Une étude à paraître offre une vision originale sur le vol d’identité aux Etats-Unis : les victimes seraient ciblées de préférences en fonction de leurs revenus plutôt que du niveau de protection de leur machine, qui importerait finalement beaucoup moins qu’on ne le pense.

Les victimes du vol d’identité sélectionnées pour leurs revenus plutôt que pour la faiblesse de leurs systèmes ?

Une étude encore non-publiée d’Experian, citée par Dark Reading, offre un point de vue intéressant sur la fraude à l’identité aux Etats-Unis. Alors qu’on pourrait croire que les victimes du vol d’identité sont avant tout ciblées de manière opportuniste en fonction de la faiblesse de leur système (les escrocs « ratissent large » imagine-t-on), Experian montre qu’en fait plus la classe sociale d’un individu est élevée plus son risque d’être victime d’un vol d’identité augmente. Et cela quel que soit l’état de sécurité de sa machine ou ses connaissances en informatique.

Ainsi d’après les chiffres cités par Dark Reading les membres de la classe sociale la plus élevée du pays sont 43% plus susceptibles d’être victimes d’un vol d’identité que la moyenne des demandeurs de crédits évalués par Experian. La classe sociale suivante, moins privilégiée que la précédente mais toujours plus affluente que la moyenne, est encore à 22% de risque supplémentaire par rapport à la moyenne des ménages.

Et cela se vérifie globalement : le revenu moyen de l’ensemble des victimes de fraude à l’identité est 11% plus élevé que celui du demandeur de crédit moyen.

Le lieu de vie serait également un critère déterminant dans la probabilité de voir son identité dérobée aux Etats-Unis : les habitants des zones rurales connectés à Internet sont ainsi 60% moins susceptibles d’être victimes d’un vol d’identité.

Dernier point, très étonnant celui-ci : les loisirs pratiqués par les victimes semblent être également un critère de différentiateur dans le choix des victimes. Nous ne nous hasarderons pas à avancer une quelconque hypothèse ici, mais les statistiques d’Experian parlent d’elles-mêmes. Ainsi les individus intéressés par le tennis seraient 85% plus susceptibles d’être victimes d’un vol d’identité que ceux qui se moquent de la balle jaune. Viennent ensuite les amateurs de voyage à l’étranger (70%), les adeptes des Arts et de la culture (52%) et du ski (50%).

Relativisons tout de même ces derniers chiffres. Ce ne sont que ça : des chiffres à qui l’on pourra faire dire ce que l’on veut. En revanche la démarche d’Experian permet de nuancer l’idée reçue selon laquelle les utilisateurs les moins éduqués sont forcément les moins familiers avec l’outil informatique, leurs machines donc forcément les moins protégées, et qu’ils sont donc les premières victimes de la fraude. Loin de cette vision purement technique simpliste (utilisateur moins formé = machine vulnérable = exploitation), on découvre ici une situation un peu plus complexe.

Si l’on accepte l’hypothèse de départ selon laquelle des utilisateurs d’une classe sociale plus élevée sont globalement mieux éduqués et donc plus susceptibles d’avoir une machine à peu près protégée (ce qui peut être en soit sujet à débat !), il faut alors trouver une autre explication à leur risque de compromission plus élevé. Nous proposerons celle de l’ingénierie sociale.

Cela reviendrait à observer qu’en définitive le niveau de sécurité technique d’une machine ne compte pas réellement face à un attaquant motivé, mais que c’est plutôt la résistance de son utilisateur à l’ingénierie sociale qui fera la différence. Rien de très nouveau en soit, mais il y a désormais au moins des chiffres pour le démontrer !

Et justifier peut-être au passage le budget d’une campagne de sensibilisation ?