L'usurpation d'identité sur les réseaux de communication électronique

SECTION 1 : Les moyens de lutte technologiques

Dans cette section, il sera question d'analyser les perspectives présentées par l'évolution des systèmes d'information et leur impact sur la fraude identitaire. Comment faut-il les rendre plus performant dans leur mission de sécurité et comment les développer, organiser et les contrôler pour une meilleure efficacité tout en conservant les principes relatifs au respect des libertés individuelles et à la protection des données.

Tout d'abord, cette analyse passera par la compréhension de ces systèmes en étudiant leur impact dans la société et les perspectives attendues dans l'exploitation de ces systèmes d'informations. (Paragraphe 1).

Ensuite, après avoir évoqué l'impact des systèmes d'informations qui conditionnent la circulation des données sensibles ainsi que les avancées et les défis de la protection des données, nous tenterons d'aborder un autre volet de réponses nécessaires pour la protection de l'identité par la technologie en fonction de l'évolution technologique à laquelle nous assistons (Paragraphe 2).

PARAGRAPHE 1 : Les systèmes d'information et leur impact sur la fraude Identitaire

Un système d'information (SI) est un ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de diffuser de l'information sur un environnement donné⁷⁴.

Ces systèmes organisés reposent sur des fichiers qui alimentent, filtrent ou transforment ces informations. Nous allons passer en revue deux grandes typologies de système d'informations répandues dans notre société aujourd'hui

⁷⁴ http://www.additeam.com/SSII/systeme-d%E2%80%99information-si/ (lexique informatique) (consulté le 04/03/2017)

61

selon le français Guy De Felcourt⁷⁵ et voir par la même occasion comment ses systèmes d'informations impactent sur la fraude et comment doivent-ils être améliorés.

La première alimente les volumes et les types d'informations financières et marketing disponibles sur les particuliers (les fichiers positifs de crédits et les informations échangées lors des courtages de base de données) (A).

La deuxième catégorie vise le filtrage des informations suspectes ou douteuses, ou l'on étudiera le développement des plateformes de signalement de situations douteuses, les fichiers négatifs recensant les incidents ou des fraudes puis les filtres posés au nom des victimes réelles ou potentielles, lorsqu'une alerte motivée a été déclarée (B)

A- Typologie des systèmes d'information et leur impact sur la fraude

Nous verrons tout d'abord la classification (A) avant de nous pencher sur l'amélioration de ses systèmes (B).

- La classification

Concernant la première catégorie, nous commencerons dans le domaine bancaire par les fichiers positifs et de crédit. Un fichier de crédit est un fichier qui a pour objet de faciliter ou d'accélérer l'octroi d'un nouveau crédit, en fournissant l'information la plus complète et objective possible. Cette information est délivrée principalement sur la base du comportement du client dans le remboursement de ses principaux engagements financiers passés. Ces fichiers sont généralement développés et gérés par des sociétés partenaires des établissements financiers, les bureaux de crédits.

⁷⁵ `'L'usurpation d'identité ou l'art de la fraude sur les données personnelles» CNRS Editions, Paris 2011

62

L'avantage mis en avant est une meilleure protection des ménages surendettés, à la fois par une plus grande visibilité de leur situation, mais également par une responsabilité directe du prêteur sur sa créance si le taux d'endettement est trop élevé. Aussi, c'est un moyen efficace pour faciliter l'octroi de crédit , notamment en mode de relation à distance permettant une offre plus rapide, compétitive et personnalisée à la situation du consommateur qui se voient refuser l'accès au crédit.

Par ailleurs, les fichiers de crédit présentent certains inconvénients à savoir l'accentuation de la pression commerciale sur les particuliers, les risques de « profilage économique » des ménages pouvant impliquer une discrimination encore plus forte sur les conditions d'accès au crédit. Enfin comme troisième inconvénient, les menaces liées aux données personnelles sensibles, avec la crainte de levées « inconsciente » du secret bancaire par les particuliers ou de fuites de données par les entreprises, alimentant les risques de fraudes sur l'identité financière des particuliers.

Concernant le domaine commercial, penchons-nous maintenant sur la collecte et le courtage de bases de données. La collecte et le courtage de données personnelles forment une autre source d'information en expansion naturelle. Une source faite de données de profil et de données comportementales, qui permet de répondre à la soif de nombreuse entreprises utilisant internet et les réseaux numériques comme autant de contact, de marketing et de consommation.

A cet effet, les données de contacts (adresse email, numéros de téléphones) associées à l'utilisation des cookies et de l'adresse IP sont devenues des éléments clés pour déployer une interactivité ciblée d'une redoutable efficacité. L'adresse IP constitue à elle seule, tout un symbole, entre son exploitation à des fins de personnalisation et/ou à des fins de ciblage publicitaire. Elle permet de connaitre très précisément le lieu de connexion de l'ordinateur et le fournisseur d'accès à internet. Par exemple, en tant que

63

première régie mondiale de publicité, Google nous apprend comment l'analyse d'une simple adresse IP de la requête lui permet d'enrichir le couple profil/comportement de ses utilisateurs. La publicité interactive se modernise donc chaque jour, en analysant plus de données et en les exploitant quasi instantanément.

On en distingue habituellement trois seuils :

- La publicité contextuelle qui est celle qui reste générique

- La publicité comportementale utilisant les cookies

- La publicité personnalisée utilisant les données de profil, du contexte et des cookies

Sur les grands sites commerciaux mondiaux, on estime que la publicité personnalisée peut représenter 35% de la publicité affichée. Celle-ci combine l'identification de l'internaute qui permet de faire ressortir son historique de comportement avec une information sur son parcours de navigation obtenue par les cookies, permettant des mécanismes décisionnels basés sur des critères de segmentation similaires. Désormais, presque tous les sites globaux dans les domaines du tourisme ou du commerce⁷⁶ déploient une interactivité rapide en mettant en oeuvre des mécanismes d'analyse marketing sophistiquée basée sur les données.

Le courtage des bases de données marketing est également devenu une activité économique à part entière, permettant aux entreprises de proposer plus facilement que par le passé, des produits et services à des segments de marché qu'elles n'ont pas l'habitude de prospecter. On assiste à l'émergence d'un secteur spécialisé dans la commercialisation des bases de données marketing ou plus exactement leur location. Ces bases peuvent être constituées par de simple adresse email de personnes intéressées à recevoir des offres sur l'ordinateur ou le téléphone, mais aussi et le plus souvent par des fichiers structurés, organisés

⁷⁶ Amazon

64

et enrichis à la demande. Concrètement, la segmentation des offres pourra se faire en fonction du type de fichiers et ses caractéristiques d'origine, ou bien du profil de ses clients ayant donné leur consentement pour recevoir des offres. La base des contacts des clients, si elle est déficiente (par exemple un email sans numéro de téléphone associé) peut être à son tour enrichie ou complété par des offres de croisement de fichiers additionnels.

Avec l'essor du « marketing du consentement » aussi appelé « permission marketing »⁷⁷, les données personnelles prennent une valeur marketing et commerciale jamais atteinte auparavant et transforment la valeur de l'actif client, généralement le plus précieux pour les entreprises.

Enfin, nous avons les fichiers filtres de protection et les plateformes de signalement

Devant la montée inexorable de la fraude sur les données et l'identité, un certain nombre de pays ont décidé de mettre en place des fichiers de protection ou d'alertes sur les données d'identification, qui ont fait soit l'objet d'une fraude, soit d'une tentative de fraude.

Le premier intérêt est une meilleure prévention de la fraude par la capacité renforcée de détection de données ou d'identité suspecte.

Cependant, si l'on va plus loin dans l'analyse on découvre d'autres objectifs inférieurs à cette finalité. Ses objectifs consistent à améliorer la qualité, l'homogénéité et l'utilité de l'information de prévention.

Dans la pratique, cela signifie réaliser pour une certaine durée des enregistrements de protection sur la base de signalement d'incident, favoriser la possibilité d'une déclaration rapide de la fraude constatée ou une tentative de fraude. Les objectifs économiques sont aussi présents puisque ces fichiers permettent de diminuer le coût des réclamations et le coût de traitement de

⁷⁷ Le « permission marketing » est un type de marketing et publicité qui demande l'autorisation des personnes ciblées avant de leur envoyer un message, par opposition au spam ou marketing de l'interruption, dont le plus pur exemple est une publicité télévisée qui va parler à une grande audience d'un sujet qui ne les intéresse absolument pas. ( https://fr.wikipedia.org/wiki/Permission_marketing) (Consulté le 14/03/2017)

65

filtres automatisés. Ces fichiers permettent de répertorier en temps presque réel les occurrences de fraude et facilitent aussi le suivi de l'information statistique. Ils peuvent même constituer un début de dépôt de plainte dans certains cas et peut aider la police à classifier correctement ces délits.

Il existe plusieurs filtres de protection à savoir :

- Les filtres fonctionnant uniquement par rapport aux menaces d'intrusion à la vie privée.

- Les filtres se rapportant directement à des incidents de fraudes ou tentative de fraude dûment constatés : documents perdus ou volés, détournement de compte bancaire ou de cartes de crédit, détournement de numéro de sécurité sociale, etc. Ces filtres peuvent indiquer soit l'identité de la personne concernée soit le type de document ou de numéro d'identification qui fait l'objet du fichage de prévention.

- Les filtres d'alertes simples, lorsque les personnes elles-mêmes se sentent menacées, par exemple en cas d'homonymie avec d'autres personnes présentant des comportements à risque ou en cas de fuite d'information les concernant. Les données faisant l'objet du risque sont alors mise en place dans un fichier, pour une longue durée.

Chaque système ayant sa spécificité, en France par exemple, les fichiers d'alerte et les filtres de protection sont utilisés généralement pour la vie privée avec des listes de protection pour les personnes ne souhaitant pas recevoir des contacts par courrier, téléphone, MS ou e-mail. Il en est de même en côte d'ivoire avec le CI-CERT qui a mis en place des outils de protection contre les spam⁷⁸.

Les plates-formes de signalement quant à elles sont une autre typologie de système d'information, comme les filtres, celles-ci recueillent des alertes de

⁷⁸ Le spam est une communication électronique non sollicitée, en premier lieu via le courrier électronique. Il s'agit en général d'envois en grande quantité effectués à des fins publicitaires. ( https://fr.wikipedia.org/wiki/Spam) ( consulté le 14/03/2017)

66

prévention mais à la différence de ces dernières, elles traitent un univers de situations plus larges, et les signalements ne sont pas réservés à la victime ou à un acteur spécifique.

Dans les faits, il contient des informations liées à des intrusions, des fraudes, des tentatives d'escroquerie apparues sur les réseaux numériques. Une fois le signalement analysé, celui-ci pourra faire l'objet d'un classement, ou d'un traitement soit par une élimination directe de la menace et une mise en conformité de la loi par un service tiers (hébergement⁷⁹, fournisseur d'accès), soit par un contact direct auprès de l'entité responsable si celle-ci est identifiable. Dans les cas d'escroqueries plus sérieuses, des enquêtes et investigations judiciaires sont parfois diligentées.