnelles qui nous représentent et nous habillent, l’imposture s’est de fait transformée en une simple fraude sur les données ».

2 3

Loi 78-17 du 6 janvier 1978 Voir mémoire sur la dématérialisation

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

La dématérialisation des données et l’utilisation de nombreux espaces d’échanges, démultiplie les «versions de soi » de soi que l’on souhaite partager.

Figure 5 Le spectre identitaire : de l’anonymat à l’identité certifiée

Source : http://www.identitywoman.net

L’identité numérique d’un individu est donc pour le moment déclarative dans la plupart des cas. Les possibilités d’usurpation d’identité sont donc bien réelles notamment pour certains services comme les banques en ligne4 et l’e-administration5. En 2013, 90% des internautes français utilisent des services d’e-administration, de banque en ligne ou d’e-commerce. Cette absence de confiance dans l’identité des utilisateurs est un frein au développement et à l’adoption de nouveaux services dématérialisés 4.

L’évolution des données à caractère personnel

Alors qu’hier encore, les données à caractère personnel étaient le plus souvent représentées sous forme d’identifiants d’utilisateurs (ex : adresse e-mail, nom, prénom, pseudo…), ou d’informations concernant la connexion informatique de l’internaute (ex adresse IP) elles prennent maintenant des représentations infinies. En effet, celles-ci sont de plus en plus subjectives, relatives et contextuelles. L’essor des objets connectés et les évolutions technologiques ont entraîné une mutation de ces données ainsi que l’exploitation qui peut en être faite. Dans son 34ème rapport annuel publié en mai 2014, la CNIL ouvre le débat sur le bien-être et la santé numérique. Connaissant un succès fulgurant, la santé connectée ou m-santé, consiste à enregistrer le nombre de pas réalisés dans la journée, la qualité de sommeil ou encore les activités sportives réalisées par le porteur de l’objet connecté. D’après une étude américaine, 97 000 applications mobiles de santé étaient disponibles au téléchargement en 2012. Cette même étude (Source : Mobile HealthMarket Report 2013-2017, par Research2Guidance, Mars 2013) estime qu’en 2017, 1 utilisateur de smartphone sur 2 aura installé au

4 5

Pour plus d’informations, consulter le mémoire sur l’Informatique bancaire Pour plus d’informations, consulter le mémoire sur l’Administration électronique

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

moins une application dédiée au bien-être ou à la santé soit un marché mondial de 26 milliards de dollars. D’après la CNIL, l’ensemble des données connectées utilisées par ces applications ont un caractère sensible et peuvent « renseigner sur les heures de lever et de coucher (suivi de sommeil), sur les lieux fréquentés (géo localisation des activités sportives), ou bien même estimer un risque cardio-vasculaire (données liées au poids) ». Il y donc un risque important face à l’utilisation de ces données par des tiers (ex : calcul des primes d’assurances en fonction des données d’un individu). Plus récemment, un article du New York Times publié le 17 mai 2014, met en lumière les inquiétudes du docteur Joseph J. Atick, l’un des pionniers de la technologie de la reconnaissance faciale, face à la généralisation et à l’exploitation sans restriction à grande échelle de la reconnaissance faciale. Fin avril, un développeur d’application pour Google Glass a dû retirer son application en phase de test du marché. Cette application appelée NameTag permettait d’identifier les personnes croisées dans la rue avec les Google Glass et ainsi d’afficher le nom et le prénom de la personne ainsi que les informations Facebook publiques disponibles. Plus familièrement, Facebook ou encore GooglePlus suggèrent automatiquement le nom de personnes dans les photos. Au Japon, la reconnaissance faciale est utilisée dans quelques épiceries pour identifier et blacklister les clients voleurs et les « plaignant ». Pour le Docteur Atick, « a faceprint [is] a unique indicator, like a fingerprint or a DNA sequence, that should require a person’s active consent before it can be collected, matched, shared or sold?” et elle pas “as innocuous as photography, an activity that people may freely perform6”. Pour Jeffrey Chester, directeur éxécutif du Center for Digital Source: www.nytimes.com Democracy, “Facial recognition involves the intersection of multiple research disciplines that have serious consequences for privacy, consumer protection and human rights7”. Figure 6 Never Forgetting a Face

Cependant, rien n’arrête les multinationales face à un marché florissant qui s’ouvre non seulement pour le grand public, mais aussi pour l’utilisation en entreprise, voire dans l’éducation. Une école privée de Los Angeles utilise un programme de reconnaissance faciale pour contrôler les accès aux bâtiments et ainsi s’assurer que seuls les élèves et les membres du personnel peuvent entrer dans l’enceinte de l’école mais également pour identifier et notifier les élèves en retard. Pour le moment, aucune réglementation ou code de bonne conduite n’existe. De plus, la volonté des multinationales du domaine à développer ces nouvelles technologies sans limites, freine les initiatives de régulation. En février dernier, lors d’une conférence sur la reconnaissance des visages organisée par la National Telecommunications and Information Administration, une des porte-parole de Facebook,

Une empreinte faciale est un indicateur unique, telle une empreinte digitale ou une séquence d’ADN, qui doit nécessiter l’accord préalable de la personne avant d’être collecté, utilisé, partagé ou vendu et elle n’est pas aussi anodin qu’une photographie, activité que tout le monde est libre de réalise. 7 La reconnaissance faciale implique le recoupement de recherches effectuées dans de nombreux domaines qui entraine de graves conséquences sur la vie privée, la protection des consommateurs et des droits de l’homme.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

dit que l’entreprise participait aux travaux ayant pour objectif de réguler l’utilisation de la reconnaissance faciale et que « Multi-stakeholder dialogues like this are critical to promoting people’s privacy but until a code of conduct exists, we can’t say whether we will sign 8it ». Dr Atick conseille aux entreprises d’appliquer un certain nombre de mesures pour garantir le droit à l’anonymat de la population :  Afficher publiquement les lieux où est utilisée la reconnaissance faciale,  Demander l’autorisation d’un consommateur avant de recueillir une empreinte du visage identifiée recoupée avec un nom ou un numéro identifiant.  Utiliser les empreintes de visage uniquement dans l’opération des activités pour laquelle ils ont reçu l’autorisation.

B. L’usurpation d’identité en question 1. Chaque étape de notre vie Fraude, vol, …l’irruption dans la vie privée est une réalité quotidienne. Ce délit touche des millions de personnes chaque année, qu’elles soient physiques ou morales. Depuis 2006 et d’après un rapport de Microsoft, les réseaux sociaux sont une mine d’informations, facilement récupérables par les pirates informatiques. Pour développer ce rapport la CNIL a défini deux types de techniques les plus utilisées par les usurpateurs sur internet : “nuisance à la réputation d’une personne” et “récupération de données personnelles en passant par une technique de filoutage qui va récupérer des informations personnelles de la victime”. Ces informations sont utilisées ultérieurement pour accéder à des comptes sécurisés (exemple : boite mail, compte bancaire, réseaux sociaux tels que Facebook, Twitter) ou des biens personnels (contact téléphonique, facture…) et par la suite les utiliser pour réaliser leur arnaque. Pour compléter ce paragraphe, McAfee rajoute différents types d’usurpation: ● Dans le domaine financier : détournement du compte de la victime pour se servir et en tirer profit. ● A des fins criminelles : grâce aux informations récoltées sur sa victime (nom, prénom, date de naissance, etc.) l’usurpateur va prendre l’identité de la victime. “Ces arnaques représentent un risque important et génèrent des centaines de millions d’euros de fraude chaque année9”. Ce qui pousse à agir contre les victimes sont souvent lors d’une obtention : gains, achats, héritage, don, etc. Ce phénomène n’est pas uniquement présent dans la navigation sur internet, mais concerne l’ensemble de l’espace numérique, incluant nos échanges téléphoniques et nos courriers, « ces intrusions ne menacent pas seulement le confort de nos vie privées » et « peuvent être détournées à des fins illicites et/ou frauduleuses», comme nous le définit Guy de Felcourt dans son livre l’usurpation d’identité. Grâce à Internet, les mensonges, l’arnaque ou la manipulation prennent une ampleur considérable. Mentir à autrui devient tout à fait admissible voire normal : “le mensonge est un mécanisme de défense tout à fait normal bien nécessaire et utile dans la petite et moyenne enfance. Il permet de commencer, 8

Les discussions multipartites de ce genre sont essentiels à la défense de la vie privée de le population, mais que jusqu’à ce qu’un code de conduite existe, nous ne pouvons pas dire que nous allons le signer. 9 Etude réalisée par Lexsi

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

face à la toute-puissance des adultes, à s’autonomiser, se singulariser, s’affirmer, se défendre des exigences familiales et sociétales par trop contraignantes. En grandissant, l’individu, confiant en lui et acceptant les règles du jeu de la société (famille, école, travail, état), tend généralement à abandonner progressivement ses revendications capricieuses et de prestances pour enfin tenter de vivre ses rêves et non le contraire” nous explique Guy de Felcourt. Cependant, trop de personnes ne sont pas d’accord avec la société et par ce biais trouvent un contournement. Nous retrouvons aussi des prédateurs sexuels ou pédophiles, ou autres personnes mal intentionnées se cachant sous de fausse identité, se faisant généralement passer pour un adolescent en gagnant l’amitié d’une future victime. Une fausse photo de profil, un faux prénom et nom de famille, un âge considérablement diminué et le tour est joué. 2. Les méthodes d’usurpation d’identité La plupart du temps, les vols les plus visés sont les coordonnées bancaires donnant lieu à des retraits d’argent mais l’usurpation peut se contenter de pirater un compte de messagerie ou bien d’un site de boutique en ligne, un profil Facebook, Skyblog ou autre réseau social ou aussi bien un compte sur un site marchand tel qu’ eBay.

Figure 7 Les réseaux sociaux

Avec l'apparition des réseaux sociaux professionnels quelques escrocs tentent de tirer des informations via les annonces ou même en visitant votre profil. En effet, le profil peut contenir un morceau de vie personnelle et ensuite être réutilisé lors d’un entretien avec votre nom apparent. Les escrocs se servent également de tout ce que les internautes jettent dans la “poubelle” de leur ordinateur et donnent libre accès à des données personnelles sensibles. Les procédés utilisés pour la récupération d’information peuvent paraître insolites mais de nombreuses personnes ne font pas attention et leurs poubelles recèlent de véritables trésors pour qui sait s’en servir. En effet nous éparpillions une partie de notre vie dans nos poubelles, “des tonnes de relevés se retrouvent à l’aube, sans surveillance, prêts à engendrer des clones” d’après des enquêtes du Crédoc. Grâce à ces données personnelles, un voleur peut ouvrir un compte de crédit et ainsi accumuler des dépenses, créer des faux chèques, etc. Il faut savoir qu’il suffit d’une copie de votre carte identité et d’attestation d'hébergement pour effectuer des démarches administratives comme celle de souscrire une assurance. Un autre type de délit est celui du vol par violence qui de nos jours ne peut être négligé : on sait qu’aujourd’hui de nombreux gadgets informatiques appelés sous le nom de “smartphone”, attirent de plus en plus de consommateurs. Le téléphone ne sert plus uniquement à téléphoner mais à stocker des données personnelles voire confidentielles. En effet, grâce à l’accès de la data, on peut consulter sur internet nos comptes bancaires, les réseaux sociaux, etc.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Une autre manière plus traditionnelle telle que le vol du portefeuille aux techniques sophistiqués comme le numérique, est plus couramment utilisé par les cybercriminels. Voici quelques méthodes définies sur le site de SIRPA gendarmerie :  Le vishing correspond à l’utilisation de la technologie VoIP (Voix sur IP ou en anglais Voice over Internet Protocol) dans le but de duper quelqu’un en lui faisant divulguer de l’information personnelle et financière privée qui sera ensuite utilisée frauduleusement. Le terme vient de la combinaison des mots “ voix “ et “phishing” Le vishing exploite la confiance du public dans les lignes téléphoniques conventionnelles, qui se terminent traditionnellement à un emplacement physique connu du fournisseur des services de télécommunication et associées à un client-payeur. Toutefois, avec la venue de la téléphonie IP, les services téléphoniques peuvent maintenant se terminer dans des ordinateurs, qui sont beaucoup plus susceptibles d’attaques frauduleuses que les vieux terminaux téléphoniques conventionnels. Un exemple de vishing Voici comment cela se produit : 1. Le fraudeur configure un appareil de composition automatique dont le rôle du malfaiteur sera d’appeler des numéros de téléphone dans une zone ciblée. 2. Quand la personne répond à l’appel, une voix automatisée alerte le consommateur que sa carte de crédit a été frauduleusement utilisée et qu’il doit immédiatement appeler un numéro de téléphone qui lui est donné (souvent surtaxé). Ce numéro peut être un numéro sans frais de l’entreprise pour laquelle le fraudeur tente de se faire passer et ayant été arnaqué sous une fausse identité ou un numéro fourni par un autre fournisseur. 3. Lorsque le consommateur rappelle le numéro, il est accueilli par une voix automatisée typique lui confirmant qu’il a joint le département de vérification des comptes et l’invitant à entrer les 16 chiffres de sa carte de crédit sur le clavier de son téléphone. À l’autre bout du fil, un appareil reconnaît les touches pesées et détecte les numéros. 4. Une fois que le consommateur a entré son numéro de carte de crédit, le fraudeur détient toute l’information pour utiliser la carte et y appliquer des frais. 5. L’appel peut également être utilisé pour obtenir de l’information additionnelle, une date d’expiration, une date de naissance, un numéro de compte bancaire, etc. 

