Qu'est-ce que le vol d'identité synthétique et comment se protéger

Article original : What is Synthetic Identity Theft and How to Protect Yourself

Par Dmitry Dragilev

À l'ère numérique d'aujourd'hui, les cybercriminels ne manquent pas de méthodes pour voler les identités et les données sensibles des gens. L'une de ces méthodes est le vol d'identité synthétique, qui devient l'une des formes les plus dangereuses et les plus courantes.

En fait, selon les chiffres publiés par la Federal Reserve Bank of Boston en août 2022, les pertes dues au vol d'identité synthétique aux États-Unis étaient estimées à environ 20 milliards de dollars en 2020, contre 5 milliards cinq ans plus tôt.

Mais qu'est-ce que le vol d'identité synthétique ? Et comment pouvez-vous vous en protéger ? Continuez à lire jusqu'à la fin pour le découvrir.

Voici un petit aperçu visuel du fonctionnement du vol d'identité synthétique :

Source de l'image : Socure sur VentureBeat

Dans cet article, nous allons discuter de tout ce qu'un codeur/ingénieur logiciel/développeur doit savoir sur cette forme de vol d'identité, comme :

• Qu'est-ce que le vol d'identité synthétique ?
• Comment fonctionne le vol d'identité synthétique ?
• Exemples réels de cas de vol d'identité synthétique
• Qui est généralement ciblé ?
• Comment un développeur peut reconnaître et prévenir le vol d'identité synthétique
• Technologies à utiliser pour lutter contre le vol d'identité synthétique
• Signes avant-coureurs du vol d'identité et comment éviter d'en être victime

N'hésitez pas à cliquer sur les sections ci-dessus pour accéder directement à l'une d'entre elles ou faites simplement défiler pour lire chaque section dans l'ordre.

Prêt ? C'est parti...

Qu'est-ce que le vol d'identité synthétique ?

Le vol d'identité synthétique est un type de fraude dans lequel un pirate crée une identité artificielle en combinant des informations réelles et fausses.

Cela inclut le vol de documents d'identité légitimes tels que les numéros de sécurité sociale (SSN) et leur utilisation pour demander des cartes de crédit, des prêts ou d'autres services nécessitant une identification personnelle.

Le voleur peut ensuite utiliser ce nouveau compte "synthétique" pour acheter des biens ou des services. Il est appelé "synthétique" car l'identité créée n'est pas entièrement réelle ou fausse, mais plutôt une combinaison des deux.

Contrairement à d'autres formes de fraude, telles que la fraude par carte de crédit et les formes traditionnelles de vol d'identité qui impliquent le vol et l'utilisation de comptes préexistants, les fraudeurs synthétiques utilisent des données volées pour créer des comptes entièrement nouveaux.

Et ce qui le rend si dangereux, c'est qu'il est difficile à détecter et à prévenir, car il implique souvent de nombreux comptes compromis et des identités falsifiées.

Comment fonctionne le vol d'identité synthétique ?

La plupart des cas de vol d'identité synthétique commencent par le vol d'un vrai SSN par le criminel. Cela peut être fait de diverses manières, comme l'achat de SSN volés sur le dark web ou l'utilisation d'informations publiques.

Une fois qu'ils ont un SSN, les criminels créeront des détails fabriqués pour l'accompagner, tels que des noms, des adresses et des dates de naissance. Ils peuvent également utiliser des détails personnels volés à d'autres victimes de fraude pour créer des identités "Frankenstein".

Le voleur peut ensuite utiliser ces informations pour demander des cartes de crédit ou des prêts, et acheter des actifs tout en laissant finalement les factures impayées.

Non seulement cela endommage le score de crédit de la victime, mais cela permet également au criminel de rester caché car les comptes sont créés en utilisant le SSN d'une autre victime.

Cela rend également difficile pour les victimes de prouver qu'elles sont innocentes et que leurs données volées ont été utilisées pour commettre une fraude et faire défaut de paiement.

