Mise à jour le 1er janvier 2012 Sécurité et confidentialité

Sécurité des transactions bancairesSécurité des transactions bancaires –Deux grandes préoccupations du milieu bancaire Usurpation didentité;Usurpation didentité; Blanchiment de fonds.Blanchiment de fonds. –Usurpation didentité Assumer et utiliser lidentité dune autre personneAssumer et utiliser lidentité dune autre personne –Dans le but de soutirer des fonds ou crédits. –Blanchiment de fonds Processus consistant à dissimuler la source de l'argent ou des biens tirés d'activités criminelles.Processus consistant à dissimuler la source de l'argent ou des biens tirés d'activités criminelles. –Compromet l'intégrité des institutions et des systèmes financiers légitimes; –Procure au crime organisé les fonds nécessaires pour entreprendre d'autres activités criminelles. Source: Mise à jour le 1er janvier 2012

Mise à jour le 1er janvier 2007 Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Différentes façons dusurper lidentité dune autre personne Hameçonnage (phishing)Hameçonnage (phishing) –Terme général qui définit la création et l'utilisation, par des criminels, de courriels et de sites Web d'apparence officielle « représentant » des entreprises, des établissements financiers et des organismes gouvernementaux légitimes. –Selon lAPWG (Anti-Phishing Working Group) – au mois daoût 2006: » signalements; » sites Web différents dhameçonnage à travers le monde; »148 marques dentreprises différentes ont été « détournées »; »92, 6% de lensemble des attaques perpétrés contre le secteur financier. Source: Rapport sur lhameçonnage, Ministère de la Sécurité publique et de la Protection civile du Canada