Le phishing (hameçonnage ou filoutage) est une technique par laquelle des personnes malveillantes se font passer pour de grandes sociétés ou des organismes financiers qui vous sont familiers en envoyant des mails frauduleux et récupèrent des mots de passe de comptes bancaires ou numéros de cartes de crédit pour détourner des fonds. Le principe du phishing est de récupérer des données personnelles sur internet. Le moyen utilisé est l’usurpation d’identité, adaptée au support numérique. L’escroquerie repose le plus fréquemment sur la contrefaçon d’un site internet (celui d’une banque ou d’un marchand en ligne). L’adresse URL du lien comprise dans le mail est souvent « masquée » afin de paraître authentique.

Voici un exemple de phishing concernant EDF

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Figure 8 Exemple de fraude EDF

Des messages électroniques sont ensuite massivement envoyés aux internautes pour les inciter à se rendre sur cette page, pour y renseigner un formulaire avec des données personnelles. Ces informations sont ensuite récupérées par les phishers. Pendant toute la procédure, la victime croit avoir à faire à un site officiel d’un opérateur qu’elle connaît. 

Le Pharming est une forme de cybercriminalité particulièrement préoccupante, car dans les cas d'empoisonnement de serveur DNS, l'utilisateur concerné se trouve en position de victime alors que son ordinateur est parfaitement exempt de tout programme malveillant. Les précautions les plus sages comme la saisie manuelle de l'adresse du site Web ou l'utilisation systématique de favoris ne sont pas suffisantes puisque le détournement survient après l'envoi d'une demande de connexion par l'ordinateur.

Figure 9 Schéma du principe du pharming



Le Spim (spam over instant messaging) est une forme de spam qui transite via les messageries instantanées. Nouvelle variante du message non sollicité, le spim opère sur les outils de messagerie instantanée.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Figure 10 Exemple de Spim



Un logiciel espion est un mouchard qui, à votre insu, peut récupérer des données personnelles présentes sur votre ordinateur et surveiller votre activité sur Internet, y compris ce qui est tapé sur le clavier. Les logiciels publicitaires, ou « adwares », font partie de la même catégorie et envoient des publicités en rapport avec vos habitudes de navigation sur Internet. La présence de logiciels espions peut engendrer de sérieux dommages techniques : des "plantages" à répétition de votre ordinateur avec pertes de données, des ralentissements du système, des problèmes de connexion à Internet, voire l'ouverture de failles dans la sécurité de votre ordinateur.



Le spam, est un email publicitaire que vous recevez dans votre boîte email. Ce sont des publicités pour vous vendre n'importe quoi: des médicaments, du viagra liquide, des diplômes, des permis de conduire, des passeports, d'autres papiers officiels, des crédits, des logiciels, du matériel informatique, des cartouches d'encre, des pilules pour augmenter la taille du pénis, des publicités pour des sites pornographiques ou bien une astuce pour gagner des centaines d'euros en restant chez vous.



Un enregistreur de frappes est un logiciel ou un composant matériel qui a la capacité d’intercepter et d’enregistrer les informations rentrées avec le clavier dans l’ordinateur infecté. Cet outil a souvent l’habileté de se positionner entre le clavier et le système d’exploitation afin d’en intercepter toutes les communications sans que l’utilisateur ne s’en aperçoive. Un keylogger peut soit stocker les données localement sur la machine infectée, soit les envoyer sur un PC à distance contrôlée par le pirate, s’il fait partie d’un outil d’attaque plus élaboré qui a la possibilité de communiquer avec l’extérieur. Bien que le terme « enregistreur de frappes » soit habituellement utilisé en relation avec des outils malveillants, certains outils de surveillance légitimes utilisés par les agences d’application de la loi, sont également dotés d’enregistreurs de frappes.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI



Usurpation d’identité

Un cheval de Troie est un programme malveillant qui semble inoffensif. Si vous téléchargez involontairement un cheval de Troie sur le Web, celui-ci peut donner au pirate un accès distant à votre ordinateur depuis n'importe où dans le monde, ce qui lui permet d'accéder aux fichiers présents sur votre ordinateur et même de surveiller l'activité à votre écran.

Figure 11 Illustration Cheval de Troie



Piratage de réseau sans fil : si la connexion sans fil de votre domicile n'est pas sécurisée, les pirates peuvent accéder aux données présentes sur tous les ordinateurs connectés à votre routeur sans fil, et voir toutes les informations que vous entrez sur les sites bancaires et de fournisseurs de carte de crédit.



Espionnage par-dessus l’épaule : un cybercriminel peut obtenir votre mot de passe ou votre code PIN en vous espionnant lorsque vous vous trouvez à un distributeur de billets ou lorsque vous tapez sur votre ordinateur. Il peut également vous écouter donner votre numéro de carte de crédit ou des informations d'identification par téléphone à un fournisseur légitime.



Le skimming est une activité frauduleuse qui consiste à pirater des cartes bancaires, notamment depuis les distributeurs de billets (DAB). Elles sont dupliquées et utilisées à l’étranger, au détriment de leurs propriétaires, et de leurs comptes bancaires. Focus sur une pratique malveillante qui a débarqué en France en 2008.

Les motivations de l’usurpation d’identité

D’après une étude fondée par le Credoc, la principale motivation des fraudeurs est l’appât du gain puis l’emprunt de la personnalité de l’individu volé ou bien la nuisance à la réputation de la victime. Le site “Internet Sans Crainte” expose différentes motivations afin de démontrer l’ampleur de cette arnaque. Le but est bien les vols de codes de cartes bleues, et peuvent se tenir dans des lieux tels qu’une boutique en ligne, un profil Facebook, dans les réseaux sociaux. Les auteurs de vol d’identité agissent parfois pour la gloire et la reconnaissance d’après Francis fortin, dans “ bercriminalité entre inconduite et crime organisé . Les milieux économiques visés sont en priorité les entreprises d’après Guy de Felcourt, afin de récupérer des données sensibles voire personnelles afin de les vendre ou en tirer profit comme utiliser 15 Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

le nom de l’entreprise pour faire des achats. D’autres situations ont été décrites par le même auteur, comme la “doublette” automobile qui permet à l’usurpateur d’être blanchis de ses infractions au code la route sanctionnées par des amendes, des retraits de points, voire même des accidents avec délits de fuite”. Les achats sont aussi convoités par les pirates, car en usurpant l’identité et en récupérant des identifiants d’un achat en ligne, ils peuvent modifier l’adresse de livraison, ou bien avec une pièce d’identité ou un justificatif de domicile et une domiciliation bancaire on peut acheter beaucoup de marchandises. Les services médicaux sont eux aussi visés car les facturations de remboursements ont souvent un coût élevé. Ce business florissant ne cesse de croitre et le chiffre des victimes de fraude médicale a atteint des records ces dernières années. Dans un cas sur trois, c’est l’un des membres de la famille qui en est responsable (carte assurance maladie), comme le fait de faire passer une commande de médication sur la carte de ses enfants par exemple. Un numéro de sécurité sociale ou de mutuelle de santé sont revendus à prix d’or sur le marché. Le fait de ne rien débourser pour recevoir des médicaments ou de consulter un médecin est une aubaine pour les malfaiteurs. 4. Les enjeux d’une usurpation d’identité a. Les enjeux économiques Le montant des fraudes identitaires et des données personnelles s’élève à plusieurs centaines de milliards d’euros, répartis sur l’ensemble des activités économiques: institutions financières, télécom, administration… Le plus souvent victimes de leurs défaillances internes, les Etats et les entreprises supportent majoritairement ces conséquences financières. Cependant, une grande partie du préjudice reste à la charge des particuliers, qui en cas de fraude, doivent démontrer avec certitude, qu’ils en ont été la victime. Une étude du Credoc réalisée en juin 2009, montre que le montant moyen restant à la charge de chaque particulier après rectification des transactions frauduleuses serait supérieur à 500€. Toujours d’après cette enquête, un peu moins de la moitié du montant réclamé pour les victimes serait correctement remboursé par les établissements financiers. De plus, il ne faut pas minimiser le coût des démarches nécessaires pour restaurer une identité usurpée. Il faudra donc également prendre en compte le temps passé à analyser la situation, les envois de courriers recommandés, effectuer le ou les dépôts de plaintes, les entretiens avec les conseillers ou médiateurs… b.

Conséquences commerciales, de réputation et d’image

Du point de vue de l’entreprise, une usurpation d’identité peut entacher sa réputation et ainsi avoir un impact sur sa solvabilité ou encore son éthique. La réputation commerciale de l’entreprise peut être engagée et le préjudice fort pour l’entreprise. Le motif de l’usurpation peut également être de voler des données confidentielles des clients de l’entreprise ou de l’entreprise elle-même. Le risque dans ce cas, étant alors de voir les opérations frauduleuses se multiplier : virements bancaires, commandes réalisées au nom et aux frais de votre entreprise, voire sollicitation de services à crédit auprès de vos fournisseurs. Dans le cas d’un particulier, son honnêteté peut être remise en cause. Cela peut avoir un impact sur son droit au travail, son logement, ses prestations administratives ou médicales.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

c. Conséquences émotionnelles et psychologiques D’après une étude10, environ un tiers des victimes déclarent ne pas avoir pu reconstruire normalement leur vie après une expérience d’usurpation d’identité. Ces conséquences émotionnelles et psychologiques ne sont pas à prendre à la légère. L’identité de chacun est perçue comme une part de notre intimité. Lorsque notre identité est usurpée, celle-ci est vécue comme une intrusion. De plus, lorsque cette usurpation d’identité est de grande ampleur, l’usurpé doit faire face à la limitation de ses droits civiques et administratifs. Les conséquences psychologiques sont aussi souvent dramatiques comme le signalait la députée Catherine Vautrin de l’Assemblée Nationale: "75 000 personnes sont chaque année amenées à devoir faire la preuve de leur identité et il arrive que certaines victimes mettent des années à prouver à l’administration leur véritable identité. 10% des victimes sont d’ailleurs tombées malades et 13% ont été assignées en justice. Un cinquième d’entre elles sont sorties traumatisées de l’expérience".

