L’affaire Shell, (voir ci-après) ainsi que quelques centaines d’autres histoires de perte d’identité se déroulant sur le territoire nord-américain, fait l’objet d’un méticuleux recensement de la part de l’Identity Theft Ressource Center. Lequel ITRC vient de publier son tout dernier bilan 2008, longue litanie de fraudes et d’erreurs de manipulation qui s’étale sur plus de 162 pages. Au total, 524 pertes d’identités –dont certaines d’une ampleur dépassant la dizaine de milliers de noms- ont été répertoriées au fil des 9 premiers mois de l’année. A titre de comparaison, sur l’ensemble de l’année précédente, 446 cas avaient été recensés.
La moyenne des « pertes et vols de fichiers » se poursuit à un rythme de 57 affaires par mois environ –pratiquement deux par jour-, dont près de 80% ont pour origine un fichier informatique (les 20 % restants concernant des dossiers « papier »). Au total, les fuites 2008 s’élèvent à 30 millions d’enregistrements… pour l’instant. Un chiffre à prendre avec beaucoup de prudence pour plusieurs raisons. En premier lieu, parce que tous les Etats des USA n’imposent pas aux entreprises victimes de ce genre d’accident de publier systématiquement une alerte à ce sujet ni d’en décrire le détail. D’autre part, il est fréquent que l’on ne connaisse pas immédiatement le nombre exact de victimes une fois le vol ou la perte constatée. En 2007, il aura fallu plus de 3 semaines pour que la justice ait une estimation plus ou moins exacte de l’étendue des pertes provoquées par l’intrusion du réseau WiFi de TJX (on estime aujourd’hui que les pertes totales d’identités en 2007 ont dépassé les 127 millions d’enregistrements, dont une grande partie provoquée précisément par l’affaire TJX).
Qui sont les cibles privilégiées des voleurs d’identité ? Les banques, principalement, ainsi que les chaînes commerciales… TJX fait école. Mais également les universités et écoles, qui totalisent plus de 21 % des plaintes auprès des autorités. L’origine de la fuite est généralement extérieure. L’activité d’un employé véreux et autres complicités internes ne sont constatées que dans 16% des cas. Le hacking informatique compte pour 13% des vols. En revanche, les pertes d’ordinateurs portables, les vols de disque dur, les fuites de données par le biais de clef usb, bref, l’évaporation d’information via des supports physiques est mentionnée dans 20 % des cas. A noter que la volumétrie importante de ce genre de fuite semble, en revanche, d’une portée moins critique que ne peuvent être les autres cas. En effet, beaucoup de ces pertes de fichiers sont la conséquence de vols d’ordinateurs portables, soit dans l’enceinte des locaux de l’entreprise concernée, soit sur un siège arrière de voiture, soit une perte dans les transports en commun. Il est rarissime que les données ainsi égarées se retrouvent un jour exploitées, le contenant étant, dans la majorité des cas, bien plus précieux aux yeux de son nouveau propriétaire que son contenu.
Dernière statistique peu étonnante, dans 14% des cas, la fuite est due à une « bévue » : divulgation d’un fichier sur un site web, une vente de matériel d’occasion, listings jetés à la poubelle sans autre forme de procès…
Si, il y a quelques années, les pertes les plus importantes semblaient accidentelles, il semble désormais que tout ce qui dépasse le million d’identités compromises soit désormais le fait d’actes frauduleux volontaires.
En France, d’importants efforts sont prodigués pour que soient protégés les fichiers numériques diffusés par un petit groupe de commerçants dans le secteur de la musique de variété. C’est un début très encourageant.