Deux exemples de vol d'identité synthétique dans l'actualité

Il y a eu de nombreux cas dans l'actualité récemment qui ont mis en lumière la prévalence croissante du vol d'identité synthétique. Voici deux exemples notables :

• En 2020, un homme de 43 ans nommé Adam Arena, et 12 autres complices présumés, ont été accusés à New York d'avoir tenté d'escroquer des banques de plus de 1 million de dollars en utilisant des identités synthétiques qu'ils avaient créées en fusionnant des SSN légitimes avec des noms faux ou non correspondants pour construire de nouvelles identités.
• En 2013, l'une des plus grandes escroqueries internationales de fraude par carte de crédit a eu lieu aux États-Unis, impliquant plus de 7 000 identités synthétiques. Le réseau criminel, composé de 18 individus, était estimé avoir volé plus de 200 millions de dollars avant d'être attrapé.

Qui est généralement ciblé par le vol d'identité synthétique ?

Les cybercriminels ciblent généralement ceux qui ont un faible risque d'être détectés. Souvent, il s'agit de personnes qui ne surveillent pas leurs rapports de crédit ou n'utilisent pas de services de protection contre le vol d'identité.

Certaines des cibles les plus couramment affectées par le vol d'identité synthétique incluent :

• Les enfants
• Les personnes âgées
• Les nouveaux immigrants
• Les détenus
• Les étudiants universitaires
• Le personnel militaire déployé à l'étranger

À quel point le vol d'identité synthétique est-il courant ?

Source : IdentityTheft.org

Le vol d'identité synthétique évolue et devient plus courant, la FTC notant qu'il s'agit de l'une des formes de fraude à la croissance la plus rapide.

En fait, le vol d'identité "true-name" dans lequel les pirates se font passer pour vous ne représente désormais plus que 10 à 15 % de tous les cas de vol d'identité.

La réalité est que, en 2021 seulement, cette forme de fraude a coûté aux Américains environ 5,8 milliards de dollars et cette tendance devrait se poursuivre.

Pourquoi ce type de vol d'identité devient-il plus courant ?

Le vol d'identité synthétique est devenu plus courant pour quelques raisons clés.

• Ce type de fraude peut être difficile à détecter car il est souvent réparti sur de nombreux comptes et victimes. Cela rend difficile la traçabilité jusqu'à une personne ou un groupe. Cela facilite la tâche des criminels pour rester inconnus et continuer à travailler plus longtemps.
• Les criminels prennent de plus en plus conscience de la puissance et de la quantité de données disponibles. Grâce aux violations de données, les cybercriminels peuvent facilement voler ou acheter des données divulguées comme votre SSN sur le dark web pour aussi peu que 2 $. Cela leur permet de créer des identités convaincantes sans trop d'effort.
• Enfin, la nouvelle technologie a également facilité la tâche des criminels pour commettre ce type de fraude en masse. Ils peuvent maintenant utiliser des bots pour demander différents comptes à la fois ou générer de fausses données, rendant le processus plus rapide et plus efficace.

Comment reconnaître et prévenir le vol d'identité synthétique ?

La meilleure façon de repérer et de vous protéger contre ce type de fraude est d'être vigilant et de surveiller vos informations personnelles en ligne. Si vous trouvez quelque chose que vous ne souhaitez pas rendre public, il existe plusieurs façons de supprimer des informations personnelles.

N'oubliez pas de toujours :

