9.10.05

Desjardins et l’hameçonnage

Comme des millions de Québécois et Québécoises, je suis client du groupe financier Desjardins. Comme les autres usagers des services bancaires en ligne AccèsD, j’avais vu la mise en garde contre les courriels frauduleux et les techniques d’hameçonnage (aussi appelé phishing) : «Desjardins met ses membres en garde contre les courriels les invitant à mettre à jour leurs données personnelles (numéro de carte de débit, mot de passe AccèsD, numéro d'assurance sociale et date de naissance) sous prétexte que leur compte AccèsD arrive à expiration ou pour toute autre raison.» Mais ce matin, j’ai été confronté à la bête. Un courriel à l’allure très officielle (logo corporatif de Desjardins, expéditeur «Acces/Desjardins ») qui se lit comme suit :

Cher(e) membre Desjardins/ AccèsD

Nous avons récement déterminé que plusieurs ordinateurs ont tanté [sic] de rentrer [sic] dans votre compte à plusieurs reprise [sic] avec des mots de passe erronés. Pour cela, nous vous prions de rentrer dans votre compte banquaire [sic] en ligne, d’introduire vos renseignement [sic] ainsi de vérifier vos activités.

Si cela n’est pas complété avant le 9 octobre 2005 nous serons obliger [sic], en mesure de sécurité, de geler votre compte pour une periode indeterminé [sic]. Par crainte qu'une tierce partie puisse acceder [sic] à votre compte.

Pour accéder a votre compte et vérifier vos activités, cliquez sur le lien :

https://accesd.desjardins.com/

Nous vous remercions de votre compréhension et coopération dans cette situation pour protéger votre identité.

Sauf pour les fautes d’orthographe, tout semble indiquer qu’il s’agit d’un courriel en provenance de Desjardins. Par contre, vérification faite, il n’en n’est rien.

En décortiquant les en-têtes complètes du courriel, on constate qu’il a été transmis par l'intermédiaire d'une société de services Internet ayant ses bureaux à Montréal, mais dont Desjardins ne fait pas partie de la liste des clients.

Dans le courriel, on cite en lien actif l’adresse du service AccèsD de Desjardins, https://accesd.desjardins.com, mais ce lien dirige plutôt sur l’adresse accesdesjardins.com. Or, ce nom de domaine a été enregistré par une société paravent, Whois IDentity Shield de Vancouver, qui se spécialise dans l’enregistrement anonyme de noms de domaines pour ses «clients». C’est cette même entreprise qui a enregistré le nom de domaine paypall.com (notez les deux «l» contrairement au service légitime de paiement Paypal) dont le site est soupçonné d’hameçonnage.

Le 16 septembre 2005, Jean-François Ferland de Direction informatique publiait un article sous le titre Méfiez-vous des hameçons...et des lignes à pêche et dans lequel on pouvait lire : «Il y a quelques jours le Mouvement Desjardins a fait l'objet d'une fraude de ce genre, alors qu'un courriel a été transmis à fort volume vers des milliers de comptes. L'entreprise montréalaise ZéroSpam, dont la raison d'affaires est de filtrer le courrier des messages indésirables et des virus, a sonné l'alarme pour prévenir les dégâts. La veille, c'était un courriel identifié au nom de la Banque Royale du Canada qui atterrissait dans plusieurs boîtes de réception, dont celle de l'auteur de ces lignes. Dans les deux cas, les messages étaient rédigés en anglais seulement. En raison du fait francophone que nous tentons de préserver de peine et de misère dans l'océan shakespearien qui nous entoure, les internautes québécois auraient été forts nombreux à monter aux barricades pour dénoncer l'unilinguisme des communications écrites émanant de ces institutions financières, surtout envers Desjardins, si ces messages avaient été réellement émis par ces organisations. Cette absence précise de texte en français a sûrement mis la puce à l'oreille de plusieurs internautes. Malheureusement, quelques personnes, dont des francophones, n'y ont vu que du feu et ont mordu à l'hameçon.»

Il semble que les hameçonneurs aient repris du service et que, malgré une pauvre qualité de langue française, bon nombre de consommateurs risquent de se faire attraper.

Mise à jour : 15 juin 2006
|