L'authentification adaptative, vous connaissez ?
Même avec certaines erreurs, il se peut que votre institution financière vous laisse accéder à vos données.
Vous désirez accéder à votre compte bancaire. Vous entrez le mot de passe, puis passez à la question de sécurité. Vous vous trompez dans la réponse. Le site vous laisse quand même entrer. C'est étrange ? C'est en tout cas une pratique adoptée notamment par le service AccèsD de Desjardins.
Des clients du Mouvement Desjardins ont effectivement pu accéder à leur compte bancaire même s'ils n'avaient pas tout à fait la bonne réponse à la question de sécurité requise pour une authentification à deux facteurs, laquelle, pourrait-on croire, devrait être assez stricte dans son application.
« Une faible tolérance est prévue dans les réponses aux questions de sécurité afin d'offrir une expérience plus fluide, sans compromettre la sécurité », explique dans un échange électronique Jean-Benoît Turcotti, porte-parole de Desjardins.
Cette faible tolérance est une pratique connue en sécurité informatique sous le nom d'authentification adaptative.
« Elle permet de reconnaître une erreur de frappe, par exemple un accent oublié », poursuit le porte-parole de Desjardins, qui précise que cette tolérance « ne s'applique pas au mot de passe d'AccèsD, mais uniquement dans des contextes très spécifiques », une façon de trouver le juste équilibre pour ses utilisateurs entre un accès rapide et un accès dûment protégé.
« En tout temps, plusieurs couches de sécurité demeurent en place pour assurer la protection des informations et éviter les accès non autorisés aux comptes des membres », ajoute M. Turcotti, qui ne divulgue pas la nature de ces couches, mais cela pourrait être une combinaison de facteurs techniques, comme une adresse internet déjà connue, un appareil informatique qui a été approuvé dans le passé, ou autre.
Le Mouvement Desjardins ajoute que cette méthode d'authentification est sur la voie de sortie de ses services numériques, puisque les questions de sécurité seront prochainement retirées des façons de s'identifier en ligne.
Desjardins n'est pas la seule institution financière au Canada à jongler avec différentes méthodes d'authentification. L'Association des banquiers canadiens (ABC) fait la promotion auprès de la vingtaine de membres qui la composent de l'authentification multifacteur et d'autres techniques de détection des fraudes, dont la biométrie, l'analyse des données et le suivi des transactions en temps réel.
Authentification adaptative
La sécurité informatique est un jeu du chat et de la souris entre les outils sans cesse renouvelés de protection des données, et les moyens de contourner ces outils. Ça explique pourquoi certaines entreprises qui gèrent des données sensibles, comme les banques, jonglent avec des systèmes d'authentification dont les critères d'identification varient selon le contexte.
« En sécurité de l'information, l'authentification des utilisateurs est basée sur trois éléments », explique l'expert en sécurité et président de l'organisme de cybersécurité Crypto-Québec Luc Lefebvre. Le premier élément est quelque chose que l'utilisateur connaît, comme son mot de passe. Le deuxième est quelque chose qu'il possède, par exemple, son ordinateur ou son navigateur. Le troisième élément permet de l'identifier. Cela prend généralement la forme d'une empreinte biométrique.
Les systèmes de sécurité ont évolué ces dernières années pour tenir compte de facteurs que l'utilisateur n'a pas à mémoriser.
L'analyse comportementale, qui est améliorée par le recours à l'intelligence artificielle, et l'évaluation contextuelle en temps réel sont donc prises en compte. Cela permet aux systèmes sécurisés de trouver le juste équilibre entre la protection des données et l'expérience utilisateur.
Ainsi, l'utilisateur d'une application web sécurisée qui aurait le bon mot de passe et la bonne réponse à une question de sécurité, mais qui se trouverait soudainement dans un autre pays que l'habituel, ou qui utiliserait un appareil informatique non reconnu, pourrait ne pas être autorisé immédiatement à accéder à son compte.
En revanche, un utilisateur qui va toujours consulter son compte bancaire à partir du même ordinateur, à partir du même lieu physique et de la même adresse internet, pourrait passer la sécurité même s'il a oublié un caractère accentué ou s'il a inversé deux caractères dans la réponse à la question de sécurité.
Le facteur humain
« Ce n'est pas unidimensionnel. Si quelqu'un se trompe d'une lettre, ce n'est pas juste la question de sécurité qui est évaluée pour accepter la connexion. Il y a l'adresse internet, l'information du navigateur, la localisation, etc. », dit Luc Lefebvre.
PHOTO MARCO CAMPANOZZI, ARCHIVES LA PRESSE
Le président de l'organisme de cybersécurité Crypto-Québec, Luc Lefebvre
Tout ça est conçu pour éviter que le mot de passe soit le seul facteur de sécurité.
