L’usurpation d’identité m’est arrivée. Ça pourrait t’arriver. Nos systèmes permettent aux acteurs malveillants de commettre une usurpation d’identité et généralement de s’en tirer. Mais il n’a pas à être de cette façon.
Dans mon expérience en tant que victime de vol d’identité et en tant que journaliste interviewant des experts sur le problème, j’ai rencontré quelques idées sur la façon de résoudre les problèmes. Certains sont de petits changements axés sur les détails qui rendraient la vie plus facile pour les victimes et plus difficile pour les voleurs. Certains sont de taille moyenne : des politiques ou des programmes qui rendraient plus difficile la perpétration de ce crime. Et certains sont des choses d’ensemble qui fourniraient des protections plus larges pour nos vies de plus en plus en ligne. Je les ai organisés ici à peu près dans l’ordre de “faisable” à “intimidant”.
Non, il n’y a pas de solution parfaite à ce problème. Mais je ne suis pas quelqu’un qui lève les mains en l’air et dit : “Eh bien, ce serait difficile, alors nous ne devrions pas essayer.”
Comme toujours, il y a une composante de responsabilité individuelle dans la prévention. Voici ce qu’il faut faire pour prévenir l’usurpation d’identité et que faire si vous pensez en être victime.
Mais j’ai tout fait correctement, à moins de coller mon portefeuille à ma main, et ça m’est arrivé quand même. La responsabilité personnelle a ses limites. Devenir victime d’un crime ne devrait pas vous obliger à un travail à temps partiel non rémunéré pour nettoyer après les auteurs, comme cela m’a été le cas pour moi.
Voici ce que nous pourrions faire.
Faites en sorte que les demandes de renseignements difficiles n’aient pas d’incidence sur les rapports de crédit gelés. J’ai gelé mes rapports de crédit avec les trois principaux bureaux (Equifax, Experian et TransUnion). Mais lorsque des voleurs ont essayé d’utiliser mon identité pour obtenir des prêts, des demandes de renseignements difficiles ont tout de même atterri sur mon compte. Quel est l’intérêt de geler votre dossier s’il peut encore être piraté par un concessionnaire automobile ou une carte de crédit de grand magasin ?
Ajoutez plus d’informations sur la fraude aux e-mails des institutions financières et sur les violations de données. J’ai reçu un certain nombre de courriers en 2019 qui me remerciaient d’avoir demandé diverses cartes de crédit et prêts, mais ils ont également déclaré que ma demande ne pouvait pas être approuvée car mon crédit était gelé et incluait des informations sur la façon de le dégeler. Ces types de lettres peuvent également inclure des informations sur ce qu’il faut faire si vous n’êtes pas celui qui a fait la demande.
Les notifications concernant les violations de données sont encore plus obscures : la plupart “ne valent pas le papier sur lequel elles sont écrites”, a déclaré Eva Velasquez, PDG du Identity Theft Resource Center. Si vos informations ont été trouvées lors d’un piratage, vous devriez obtenir des informations qui le précisent et vous indiquent ce qu’il faut faire ensuite pour vous protéger.
Créer un système pour signaler les permis de conduire volés aux banques et à la police. Le California DMV a besoin d’un système pour signaler les permis de conduire volés aux banques et aux forces de l’ordre. Cela existe déjà dans certains États, mais pas ici.
Les personnes qui ont volé mon portefeuille ont ensuite ouvert deux comptes chèques et un nouveau compte de téléphone portable (avec un nouvel iPhone, bien sûr), loué une voiture, loué une chambre d’hôtel et ont eu un accident avec une autre voiture où ils ont présenté mon permis de conduire et prétendait être moi. J’avais signalé le vol de mon permis à la police et au DMV de Californie avant que tout cela ne se produise.
Inclure les crimes financiers et les cybercrimes dans les statistiques nationales de suivi. Une grande partie de notre perception collective de la criminalité en Amérique provient des rapports uniformes sur la criminalité du FBI, ou UCR.
“L’UCR est la mesure que les médias et le gouvernement utilisent pour mesurer réellement l’état de la criminalité aux États-Unis”, a déclaré Velasquez. Mais en ce moment, “nous en obtenons un faux récit très incomplet et limite”, car il ne suit pas les crimes financiers ou les cybercrimes.