Altération de réputation

Temps pour résoudre le problème

Conséquences usurpation d'identité

Pertes financières

Coût émotionnel

Figure 12 Schéma sur les conséquences de l'usurpation d’identité

The Javelin Institute aux Etats Unis

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

C. Les chiffres clés Le vol d'identité est considéré comme un "crime parfait". Aujourd’hui, le nombre de victimes est supérieur au nombre de cambriolages ou de voitures volées. Tout le monde peut en être victime. Cependant en termes de chiffres, difficile de se faire une idée exacte car seules quelques enquêtes, quelques éléments de veille issus du Web, d’articles et de certains livres nous permettent de nous situer. L’usurpation d’identité est liée à deux catégories de type de données:  Les données physiques ou hors ligne : données papier.  Les données numériques ou en ligne : documents numériques non physiques. 1. Hors ligne Nous allons parler dans cette partie des données d’identité physique liées aux Français, de leurs perceptions et de leurs protections vis à vis de ces papiers. Les papiers dits hors ligne sont tous les documents physiques de type : carte d’identité, passeport, facture, etc. Aujourd’hui la perception élevée du risque d’usurpations s’accompagne d’une protection en priorité des papiers d’identité physique. En effet environ 5 % des français protègent en priorité ces papiers mais ils ne vont pour autant pas jusqu’à leur destruction systématique lorsqu’ils sont obsolètes et restent donc indirectement accessibles aux fraudeurs. Un sondage de l’institut CSA sur plus de mille personnes a été effectué demandant quels sont les objets en général qu’ils surveillent avec le plus d’attention, susceptibles d’être à l’origine d’usurpation d’identité. Ce sondage a démontré qu’environ 5 % font principalement attention à leurs papiers d’identité ou passeport, suivi de très près avec 56% leurs clefs puis avec 47% leurs porte-monnaie. En effet ces trois premiers choix de protection représentent tout ce qui pourrait intéresser les fraudeurs. Les papiers peuvent être falsifiés et utilisés par d’autres personnes, les clefs peuvent servir afin d’entrer frauduleusement dans un domicile pour récupérer des informations, documents et objets personnels. Quant aux portefeuilles, on peut y trouver des informations personnelles et bancaires.

Figure 13 Graphique des objets les plus surveillés dans le cadre d'usurpations d'identité

Lors de cette étude il a été également demandé envers quel second objet les sujets font le plus attention. Les trois premiers objets restent sensiblement les mêmes que ceux cités précédemment ce qui démontre que ces documents sont effectivement très prisés par les fraudeurs, sinon les français n’y porteraient pas autant d’attention.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Il y a aussi d’autres manières de récupérer des informations personnelles d’un individu, les papiers de la vie de tous les jours, c’est à dire, les factures, permis etc. Même périmés, ces documents sont remplis d’informations pouvant renseigner les futurs usurpateurs. Mais quelles habitudes ont ces Français vis à vis de ces documents ? Ils ont des habitudes qui varient principalement entre destruction et conservation sans protection particulière des documents contenant des données personnelles. Il est donc utile de s’intéresser à ce que font les français de leurs papiers avec des données personnelles lorsque ceux-ci sont périmés ou qu’ils n’en ont plus l’utilité. Le CSA (Conseil Sondage et Analyse de France et d’Europe) a démontré que les Français ne sont pas attentifs à l’égard de leurs papiers. 35% jettent ou conservent sans protection leur carte d’identité périmée et 27% leurs passeports, le permis de conduire est aussi concerné avec 31%. Cependant il n’y a pas que ces papiers qui comportent des données personnelles sensibles. Les documents liés à la santé, dont la carte vitale, sont jetés ou conservés sans protection dans 42% des cas, les factures avec 54%. Les documents les plus protégés sont la carte vitale avec 48%, la carte d’identité 49%, suivie des factures, du permis de conduire et du passeport avec environ 3 %.

Publicités indiquant noms et adresse

Factures

11 7 Vous les détruisez

Documents santé / Cartes Vitale

Cartes identité

11 10 12

Conservez en les protégeant Conservrez sans protection Jetez à la poubelle

Permis de conduire

Passeports

20%

23 20 40%

60%

80%

NSP

100%

Figure 14 Graphique des principaux documents comportant des données personnelles

Les informations hors ligne sont très prisées par les fraudeurs car celles-ci sont plus simples à traiter, falsifier et reproduire, même si avec l’essor d’internet et des nouvelles technologies numériques, les copies papiers restent plus utilisées qu’internet pour transmettre des données personnelles. 2. En ligne Maintenant il est intéressant de s’interroger sur la transmission des documents personnels, en effet le plus souvent nous transmettons plus d’informations personnelles sur papier ou en ligne que nous le pensons. L’étude CSA a démontré qu’au moins 75% de Français ont déjà fourni au moins 1 document à caractère personnel sur papier contre 50% en ligne. Nous pouvons aussi déduire que plus de 47% n’ont jamais fourni un document sensible sur internet. Et 29% ont déjà transmis entre 3 et 5 documents papier à caractère personnel.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Aucun Environ 1 ou 2 Entre 3 et 5 En ligne

Entre 6 et 10

Sur papier Plus de 10 Je ne sais pas 0

en % Figure 15 Graphique de la répartition des transmissions de documents

Malgré la hausse des nouvelles informations numériques, les Français donnent tout de même le plus souvent des informations sur un support physique. Cela leur semble plus rassurant et plus sécurisant. Les copies papier sont donc plus utilisées qu’Internet pour transmettre des données personnelles. 3. Les Statistiques en France Le rapport CSA pour Fellowers publié en 2012 montre que 8% des Français déclarent avoir été victimes d’usurpation d’identité au cours des 10 dernières années alors qu’ils n’étaient que 4.2% en 2009 d’après la CREDOC. Le phénomène a donc presque doublé en 4 ans.

Oui Non

92%

Figure 16 Graphique de part de la population française victime d'usurpation d'identité

La tendance de croissance de la criminalité identitaire est toujours à la hausse aujourd’hui. En effet les réseaux criminels et leurs faussaires spécialisés ne se cachent plus car la demande est forte et le risque pénal que nous verrons un peu plus bas reste faible. Sur ces 8% de réponses positives, 13% proviennent d’Ile de France et 7% de Province.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

D’après plusieurs études dont le rapport CSA, un peu plus de 30% des personnes interrogées pour les études estiment encore que le risque d'usurpation est peu élevé. En France, 3 types de fraudes ont été principalement identifiées par rapport aux usurpations déclarées :

11%

Prestations Sociales

22%

Emprunts

52%

Retraits Frauduleux 0%

10%

20%

30%

40%

50%

60%

% Figure 17 Les trois types de fraudes principalement identifiées en France

4. Les statistiques à l’étranger La France n’est pas seule à être impactée par ce phénomène d’usurpation d’identité car tous les pays sont concernés. Un rapport sur l'usurpation d'identité a été publié par Javelin en 2011 indiquant qu'aux Etats-Unis 10 millions d'adultes ont été victimes de cette fraude, ce qui représente une augmentation de 12 % par rapport à 2008 et de 37 % depuis 2012. En 2013 aux Etats-Unis, 11 571 900 individus ont été victimes de fraudes d’identité d’après le site statisticbrain.com et leurs rapports d’informations d’usurpation.

Nous pouvons aussi constater avec le graphique ci-dessous que toutes les tranches d’âge sont impactées : le pourcentage correspondant est le pourcentage total ayant déclaré une fraude au sein de la catégorie spécifique.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

4,3

7,3

Age: 7,9

65+

7,3

50-64 35-49

8,5

64,7

25-34 18-24 non déclaré

Figure 18 Graphique des quatre principaux types de fraudes rencontrées aux USA

Aux Etats-Unis 4 types de fraudes ont été principalement identifiées par rapport aux usurpations déclarées.

100 64,1

60 40 20

35 20 14,1

Détournement de carte de Détournement Détournement de compte crédit d'identité bancaire médicale

Détournement d'information personnelle

Figure 19 Graphique de la répartition des tranches d’âge touchées par la fraude aux USA

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Un autre phénomène d’usurpation existe aux Etats-Unis. Depuis quelques années, l’usurpation d’identité médicale aurait augmenté de près de 20 % par rapport à l’année précédente d’après Globometer.com. L'enquête 2013 sur le vol d’identité médicale a été publié par le Ponemon Institute LLC, au Michigan et soutenue par l’Alliance contre la fraude d’identité médicale Alliance (MIFA) qui est un groupe d’industriels constitué pour sensibiliser le public et pour trouver des moyens pour faire face aux usurpations d’identité. L’usurpation d’identité médicale vise à recevoir indûment des soins médicaux, des biens ou des médicaments sur ordonnance. L’enquête a porté sur 7 adultes qui ont déclaré avoir été victimes d’une fraude de ce genre. Les services médicaux estiment qu’au cours de la dernière année 313 000 escroqueries de ce type ont été commises. De 2005 à 2009, les données personnelles et financières de plus de 500 millions de particuliers ont été exposées à la suite de la divulgation de données d'entreprise, un événement sur lequel la victime n'a aucun contrôle même si elle prend des mesures de sécurité personnelles. Les victimes consacrent en moyenne 58 heures à la réparation des dommages causés aux comptes existants et 165 heures à la réparation des dommages causés par la création de nouveaux comptes frauduleux. 43 % des cas d'usurpation d'identité proviennent d'un vol de portefeuille, de chéquier, de carte de crédit, de relevé de facturation, ou d'un autre document physique. Aucun pays n’est épargné par ce phénomène qui prend de l’ampleur chaque année malgré le fait que le gouvernement européen et d’autres pays essayent de sécuriser les données le plus possible et de créer des documents infalsifiables. 5. Coûts Toutes ces victimes d’usurpation représentent un coût. La député Catherine Vautrin a aussi confirmé lors d’un article publié le 1er janvier 2014 sur « Le vol d'identité, la plus grande menace criminelle des années à venir » le coût pour la société de ce phénomène. Le coût de l’usurpation d’identité a avoisiné 474 millions d’euros en 2013 mais elle signale aussi 1,4 milliard de préjudice pour l’UNEDIC « Union Nationale interprofessionnelle pour l'Emploi Dans l'Industrie et le Commerce»,1 milliard pour la caisse nationale d’assurance-maladie et 1 milliard pour la caisse d’allocations familiales, soit un total de 3 74 milliards pour l’année 2013. Les Américains quant à eux ont essuyé 54 milliards de dollars de pertes dues à l'usurpation d'identité. L’usurpation médicale a également entraîné des pertes financières d’environ 12,3 milliards de dollars. Quant au coût individuel moyen d’une usurpation, il est estimé à 2 229 euros d’après un article du Figaro datant du 4 avril 2014. Ces 2 229 euros cumulent les détournements (argent, aides sociales), le montant des démarches administratives et judiciaires, et les coûts supplémentaires générés par cet imbroglio (médecin, frais postaux). Après le remboursement par les assurances, le montant moyen restant à la charge de la victime est de 1 556 euros. Aux Etats Unis, le montant moyen de la fraude par victime avoisinait 5 000 dollars. Une majorité relative en France ignore la valeur financière de leur identité. Le rapport CSA pour Fellowers a effectué une étude statistique auprès de Français sur la valeur financière estimée qu’ils se faisaient de leur identité sur le marché noir. Celle-ci a démontré que les Français estiment le coût d’une falsification de carte identité à une moyenne de 969,80 euros, celui d’une falsification d’un relevé d’identité bancaire à 907,42 euros puis celui d’une facture téléphonique à 305,05 euros sur le marché noir.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Ces chiffres sont juste une idée que se font les français, mais combien peuvent rapporter ces papiers officiels ? D’après l’article « Que deviennent les papiers d'identité volés » de FranceTVinfo expliqué par Christophe Naudin et d’autres articles similaires, la pratique du "pack identitaire" est apparue sur le marché noir il y environ six ans. Il s'agit d’une formule clé en main, qui permet d'obtenir "plusieurs documents cohérents pour tromper l'administration" et obtenir un document officiel. Aujourd’hui il existerait plusieurs forfaits :

