Radio-Canada.ca / La Facture

Émission 239

Le mardi 18 février 2003

Ses factures d'Internet gonflent à son insu

De tout temps, les hommes ont essayé de protéger leur maison. Mais malgré les grilles, barbelés, serrures et systèmes d'alarme, rien ne semble pouvoir empêcher une fois pour toutes les voleurs d'y pénétrer. C'est la même chose avec votre ordinateur. Vous croyez pouvoir naviguer sur Internet en toute sécurité ? Détrompez-vous.

Le cas que nous allons vous présenter est troublant. Une dame de Saint-Louis-de-France, en Mauricie, a eu toute une surprise lorsqu'elle a découvert, en décembre dernier, que des pirates informatiques se servaient de son compte Internet Sympatico.

Une dame de Saint-Louis-de-France prend un abonnement de 10 heures par mois. « Pourquoi payer pour un forfait illimité quand on n'utilise même pas 10 heures par mois ? J'ai finalement opté pour un forfait de 10 heures par mois. Ça convenait à nos besoins. »

Un forfait à 9,95 $ par mois pour 10 heures d'accès. Chaque heure excédentaire est facturée au taux de 1,50 $. Le prélèvement se fait automatiquement dans le compte bancaire de la cliente. Mais en décembre dernier, l'abonnée a eu toute une surprise. Dans son relevé bancaire, il y avait un paiement fait à Sympatico de 510,04 $. Selon le relevé, pour un seul mois, Sympatico lui facture un total de 510 $ pour environ 289 heures d'utilisation, soit un montant nettement supérieur au forfait de 10 heures à 9,95 $.

« J'ai appelé Sympatico. Ils m'ont dit que j'avais dépassé mon temps. Ben voyons, ça ne se peut pas ! »

Mais ça ne s'arrête pas là. Elle apprend que sa prochaine facture est aussi salée. Sympatico lui a retiré 435 $, pour avoir encore une fois dépassé son temps d'utilisation. En trois mois, l'abonnée a reçu des factures totalisant plus de 100 $. Que s'est-il passé ?

Des inconnus se branchent à l'ordinateur de l'abonnée

« Il y a une personne qui s'est branchée à 23 h 53, et l'autre à 00 h 13. Deux personnes en même temps sur mon compte Internet. J'ai juste une ligne, je suis couchée et je dors ! »

Sympatico reconnaît qu'au moins deux personnes se sont introduites dans l'ordinateur et dans le compte de l'abonnée à son insu. Et pourtant, l'abonnée se sentait en sécurité avec ses codes d'accès. Elle ne pouvait pas s'imaginer qu'un intrus puisse s'infiltrer dans son ordinateur.

L'abonnée affirme qu'elle n'a pas donné ses codes d'accès. « Sympatico me dit que j'aurais divulgué les codes à quelqu'un. J'ai dit : "Écoutez, monsieur, est-ce que je donne mon numéro de carte de crédit, mon numéro d'identification personnel, voyons donc !" Il y a quelqu'un qui a fraudé. Il y a des pirates qui sont entrés dans mon ordinateur. »

La Facture a décidé de vous montrer comment il peut être facile d'entrer dans l'ordinateur de quelqu'un d'autre par le réseau Internet. Adonis Sawan est un expert en informatique et un ex-pirate repenti. Aujourd'hui, il est au service du Centre de recherche informatique de Montréal (CRIM). En quelques minutes, il a pris le contrôle d'un ordinateur qui n'est pourtant pas branché avec le sien. Adonis Sawan utilise Internet pour s'introduire dans l'ordinateur sans que l'usager ne s'en aperçoive.

« Vous ne voyez pas ce que je fais. Je sais qu'il y a des ouvertures dans votre machine. Je vais utiliser une de ces ouvertures pour prendre le contrôle total de votre machine. »

Non seulement Adonis Sawan voit tout sur l'écran de l'usager, mais il est aussi capable, à l'aide d'un logiciel, d'intercepter chaque touche tapée sur le clavier de l'autre ordinateur. Adonis Sawan peut en un rien de temps trouver un mot de passe pourtant confidentiel. Il est aussi capable de percer les secrets bancaires en enregistrant ce qui est tapé sur l'ordinateur. De cette façon, le contenu d'un compte bancaire peut disparaître facilement.