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Différentes façons dusurper lidentité dune autre personne Hameçonnage (phishing)Hameçonnage (phishing) Source: Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Différentes façons dusurper lidentité dune autre personne Hameçonnage (phishing)Hameçonnage (phishing) Source: Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Différentes façons dusurper lidentité dune autre personne Escroqueries par téléphoneEscroqueries par téléphone –Fraudeurs se font passer pour des fonctionnaires, des enquêteurs ou des employés de compagnies, pour soutirer des renseignements personnels –Selon PhoneBusters pour lannée 2006: »Au Québec, il y a eu 2040 victimes et des pertes 4,674,504.44$; »En Ontario, il y a eu 3353 victimes et des pertes de 7,584,188.86$ ; »Au Cananda, 7778 victimes et des pertes de 16,283,776.91$. Source: Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Différentes façons dusurper lidentité dune autre personne Interception électroniqueInterception électronique –Fraudeurs peuvent placer des appareils découte entre un terminal de validation de cartes de crédit et le réseau de communications pour capter les numéros de carte de crédit et les mots de passe Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Différentes façons dusurper lidentité dune autre personne Piratage informatique (hacking) – spyware, malwarePiratage informatique (hacking) – spyware, malware Fouille de poubelle (!)Fouille de poubelle (!) Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Technologies pour contrer le vol de renseignement Anti-hameçonnageAnti-hameçonnage –Filtres ajoutés aux fureteurs dinternet –Utilise les techniques ou une combinaison des techniques: »Signalement des usagers; »Vérification manuelle; »Heuristique basée sur la proximité des noms de sites; »Heuristique basée sur le lieu géographique des sites; »Heuristique basée sur lhistorique des sites déjà visités par lutilisateur; »Liste blanche des sites acceptables; »Liste noire des sites suspects. Source: Carnegie Mellon University, Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Technologies pour contrer le vol didentité Anti-hameçonnageAnti-hameçonnage –Filtres ajoutés aux fureteurs dinternet –Utilise les techniques ou une combinaison des techniques: »Signalement des usagers; »Vérification manuelle; »Heuristique basée sur la proximité des noms de sites; »Heuristique basée sur le lieu géographique des sites; »Heuristique basée sur lhistorique des sites déjà visités par lutilisateur; »Liste blanche des sites acceptables; »Liste noire des sites suspects. Source: Carnegie Mellon University, Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Technologies pour contrer le vol didentité Identification biométriqueIdentification biométrique –Basée sur lunicité des traits physiques; –Il sagit du traitement statistique des variations de ces traits physiques. Traits physiques exploitésTraits physiques exploités »Empreintes digitales; »Empreintes palmaires »Signal vocal; »Disposition faciale; »Rétine, liris, écriture; »Géométrie des mains. Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Technologies pour contrer le vol didentité Principe de lidentification biométriquePrincipe de lidentification biométrique Source: Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Technologies pour contrer le vol didentité Empreintes digitalesEmpreintes digitales –Capture: Numérisateur optique »Capteur de luminosité par CCD (Charge Coupled Device) semblable à celui des caméras numériques; »Empreinte capturée est une image inversée: couleurs foncées représentent des crêtes alors les couleurs pâles représentent les vallées; »Numérisateur vérifie lobscurité de limage obtenue – rejet de limage si elle est trop foncée ou trop pâle; »Numérisateur vérifie la définition de limage obtenue – une bonne définition est obtenue sil y a alternance de couleurs foncées et de couleurs pâles. Source: Il existe également un autre méthoide courante de capture: Numérisateur par capacité Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Technologies pour contrer le vol didentité Empreintes digitalesEmpreintes digitales –Traitement: Identification des minuties »Bifurcation, île, noyau, delta, lac, fin de ligne, etc.; »Mesurer la position relative de ces minuties sur le doigt; Source: Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Technologies pour contrer le vol didentité Empreintes digitalesEmpreintes digitales –Fichier de signature: Aucune image nest stockée pour fin de comparaison »Positions et directions des minuties; »Distances entre les minuties; »Nombre de lignes entre minuties dune région donnée; »Etc. –Transformation de ces informations à laide dune fonction de hachage unidirectionnelle cryptographique –Résultat: Empreinte digitale nombre numérique –Enregistrer le nombre + identité de la personne dans une base de données Source: Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Technologies pour contrer le vol didentité Empreintes digitalesEmpreintes digitales –Comparaison: Fouille dans une base de données »On estime à 6x10 -8 la probabilité que 12 minuties parmi 36 correspondent, mais de nombreuses estimations existent... ; »Empreinte digitale est représentée par un nombre généré à laide dune fonction de hachage + identité de la personne; »Il suffit de trouver, dans la base de données, la valeur recherchée pour obtenir lidentité de la personne. Source: Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Technologies pour contrer le vol didentité Anti-Spyware, -malwareAnti-Spyware, -malware –Spyware et malware »Utilise un ensemble de techniques pour soutirer du renseignement personnel des internautes – enregistrement des séquences de touches du clavier (keystroke logging), fréquence des sites visités (tracking), des mots de passe, etc; »Nous excluons ici les adware qui vous proposent de la publicité non sollicitée; –Techniques anti-spyware, anti-malware »Détection et élimination basée sur le balayage de la signature ou caractéristiques du spyware et malware; »Blocage au de la transmission des données. Lingénierie inverse « reverse engineering » est nécessaire pour découvrir la signature et les caractéristiques. Ce travail est parfois manuel car certains spyware et malware contiennent du code de programmation dauto- défense (anti-reverse engineering). Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Technologies pour contrer le vol didentité Anti-Spyware, -malwareAnti-Spyware, -malware –Techniques anti-spyware, anti-malware »Contrôle par liste daccès au noyau du système dexploitation; »Noyau (kernel) est un ensemble de routines de base permettant lw système dexploitation (ex: Windows, Linux, Mac, etc.) doffrir les services de haut niveau aux applications; »Les spyware et les malware désirent soutirer de linformation personnelle des utilisateurs, lidée est de maintenir une liste daccès gérée par le système dexploitation lui-même; »Laccès à ces données est accordé par le système avec lautorisation des utilisateurs. Source: Chow, Hui, Chow, Hui, A generic anti-spyware solution by access control list at kernel level Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Technologies pour contrer le vol didentité Fouille poubelleFouille poubelle –Poubelle physique »Solution: déchiquetage »On retrouve souvent notre nom, notre adresse, notre téléphone, notre compte client dans des documents jetés; »Parfois, même notre NAS, numéro de carte de crédit! Source: Chow, Hui, Chow, Hui, A generic anti-spyware solution by access control list at kernel level Mise à jour le 1er janvier 2012