9000

5000 Jusqu'à

5000 4000

a partir de

3000

2500

2000 1500

500 300 Pack identité

Pack passeport

Pack prenium

Pack plus

Pack de base

Figure 20 Graphique de la répartition des forfaits

Le "pack de base", entre 2 000 et 4 000 euros est composé d’une copie de carte nationale d'identité ou de carte de séjour et carte Vitale appartenant à une personne existante. Le "pack plus", au minimum 3 000 euros est composé des pièces précédentes plus la copie d’un permis de conduire et celle d’un RIB (Relevé d’Identité Bancaire). Le "pack premium" quant à lui revient à une fourchette comprise entre 5 000 et 9 000 euros et est composé des originaux des pièces précédentes, couplés à des fiches de paie ou des quittances de loyer. Le passeport français se négocie lui entre 1 500 et 2 500 euros sur le marché noir. Mais le titre d'identité peut être proposé pour beaucoup moins cher, entre 300 et 500 euros, s'il le délai d’expiration est court (moins de deux ans). C'est également le prix des cartes de séjour, très prisées. Pour finir, en termes de coût, combien risque un usurpateur ? La Loi d'Orientation et de Programmation pour la Performance de la Sécurité Intérieure (LOPSSI 2 ) votée en février 2011, introduit dans son article 226-4-1 un nouveau délit sanctionnant d’un an de prison et de 15 000 euros d’amende: " le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération".

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

II.

Usurpation d’identité

Identité et confiance : une succession d’échecs A. La Carte Nationale d’Identité

La Carte Nationale d’identité (ou CNI) est un document officiel qui permet à tout citoyen de justifier de son identité et de sa nationalité française dès lors qu'elle est en cours de validité. Elle n’est pas obligatoire en France contrairement à d’autres pays européens comme l’Allemagne, la Belgique et l’Espagne. Bien que de nombreux moyens soient mis en œuvre pour réduire au maximum les risques liés à la création et à la délivrance des cartes d’identité, les méthodes de contournement sont nombreuses. Aujourd’hui, les éléments de preuves de l’identité d’une personne ne sont plus suffisants. Afin de disposer des informations nécessaires à la rédaction de cette partie, nous avons consulté Madame Marie-Christine Leger, Directrice du service de la relation citoyen à la Mairie du Blanc Mesnil. Elle a bien voulu nous accorder un entretien téléphonique afin de répondre à nos interrogations sur le sujet. 1.

Création d’une Carte Nationale d’Identité

La tentative d’usurpation d’identité peut être réalisée par un fraudeur, à chaque étape du processus de demande de carte d’identité. Dans un premier cas, nous le verrons lors d’une première demande de carte.

Figure 21 Schéma du processus de demande de création d'une CNI

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Lors d’une première demande de CNI, la fraude est possible de deux manières différentes :  par la présentation de vrais documents  par la présentation de documents falsifiés Dans le premier cas, le fraudeur a en sa possession de vrais documents nécessaires à la délivrance d’un titre d’identité comme un acte de naissance. Précédemment délivré au guichet des mairies, les agents délégués d’Etat Civil procédaient alors à des vérifications physiques sur l’identité du demandeur. Or, certaines villes délivrent désormais des actes de naissance par correspondance. Avec quelques collectes d’informations sur les réseaux sociaux ou l’aide de documents jetés à la poubelle, un fraudeur peut maintenant se faire délivrer un acte de naissance sur le net. Par exemple, la mairie de Paris met à disposition un espace de télé service afin de se procurer des actes de naissance par correspondance. Pour cela, il suffit de renseigner un questionnaire portant les informations suivantes :  Mairie d’arrondissement où est détenu l’acte demandé  Date de l’acte (date de naissance)  Nom, prénom et sexe du demandeur  Nom et Prénom du père  Nom et Prénom de la mère 2.

Renouvellement d’une Carte Nationale d’Identité

Dans le cadre de la simplification des démarches administratives, les informations ne sont pas de nouveau enregistrées manuellement. En effet, le citoyen Français redonne son ancienne carte d’identité et les informations sont alors reprises à l’identique. Lors d’un renouvellement de titre d’identité, la fraude peut également s’opérer de deux façons. Le fraudeur peut utiliser :  une vraie carte d’identité volée ou perdue pour s’en refaire délivrer une,  une fausse carte d’identité en ayant pour objectif de s’en faire délivrer une originale. Afin d’éviter le dernier cas, des formations sont dispensées aux agents délégué d’Etat Civil afin de pouvoir détecter les faux documents d’identité en procédant à la vérification des nombreux points de contrôle techniques implémentés sur le titre d’identité. 3.

Les contres mesures

Afin de prévenir les risques d’usurpation d’identité des contrôles sont opérés. Une fois enregistrée en mairie, la demande est transmise à la préfecture ou à la sous préfecture dont dépend la mairie de la demande. Le contrôle et sa durée varient en fonction de la demande :  Une étude est faite systématiquement pour les demandes de création de titres d’identité. Il faut compter 2 semaines pour contrôler les informations fournies et éditer les documents.  Une étude est faite également pour toutes les demandes suite à une perte ou un vol de document. C’est le moyen le plus utilisé pour se procurer de vrais documents d’identité. Il faut compter jusqu'à 2 mois pour réceptionner le nouveau document d’identité afin de pouvoir effectuer les vérifications nécessaires.  En cas de renouvellement, aucune étude n’est effectuée. Le nouveau titre d’identité est réceptionné sous 8 jours.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Cependant, ces contrôles ne sont pas infaillibles. La préfecture du Raincy dont dépend la mairie du Blanc Mesnil dédie 3 employés à temps plein pour effectuer les contrôles des demandes de CNI pour une réception d’environ une centaine de demandes par jour. Cet effectif limité a donc à charge une grande quantité de demandes à vérifier et à contrôler ce qui peut, dans certains cas, être source d’erreur. Afin d’apporter de nouvelles garanties quant à la sécurisation du processus de création des cartes bancaires, un nouveau projet a vu le jour. Initié dans le cadre de la sécurisation des titres, le projet COMEDEC, pour le moment limité à l’instruction des dossiers de demande de passeports, sera prochainement utilisé dans le cadre des demandes de CNI. COMEDEC est la plateforme d’échanges dématérialisés entre les communes et les administrations destinataires des données d’état-civil. Elle permet de simplifier les démarches administratives des citoyens grâce à la dématérialisation et la mise au format numérique des données d’état civil. Elle permettra dans l’avenir, d’éviter un risque de défaillance dans le processus des demandes de CNI et ainsi d’éviter au citoyen d’avoir à demander lui même un acte de naissance.

Figure 22 Schéma du fonctionnement de la solution sécurisée COMEDEC

Source : http://www.ants.interieur.gouv.fr

B. Le vol massif de données personnelles Ces dernier mois, nous avons été nombreux à être victimes de vols de données. En effet, de plus en plus d’entreprises sont confrontées à des attaques ciblant la récupération des données personnelles de leurs clients comme de leurs salariés. Ces attaques peuvent prendre des formes variées :

1. Les attaques de fichier client a.

Le cas eBay

Le 21 mai 2014, le site de commerce en ligne eBay a dû envoyer un mail à l’ensemble de ses clients en leur demandant de changer leurs mots de passe. En effet, l’entreprise a eu à faire face à une attaque

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

sans précédent représentant la plus grande perte de données à ce jour sur le Web. Les comptes de 233 millions d’utilisateurs ont été compromis suite à une intrusion malveillante dans une base de données du groupe. Les attaquants auraient récupéré les mots de passe de comptes d’administration de certains collaborateurs afin de s’infiltrer dans le réseau de l’entreprise. Le Groupe a donc pris contact avec ses utilisateurs afin de leur conseiller de modifier leur mot de passe.

Figure 23 Exemple de mail en provenance d'eBay

Encore aujourd’hui, cette attaque a des répercussions puisqu’un article du quotidien The Sun on Sunday, relayé en France par les sites internet Tomsguide.fr et Developpez.com, révèle que des hackers revendraient les informations dérobées lors de l’attaque. Un premier hacker a entrepris de fournir les noms d’utilisateurs et les mots de passe de 1 000 comptes eBay ayant de bonnes évaluations. Ces données seraient revendues à environ 25 livres sterling l’unité soit l’équivalent de 30€. Un autre hacker réclame quant à lui 2 100 livres soit 2 5 5 euros, en échange d’un accès illimité à des noms d’utilisateurs ainsi qu’aux mots de passe associés. L’utilisation de ces comptes utilisateurs induit une usurpation d’identité puisque les personnes se connectant aux comptes n’en sont pas les détenteurs. De plus, l’utilisation de ces comptes induit une volonté malveillante supplémentaire à la volonté d’usurper une identité. En effet, les comptes piratés peuvent être utilisés pour la réalisation d’actes frauduleux de deux types. Dans un premier temps ils peuvent être utilisés afin de faire monter les enchères sur le site afin de faire gonfler les prix. Dans un second temps, ces comptes peuvent servir à vendre des produits fictifs et à rendre crédible l’annonce en utilisant des comptes ayant recueilli de nombreux avis positifs sur les transactions précédentes, et ainsi récupérer l’argent de la vente d’un objet qui n’existe pas. Les comptes ainsi piratés peuvent servir dans deux situations : faire monter les enchères de manière "crédible" pour un produit mis en vente à l'aide de plusieurs comptes disposant de nombreux avis positifs. Ou mettre en vente un faux article à l'aide d'un compte piraté (et possédant beaucoup d'avis positifs, afin de crédibiliser la vente), changer au passage la méthode de paiement et attendre que l'argent arrive sans envoyer l'article en question, bien évidemment.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Le quartier général du groupe eBay étant localisé au Luxembourg, une enquête a été ouverte par la commission nationale pour la protection des données (CNPD) Luxembourgeoise. La CNPD est chargée de mener et de diriger l’enquête au niveau européen. b.

Le cas Orange

Le 16 janvier dernier, l’opérateur téléphonique français Orange a été la cible d’une intrusion informatique sur son espace client. D’après l’opérateur, cette intrusion aurait visé 3% de la base de données client (soit approximativement 800 000 clients touchés) et aurait permis de récupérer certaines données à caractère personnel (noms, prénoms, adresses postales, mails, RIB tronqués, numéros de téléphone et dates de naissance). Orange a, suite à la découverte de cette intrusion dans son système d’information, prévenu les clients concernés et mis en place des mesures de sécurité afin de rendre de nouveau les données confidentielles. Le 6 mai, un nouveau vol de données personnelles chez 1,3 million de clients et de prospects a été reconnu par le groupe. Cette intrusion détectée le 1 avril, n’a été rendue publique que 2 semaines après la découverte de la faille, afin de laisser le temps à Orange de sécuriser son infrastructure et de prévenir les utilisateurs concernés. Dans les deux cas, les hackers ont pour objectif de récupérer les données personnelles des clients principalement pour opérer des opérations de phishing. Bien que, ces derniers mois, le groupe Orange ait dû faire face à une recrudescence de ces attaques deux aspects sont à mettre en perspective. Le premier aspect est que l’impression d’intensification des cyber-attaques peut être corrélé à la prise de conscience des risques liés à ce type d’attaques par les entreprises. La vigilance et le niveau de surveillance des infrastructures conduit donc à une augmentation des détections des intrusions dans les systèmes d’informations. Le second aspect et non des moindres est que les opérateurs téléphoniques sont contraints par la réglementation de notifier les vols de données personnelles à la CNIL et aux personnes concernées par ces données. Limitée pour le moment aux opérateurs téléphoniques, cette loi devrait être étendue à d’autres secteurs d’activités à l’échelle nationale comme européenne. 2. La faille OpenSSL (heartbleed) Le 7 avril 2014 a été rendue publique une faille de sécurité, surnommée “Heartbleed” (cœur qui saigne en français) sur le logiciel OpenSSL. Utilisé pour sécuriser les transmissions d’information sur Internet, OpenSSL est l’un des logiciels libres les plus populaires. Concrètement, chaque page internet ouverte sur laquelle apparaît un cadenas à côté de l’adresse du site, utilise un protocole SSL afin Figure 24 Illustration de la faille de sécuriser les données en les chiffrant. La majorité de ces protocoles SSL est mise en œuvre par le logiciel OpenSSL. Heartbleed La faille Heartbleed rend donc possible la récupération des informations confidentielles telles que les données bancaires, les identifiants, ou les mots de passe, stockés sur des serveurs.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Cette faille datant de 2 ans permet de récupérer le contenu normalement protégé dont les identifiants et les mots de passe utilisés pour s’identifier sur de nombreux sites. On estime à 600 000 le nombre de serveurs impactés par cette faille, dont certains appartenant à Facebook, Instagram, Pinterest, Tumblr, Google, Yahoo, Gmail, Amazon, Dropbox…. Suite à la découverte de cette faille, la CNIL, l’ANSSI et le CERT-FR ont rappelé les consignes à mettre en place pour limiter les impacts :  vérifier la présence d’une version OpenSSL vulnérable, 11  révoquer et renouveler les certificats en cas de doute,  changer des mots de passe d’authentification (des serveurs comme des utilisateurs). La CNIL a d’ailleurs indiqué qu’elle « vérifiera les mises à jour et correctifs de sécurité dans le cadre des contrôles qu’elle opère régulièrement auprès des responsables de traitement. Elle sera en mesure de procéder à une série de contrôles visant spécifiquement les sites les plus exposés qui ne se seraient pas mis en conformité ». Malgré la mise en place de correctifs dans un certain nombre d’entreprises, Errata Security estime à 300 000 le nombre de serveurs toujours vulnérables dans le monde deux mois après la découverte de cette faille (scannage Errata). Toujours d’après Errata, “le nombre devrait désormais décroître doucement, avec le remplacement naturel des anciens systèmes pour de nouveaux, déjà protégés” mais on s’attend toujours à “trouver des milliers de serveurs vulnérables dans 10 ans, y compris parmi ceux jugés critiques.” Sans précédent, cette faille est d’autant plus inquiétante qu’il est impossible de vérifier si des données ont été compromises et donc aucune estimation ne peut être faite. 3. L’ingénierie sociale Ingénierie sociale, qu’est ce donc ? Ce terme désigne les méthodes permettant de manipuler des personnes afin de contourner des dispositifs de sécurité. Il s'agit pour le fraudeur d'obtenir des informations ou de faire exécuter une opération à une personne par l'utilisation de la force de persuasion et l'exploitation de la crédulité ou de l'ignorance de son interlocuteur en se faisant passer pour un membre de l'entreprise (direction, collaborateur), un technicien ou toute autre personne de confiance. En exécutant les ordres transmis par ses clients, la banque peut devenir l’instrument de la réalisation de la fraude. Ces attaques sont menées directement contre les clients, en utilisant des informations précédemment recueillies sur les personnes et les organisations (organigramme, fonctions, personnes habilitées, plans de congés, spécimen de signatures, etc.). Les fraudeurs sont donc très bien renseignés, parfois par le biais d'une complicité interne, et également très persuasifs. Un test a été réalisé à l'occasion de la conférence Defcon en juillet dernier, qui a permis d'évaluer le risque de divulgation d'informations par les collaborateurs d'entreprise soumis à des procédés d'ingénierie sociale : 135 employés, issus de 17 grandes entreprises, dont Coca-Cola, Ford, Pepsi, Cisco, Wal-Mart, ont été testés dans le cadre d’un "concours de piratage". Les résultats sont édifiants, puisque 96% d'entre eux, démarchés par téléphone ou par mail, ont divulgué des informations considérées comme "sensibles" : version du système d'exploitation, logiciels antivirus et navigateurs utilisés dans l'entreprise, etc. L'une des techniques pour mettre en œuvre cette supercherie consistait pour les pirates à se faire passer pour des auditeurs ou des consultants. Anecdote ou fait notable : les 5 employés ayant refusé de partager des informations étaient toutes des femmes. Comment se protéger de l’ingénierie sociale ? 11

Pour plus d’information, voir le mémoire sur la Signature Electronique

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Certaines précautions sont à prendre, en cas d’appel téléphonique : toujours se renseigner sur l’identité de son interlocuteur en lui demandant des informations précises (nom, prénom, n° de téléphone). Procéder ensuite par contre-appel de préférence en appelant un n° de ligne fixe au lieu d’un portable. En cas de doute, demander un écrit de confirmation et les coordonnées téléphoniques. Vérifier les renseignements reçus et s’interroger sur la criticité des informations demandées. Ne jamais communiquer, même auprès de sa banque, identifiant, mot de passe, code d’accès par email, téléphone ou sur un site internet. Ces éléments ne doivent en aucun cas être fournis à des tiers. Ne pas effectuer de tests sur des comptes communiqués par un tiers. Puis contacter le Chargé d’Affaires Entreprises en cas de demandes d’opérations bancaires ou de changement de coordonnées par un tiers. 4. Les avis de consommateurs L’avis de proche, client, ou professionnel est beaucoup sollicité pour être un minimum rassuré. Pour conserver la confiance des clients, divers sites de e-commerce doivent garantir un cota de commentaires rédigés par les internautes sur leurs plates formes. Une norme a même été imaginée : NF Z 74-501, mais elle n’est pas obligatoire. La publication des commentaires des internautes est une promotion pour le secteur e-commerce. C’est une forme de marketing virtuel mais certains en abusent et par la suite perdent toute crédibilité. Grâce à cette norme, la confiance se noue à nouveau entre le consommateur et l’offre. Prenons l’exemple d’une réservation d’une chambre d’hôtel pour des vacances. Les statistiques montrent que 9 Français sur 10 consultent les avis associés à un service ou un produit vendu en ligne. “D’après une étude TestnTrust, ¾ d’entre eux savent que certains commentaires sont des faux uniquement rédigés pour renforcer l’e-réputation d’une marque, soit ces avis diffament le produit d’un concurrent, soit ils en font la promotion. L’influence de ses “avis consommateur ”, peut impacter votre décision d’achat et du côté du commerçant pourrait impacter leur chiffre d’affaire. Une étude américaine montre que, pour un hôtel, perdre un point sur la note sur cinq de Travelocity (l’équivalent de lastminute.com au États-Unis) correspond à une chute des réservations de 10 %. C’est pourquoi à présent pour poster un avis, certains sites proposent d’identifier et de donner au moins deux moyens de contact parmi les informations suivantes : adresse mail, numéro de téléphone, coordonnées postales. Malgré cela, les faux avis peuvent être difficilement détectés car on pourrait usurper l’identité d’un autre pour poster un avis. Pour ce faire, certains sites comme LaFourchette.com (site de réservation du restaurant) ont mis en place un système d’avis consommateur : après avoir réservé et consommé dans le restaurant, les clients ont la possibilité de laisser un commentaire sur ce lieu. Un classement chronologique est ainsi imposé, pour garder toute crédibilité des avis. Certains commerçants proposent même de fidéliser leurs clients en leur donnant des bons de réduction ou des chèques cadeaux. A présent plusieurs sites proposent d’utiliser les comptes sociaux pour poster un avis, mais est-ce que l’identité du compte est la véritable identité ?

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

III.

Usurpation d’identité

Comment instaurer un climat de confiance ? A. Au travers de moyens réglementaires 1. Les institutions et associations

En France, l’utilisation des données à caractère personnel est soumise à des obligations et est réglementée par la CNIL. La CNIL a pour principales missions :  D’informer les personnes sur leurs droits et leurs obligations,  De réguler, recenser et autoriser les traitements les plus sensibles,  De sanctionner financièrement les responsables de traitements non respectueux de la loi,  D’apporter une aide aux citoyens dans l’exercice de leurs droits,  De contrôler les fichiers et de veiller à ce que les responsables de fichier respectent la loi,  Et d’anticiper et comprendre les développements technologiques. En cas de vol d’identité, la CNIL aide les utilisateurs du numérique notamment en les accompagnant dans leurs démarches en cas de demande de suppression d’informations portant atteinte à leur intégrité ou pour reprendre le contrôle de leur messagerie électronique. Cependant, la CNIL reste aujourd’hui majoritairement une institution de conseil et de prévention car elle possède un pouvoir de sanction limité. En effet, la CNIL dispose uniquement d’un pouvoir de sanction financière, qu’elle peut mettre en exergue après avoir constaté un dysfonctionnement dans l’exploitation de données à caractère personnel lors d’un contrôle ou suite à des plaintes12. De nombreuses organisations travaillent activement pour la création d’un espace numérique de confiance ainsi que pour l’institution d’une identité numérique sûre et fiable. Parmi ces organisations, on retrouve en France, la Fondation Internet Nouvelle Génération (FING) et l’Alliance pour la Confiance Numérique (ACN). 2. Les normes Aucune norme n’est pour le moment publiée sur le sujet de l’identité numérique. Cependant, de nombreux groupes de travail sont constitués aussi bien à l’échelle internationale, européenne ou encore nationale au sein des différents organismes de normalisation13. On peut cependant remarquer que la norme ISO 29 187-1, publiée le 6 février 2013 portant sur les “Technologies de l’information pour l’éducation, la formation et l’apprentissage” définit la question de l’identité numérique, ainsi que l’ensemble du vocabulaire de l’univers du numérique. 3. Le contexte juridique a. Les textes de loi

Condamnation du moteur de recherche Google le 05 janvier 2014 pour « de trop grandes imprécisions dans les explications fournies aux internautes sur l'utilisation de leurs données personnelles » et également une « collecte déloyale » d'informations d'utilisateurs. Google se voit contraint de verser une amende de 150 000 euros soit l’équivalent du chiffre d’affaires réalisé en moins de deux minutes, par le géant du Web. 13

International Standard Organisation à l’échelle internationale, le Comité Européen de Normalisation à l’échelle européenne et l’Association Française de Normalisation à l'échelle française.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Bien que le sujet de l’usurpation soit omniprésent dans notre quotidien, l’infraction générale “d’usurpation d’identité” est très peu représentée dans le droit français. Dans l’ouvrage “l’identité numérique en question” l’auteur Olivier Iteanu nous explique, qu’en effet, pendant de nombreuses années, seules deux situations précises peuvent donner suite à des poursuites judiciaires dans des pratiques “d’usurpation d’identité” :  “l’utilisation d’une fausse identité dans un acte authentique [...] signé et revêtu du sceau de l’Etat reçu par un officier public ou un notaire14”  et le “fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales.15” Il a fallu attendre 2011 et la publication de la loi Loppsi 216 pour que le délit d’usurpation d’identité soit reconnue. Cette loi reconnaît que “le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.” Une autre loi impacte indirectement l’identité numérique et l’usurpation d’identité. Il s’agit de la loi relative à l’informatique, aux fichiers et aux libertés17 qui réglemente la collecte, l’usage et la finalité de la mise en place d’un traitement automatisé ou d’un fichier manuel contenant des données personnelles. Enfin, l’article 34 bis de la loi 7 -17 de la CNIL pour le moment limité au champ d’application des fournisseurs de service de communication et prochainement étendu à tous les secteurs avec la proposition de règlement européen du 25/01/2012, traite des compromissions des données personnelles. Cet article contraint les entreprises victimes de violation de données à caractère personnel de leurs clients ou de leur salarié, à le notifier aux personnes concernées ainsi qu’à faire une déclaration à la CNIL. b. Le droit à l’oubli Le 13 mai 2014, la Cour de Justice de l’Union Européenne a rendu sa décision dans le cadre d’un litige opposant Google à l’autorité de protection des données personnelles espagnole. Dans sa décision, la Cour de Justice confirme que les moteurs de recherche comme Google sont responsables du traitement des informations qui y circulent. De ce fait, “une personne peut s’adresser directement à un moteur de recherche pour obtenir la suppression des liens vers des pages web contenant des informations portant atteinte à sa vie privée” : c’est ce qu’on appelle communément “le droit à l’oubli numérique”.

