La saison des impôts est officiellement dans le viseur, ce qui signifie que la plupart d’entre nous poussent un soupir de soulagement. Mais certains d’entre nous restent anxieux. Il ne s’agit pas de la chance d’être audité (qui est faible, bien que terrifiante), mais plutôt de la peur de se faire voler notre identité.
Si vous êtes indépendant – que ce soit un chauffeur Uber, un artiste Etsy, ou quelque chose de moins du 21e siècle (comme un journaliste indépendant) – les entreprises qui vous paient sont légalement tenues de fournir un 1099 pour vous aider à préparer vos impôts. Et avec l’explosion de l' »économie du partage », de plus en plus de personnes reçoivent ces documents au lieu des W-2, le formulaire fiscal réservé aux employés. Les entreprises envoient physiquement les 1099, mais comme les erreurs se produisent, que les échéances fiscales sont inamovibles et qu’Internet est si pratique, certains services financiers envoient ces formulaires par courriel à la place.
Et souvent, ils envoient ces formulaires fiscaux par courriel sans les chiffrer, même si c’est imprudent. C’est parce que ces documents portent des données sensibles comme les numéros de sécurité sociale et que le courrier électronique est une cible de choix pour les pirates qui cherchent des identités à voler.
Si vous ne pensez pas que cela puisse vous arriver, considérez ceci. Au cours des six dernières années, plus d’une demi-douzaine de personnes m’ont envoyé par courriel des formulaires financiers non chiffrés contenant des informations d’identification personnelle. Une entreprise – une grande marque américaine de plusieurs millions de dollars – l’a même fait deux fois.
« Les numéros de sécurité sociale sont plus susceptibles et plus précieux que jamais », déclare Rob Douglas, un consultant en sécurité spécialisé dans le vol d’identité et les escroqueries. Douglas a témoigné pour la première fois devant le Congrès sur la protection des informations d’identification personnelle en 1998. Depuis lors, la seule chose qui a changé est la facilité avec laquelle les fraudeurs peuvent s’emparer de nos chiffres sensibles.
Du degré massif d’usurpation d’identité lié au piratage de l’Office of Personnel Management aux milliards perdus dans la fraude aux remboursements d’impôts, il est clair que les méchants peuvent faire beaucoup de choses avec votre numéro de sécurité sociale. « Les criminels adorent ce type de crime, car c’est un crime qui rapporte, et les procureurs s’y intéressent si peu », déclare M. Douglas. Par exemple, la police de San Diego ne s’intéresse même pas à un cas de vol d’identité à moins qu’il ne s’agisse d’une somme d’au moins 40 000 $, dit-il, car il y en a tellement. Imaginez que cette somme soit retirée de votre compte bancaire aujourd’hui et que vous ne trouviez personne pour vous aider demain.
Vous supposez donc naturellement qu’il est illégal de traiter les informations vitales de quelqu’un avec autant de négligence, non ? C’est faux. Bien que le numéro de sécurité sociale soit un identifiant fédéral, les États ont autorité sur la façon dont ils sont traités, ce qui signifie que les protocoles varient. Actuellement, seuls 12 États limitent l’envoi physique des numéros de sécurité sociale, mais aucun État n’interdit leur envoi par courrier électronique. Encore une fois : Il est tout à fait légal de mettre le numéro de sécurité sociale de quelqu’un dans un e-mail.
C’est un problème. Si nous pouvons avoir l’impression que le courrier électronique est sûr, et si des fournisseurs comme Apple, Google et Microsoft ont fait en sorte que les notes envoyées et reçues à partir d’adresses de leur domaine (gmail.com, par exemple) soient sécurisées, dès qu’un message commence à traverser le web ouvert, les jeux sont faits.
Lorsque les courriers électroniques sont envoyés, ils passent généralement du logiciel de l’ordinateur expéditeur à des serveurs appelés agents de transfert de courrier. Ils passeront probablement par plusieurs de ces nœuds jusqu’à ce qu’ils atteignent leur destinataire. Entre ces relais, les courriels sont cryptés, mais lorsqu’ils atteignent un serveur, ils sont décryptés, lus, puis re-cryptés avant d’être envoyés au nœud suivant. Milton Mueller, professeur de politique publique au Georgia Institute of Technology, prévient que ce processus pourrait être « imparfait » en termes de sécurité. « Le contenu des messages est révélé à, et peut être altéré par, des relais de messagerie intermédiaires », dit-il.
Mueller explique que le problème est que les nœuds de messagerie sont gérés indépendamment, de sorte que la politique de cryptage d’un nœud pourrait être légèrement incompatible avec celle d’un autre. Et certains nœuds peuvent même être compromis, permettant aux pirates d’accéder à toutes les informations qui y circulent.
Cependant, vous pouvez protéger vos données en chiffrant les fichiers contenant des infos privées. Tout récemment, avec cette grande marque américaine, j’ai demandé qu’ils le fassent. A ma grande surprise, non seulement un professionnel de la finance de cette entreprise du Fortune 500 ne savait pas comment crypter un fichier PDF, mais son équipe technique non plus. (Il suffit de cocher une case.) « Les personnes qui devraient savoir comment crypter – en particulier lorsqu’il s’agit d’informations financières sensibles – ce n’est pas qu’elles ne savent pas comment le faire, ce n’est même pas dans leur protocole », explique M. Douglas. « C’est hallucinant que nous n’ayons pas fait le tour de la question. »
J’ai dit à cette entreprise exactement comment chiffrer mon fichier, et pourtant il a été envoyé sans protection. Que faudra-t-il pour que les gens respectent réellement les données privées des autres et les traitent de manière responsable, comme ils le feraient avec leurs propres informations sensibles ? Selon Douglas, il faut pour cela que les professionnels de la finance cessent de considérer ces données vitales comme des minuties, comme de simples chiffres sur une page, et les voient plutôt pour ce qu’elles sont : l’identité financière d’une personne.
Mais il est peu probable que cela fasse une différence suffisante. Au lieu de cela, Douglas pense que la seule chose qui changera la façon nonchalante dont les gens traitent les numéros de sécurité sociale par e-mail ou sur papier serait « une tragédie d’une telle nature de préjudice physique pour certaines personnes qu’elle choque la conscience de la nation ».
Par exemple, le 15 octobre 1999, Amy Boyer, 20 ans, a été assassinée devant son appartement par Liam Youens, un harceleur qui a trouvé l’adresse de Boyer après avoir acheté son numéro de sécurité sociale sur un site Web. Il lui a tiré dessus à plusieurs reprises avant de retourner l’arme contre lui. Dans l’indignation qui a suivi, la « loi Amy Boyer » a été présentée pour empêcher l’affichage ou la vente du numéro de sécurité sociale de quiconque. La loi n’a jamais été adoptée, donc le coup de conscience auquel Douglas faisait référence n’est pas encore arrivé.
Et malgré mon numéro de sécurité sociale paradant sur Internet comme une garde de couleur, je n’ai pas été victime de vol d’identité ou de toute autre fraude. J’espère que je suis tranquille, mais Douglas n’est pas aussi optimiste. « Je n’ai aucun doute sur le fait que votre est là », dit-il. « Statistiquement, plusieurs fois. »
Contactez-nous à [email protected].