Mise à jour le 1er janvier 2007 Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Technologies pour contrer le vol didentité Fouille poubelleFouille poubelle –Poubelle informatique »Solution: déchiquetage par logiciels »Fichiers déplacés dans la poubelle nest pas réellement effacés; »Même lorsque effacés, les fichiers demeurent enregistrés sur le disque; »Même effacés depuis longtemps, la probabilité que des parties du fichiers demeurent sur le disque est grande! »Même le soi-disant formatage du disque nélimine pas nécessairement les fichiers sur le disque!! –Il existe un standard pour lélimination des fichiers informatique – DoD M de la défense nationale américaine.

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Technologies pour contrer le vol didentité Fouille poubelleFouille poubelle –Poubelle informatique »Recommandations contenues dans DoD M de la défense nationale américaine: »Écrire par dessus chaque caractère du fichier à effacer par un caractère, ensuite le complément de ce caractère (en terme de bits), ensuite par un nombre pseudo-aléatoire; »Le NSA (National Security Agency des É.U.) recommande au moins 7 répétitions de ces opérations par fichier à effacer. Source: Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Blanchiment de fonds Techniques:Techniques: –Le placement de fonds, qui consiste à introduire les produits de la criminalité dans le système financier; –La dispersion de fonds, qui consiste à convertir les produits de la criminalité en une autre forme et à créer un enchevêtrement d'opérations financières; »Par exemple, l l'achat et la vente d'actions, de biens et de propriétés; –L'intégration, qui consiste à réintroduire les bénéfices d'origine criminelle dans l'économie afin de donner aux fonds une apparence légitime. Source: Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Blanchiment de fonds Pourquoi faut-il contrer le blanchiment de fonds?Pourquoi faut-il contrer le blanchiment de fonds? –Le blanchiment de fonds est un moyen pour les criminels de soutenir leurs activités illégales; –Instabilise les institutions bancaires et par extension léconomie du pays; »Ces avoirs sont le fruit de la criminalité et donc non légitime; »Ce nest pas laccumulation par la création de richesse. –Le blanchiment de fonds mène souvent à la corruption. Source: Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Blanchiment de fonds Lutte contre le blanchiment de fondsLutte contre le blanchiment de fonds –CANAFE (Centre danalyse des opérations et déclarations financières du Canada) –De concert avec la Banque du Canada, le ministère des finances, lassociation canadienne de paiement et lassociation des banquiers canadiens: »Identifier les biens appartenant à des groupes terroristes; »Analyser des opérations dimportance en espèces; »Analyser les transferts de fonds (télévirement); »Analyser les mouvements transfrontaliers des effets. Source: Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Blanchiment de fonds ExemplesExemples – Kenneth W. Salomon Investment Fund soupçonné de blanchir ~ milliard dollars ( / qui-se-cache-derrierekennethfund.php) / qui-se-cache-derrierekennethfund.phphttp://lapresseaffaires.cyberpresse.ca/economie/200901/06 / qui-se-cache-derrierekennethfund.php –Hells Angels fraudent en Bourse ( / les-hells-fraudent-aussi-en-bourse.php) / les-hells-fraudent-aussi-en-bourse.phphttp://lapresseaffaires.cyberpresse.ca/economie/200901/06 / les-hells-fraudent-aussi-en-bourse.php –Ex-avocat accusé davoir blanchi des millions de dollars ( html) htmlhttp://fr.canoe.ca/infos/societe/archives/2008/07/ html –Regard sur le blanchiment dargent ( 06-fra.asp) 06-fra.asphttp:// 06-fra.asp Mise à jour le 1er janvier 2012

Sécurité et confidentialité Sécurité des transactions bancairesSécurité des transactions bancaires –Blanchiment de fonds Lutte contre le blanchiment de fondsLutte contre le blanchiment de fonds –CANAFE communique les résultats danalyse aux organismes opérant dans le système de justice; »Au Canada, la principale loi pour contrer le blanchiment de fonds est: Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes ( /index.html) –Il communique également ces résultats aux organismes chargés d'assurer l'application des lois et aux services de renseignements canadiens. Source: Mise à jour le 1er janvier 2012