• Éviter d'utiliser les SSN si possible. Certains sites web et services peuvent demander votre SSN dans le cadre du processus d'inscription. Ne fournissez jamais cette information à moins que vous ne fassiez confiance au site web ou que ce soit nécessaire, car elle peut être utilisée pour générer une identité synthétique.
• Vérifier régulièrement votre rapport de crédit. Recherchez toute activité suspecte, telle que des comptes non autorisés ou des demandes suspectes. Assurez-vous également de passer en revue tous les relevés bancaires, surtout s'il y a des transactions surprises ou de nouveaux prêts qui ne correspondent pas à vos habitudes de dépense. Utilisez un service de surveillance de crédit pour vous aider à surveiller votre crédit de manière proactive.
• Geler votre crédit pour aider à éviter le vol d'identité. Geler votre crédit peut aider à empêcher l'ouverture de nouveaux comptes à votre nom, rendant plus difficile pour les criminels de commettre une fraude. Donc, si vous pensez que vos informations ont été volées, il est toujours bon de geler votre crédit auprès des principaux bureaux.
• Utiliser un logiciel de protection contre le vol d'identité. Les services de surveillance du vol d'identité comme Experian ou Lifelock peuvent aider à suivre votre rapport de crédit, vous alerter en cas d'activité suspecte et aider à restaurer votre crédit s'il a été compromis.
• Vérifier le courrier pour tout courrier d'inscription ou de paiement suspect. Si vous recevez des lettres d'inscription ou des notifications de paiement qui ne semblent pas avoir de sens, cela peut être un signe avant-coureur de vol d'identité synthétique. Assurez-vous donc de vérifier ceux-ci régulièrement et de contacter l'expéditeur si nécessaire.

Comment un développeur peut-il se protéger contre le vol d'identité synthétique ?

Les développeurs doivent également prendre des mesures pour se protéger eux-mêmes et leurs entreprises contre le vol d'identité synthétique. Certaines des mesures qu'ils peuvent prendre incluent :

• Hacher les données importantes. Le hachage est une approche utilisée pour masquer les informations sensibles, en les transformant en une chaîne de caractères illisible. Cela rend les données plus difficiles à accéder ou à utiliser pour le vol d'identité synthétique. Une formule populaire pour le hachage des données est MD5, qui produit toujours des hachages de 32 caractères de long. Vous pouvez essayer de hacher différents textes avec MD5 ici.
• Exiger une authentification de l'utilisateur sur chaque page URL. Une erreur courante des développeurs de sites web est de ne pas exiger d'authentification de l'utilisateur sur chaque page du site web. Cela peut permettre d'ouvrir des URL copiées avec des données personnelles, comme des pages de confirmation, dans une autre session sans se connecter. C'est pourquoi l'exigence d'une authentification sur chaque page de votre site web ou de votre application peut vous aider à vous protéger contre les attaques automatisées par des bots et des acteurs malveillants. L'utilisation d'un service d'API de gestion des identités et des utilisateurs tel que okta Developer facilite grandement l'ajout d'une authentification aux pages web.
• Éviter de placer des portes dérobées secrètes. Les portes dérobées sont de petits morceaux de code qui peuvent être utilisés pour accéder à un système et à ses données. Bien que les portes dérobées puissent sembler un moyen facile pour les développeurs de dépanner et de tester l'application, il est important de ne pas les laisser en place, car les criminels peuvent les exploiter pour le vol d'identité synthétique.

Comment une entreprise peut-elle protéger les identités de ses employés contre le vol d'identité synthétique ?

Les départements DevOps et Sécurité des entreprises doivent adopter une approche proactive pour protéger l'identité de leurs employés et de leurs clients contre les pirates. Certaines des actions qu'ils peuvent entreprendre incluent :

Mettre en œuvre des politiques de sécurité des données. Les organisations doivent développer et appliquer un ensemble complet de politiques de sécurité des données qui se divisent en deux catégories : les personnes et la technologie.

Les éléments relatifs aux personnes incluent :

• Établir une politique d'utilisation acceptable, qui décrit comment votre entreprise attend des utilisateurs qu'ils interagissent avec les ressources de l'entreprise.
• Appliquer une politique de mots de passe à l'aide d'un outil de gestion de mots de passe tel que IdentityForce ou Lifelock qui génèrent et chiffrent des mots de passe complexes.
• Définir comment les employés doivent utiliser les services de messagerie au travail.
• Éduquer et rappeler aux employés d'utiliser un VPN chaque fois qu'ils se connectent à un réseau WiFi public dans un aéroport, un café, un restaurant ou un lieu public.

Les éléments technologiques incluent :

• Sauvegarder et restaurer les configurations de serveur à l'aide de divers services cloud.
• Séparer les appareils mobiles d'entreprise sur des réseaux avec un accès limité aux intranets de l'entreprise.
• Chiffrer les données, afin qu'elles soient illisibles pour tout tiers qui y accède. L'utilisation d'une procédure telle que le protocole de sécurité Zero-Trust peut aider à identifier les données qui doivent être protégées.
• Effectuer des vérifications des antécédents et des casiers judiciaires sur les nouveaux employés potentiels. Les vérifications des antécédents fournissent un moyen de confirmer les détails fournis par les candidats et de rechercher toute divergence. Elles sont un excellent moyen de s'assurer que les nouvelles embauches n'ont pas été impliquées dans une forme quelconque de vol d'identité ou de fraude.
• Restreindre l'accès aux informations vitales uniquement aux employés ayant un besoin professionnel de les connaître. Les entreprises doivent s'assurer que les données vitales ne sont accessibles que par ceux qui en ont besoin pour des usages professionnels. Cela aide à protéger les données de l'entreprise contre l'accès par des acteurs malveillants et leur utilisation à des fins frauduleuses.
• Gérer de près les activités des travailleurs temporaires. Les travailleurs temporaires, tels que les stagiaires ou les entrepreneurs, doivent également être étroitement surveillés pour les empêcher d'accéder ou de partager des informations sensibles sans autorisation après leur départ de l'entreprise.
• Éviter d'utiliser les SSN pour identifier les employés dans les systèmes informatiques. Au lieu d'utiliser les SSN pour identifier les employés dans les bases de données, les entreprises doivent créer et utiliser des numéros d'employés aléatoires. Cela rend plus difficile pour les criminels d'accéder à leurs données personnelles et de les utiliser pour la fraude d'identité synthétique.
• Former le personnel ayant accès à des informations personnelles sur la manière de garder ces informations sécurisées. Tout le personnel ayant accès à des données personnelles doit être formé sur la manière de les gérer et de les garder sécurisées. Cela inclut l'explication de l'importance de protéger les informations confidentielles et la prise de mesures telles que le chiffrement des documents, le fait de ne pas partager de mots de passe ou de données personnelles avec quiconque, et leur apprendre à reconnaître les tentatives de phishing ou les violations de données.
• Garder les informations personnelles dans des classeurs verrouillés et protégés par mot de passe. Il est important de stocker les informations vitales dans un endroit sécurisé, tel que des classeurs verrouillés ou des bases de données protégées par mot de passe. Cela aide à réduire le risque qu'une personne non autorisée y accède ou les divulgue.

Mots de la fin

Le vol d'identité synthétique est en hausse, mais avec de la vigilance et les bonnes mesures, vous pouvez vous protéger contre ce type de fraude.

Pour vous protéger contre le vol d'identité synthétique en tant que consommateur, il est important de :

• Suivre et vérifier régulièrement votre rapport de crédit.
• Être conscient du type d'informations que vous partagez en ligne, et ne jamais saisir d'informations personnelles comme votre SSN sur des sites web douteux.
• Utiliser des logiciels et services de protection contre le vol d'identité.
• Vérifier régulièrement votre boîte de réception pour détecter les e-mails d'inscription ou de paiement suspects.
• Geler votre crédit si vous avez l'impression que vos données personnelles ont été volées.

Au niveau organisationnel, les entreprises doivent adopter une approche proactive pour arrêter la fraude d'identité synthétique en :

• Mettant en œuvre des politiques de sécurité des données.
• Effectuant des vérifications des antécédents sur les nouveaux employés potentiels.
• Restreignant l'accès aux informations vitales uniquement aux employés ayant besoin de les connaître.
• Évitant d'utiliser les SSN pour identifier les employés dans les bases de données informatiques.
• Formant le personnel sur la manière de protéger les informations personnelles.
• Stockant les données sensibles dans des emplacements sécurisés comme des classeurs verrouillés et des bases de données protégées par un code.

Avec ces conseils en tête, vous pouvez aider à garantir que vos informations restent sûres et sécurisées.

Rappelez-vous, la prévention est toujours meilleure que la guérison. Assurez-vous donc de prendre les bonnes mesures au préalable pour aider à réduire le risque de devenir une victime du vol d'identité synthétique à l'avenir.