Discussion

La littérature sur la fraude bancaire par hameçonnage est très riche et diversifiée. Dans ce travail nous avons regroupé les références consultées en cinq grandes catégories, notamment :

- les définitions;

- les techniques utilisées; - les contremesures;

- le marché noir (forums clandestins); - la victimisation.

De la première catégorie, il en ressort que cinq concepts sous-tendent la fraude bancaire par hameçonnage. Il y a la fausse représentation, l’usurpation, la dissimulation, la falsification et le marché noir. Quant au concept de l’anonymat, il n’est pas toujours mentionné explicitement dans les références que nous avons consultées et, pourtant, il est indissociable des activités de la cybercriminalité.

Pour ce qui est de la deuxième catégorie, l’examen de la littérature révèle que les techniques d’hameçonnage utilisées croissent au rythme d’apparition de nouveaux médias et de nouvelles applications (téléphone, SMS, navigateur web, gestionnaire de contact, réseaux sociaux, etc.).

Pour les contremesures, les résultats démontrent que les différentes approches proposées par le passé sont toutes réactives par nature et ont toutes des limites. La première limite identifiée concerne les filtres anti-hameçonnage. Il s’agit du taux d’erreurs de ces filtres et les conséquences sur la confiance de l’utilisateur envers ces filtres. Cette limite soulève la question de savoir quelles améliorations peut-on apporter à ces filtres anti-hameçonnage afin de réduire les taux d’erreurs (ex. faux positifs ou faux négatifs) ?

La deuxième limite concerne la confusion que créent la diversité des outils de gestion des navigateurs, des outils de gestion des mots de passe et l’absence de standard dans les navigateurs. Cette limite nous emmène à nous demander si une standardisation des outils de navigation et des outils de gestion des mots de passe réduirait le risque d’hameçonnage ?

La troisième limite concerne les mises à jour en temps réel des listes de restriction et des fichiers de journalisation. Cette limite peut être déclinée en trois sous-problèmes. Tout d’abord, il y a le problème de limitation des pouvoirs juridiques lorsque vient le moment de collaborer (à l’intérieur d’un pays et en dehors de ses frontières) pour mettre à jour voire supprimer rapidement les listes de sites malveillants. Ensuite, il y a un facteur purement humain. Et, enfin, il y a la nécessité de réagir rapidement, l'âge moyen des sites d'hameçonnage variant de quelques heures à quelques jours seulement (Purkait, 2012). Relativement à ces trois sous problèmes, nous posons, dans cette thèse, la question de savoir si un cadre juridique contraignant visant à favoriser l’échange des listes noires entre partenaires à l’intérieur d’un même pays et avec d’autres pays diminuerait-elle le temps de mise à jour des listes noires.

En ce qui concerne les listes blanches, le premier problème soulevé par l’examen de la littérature est que l’utilisateur peut ne pas respecter les messages d’alerte que lui renvoie le système, auquel cas, il peut se retrouver en train de visiter les sites malicieux, c’est à dire prendre plus de risque. Cette limite soulève la question fondamentale de l’attitude de l’internaute face aux messages d’avertissement des contremesures de sécurité :

Qu’est-ce qui explique qu’un internaute va prendre en considération ces messages et un autre va les ignorer.

Deux autres limites sur les contremesures ont été évoquées dans la littérature. Il y a la nécessité d’avoir des connaissances préalables sur l’authenticité des sites, sur la contrefaçon des sites et sur l’hameçonnage en général et il y a la négligence en cas de vol de cellulaire ou d’interception des

codes à usage unique envoyés par SMS. Ces deux problèmes renvoient à la question de formation et à la sensibilisation de l’internaute sur les enjeux de sécurité.

Cette question nous conduit inévitablement aux limites des programmes de formation que nous avons soulevées plus haut. Rappelons que l’une des difficultés majeures est que les formations contre l’hameçonnage ne sont pas renouvelées au rythme de parution des menaces. Or, pour faire face à une menace qui change à un rythme effréné, il faut des programmes de formation et de sensibilisation qui s’ajustent à ces changements. Ce problème se résume à l’importance qu’on accorde aux programmes de formation et de sensibilisation aux enjeux de sécurité informatique dans les organisations. Il découle de ce problème la question de recherche suivante :

Comment peut-on améliorer les formations et les campagnes de sensibilisation aux enjeux de sécurité ?

Relativement à la sécurisation des transactions bancaires en ligne, le problème principal que nous avons identifié dans les travaux antérieurs est qu’il existe une incompréhension ou un manque de connaissances chez les clients de la manière dont fonctionnent les contremesures opérationnelles mises en place pour sécuriser chaque transaction en ligne. Ce problème nous renvoie, une fois encore, au facteur humain et, par le fait même, à la formation et à la sensibilisation aux enjeux de sécurité.

En ce qui concerne les marchés noirs des renseignements volés par hameçonnage, le problème qui ressort de la revue de littérature que nous avons faite est l’absence des données réelles sur son fonctionnement. Ces données auraient permis d’analyser ces marchés afin de déterminer les facteurs clés sur lesquels agir si l’on veut réduire le risque de victimisation par fraude. En l’absence de ces données, nous nous sommes lancé le défi dans cette thèse de construire un modèle microéconomique qui aide à déterminer ces facteurs clés.

Enfin, par rapport à la victimisation par hameçonnage bancaire, l’examen de la littérature sur le sujet ne précise pas la nature de l’incident pour lequel on peut se considérer victime et, encore moins, les circonstances de survenance de cet incident. Pour des fins de cette recherche, nous proposons dans notre approche de réduction du risque un cadre de définition de la victimisation en nous inspirant en partie de chacune des définitions de Wall et S. Perreault. Aussi, la victimisation est utilisée dans cette thèse avec un sens différent du sens le plus courant. Il est le fait de devenir une victime, et non pas simplement de se considérer comme une victime.