Shima Baughman, professeur de droit pénal à la faculté de droit de l’Université de l’Utah, a déclaré que le manque de suivi du FBI décourage les services de police locaux d’enquêter et de résoudre ces types de crimes. Elle a comparé cela à passer un test sur lequel vous saviez que vous ne seriez pas noté. Et sans une mesure unique et ferme, il est plus difficile pour le public d’être conscient de l’étendue de ce type de crime, et moins probable que les gens exigeront des changements.
De nombreux experts pensent l’ensemble du système doit faire l’objet d’une sérieuse refontemais le mettre à jour pour suivre les délits financiers serait un début.
Appliquez la loi FTC et punissez les entreprises qui ont des pratiques de sécurité laxistes. Les entreprises ont des obligations légales en vertu de la Federal Trade Commission Act pour protéger vos données.
Mohammad Tajsar, un avocat senior de l’ACLU de Californie du Sud, a déclaré que les enquêteurs fédéraux “ont les mécanismes pour pouvoir poursuivre ces entreprises, comme ils le devraient. Le problème est qu’ils ne sont tout simplement pas bien financés, ils ne disposent pas de ressources suffisantes.
Créez un système qui vous alerte lorsque votre identité est utilisée. Si quelqu’un utilise votre numéro de sécurité sociale pour ouvrir un nouveau compte courant, vous n’en entendrez peut-être pas parler tant que cette personne n’aura pas déjà écrit de chèque sans provision. Velasquez a déclaré que nous avions besoin d’un système où vous êtes alerté chaque fois que quelqu’un utilise vos signifiants d’identité, comme votre numéro de sécurité sociale, pour créer un nouveau compte bancaire ou ouvrir une ligne de crédit. Autrement dit, un endroit où l’on peut (numériquement) claquer un gros bouton rouge : « Geler mon identité !
Si ce système existait, vous pourriez avoir la possibilité de “geler” votre numéro de sécurité sociale, au lieu de rapports de crédit fragmentaires. (En plus des trois principaux bureaux de crédit, il existe agences d’évaluation du crédit spécialisées qui génèrent des rapports sur vous auxquels les entreprises peuvent se référer avant d’ouvrir des comptes courants, de nouveaux services publics, des prêts sur salaire, du financement de magasin – toutes sortes de choses.)
Mettez fin aux processus d’authentification qui n’utilisent que des données statiques. Les numéros de sécurité sociale ne sont pas des identifiants sécurisés. Un caissier ou un caissier de banque qui regarde la petite photo sur votre permis de conduire n’est pas une vérification à toute épreuve. À l’heure actuelle, de nombreux processus visant à s’assurer que les gens sont bien ceux qu’ils prétendent s’appuyer sur des données dites statiques – des choses qui ne changent pas.
Presque tout le monde s’accorde à dire que le numéro de sécurité sociale est un mauvais moyen d’identifier les personnes, mais nous n’avons pas encore trouvé d’alternative parfaite. Les données biométriques ne sont pas infaillibles, et beaucoup de gens pourraient s’irriter d’avoir à utiliser une empreinte digitale ou une identification faciale pour faire quelque chose comme accéder à leur compte bancaire ou faire un chèque. La Californie teste les identifiants numériques, et il y a des avantages et des inconvénients. Mais nous pourrions utiliser une combinaison de numéros de sécurité sociale et de types de données plus dynamiques pour créer des couches de sécurité plus solides.
Améliorer les normes d’efficacité et d’accessibilité pour les bureaux de crédit. Les bureaux de crédit existent dans un espace étrange : ce sont des entreprises privées, mais vous ne pouvez pas refuser qu’elles collectent vos données ou conservent un dossier sur vous à moins que vous ne renonciez complètement à utiliser les banques.
Ils sont fortement réglementés, mais les normes que nous avons actuellement en matière d’accessibilité et d’efficacité sont insuffisantes. Au strict minimum, leurs sites Web doivent être entièrement fonctionnels ; au lieu de cela, j’ai trouvé des messages d’erreur persistants et frustrants lorsque j’essayais de contester des inexactitudes. Vous devez également pouvoir être sûr que les données collectées par les bureaux sont bien protégées et que vous disposerez d’un recours satisfaisant en cas de piratage.