Protéger le réseau

Dans l'industrie, la plupart des fournisseurs Internet empêchent la connexion simultanée. Sympatico est l'un des rares à la permettre. L'ennui, c'est que les pirates peuvent se brancher simultanément sur le compte d'un abonné, à son insu.

Jacques Viau est directeur du centre de tests de logiciel du CRIM. « Permettre la communication simultanée sur un même compte, c'est un choix de client jusqu'à un certain point. Est-ce que cette façon de faire crée une vulnérabilité additionnelle ? Oui, effectivement, ça peut permettre à quelqu'un, si le poste de travail n'est pas sécuritaire, de voler le mot de passe, le compte de l'usager, et de l'utiliser pour faire autre chose avec. »

Dans le contrat de service de Sympatico, il n'est pas fait mention de la connexion simultanée. Le fournisseur Internet se dégage de toute responsabilité et rend le client responsable de tous les accès Internet à son compte, frauduleux ou non. Et le contrat de service de Sympatico va encore plus loin.

France Poulin, porte-parole, Bell Canada : « Les conditions du contrat sont très claires. Elles indiquent clairement que le client est responsable de son compte, de l'utilisation qu'il en fait et également de la protection de son information. Le client doit protéger son équipement mais il a aussi la responsabilité de protéger l'ensemble du réseau. »

Sympatico demande donc à ses clients de protéger « son réseau ». La compagnie avise également le client qu'elle n'a pas l'obligation de surveiller le service et qu'elle ne peut garantir la confidentialité aux utilisateurs.

Une facture difficile à trouver et à comprendre

L'abonnée de Saint-Louis-de-France n'a pu réagir plus rapidement pour contrôler ses factures parce que Sympatico n'émet que des factures électroniques. Pour accéder à son compte, l'abonnée doit se rendre sur le site de Sympatico et suivre les instructions. Ce qu'elle n'a, semble-t-il, jamais compris.

Après plusieurs minutes à naviguer sur le site de facturation de Sympatico, l'abonnée trouve finalement son compte. Le vocabulaire utilisé par Sympatico ne semble pas clair pour la dame.

« Ils seraient bien mieux d'écrire : - facturation - temps d'antenne. Je clique et j'arrive directement au bon endroit. »

Sympatico a accepté de créditer 1064 $ sur les 1300 $, en présumant que sa cliente est de bonne foi. Le fournisseur Internet considère que l'abonnée doit quand même verser 250 $. Elle conteste cette décision. Le fournisseur Internet admet qu'il n'a pas les moyens de retrouver les fraudeurs du compte de l'abonnée. La seule solution qui lui est proposée est de changer son mot de passe. Mais la dame ne prend plus de risque aujourd'hui.

« Ma fille le sait, elle a un petit cahier à côté de l'ordinateur. Elle marque l'heure d'entrée et l'heure de sortie, le temps qu'elle a pris. Et ça va être vérifié très régulièrement. S'il y a une journée où ça ne concorde pas, Sympatico va entendre parler de moi. »

Pour une protection optimale, il est recommandé d'installer un pare-feu dans votre ordinateur. Il s'agit d'un logiciel capable de fermer l'accès aux pirates. Ce n'est pas infaillible mais, comme une clôture, ça peut ralentir le travail des voleurs.

De son côté, l'abonnée de Saint-Louis-de-France a l'intention de récupérer les derniers 260 $ en poursuivant Sympatico à la Division des petites créances de la Cour du Québec.

Enfin, un autre truc pour mieux surveiller vos factures : vous pouvez plafonner le montant d'argent que votre fournisseur Internet perçoit automatiquement dans votre compte bancaire.

Hyperlien pertinent :

Cour du Québec, Division des petites créances

Reportage suivant