14 15 16 17

Article 433-19 du code pénal Article 781 du code de procédure pénal Article 226-4-1 du Code pénal, promulguée le 14 mars 2011 Loi 78-17 du 6 janvier 1978

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Afin de respecter cette décision de justice, Google a mis à disposition des internautes un formulaire accessible via l’onglet “Confidentialité et conditions d’utilisation” en bas à droite de la page d’accueil. Une fois les données personnelles de l’utilisateur complétées (nom, prénom, adresse mail, copie d’une pièce d’identité), il faut ensuite indiquer les liens compromettant et justifier pour chacun qu’il est de nature compromettante pour sa réputation. Au 26 juin 2014, Google annonce avoir commencé à retirer certains résultats de recherche, alors que déjà 41 000 personnes ont demandé la suppression d’informations les concernant. La mention “certains résultats peuvent avoir été supprimés conformément à la loi européenne sur la protection des données” peut apparaître dorénavant sur des recherches de noms dans Google effectuées en Europe.

B. Les bonnes pratiques 1. La Prévention au quotidien Le délit d’usurpation d’identité existe depuis longtemps, mais il se développe aujourd’hui avec l’essor d’internet cité dans la prévoyance sur le site AXA. La raison est simple : de plus en plus d’internautes communiquent voire partagent leurs données personnelles trop rapidement. Peut-on se prémunir contre l’usurpation d’identité ? De manière générale, il faut rester vigilant, être informé de toutes les pratiques malveillantes. Cependant, il n’est pas nécessaire d’être informaticien en sécurité pour savoir se protéger un minimum. L’ordinateur bureau ou physique est un outil le plus utilisé dans notre époque et la plupart des personnes y stockent des données sensibles, leurs finances voire même leur jardin secret. Cet outil est associé à un disque dur où seront stockées toutes vos données. C’est pourquoi l’utilité de chiffrer vos données devient ici très importante. Il ne suffit pas de mettre un login/password sur votre poste pour être protégé ; il faut quand même pousser plus loin. Microsoft a développé pour les postes Windows 7 édition intégrale et entreprise jusqu'à la version d’aujourd’hui des moyens de protection de vos données contre la perte, vol, pirates informatiques (BitLocker). Cette méthode est donc recommandée. Faire des sauvegardes de nos jours n’est plus anodin, mais une solution pour contrecarrer le piratage ; en effet, si vous ne stockez rien sur votre poste vous ne risquez rien, mais dans ce cas il faudrait chiffrer votre disque amovible également. Le manque de vigilance pourrait vous coûter cher ! Il faut savoir que huit millions de Français laissent traîner des papiers confidentiels, chez eux, sur leur lieu de travail ou dans la photocopieuse d’un lieu public. Selon un article sur Fellowes, il faut savoir que 70% des Figure 25 Rappel chiffre de la criminalité Français considèrent que le courrier papier est plus apte identitaire en 2013 à conserver la confidentialité contre 7% pour l'émail. Mais 1 Français sur deux conserve ses documents les plus “ sensibles” sans protection. Voici quelques méthodes du site Fellowes :  A la maison La fouille aux ordures est devenu l’objectif n°1 des escrocs, le but étant de s’emparer de documents que vous jugez sans importance pour en faire de l’usurpation d’identité, tels que les relevé de compte, reçu de carte de crédit, ancienne facture, même les CV. Donc pensez bien à tout détruire avec comme

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

technique coupe aux ciseaux ou micro confettis ou à l’aide d’un destructeur avant de les faire partir à la benne. La réexpédition du courrier est une chose à laquelle on ne pense pas, mais que l’on doit surveiller. Les fraudeurs peuvent se servir directement dans votre boite aux lettres débordantes de données sensibles. Pour leurs démarches administratives, 75 % des Français ont fourni au moins une copie papier de données personnelles au cours des 12 derniers mois. Et après utilisation de ces documents, on constate que plus d’1/3 des Français ne les détruisent pas. Par ailleurs, n’hésitez-pas à détruire toutes vos copies de documents personnels dès que vous n’en avez plus l’utilité. Voici ce que conseille McAfee :  “Faire preuve de bons sens”. Certaines données personnelles dites confidentielles doivent le rester, on ne doit pas les fournir à n’importe qui !  Pointer les relevés bancaires afin de détecter toute anomalie,  Déchiqueter les documents de façon à ce qu’ils ne soient pas réutilisables, utiliser deux poubelles différentes, si possible. Pour compléter Gérard DESMARETZ, “le manuel du faussaire” rajoute quelques conseils complémentaires :  Payez vos achats en espèces ou en CB et signez votre carte bleue,  Surveillez votre courriel,  Transportez le moins de pièces d’identité et de cartes possibles sur vous,  Ne laissez aucun inconnu rentrer chez vous,  Ne remettez jamais à un tiers votre carte nationale d’identité, passeport ou votre permis de conduire,  Ne jamais conserver un code confidentiel. 2. Prévention sur internet Plusieurs mesures sont à prendre lorsque l’on veut se protéger contre la substitution d’identité. En effet, depuis un moment certaines assurances proposent des offres pour assurer leurs clients. La toile est devenue un territoire pour les pirates surtout à l'arrivée du Big data qui constituera une mine d’or d’informations. C’est pourquoi l’utilité de bien protéger vos données reste important ; des outils sur internet sont disponibles et même totalement gratuits. Sur la toile internet, il existe de nombreux conseils pour les internautes comme :  Ne jamais cliquer sur un lien dans un e-mail tendancieux en provenance d'un expéditeur important (banque, Trésor Public, opérateur de téléphonie mobile, etc.). Il est préférable d'accéder au message en tapant l'adresse du site Internet de l'expéditeur directement dans son navigateur Internet. Et se souvenir d'une chose : si notre banque constate un problème sur nos comptes, elle préfère, en général, nous appeler plutôt que de nous envoyer un mail,  Vérifier que les adresses que l'on consulte sont en https et non pas http,  Faire attention aux e-mails qui contiennent des fautes d'orthographe,  Ne pas choisir des mots de passe trop évidents, choisir une combinaison de lettres et de chiffres difficiles à deviner et ne le divulguer à personne,  Effacer les cookies de votre ordinateur,  Lors d’un remplissage de formulaire, il est important de toujours cocher la case « je refuse que mes coordonnées personnelles figurent dans notre base de données»,  Installer et tenir à jour un pare-feu pour éviter un accès non souhaité à votre ordinateur.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

3. Comment vous en protéger L’usurpation est devenue tellement courante sur internet que certaines entreprises ont développé des logiciels adaptés pour limiter des cas de fraudes, parfois gratuits et souvent payants afin d’obtenir une protection complète en temps réel contre les Spyware, Malware et virus. Voici une gamme d’outils que vous pouvez télécharger gratuitement sur internet :  Malwarebyte, Destroy, NoVirusthanks Malware Remover, Superantisyware,  Bitdefender; eset nod32, f-secure, Kaspersky, McAfee, Norton antivirus. Ces phénomènes sont omniprésents dans tous les secteurs que ce soit : commercial, marketing, finance et comptabilité, ressources humaines, recherche et développement, production, juridique mais également à proximité des photocopieurs, à l’accueil ou à la maison, on peut limiter l’impact de cette fraude grâce aux divers moyens ci-dessus, mais les risques seront toujours présents. Pour les entreprises il existe des outils professionnels qui limitent l’accès aux données sensibles ainsi que des logiciels gratuits qui sont mis à disposition (cités au-dessus). Toujours vérifier l’exactitude des informations de votre entreprise, vérifier que toute donnée confidentielle fournie à vos salarié(e)s lors de son usage est supprimé/détruit. Les documents non utilisés doivent être également détruits surtout s’ils concernent l’entreprise, sa stratégie, l’économie, etc. Tout équipement de stockage d’information que cela soit papier ou informatique doivent être chiffrés. Le contrôle des nouveaux clients doit être soigneusement vérifié. Pour gagner la confiance du personnel, un destructeur de document à coté de l'imprimante est conseillé. Les mots de passe doivent être modifiés tous les 6 mois. La connexion à des sites qui donnent accès à des données sensibles doit comporter un cadenas, ceci assurant le cryptage des informations. Les disques durs doivent être littéralement détruits avant d'être jetés. Pour les employés, il faut de même rester vigilants, les bonnes pratiques ne s’appliquant pas uniquement aux entreprises, mais à nous tous. Tout document à la fin d’une réunion doit être détruit. Le verrouillage de votre poste est fortement conseillé, si vous ne voulez pas avoir de surprise, de même pour les documents qui sont sur la table. Les mots de passe ne doivent pas être écrits à la main et évitez de les divulguer à l’oral. Et pour terminer rangez votre espace de travail avant de partir pour effacer toute trace.

C. Les solutions techniques 1. Comment savoir si l’on en est victime ? Plusieurs mesures sont à prendre lorsque l’on veut se protéger contre la substitution d’identité. En effet, depuis un moment certaines assurances proposent des offres pour assurer leurs clients. La société Direxi couvre les cas de litige dans votre vie privée. Voici une offre : JUSQU'À 20 000 € EN CAS DE LITIGE A PARTIR DE ,50 €TTC / MOIS Des experts juridiques à votre écoute (consommation, habitat, travail, administration, divorce, fiscalité…) Protégez votre vie privée et votre vie professionnelle Libre choix de votre avocat Couverture en France et à l'étranger Protection complète contre l'usurpation de votre identité et de vos moyens de paiement Service d’expertise véhicule d’occasion avant vente ou achat

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Ou bien il existe des méthodes de stockage qui sont proposées par des banques. Cette solution est le coffre fort numérique18, présent chez plusieurs banques ou assurances. Caisse d’épargne offre un service qui regroupe un espace sécurisé en ligne vos documents, bancaires ou autres documents (factures, contrats, bulletins de paie, etc..). Pour plus de détails veuillez vous référer au chapitre coffre fort numérique. 2. Mesures à prendre si vous en êtes victime L’usurpation est devenue tellement courante sur internet que certaines entreprises ont développé des logiciels adaptés pour limiter des cas de fraudes, parfois gratuits et souvent payants afin d’obtenir une protection complète en temps réel contre les Spyware, Malware et virus. Voici une gamme d’outils que vous pouvez télécharger gratuitement sur internet:  Malwarebyte, Destroy, NoVirusthanks Malware Remover, Superantisyware.  Bitdefender; eset nod32, f-secure, Kaspersky, McAfee, Norton antivirus. Ces phénomènes sont omniprésents dans tous les secteurs que ce soit : commercial, marketing, finance et comptabilité, ressources humaines, recherche et développement, production, juridique mais également à proximité des photocopieurs, à l’accueil ou à la maison Mais on peut limiter l’impact de cette fraude grâce aux divers moyens ci-dessus. Les risques resteront néanmoins toujours présents. 3. Progrès technologiques a. La carte d’identité numérique Le projet de la carte d’identité nationale électronique date de 2003. Cette carte comporte une photo d’identité ainsi que la signature du titulaire. Lors de la demande de carte, un relevé d’empreinte digitale a été effectué par l’officier d’état civil mais elle ne figure pas sur la carte. Ce relevé est préservé précieusement dans les dossiers papier détenus par la préfecture. Cependant, elle peut être utilisée lors d’une fraude à l’identité ou dans le cadre d’une procédure judiciaire. La carte d’identité n’est pas obligatoire mais peut se faire sur demande par la personne concernée et gratuitement (depuis le 1er septembre 1988). Cette carte nationale sécurisée comporte une bande à lecture optique sur laquelle sont sauvegardés le nom de famille, les prénoms, le sexe, la couleur de ses yeux, la taille ainsi que l’adresse (le changement d’adresse est facultatif mais peut être reconduit et être changé si l’intéressé le souhaite), la date de naissance de son titulaire, ainsi que le numéro de la carte d’identité concernée. Elle était valable 10 ans mais depuis le 1 janvier 2014, un allongement de 5 ans supplémentaires a été instauré. Avec cette simple modification de durée de validité de 10 à 15 ans une économie d’environ 1,5 millions de cartes sera réalisée par an soit 5 millions d’euros et réaffectés à la lutte contre la fraude. La carte d’identité en cours de validité ouvre à son détenteur le droit de circuler à l’intérieur de tous les pays de l’Union Européenne. La carte nationale existe dans tous les pays sauf au Danemark et au Royaume-Uni. Voici ce que peut faire le fraudeur dès lors qu’il possède l’original ou quelque photocopie de votre carte on appelle ça un cas « délivrance indue »: 1 – Il peut retirer de l’argent au guichet d’une banque 2 – Ouvrir des comptes bancaires ou des lignes téléphoniques 3 – Toucher des indemnités sociales à la place du titulaire. Selon un article de Cédric Gouverneur daté de 2011, « la carte d’identité peut être revendue entre 300 et 2 000 euros, selon sa date d’expiration ». Le permis de conduire jusqu’à 4 000 euro. En effet tel 18

Pour plus d’information, consulter le mémoire sur le Coffre fort numérique

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

qu’expliqué dans cet article, ce document qui prouve notre identité est valable à vie et souvent nos photographies sont souvent très vielles et n’importe qui peut vous ressembler. http://www.modernisation.gouv.fr/laction-publique-se-transforme/avec-les-administrations-et-lesoperateurs-publics/simplification-des-demarches-la-carte-nationale-didentite-desormais-valide-15-ans http://www.vsd.fr/contenu-editorial/l-actualite/les-indiscrets/1963-faux-papiers-alerte-au-vol-didentite b. La fédération d’identité Aujourd’hui plusieurs sites sont référencés sur des bases de données afin d’être mis en avant pour garantir la confiance face aux utilisateurs. Les comptes créés sont souvent privilégiés par un mot de passe dit « fort ». Selon une étude fait par Dashlane les mots de passe ne sont souvent pas très protégés.  28% des sites américains imposent un mot de passe de 7 caractères ou plus, tandis que seulement 6% des sites français l’exigent.  47% des sites français acceptent des mots de passe de 5 caractères contre seulement 22% outre atlantique. Lors d’une ouverture d’un compte, la présence des mots de passe envoyés en clair dans les mails est très rare aux États-Unis alors qu’un site commercial sur deux le fait en France. Le fait d’envoyer un mot de passe en clair est une pratique très risquée, car s’il y a interception du compte le pirate pourra avoir accès au compte. Le choix du mot de passe est parfois imposé afin d'éviter les mots de passe trop simples. Soit 38% des américains contre 14% des sites français utilisent des chiffres et des lettres. Dashlane a établi un baromètre notant les sites de e-commerce français avec une note maximale de 100 si les principes suivants sont appliqués :  Obligation d’utiliser un mot de passe de plus de caractères  Obligation d’avoir un mot de passe avec des lettres et des chiffres et au moins une minuscule et une majuscule  Masquage du mot de passe pendant sa saisie  Refus des mots de passe trop simples Ex : « 123456 » ou « motdepasse »  Ne pas accepter les anciens mots de passe sans message d’avertissement  Blocage de la saisie du mot de passe au bout de 3 erreurs (avec un délai d’attente de quelques minutes par exemple)  Pas d’envoi de l’identifiant et du mot de passe en clair par mail, mais envoi d’un lien pour l’activer ou pas d’envoi par email.  Conseil pour choisir un bon de mot de passe, au moment de la saisie ou à d’autres endroits dans le site L’identification et de la fédération d'identité existe aujourd’hui pour un but précis, celui de gagner du temps pour éviter de nous identifier plusieurs fois sur plusieurs sites (sigle sign-on) afin de transmettre des données sensibles telles que le RIB ou une quittance d’électricité pour ouvrir un compte téléphonique. Pour ce faire, la méthode est purement basée sur des relations de confiance. Un projet Higgins a été mis en place. “Son principal objectif est de renforcer le contrôle de l’utilisateur sur les renseignements personnels”. Son fonctionnement est simple, il centralise tous les documents dans un contexte numérique ayant possibilité d’obtenir des informations allant de numéros de carte de crédit à des données personnelles. Ainsi la connexion à un site web se fait automatiquement.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

L’authentification forte

La sécurité d’accès des informations est un enjeu important dans la sécurisation des systèmes d’information. Un identifiant et d’un mot de passe ne suffisent pas à garantir l’identité d’une personne. C’est pourquoi une véritable politique de sécurité a été créée pour s’opposer aux défaillances technologiques afin de donner un maximum de confiance aux utilisateurs. L’authentification forte se base sur quatre facteurs :  « ce que je sais » (ex: mot de passe / code Pin)  « ce que j’ai » (ex: smartphone)  « ce que je suis « (ex: biométrie)  « ce que je fais » (ex: geste)

Figure 26 Schéma de l'authentification forte

Le but de cette solution permet d'accéder à un compte contenant des données sensibles. Par exemple avec “ce que j’ai”+”ce que je sais”, l’association des deux permet de se connecter à votre donnée personnelle ou encore à votre carte de paiement en toute confiance. Grâce à la méthode de “ ce que je suis” + “ce que je fais” cette combinaison est quasiment sécurisée. Pour les grosses structures avec de l’information sensible, il est conseillé d’utiliser l’accès par biométrie plutôt qu’un lecteur de carte à puces externes. d.

La Signature électronique

Cette méthode n’est pas visuelle et est exprimée par une suite de nombres que l’on appelle “fonction de hachage”. Le document utilisant cette solution est ainsi “haché”. Cette association est l’équivalent de l’empreinte digitale pour le document de base. Pour en savoir plus je vous propose de vous référer à la partie signature électronique.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Conclusion L’identité est l’élément fondamental pour définir une personne, par son nom, prénom, âge, couleur de cheveux, etc. Cependant, ce concept de l’identité reste complexe et difficile à appréhender. Pierre angulaire de notre société, elle peut être utilisée dans différents domaines, lors de nos démarches administratives, dans notre vie courante ou encore lors de notre navigation sur l’espace dématérialisé d’Internet. Néanmoins, différentes personnes mal intentionnées essayent à tout prix d’usurper l’identité d’autres individus pour en tirer profit ou bien nuire à leur réputation. Tous les moyens sont bons, en commençant par le vol physique jusqu’au le vol numérique. Depuis l’explosion d’Internet, de nombreux moyens de paiement ou d’outils professionnels ont été développés afin de faciliter la réalisation des tâches au quotidien. Bien que confrontés à des pratiques peu scrupuleuses, nous faisons bien souvent, aveuglement, confiance aux procédés opérés sur la toile. La prévention est parfois le meilleur des procédés pour « éviter » que nos données personnelles ne tombent entre les mains des escrocs. Il est conseillé de détruire tous documents confidentiels qui ne sont plus utilisés. Protéger les documents, qui vous semblent nécessaires, dans un coffre-fort ou de faire des sauvegardes afin de les maintenir loin des "autres" s’avère nécessaire. Dans le cas où vous êtes victimes, il est dans votre ressort d’avertir le plus rapidement les autorités. Les escrocs innovent en matière de fraude identitaire et s’adaptent aux nouvelles technologies. Bien heureusement, des chercheurs, pour contrecarrer leurs plans et redonner confiance à la population, ont mis en place des solutions dans le but de sécuriser notre identité. L’association de la biométrie et de la signature électronique pour former l’authentification forte joue un rôle de plus en plus important. En effet, c’est un moyen efficace pouvant déjouer les pièges de l’usurpateur. Bien entendu, la loi française réglemente ce genre de fraude, malgré le fait qu’il ait fallut attendre jusqu’en 2011 pour voir apparaître le terme “d’usurpation d’identité” dans les textes de loi. Certaines sociétés d’assurances cherchent à tirer leur épingle du jeu, et tentent de gagner un nouveau marché en proposant des offres spécifiques pour se prémunir d’une usurpation d’identité. En complément de l’assurance habitation, automobile, responsabilité civile, l’assurance de son identité devient un standard. D’après l’adage populaire : « mieux vaut prévenir que guérir ». L’essor du traitement massif des données par le biais du Big data nous pousse à nous poser de nouvelles questions quant à la propriété des données. A qui appartiennent-elles ? A ceux qui les collectent (entreprise privées et organismes publics) ? Ou à ceux qui les produisent (citoyens, consommateurs, administrés) ? L’exploitation de ces données d’identité collectées ne pourraient être remises en cause qu’à partir du moment ou l’identité numérique serait établie, certifiée comme appartenant à une personne physique ou morale. Le prochain mémoire de notre groupe de travail s’attardera sur la gestion électronique des documents, détaillant l’archivage numérique des serveurs ainsi que sur les moyens de le protéger.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Bibliographie Livres DE FELCOURT, Guy. L’usurpation d’identité. CNRS Editions, Août 2011. 314p. ACSEL. La relation numérique de confiance, des enjeux des identités numériques. Les cahiers de l’ACSEL, Juin 2013 0p. FABRE, Renaud. Identité numérique et éducation. CNRS, Mars 2013. 181p. ITEANU, Olivier. L’Identité numérique en question. Eyrolles, Avril 2008. 166p. DESMARETZ Gérard. Le manuel du faussaire. Edition Chirion, Juin 2013. 208p. KAPLAN, Daniel et FRANCOU, Renaud. La Confiance numérique. De nouveaux outils pour refonder la relation entre les organisations et les individus, Editions Fyp, Avril 2012 .158p. Rapports OCDE. Document exploratoire sur le vol d’identité en ligne.17-18 juin 2008. 78p. OCDE. Rapport sur l’usurpation d’identité et la fraude à l’identité. 20p. Alliance pour la Confiance Numérique. Identité numérique : enjeux et solutions. Juin 2012. 23p. Alliance pour la Confiance Numérique. Feuille de route nationale de l’identité numérique. 63p. Observatoire national de la délinquance et des réponses pénales. Rapport 2012 de l’Observatoire national de la délinquance et des réponses pénales. 2012. 1010p. CSA. Les français et la criminalité identitaire. 10 octobre 2012. 13p. Fellowes. État des lieux de l’usurpation d’identité en 2012. 10 octobre 2012. 1p. CNIL. Rapport d’activité 2013. Mai 2014. 92p Article de presse