Luc Lefebvre, expert en sécurité
Il a été prouvé maintes et maintes fois que le mot de passe n'était pas une mesure de protection à toute épreuve.
Les arnaques en ligne, les faux questionnaires sur les réseaux sociaux, les courriels d'hameçonnage… Pour les gens désireux de voler l'identité d'une personne, il existe des tonnes de moyens de tenter de s'approprier le mot de passe et les réponses à des questions de sécurité.
Et souvent, ça marche. Surtout si votre mot de passe est « 123456 » et que votre couleur préférée est le rouge…
Hashtags
Essayez nos fonctionnalités IA
Découvrez ce que Daily8 IA peut faire pour vous :
Commentaires
Aucun commentaire pour le moment...
Articles connexes
La Presse
7 hours ago
- La Presse
TVA continue de subir des pertes considérables
Signe que la pression demeure forte sur le secteur des médias, le Groupe TVA continue de subir des pertes financières considérables. La performance printanière présentée jeudi soir par la filiale de Québecor Média en est le plus récent exemple. Les difficultés continuent d'être pour l'essentiel liées à la décroissance des recettes publicitaires. Les revenus du Groupe TVA ont reculé de 10 % sur un an à 129 millions pendant les mois d'avril, mai et juin. Une perte nette de 4,7 millions de dollars est enregistrée pour ces trois mois, c'est-à-dire une perte 60 % plus élevée que celle déclarée à la même période l'an passé. Le PDG Pierre Karl Péladeau souligne que le nombre de téléspectateurs à l'écoute sur les trois chaînes généralistes francophones au Québec a connu une baisse de 13 % sur l'ensemble de la journée en avril et en mai comparativement à la même période l'année dernière. « Cette baisse marquée et généralisée de l'écoute contribue inévitablement à la baisse des revenus publicitaires en télévision, qui sont l'unique source de revenus des chaînes généralistes », dit-il. Sans surprise, les cinq matchs de première ronde en séries éliminatoires des Canadiens de Montréal présentés sur la chaîne TVA Sports au printemps ont attisé l'intérêt des téléspectateurs, mais cela demeure une bien mince consolation. Pierre Karl Péladeau note que ces matchs ont obtenu 35,6 parts de marché en moyenne et se sont classés au premier rang du palmarès des émissions de sports les plus regardées au Québec cette année. Les plus récents résultats du Groupe TVA dans leur ensemble sont encore une fois, aux yeux de Pierre Karl Péladeau, le reflet des « lourds défis » qui perdurent et qui affectent l'ensemble des diffuseurs privés. La situation ne fera que se détériorer si aucune action n'est posée, et les conséquences continueront d'être dramatiques pour l'industrie et les emplois. le PDG Groupe TVA, Pierre Karl Péladeau Le Groupe TVA a procédé en mai dernier à l'abolition d'une trentaine de postes dans le secteur de la télédiffusion. Ces licenciements s'ajoutaient aux 650 emplois abolis depuis deux ans représentant la moitié de l'effectif. Pierre Karl Péladeau soutient que ces décisions difficiles contribuent à contenir « modestement » la crise, mais ne sont, et ne seront en aucun cas suffisantes pour assurer la pérennité des activités de TVA. L'homme d'affaires demande à nouveau aux instances gouvernementales d'agir pour protéger les entreprises d'ici. Il demande le rétablissement de ce qu'ils qualifient d'iniquités qui subsistent au sein de l'industrie, notamment face aux géants du Web, mais aussi face à la Société Radio-Canada. Pierre Karl Péladeau soutient à une fois de plus que les pratiques d'affaires de Radio-Canada devraient être recentrées et entraîner le retrait total de toutes formes de publicité sur l'ensemble de ses plateformes. Québecor présentera à son tour jeudi prochain ses plus récents résultats trimestriels.
La Presse
10 hours ago
- La Presse
Dépouillée de près de 100 000 $ à 84 ans
Michèle Toso Saint-Denis, 84 ans, souffrant d'un cancer du poumon et des os, s'est fait dérober près de 100 000 $ par des fraudeurs qui se font passer pour des enquêteurs de police. Une nouvelle variante de fraude bancaire impliquant un faux policier fait de plus en plus de victimes au Québec et en Ontario. Michèle Toso Saint-Denis, 84 ans, a perdu près de 100 000 $ en tombant dans le piège. Son fils déplore la lenteur de sa banque à détecter les transactions anormales. Michèle Toso Saint-Denis a honte. Le 15 mai dernier, un homme « calme et posé, qui ne parlait pas beaucoup », l'a appelée en se faisant passer pour l'enquêteur Martin Leblanc, du Service de police de l'agglomération de Longueuil (SPAL). La police, disait-il, suspectait un employé de la Banque de Montréal d'être en train de la frauder. Mme Toso Saint-Denis devait l'aider à arrêter le voleur rapidement. La dame de 84 ans, souffrant d'un cancer qui la force à prendre plusieurs médicaments chaque jour, y a cru à fond. Investie à 100 % « J'étais dans un autre monde, complètement. J'étais investie à 100 % dans l'histoire du voleur qu'il fallait arrêter, dit-elle. J'étais obsédée par ça. » PHOTO MARTIN TREMBLAY, LA PRESSE Michèle Toso Saint-Denis est avec son fils Iann. Elle a cru à fond l'histoire des fraudeurs. À la demande du faux enquêteur, elle a pris un taxi, s'est rendue à la succursale longueuilloise de la BMO, où elle a vidé son coffret de sécurité de tout ce qui s'y trouvait. En revenant à la maison, elle a rappelé le faux inspecteur, qui lui a dit de tout mettre dans une enveloppe blanche, y compris ses cartes bancaires avec les NIP correspondants, et surtout, de n'en faire mention à personne pour ne pas nuire à l'enquête. J'ai eu un temps d'arrêt quand il m'a demandé de donner mes NIP, mais le type m'a juste dit : 'Ben là… je suis policier, madame'. Michèle Toso Saint-Denis Un autre homme, un complice portant un gilet jaune fluorescent, a ensuite sonné à sa porte pour récupérer l'enveloppe. Les caméras de surveillance du complexe de condos où habite Mme Toso Saint-Denis ont capté son arrivée. Les images ont été transmises aux vrais policiers du SPAL après que l'arnaque a été découverte. En l'espace de quelques jours, les fraudeurs ont vidé son compte courant, qui contenait un peu plus de 20 000 $. Ils ont aussi porté pour 30 000 $ de dépenses sur sa carte de crédit à coups de retraits de 1500 $ dans des guichets automatiques de Laval, d'achats de 2500 $ chez Costco à Sainte-Foy et Pointe-Claire, et de paiements de 2400 $ à un service de limousine de Saint-Léonard. Quand la carte de crédit a été pleine, les fraudeurs l'ont renflouée en déposant une série de chèques personnels portant l'en-tête d'une autre institution financière, prétextant que Mme Toso Saint-Denis venait d'acheter deux nouvelles voitures et de louer un chalet. Les voleurs ont poussé le larcin jusqu'à un total de près de 100 000 $, selon la famille de Mme Toso Saint-Denis. La banque « dort au gaz » Son fils, Iann, affirme que la banque a initialement refusé d'absorber la perte, reprochant à sa cliente d'avoir fourni aux voleurs ses NIP et des codes de vérification à double facteur. La BMO a ensuite offert d'éponger 42 000 $ « à titre de geste de bonne volonté », après un examen du dossier fait par le Bureau de résolution des plaintes de la haute direction de l'institution financière. La famille n'a pas encore décidé si elle accepterait ou non cette offre. « Oui, ma mère a donné ses NIP. Oui, elle a commis une erreur, reconnaît Iann Saint-Denis. Mais je m'explique mal que la banque n'ait pas été en mesure de détecter qu'une cliente de 84 ans, qui a de la misère à marcher et se déplace normalement dans un rayon de deux kilomètres carrés, se met à dépenser des 7000 $, 8000 $, 12 000 $ pour des commandes chez Costco et un service de limousine. » PHOTO MARTIN TREMBLAY, LA PRESSE Iann Saint-Denis déplore le manque de mesures de sécurité adoptée par la banque pour protéger les clients comme sa mère. « Leurs algorithmes, c'est vraiment n'importe quoi. La banque dort au gaz », déplore-t-il. « Ma mère a toute sa tête, mais elle se sent rapidement dépassée. Les technologies de vérification à double facteur, les NIP, les codes de sécurité, c'est super, mais les personnes comme elle ne les maîtrisent pas », plaide-t-il. À partir d'un certain âge, la banque devrait mettre des limites de transactions de 1000 $ ou 2000 $ par jour, et si ces clients-là veulent vraiment acheter une nouvelle auto ou louer un chalet, ils peuvent appeler ; ils ont des téléphones. Ian Saint-Denis, le fils de la victime La Banque de Montréal, sans donner de détails pour des raisons de confidentialité, dit travailler à résoudre la situation dans le cadre de son processus habituel. Elle souligne que les codes d'accès à usage unique transmis par la banque dans le cadre de ses processus de sécurité sont accompagnés de messages rappelant aux clients de ne jamais les divulguer à quiconque. « Notez que la BMO ne vous contactera jamais par courriel, texto ou appel téléphonique non sollicité pour vous demander des informations sensibles, des mots de passe, des codes PIN ou des codes de vérification [à usage unique] », insiste l'institution. Une variante en forte croissance Cette variante de la fraude du faux représentant, où un escroc se prétend policier, est en forte croissance depuis quelques mois. Le SPAL a rapporté 51 cas depuis le début de l'année sur son territoire, alors qu'il en avait compté 38 en 2024 et seulement 6 en 2023. Le 13 juillet, des policiers de la Sûreté du Québec ont arrêté deux jeunes hommes de 18 et 20 ans qui venaient de frauder une victime de façon similaire en se faisant passer pour un policier à La Tuque, en Mauricie. Ils auraient également demandé à leur cible de mettre ses NIP dans une enveloppe blanche scellée. Le Service de police d'Ottawa a aussi rapporté une série de cas semblables impliquant un faux policier de son service. « Les personnes âgées de 65 ans et plus, notamment les femmes (66 %), restent les cibles préférées des fraudeurs, et leur victimisation ne cesse d'augmenter depuis les dernières années », indique l'agente Mélanie Mercille, du SPAL. En 2024, près de 42 % des victimes faisaient partie de ce groupe d'âge, alors qu'elles représentaient 23 % en 2022 et 34 % en 2023.
La Presse
2 days ago
- La Presse
La Loi sur les condos entrera en vigueur le 14 août
La loi tant attendue sur les copropriétés entrera en vigueur le 14 août prochain. Elle permettra un meilleur entretien de ce parc immobilier, mais ne va pas assez loin en matière de transparence pour les acheteurs, dénoncent des acteurs du milieu, comme les gestionnaires de condos et les courtiers immobiliers. La Loi 16 a été sanctionnée en 2019 et le Règlement établissant diverses règles en matière de copropriété divise a été publié le mercredi 30 juillet dans le journal officiel du gouvernement, la Gazette officielle. Les détails finaux, attendus depuis longtemps par les copropriétaires et les futurs acheteurs, sont conformes à ce qui avait été était discuté au sujet des fonds de prévoyance et des carnets d'entretien. Cependant, l'attestation sur l'état de la copropriété soulève des préoccupations de la part du Regroupement des gestionnaires et copropriétaires du Québec (RGCQ) et de l'Association des courtiers immobiliers du Québec. Tout syndicat de copropriétaires doit fournir cet outil à un copropriétaire qui veut vendre son condo. Cette attestation sur l'état de la copropriété est un précieux outil pour un acheteur, car elle lui donne le portrait financier complet de l'immeuble, les travaux majeurs, les sinistres, les assurances en vigueur, un résumé des inspections, les litiges en cours et les modifications à la déclaration de copropriété sur les trois dernières années. Plus de transparence exigée Or, selon l'interprétation actuelle de la Loi par la Société d'habitation du Québec, les acheteurs devront faire leur promesse d'achat sans avoir toutes ces informations, explique en entrevue Me Yves Joli-Coeur, président du Regroupement des gestionnaires et copropriétaires du Québec (RGCQ). Les acheteurs n'auront accès aux informations qu'après avoir déposé leur promesse d'achat. « Il faut absolument que la ministre de l'Habitation France-Élaine Duranceau modifie ça pour que l'acheteur sache précisément ce qu'il est en train d'acheter avant de faire sa promesse d'achat. Il doit savoir ce qui est dans le fonds de prévoyance et s'il y a des réclamations », dénonce Me Yves Joli-Cœur, dont l'organisme à but non lucratif était membre du comité consultatif depuis 2012. « Cette contrainte priverait les vendeurs de l'information utile pour bien établir leur prix de vente et les acheteurs d'informations essentielles au moment de formuler leur offre, renchérit dans un communiqué l'Association professionnelle des courtiers immobiliers du Québec (APCIQ). « L'APCIQ est favorable à une meilleure information pour les acheteurs et vendeurs, mais encore faut-il qu'ils puissent y avoir accès au bon moment, c'est-à-dire avant de s'engager juridiquement et financièrement. » La présidente du Comité de pratique sur le courtage immobilier à l'APCIQ Nathalie Bégin précise que les courtiers immobiliers ont besoin d'avoir toute l'information en main pour bien remplir leurs devoirs de vérification, de divulgation, d'information et de conseil auprès de leurs clients. Pour ce qui est du règlement final dans son ensemble, le RGCQ croit que le texte tel que rédigé obligera enfin les copropriétaires à entretenir leur immeuble. Un carnet d'entretien devient obligatoire pour toutes les copropriétés. Il devra être rédigé ou mis à jour tous les 5 ans – 10 ans pour les immeubles de huit unités et moins – par un membre indépendant de l'Ordre des ingénieurs du Québec, de l'Ordre des évaluateurs agréés du Québec, de l'Ordre des architectes du Québec ou de l'Ordre des technologues professionnels du Québec. Une étude du fonds de prévoyance devra aussi être faite tous les cinq ans et signée aussi par un professionnel indépendant membre d'un ordre.
