La lutte contre le vol d'identité a besoin de cadres légaux

Par 13 juin 2008

Dérober des informations personnelles sur les utilisateurs d'Internet n'est pas encore reconnu comme un crime dans de nombreux pays. L'OCDE appelle à la mise en place de cadres nationaux et internationaux.

AVG Technologies révélait la semaine dernière que, plus que le cambriolage, ce dont les Américains avaient le plus peur était le cyber-crime. Et il semblerait que l'éditeur de solutions de sécurité ne se soit pas trompé : en 2006, plus de huit millions de personnes auraient été victimes d'un tel délit. Ce, juste aux Etats-Unis. Pour l'OCDE (Organisation for Economic Cooperation and Development), qui publie un rapport dédié au vol d'identité sur Internet, il est désormais indispensable que les gouvernements, régulateurs et sociétés de communication prennent eux-mêmes des mesures pour protéger les données personnelles des utilisateurs. En effet, l'institution rappelle que la fraude et le vol d'identité sur Internet n'est pas reconnu comme un délit dans un grand nombre de pays de l'OCDE.
Définir et légaliser
Et les mesures prises actuellement par les autorités ne représentent pas une dissuasion suffisante pour endiguer le phénomène. Notamment parce qu'elles n'évoluent pas assez vite, contrairement aux techniques de vol pratiquées par les cyber-criminels. D'où l'appel par l'organisation à la mise en place d'une définition officielle du concept de vol d'identité pour faciliter les efforts par les gouvernements d'une lutte, nationale et internationale, contre ce type de crimes. Autre pré-requis : celui d'établir des standards nationaux pour la protection des données des entreprises et d'accroître la coopération internationale, nécessaire à la lutte contre les cyber-pirates.
Pharming et spear-phishing
A noter : l'OCDE donne également plusieurs indications sur les méthodes utilisées par les pirates pour s'emparer des données. Et selon l'institution, en plus des malware (virus informatiques), les attaques passent principalement par des techniques de phishing. Le pharming, par exemple, qui redirige l'utilisateur vers un site frauduleux où les informations personnelles sont récupérées, ou, plus sophistiqué, le Spear-phishing : le pirate emploie une personne d'une société pour qu'elle vole les mots de passe et autres identifiants d'un salarié. Un processus qui permet ensuite d'accéder aux informations privées de l'entreprise. Rien de très nouveau, finalement. Mais une accumulation qui reste inquiétante.

Mentions légales © L’Atelier BNP Paribas