SINGER Natasha. Never Forgetting a Face. New York Times, Quotidien, 17 mai 2014.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Webographie Articles Article de Cécilia Gabizon - 04 Octobre 2008 - “Vols d'identité : les poubelles sont des mines d'or” http://www.lefigaro.fr/actualite-france/2008/10/04/01016-20081004ARTFIG00686-vols-d-identiteles-poubelles-sont-des-mines-d-or-.php Article du Reso club - 11 mars 2013 - “Les usurpations et fraudes documentaires liées à l’identité ont explosé ces dernières années” : http://www.reso-club.com/actualites.php?actu_id=60 Article de Jean Paul Pinte - 30 Décembre 2013 - “Le vol d'identité, la plus grande menace criminelle des années à venir” : http://www.atlantico.fr/decryptage/vol-identite-plus-grande-menace-criminelle-annees-venir-jeanpaul-pinte-938990.html Article Dernières statistique de vol d’identité : http://www.dormirenfrance.fr/dernieres-statistiques-s209830.htm Article de Doriane Biassot - 6 juillet 2011 Site d’assurance - “Que faire si l’on est victime d’une usurpation d’identité ?” : http://www.news-assurances.com/fiche-pratique/faire-si-lon-victime-dune-usurpationdidentite/016758726 Article commercial de TD assurance - “Ce qu'il faut savoir sur l'usurpation d'identité” : http://www.melochemonnex.com/fr/residential/articles/prevent_identity_theft#article-1 Article commercial de Gestion Privée du Patrimoine CIBC - décembre 2009 - “Protégez-vous contre l’usurpation d’identité” : https://www.cibc.com/ca/pwm/pdf/protection-planning/identity-fr.pdf Article de Forrest Morin - 7 novembre 2012 - “Les motivations au vol d'identité Preuve de votre entreprise”: http://designerabstraite.blogspot.fr/2012/11/5-les-motivations-au-vol-d-preuve-de.html Article de blog de Alberic Guigou - mai 2011 - “Le délit d’usurpation d’identité, la reconnaissance d’une protection de l’e-réputation ?”: http://blog.reputationsquad.com/2011/05/le-delit-d-usurpationd-identite-la-reconnaissance-d-une-protection-de-l-e-reputation/ Article de Bruno Mathieu – 2 juin 2014 – « Votre compte eBay a été piraté ? Il est sans doute revendu pour 30 euros » : http://www.tomsguide.fr/actualite/piratage-ebay-comptes-revendus,43755.html

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Article d’Antoine Duvauchelle – 6 mai 2014 – « Nouveau vol de données personnelles pour les clients Orange » : http://www.zdnet.fr/actualites/nouveau-vol-de-donnees-personnelles-pour-les-clientsorange-39800783.htm Article de Philippe Mathon – 26 avril 2013 – « Combattre l’usurpation d’identité » : http://www.tibco.fr/1914-combattre-lusurpation-didentite.html

Sites Internet et Blogs Site de la Commission Nationale de l’Informatique et des Libertés : http://www.cnil.fr/ Site internet de l’Alliance pour la Confiance Numérique : http://www.confiance-numerique.fr/ Site internet de l’Organisation de Coopération et de Développement Economique : http://www.oecd.org/fr/ctp/echange-de-renseignements-fiscaux/ Site internet de la Fondation Internet Nouvelle Génération : http://fing.org/ Site internet de l’Association Française de Normalisation : http://www.afnor.org/ Site Internet de l’Association européenne de prévention contre la fraude (European Fraud Prevention) : http://www.reso-club.com Site Internet du Ministère de la Justice : http://www.justice.gouv.fr/comedec-12589/ Site Internet du quotidien Le Monde : Site Internet du quotidien Les Echos : Site Internet du quotidien Le Figaro : Blog de l’agence d’e-reputation ReputationSquad : http://blog.reputationsquad.com/ Site Internet de la marque Fellowes : http:// http://www.fellowes.com/

Vidéo Documentaire vidéo diffusé sur France 5 en mai 2013 : Usurpation d’identité - Des vies volées

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Glossaire

A ACN : l’Alliance pour la Confiance numérique. Son objectif est d’accompagner la structuration de la filière stratégique de la sécurité au plan national, telle qu’elle a été annoncée officiellement par le ministre de l’intérieur, Manuel Valls à Lyon, le juillet dernier à l’occasion du forum « Technologies Against Crime ». Adresse IP : une adresse IP (avec IP pour Internet Protocol) est le numéro qui identifie chaque ordinateur connecté à Internet, ou plus généralement et précisément, l'interface avec le réseau de tout matériel informatique (routeur, imprimante) connecté à un réseau informatique utilisant l'Internet Protocol. ANSSI : Agence Nationale de la Sécurité des Systèmes d'Information.

B Big data : Les Big data, littéralement les grosses données, est une expression anglophone utilisée pour désigner des ensembles de données qui deviennent tellement volumineux qu'ils en deviennent difficiles à travailler avec des outils classiques de gestion de base de données ou de gestion de l'information. Bitlocker : BitLocker permet de tout protéger, des documents aux mots de passe en chiffrant l’intégralité du lecteur sur lequel résident Windows et vos données. Une fois BitLocker activé, tout fichier enregistré sur ce lecteur est automatiquement chiffré.

C CERT-FR : une des composantes curatives complémentaires des actions préventives assurées par l’ANSSI. En tant que CERT national, il est le point de contact international privilégié pour tout incident de nature cyber touchant la France. Il assure une permanence de ses activités 24h/24, 7j/7. Ses principales missions peuvent se décliner ainsi :  détecter les vulnérabilités des systèmes, au travers notamment d’une veille technologique ;  piloter la résolution des incidents, si besoin avec le réseau mondial des CERT ;  aider à la mise en place de moyens permettant de se prémunir contre de futurs incidents ;  organiser la mise en place d’un réseau de confiance. Certificats électronique : Un certificat électronique (aussi appelé certificat numérique ou certificat de clé publique) peut être vu comme une carte d'identité numérique. Il est utilisé principalement pour identifier et authentifier une personne physique ou morale, mais aussi pour chiffrer des échanges. CNI : Carte Nationale d'Identité CNIL : Commission Nationale de l'Informatique et des Libertés. Instituée en 1978. Il s'agit d'une autorité administrative indépendante qui veille à ce que l'informatique ne porte pas atteinte aux libertés, aux droits, à l'identité humaine ou à la vie privée.

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

COMEDEC : c’est la plateforme d’échanges dématérialisés entre les communes et les administrations destinataires des données d’état-civil. Elle permet de simplifier les démarches administratives des citoyens grâce à la dématérialisation et la mise au format numérique des données d’état civil. Elle permettra dans l’avenir, d’éviter un risque de défaillance dans le processus des demandes de CNI et ainsi d’éviter au citoyen d’avoir à demander lui même un acte de naissance. Cookies : Un cookie est un petit fichier texte au format alphanumérique déposé sur le disque dur de l’internaute par le serveur du site visité ou par un serveur tiers (régie publicitaire, service de web analytique, etc..). Un cookie permet de reconnaître un visiteur lorsqu’il revient sur un site web. Cependant sur un plan technique le cookie permet en fait de reconnaître une machine et non réellement un utilisateur. Un cookie ne peut être utilisé que par un serveur du domaine l’ayant placé. C’est grâce aux cookies qu’il est possible d’accéder automatiquement à des pages personnalisées sans s’identifier ou qu’il est possible d’utiliser du capping dans une campagne de publicité. Cryptage : Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de chiffrement CSA : Conseil Sondage et Analyse de France et d’Europe

D DNA : (ADN) est une molécule, présente dans toutes les cellules vivantes, qui renferme l'ensemble des informations nécessaires au développement et au fonctionnement d'un organisme

F FING : Fondation Interne Nouvelle Génération. La Fing a pour objet de repérer, stimuler et valoriser l’innovation dans les services et usages du numérique. La Fing compte aujourd’hui plus de 160 membres, parmi lesquels on compte des grandes entreprises, des start-ups, des laboratoires de recherche, des universités, des collectivités territoriales, des administrations, des associations…

H Heartbleed : est une vulnérabilité logicielle présente dans la bibliothèque de cryptographie open source OpenSSL.

M M-santé : Plus concrètement il s’agit de tous les services touchant de près ou de loin à la santé disponibles en permanence via un appareil mobile connecté à un réseau ; les plus répandus auprès du grand public étant les smartphones ou plus récemment encore les tablettes informatiques.

O 45

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

OCDE : L'Organisation de coopération et de développement économiques est une organisation internationale d’études économiques, dont les pays membres OpenSSL: c’est l’un des logiciels libres les plus populaires pour la sécurisation de transmission d’informations sur Internet.

S SIRPA : Service d'Informations et de Relations Publiques des Armées. SSL : Secure Socket Layer C'est un système qui permet d'échanger des informations entre 2 ordinateurs de façon sûre. SSL assure 3 choses:  Confidentialité: Il est impossible d'espionner les informations échangées.  Intégrité: Il est impossible de truquer les informations échangées.  Authentification: Il permet de s'assurer de l'identité du programme, de la personne ou de l'entreprise avec laquelle on communique.

V VoIP : Voix sur IP (voir « Adresse IP »)

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Table de Figures Figure 1 Les multiples facettes de l'identité ........................................................................................... 5 Figure 2 Exemple de CNI ........................................................................................................................ 6 Figure 3 Définition de l’usurpation d’identité ......................................................................................... 6 Figure 4 Les représentation de l'identité numérique................................................................................ 7 Figure 5 Le spectre identitaire : de l’anonymat à l’identité certifiée ....................................................... 8 Figure 6 Never Forgetting a Face ............................................................................................................ 9 Figure 7 Les réseaux sociaux ................................................................................................................ 11 Figure 8 Exemple de fraude EDF .......................................................................................................... 13 Figure 9 Schéma du principe du pharming............................................................................................ 13 Figure 10 Exemple de Spim .................................................................................................................. 14 Figure 11 Illustration Cheval de Troie .................................................................................................. 15 Figure 12 Schéma sur les conséquences de l'usurpation d’identité ....................................................... 17 Figure 13 Graphique des objets les plus surveillés dans le cadre d'usurpations d'identité .................... 18 Figure 14 Graphique des principaux documents comportant des données personnelles ....................... 19 Figure 15 Graphique de la répartition des transmissions de documents ............................................... 20 Figure 16 Graphique de part de la population française victime d'usurpation d'identité ...................... 20 Figure 17 Les trois types de fraudes principalement identifiées en France ........................................... 21 Figure 18 Graphique des quatre principaux types de fraudes rencontrées aux USA ............................ 22 Figure 19 Graphique de la répartition des tranches d’âge touchées par la fraude aux USA ................. 22 Figure 20 Graphique de la répartition des forfaits................................................................................. 24 Figure 21 Schéma du processus de demande de création d'une CNI .................................................... 25 Figure 22 Schéma du fonctionnement de la solution sécurisée COMEDEC ........................................ 27 Figure 23 Exemple de mail en provenance d'eBay ............................................................................... 28 Figure 24 Illustration de la faille Heartbleed ......................................................................................... 29 Figure 25 Rappel chiffre de la criminalité identitaire en 2013 .............................................................. 34 Figure 26 Schéma de l'authentification forte ......................................................................................... 39

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Annexes Annexe 1 : La faille Heartbleed (Source : http://venturebeat.com/2014/04/12/all-the-passwords-youshould-change-because-of-heartbleed-in-one-handy-graphic/)

Florian BOQUET, Emilie GANDARD, Daniel SIN

Mémoire M2 MQSE - PSI

Usurpation d’identité

Annexe 2 : Comparaison de protection des données personnelles (Source : https://www.dashlane.com)

Annexe 3 : Taille des mots de passe (Source : https://www.dashlane.com)

Florian BOQUET, Emilie GANDARD, Daniel SIN