Adoptez des lois qui limitent la collecte, le partage et la vente de données. Certaines entités de santé ne peuvent pas partager vos informations sans votre consentement. Grâce à la pandémie, nous espérons tous très familier avec HIPAA maintenant. Mais aucune législation fédérale similaire n’existe pour vos informations financières ou autres informations sensibles.
“Il existe un appétit insatiable des entreprises et des gouvernements pour les données”, a déclaré Tajsar. “Nous avons créé un système où il y a une quantité massive d’entités puissantes qui sont dépendantes des informations des gens.”
Les entreprises que vous utilisez et les sites Web que vous visitez peuvent regrouper et vendre les données qu’elles obtiennent à votre sujet à des partenaires ou à des annonceurs – à peu près qui ils veulent. Et il peut être vendu encore et encore. Et puis, celui qui l’achète peut l’utiliser comme il le souhaite. Courtiers en données dépenser des millions en lobbying chaque année pour s’assurer qu’il reste ainsi.
En Californie, nous avons le Loi californienne sur la confidentialité des consommateurs et le Loi californienne sur les droits à la vie privéemais les lois fédérales pourraient améliorer la confidentialité et la sécurité, où que vous viviez.
Un changement d’attitude culturel sur la commodité par rapport à la vie privée. Législatures ne peut pas adopter une loi qui dit que “tout le monde doit se soucier davantage de la protection de ses informations personnelles”. Mais nous pouvons tous choisir d’adopter des pratiques qui ajoutent légèrement plus d’inconvénients en échange d’une confidentialité et d’une protection numériques améliorées.
“Nous avons besoin d’un changement sociétal de l’idée que la commodité l’emporte sur tout », a déclaré Velasquez.
Des ressources plus structurées pour les victimes de crimes commis en ligne. Victimes de cybercrimes — usurpation d’identité, bien sûr; mais aussi revenge porn ; les prises de contrôle et l’usurpation d’identité de comptes de médias sociaux ; le cyber-harcèlement et le harcèlement ; et les escroqueries financières, pour n’en nommer que quelques-unes – ont souvent peu de recours. Il n’y a pas un seul endroit où vous pouvez vous adresser pour signaler des cybercrimes qui dispose de ressources pour les enquêter. Vous pouvez déposer des rapports auprès de la FTC et du FBI. La FTC vous donnera alors quelques mesures à prendre par vous-même, et le FBI dit qu’il peut renvoyer votre rapport à l’application locale. Personne de l’un ou l’autre bureau ne m’a jamais suivi au sujet de mes propres rapports. Vous pouvez le signaler à votre police locale, comme je l’ai fait, ce qui peut être beaucoup plus frustrant que de remplir un formulaire en ligne, et tout aussi peu susceptible d’entraîner une action significative.
Il s’agit d’un problème systémique, c’est pourquoi il n’existe pas de solution simple et unique. Il ne devrait pas être si facile d’acheter toutes les informations dont vous avez besoin pour voler l’identité des gens en ligne. Il ne devrait pas être si difficile de trouver les personnes qui font cela. Cela ne devrait pas prendre des dizaines d’heures de travail non rémunéré pour vous démêler des retombées du crime de quelqu’un d’autre.
Il est peu probable que les victimes signalent le crime à la police, il est peu probable que la police enquête même sur ceux qui leur sont signalés, et ces crimes signalés n’apparaissent pas dans les statistiques nationales sur la criminalité. plus, ou faire pression sur les législateurs pour qu’ils adoptent une législation qui résoudrait le problème des données, ou faire pression sur les bureaux de crédit pour faciliter le règlement des différends.
Ce que nous avons est un système fragmentaire dans lequel aucune entité n’assume la responsabilité de prévenir, signaler, enquêter ou résoudre les cybercrimes. Les victimes comme moi ont l’impression que personne ne s’en soucie et que personne ne fera rien à ce sujet.
Quelque chose doit changer.
J’ai parlé à beaucoup de gens qui avaient beaucoup d’idées sur la façon de résoudre ce problème. Maintenant, je veux entendre le vôtre. Envoyez-moi un e-mail à [email protected], et vos idées, solutions ou propositions pourraient apparaître dans un article de suivi.