Sécurité et confidentialité Confidentialité des renseignements personnelsConfidentialité des renseignements personnels –Loi sur la protection des renseignements personnels et les documents électroniques du Canada Les organisations du secteur privéLes organisations du secteur privé –Porte en fait sur de saines pratiques de gestion des renseignements personnels –Les entreprises visées par cette loi fédérale: »le transport inter-provincial ou international par voie terrestre ou par eau; »les aéroports, les aéronefs ou les lignes de transport aérien, les télécommunications; »les stations de radiodiffusion et de télédiffusion; »les banques, les centrales nucléaires; »les entreprises de forage en mer. »Etc. Source: Mise à jour le 1er janvier 2012

Mise à jour le 1er janvier 2007 Sécurité et confidentialité Confidentialité des renseignements personnelsConfidentialité des renseignements personnels –Loi sur la protection des renseignements personnels et les documents électroniques du Canada DéfinitionDéfinition –Renseignement personnel: désigne un renseignement sur un particulier identifiable, enregistré sous quelque forme que se soit. –Un particulier est identifiable aux fins de la présente loi si des renseignements »a) comprennent son nom, »b) rendent évidente son identité, ou »c) ne comprennent pas son nom ou ne rendent pas évidente son identité mais sont susceptibles dans les circonstances dêtre adjoints à dautres renseignements qui comprennent son nom ou rendent son identité évidente. Source:

Mise à jour le 1er janvier 2007 Sécurité et confidentialité Confidentialité des renseignements personnelsConfidentialité des renseignements personnels –Loi sur la protection des renseignements personnels et les documents électroniques du Canada Cette loi ne régit pas:Cette loi ne régit pas: –La collecte, l'utilisation ou la communication de renseignements personnels par des institutions fédérales auxquelles s'applique la Loi sur la protection des renseignements personnels. –Les gouvernements provinciaux et territoriaux et leurs mandataires; –Le nom, le titre, l'adresse ou le numéro de téléphone au travail d'un employé; –La collecte, l'utilisation ou la communication de renseignements personnels par une personne à des fins strictement personnelles; Source:

Sécurité et confidentialité Confidentialité des renseignements personnelsConfidentialité des renseignements personnels –Loi sur la protection des renseignements personnels et les documents électroniques du Canada Cette loi ne régit pas:Cette loi ne régit pas: –La collecte, l'utilisation et la communication de renseignements personnels par une organisation à des fins strictement journalistiques, artistiques ou littéraires; –Les renseignements d'employé(e)s à l'exception du secteur assujetti à la réglementation fédérale. Source: Mise à jour le 1er janvier 2012

Mise à jour le 1er janvier 2007 Sécurité et confidentialité Confidentialité des renseignements personnelsConfidentialité des renseignements personnels –Loi sur la protection des renseignements personnels et les documents électroniques du Canada Les entreprises doivent respecter les 10 principes suivantes:Les entreprises doivent respecter les 10 principes suivantes: –la responsabilité –la détermination des fins de la collecte des renseignements –le consentement –la limitation de la collecte –la limitation de l'utilisation, de la communication et de la conservation –l'exactitude –les mesures de sécurité –la transparence –l'accès aux renseignements personnels –la possibilité de porter plainte Source:

Mise à jour le 1er janvier 2007 Sécurité et confidentialité Confidentialité des renseignements personnelsConfidentialité des renseignements personnels –Loi sur la protection des renseignements personnels et les documents électroniques du Canada Le commissaire à la protection de la vie privée continuera dassurer la surveillance de lapplication de cette loi.Le commissaire à la protection de la vie privée continuera dassurer la surveillance de lapplication de cette loi. –Cest un haut fonctionnaire du Parlement; –Relève directement de la Chambre des Commune et du Sénat; –reçoit des plaintes et enquête sur les allégations Exemples de plainte:Exemples de plainte: –Un repas pris au restaurant est payé au moyen dune carte de crédit. Le nom, le numéro de carte de crédit et la date dexpiration de la carte apparaissent sur le reçu; –Un locataire sest plaint que le concierge de son immeuble dhabitation ait divulgué aux autres locataires que son chèque pour le loyer était sans provision. Source:

Mise à jour le 1er janvier 2007 Sécurité et confidentialité Confidentialité des renseignements personnelsConfidentialité des renseignements personnels –Loi sur la protection des renseignements personnels et les documents électroniques du Canada Exemples de plainte:Exemples de plainte: –La plaignante a eu loccasion de consulter une conseillère par lentremise du programme daide aux employés de son travail. Elle sest plainte que lentreprise de counselling ait divulgué à son employeur, entre autres, des renseignements de nature délicate la concernant et que ces renseignements étaient inexacts; –Un membre dune association sans but lucratif a dû montrer, en plus de sa carte de membre, une deuxième carte didentité, lorsquil a voulu se procurer des biens et des services auprès de lassociation. Source:

Mise à jour le 1er janvier 2007 Sécurité et confidentialité Confidentialité des renseignements personnelsConfidentialité des renseignements personnels –Loi sur la protection des renseignements personnels et les documents électroniques du Canada Exemples de plainte:Exemples de plainte: –La plaignante a eu loccasion de consulter une conseillère par lentremise du programme daide aux employés de son travail. Elle sest plainte que lentreprise de counselling ait divulgué à son employeur, entre autres, des renseignements de nature délicate la concernant et que ces renseignements étaient inexacts; –Un membre dune association sans but lucratif a dû montrer, en plus de sa carte de membre, une deuxième carte didentité, lorsquil a voulu se procurer des biens et des services auprès de lassociation. Source:

Mise à jour le 1er janvier 2007 Sécurité et confidentialité Confidentialité des renseignements personnelsConfidentialité des renseignements personnels –Application de ces 10 principes chez BMO ResponsabilitéResponsabilité –Tous les employés de BMO sont tenus à protéger les renseignements personnels de leurs clients; –Il existe un chef de la confidentialité; Collecte des renseignements personnelsCollecte des renseignements personnels –Pour contrer les fraudes; –Pour réaliser les opérations bancaires; –Pour évaluation de votre crédit. ConsentementConsentement –Demande dautorisation obligatoire pour transmission des renseignements personnels; Source:

Mise à jour le 1er janvier 2007 Sécurité et confidentialité Confidentialité des renseignements personnelsConfidentialité des renseignements personnels –Application de ces 10 principes chez BMO ConsentementConsentement –Possibilité de mettre fin au consentement. Limitation de la collecteLimitation de la collecte –Renseignements usuels + –NAS, état financier et état de santé. Limitation de lutilisation, de la communication et de la conservationLimitation de lutilisation, de la communication et de la conservation –Pas de vente de renseignements personnels; –Ne reçoit pas de renseignements personnels dune autre entreprise sans preuve de consentement; –Exception: vente dentreprise de BMO. Source:

Mise à jour le 1er janvier 2007 Sécurité et confidentialité Confidentialité des renseignements personnelsConfidentialité des renseignements personnels –Application de ces 10 principes chez BMO ExactitudeExactitude –Sengage à maintenir lexactitude des renseignements personnels; –Possibilité de correction auprès de BMO; –Possibilité de porter plainte auprès de BMO. Mesures de sécuritéMesures de sécurité –Assure la sécurité matérielle, électronique et organisationnelle des renseignements personnelle; –Mot de passe et chiffrement; –Entente avec les institutions qui sont en relation avec BMO. Source:

Mise à jour le 1er janvier 2007 Sécurité et confidentialité Confidentialité des renseignements personnelsConfidentialité des renseignements personnels –Application de ces 10 principes chez BMO TransparenceTransparence –Publication du code de confidentialité; –Disponible au grand public. Accès aux renseignements personnelsAccès aux renseignements personnels –Droit aux clients de vérifier ses propres renseignements personnels; Possibilité de porter plainte à légard du non-respect des principesPossibilité de porter plainte à légard du non-respect des principes –Affichage du nom de la personne et de son adresse daffaire qui reçoit les plaintes. Source: