Des clients des services aux entreprises de la Banque Nationale auraient été victimes au cours du mois de septembre de campagnes d’hameçonnage qui pourraient leur avoir fait perdre des dizaines de milliers de dollars. Dans au moins un cas, la somme s’élèverait à 60 000 $.
« Un nombre limité de clients entreprises ont été victimes de campagnes d’hameçonnage », s’est contenté d’affirmer mardi matin en réponse à un courriel du Devoir un porte-parole de la Banque Nationale lorsque questionné sur des cas présumés de virements informatiques survenus en septembre à l’insu de certains de ses clients.
« Nos équipes sont en contact avec eux », a ajouté la banque, qui a précisé que « quelques dizaines » de clients seraient affectés.
« Nous invitons nos clients à faire preuve de vigilance et à suivre les bonnes pratiques en matière de sécurité, notamment en ne divulguant jamais de codes, mots de passe ou d’identifiants. »
La Banque Nationale se garde de commenter au-delà des propos ci-haut l’ampleur des pertes et la méthode utilisée pour tenter de soutirer à certains de ses clients leurs informations bancaires ou une somme d’argent.
Un virement inexpliqué
Un client de la Banque Nationale qui dit avoir perdu 60 000 $ le mois dernier est le commerçant montréalais de véhicules électriques usagés Muze. Son propriétaire, Pascal Gosset, dit avoir vu la somme être soutirée du compte de son entreprise le 14 septembre dernier. Une personne aurait accédé à son insu à son compte et aurait effectué un virement vers le compte d’une tierce personne à la Banque Scotia.
L’ensemble de la transaction aurait été fait en un temps exceptionnellement court, estime Pascal Gosset. « Quand on effectue un virement bancaire, il faut créer un profil du destinataire avec ses coordonnées et la raison du transfert. Dans ce cas-ci, tout a été fait en une minute. C’est humainement impossible », assure-t-il.
Autre détail, Pascal Gosset dit utiliser une clé USB de sécurité pour se connecter à ses comptes. Cette clé génère un code à six chiffres qui est renouvelé toutes les 30 secondes. Déjouer un tel dispositif de sécurité est extrêmement difficile pour un pirate informatique.
« 60 000 dollars, c’est une somme importante pour mon entreprise », déplore M. Gosset. La banque ne l’a toujours pas compensé pour cette perte.
Une tendance inquiétante
Les campagnes d’hameçonnage en ligne prennent plusieurs formes et peuvent aussi bien cibler les clients que les employés des institutions bancaires. Chose sûre : le phénomène est en forte hausse. Depuis quatre ans, la valeur totale des pertes découlant de la fraude en ligne a triplé, pour atteindre 48 milliards $US au cours de la dernière année, selon la firme spécialisée Juniper.
La hausse de popularité des transactions financières par Internet, et plus particulièrement sur mobile, serait en cause, observe l’expert québécois en sécurité informatique et chargé de cours à l’Université de Sherbrooke Steve Waterhouse.
« Les gens effectuent de plus en plus de transactions sur leur appareil mobile et il n’y a pas de logiciel de sécurité sur les téléphones », dit-il. « Alors oui, c’est de plus en plus grave. »
Steve Waterhouse rappelle l’importance d’adopter d’une protection adéquate contre les logiciels malveillants et les logiciels espions sur tous ses appareils informatiques, même si on utilise un système d’authentification à deux facteurs aussi sophistiqué qu’une clé USB de sécurité.
« Certains logiciels surveillent ce que les gens font au clavier ou à l’écran de leur ordinateur, et peuvent obtenir l’identifiant, le mot de passe et même le code de sécurité », dit-il.
C’est d’autant plus important pour le public de bien protéger ses données sensibles que la loi n’oblige pas les institutions à divulguer publiquement quand elles sont victimes d’attaques informatiques, rappelle l’expert. La loi fédérale oblige les entreprises à communiquer les cas de fuites de données à certaines organisations gouvernementales seulement, dont le Service canadien du renseignement de sécurité (SCRS).
« Dans le meilleur des mondes, cette information serait publique », dit Steve Waterhouse. « À tout le moins, les institutions canadiennes doivent continuer d’encourager leurs clients à être toujours plus vigilants en matière de cyberhygiène. »