Combler le « trou » dans la sécurité des données personnelles

En difficulté suite à la divulgation d'informations personnelles

Récemment, de nombreux utilisateurs de Facebook et de Zalo ont vu leurs comptes piratés. Les individus ont ensuite utilisé les comptes et les informations personnelles des personnes piratées pour envoyer des SMS à leurs connaissances afin d'emprunter de l'argent et de s'approprier des biens, entraînant de lourdes conséquences. Plus dangereuse encore est la pratique consistant à appeler des agences d'État, des services de police, des procureurs, etc., se faisant passer pour les victimes, les informant qu'elles sont impliquées dans une affaire particulière, sur laquelle la police enquête et vérifie, et qu'elles font l'objet d'un mandat d'arrêt du Parquet populaire, etc. ; elles sont invitées à déclarer leurs biens, leurs liquidités et le montant de leurs dépôts bancaires.

Après cela, les sujets ont proféré des menaces à l'encontre des victimes et leur ont demandé de transférer de l'argent ou de lire le code OTP afin de pouvoir transférer de l'argent sur leurs propres comptes sous couvert de vérification et d'enquête. Bien que de nombreuses victimes n'aient commis aucun acte répréhensible, les menaces et les pressions des sujets ont suscité de l'anxiété et les ont empêchées de reconnaître la fraude.

Comme l'étudiant NTTTr., résidant dans la commune de Nghi Phu, à Vinh, il étudie à l'université de Hô-Chi-Minh-Ville. Début 2023, Tr. a reçu un appel se faisant passer pour un policier enquêtant sur une affaire de blanchiment d'argent. Cet appel mentionnait également que Tr., dans une période difficile, avait vendu les informations d'autrui contre de l'argent. L'intéressé lui a également envoyé une fausse carte bancaire via Zalo. Il lui a ensuite demandé de transférer temporairement de l'argent sur le compte qu'il avait fourni pour l'enquête.

Selon l'intéressé, après avoir vérifié que Tr. n'avait commis aucun délit, il restituerait l'argent. Afin de renforcer la confiance de l'étudiant, l'intéressé a également envoyé à Tr. une décision approuvant l'ordonnance de détention provisoire du Parquet (falsifiée) sur laquelle figuraient le nom, l'année de naissance, le numéro de carte d'identité et l'adresse de Tr. à Vinh.

Paniqué, Tr. a transféré 5 millions de VND à la victime. Après cela, l'individu se faisant passer pour un policier a continué à demander à Tr. d'en transférer davantage. N'ayant plus d'argent, Tr. a appelé sa mère et lui a demandé de « me transférer 20 millions en fin de journée, je vous les rendrai ». Voyant que son enfant semblait paniqué et inquiet, Mme HTL, qui travaillait dans une agence de presse, lui a demandé la raison et a découvert que son enfant avait été victime d'une arnaque.

De même, le 3 mars, Mme LTH (53 ans, résidant dans la commune de Dien Yen, district de Dien Chau) a reçu un appel téléphonique d'une personne se faisant passer pour le capitaine de l'équipe d'enquête sur les crimes économiques de la police provinciale de Nghe An. Cette personne a informé Mme H. qu'elle détenait une importante somme d'argent déposée dans une banque dont les informations avaient été divulguées et que si elle ne les protégeait pas à temps, elle perdrait cet argent. Cette personne a demandé à Mme H. de fournir ses informations personnelles et de transférer 1 milliard de VND sur un compte au nom de Do Van Quynh dans une autre banque par « confidentialité ».

Croyant l'individu, Mme H. s'est immédiatement rendue au bureau des transactions bancaires pour retirer 1 milliard de VND de son livret d'épargne et a viré la somme sur le numéro de compte fourni. Après avoir transféré l'argent, Mme H. a contacté la personne se faisant passer pour un policier pour l'informer, mais le téléphone était injoignable. Soupçonnant d'avoir été victime d'une arnaque, Mme H. a signalé l'incident aux autorités.

Dès réception du signalement, la police a immédiatement demandé au service des transactions de la banque où Mme H. avait déposé et transféré l'argent de suspendre l'opération de transfert d'argent susmentionnée. Heureusement, la banque a rapidement bloqué le montant susmentionné et l'a restitué à la victime. Malgré les recommandations et les avertissements répétés des autorités, des cas d'escroquerie similaires à ceux mentionnés ci-dessus persistent.

Récemment, le 3 juillet 2023, le Département de la police criminelle (Police provinciale) a reçu un rapport d'une succursale bancaire concernant un groupe de personnes utilisant la haute technologie pour s'approprier une énorme quantité de biens.

Après une période de recours simultané à des mesures professionnelles, la police criminelle a identifié les auteurs comme étant Nguyen The Tuan (né en 1989) et Vo Trong Huy (né en 1988), tous deux résidant dans la province de Ha Tinh. La police criminelle a arrêté Tuan et Huy. Parallèlement, les domiciles des deux individus ont été perquisitionnés d'urgence. Lors de cette perquisition, les autorités ont saisi de nombreuses fausses cartes d'identité, cartes bancaires, cartes SIM 4G, documents contenant des informations de comptes bancaires et des mots de passe, etc.

La police a constaté que, de mai 2023 à juillet 2023, Nguyen The Tuan et Vo Trong Huy, en tant qu'« hommes de main », ont utilisé de fausses cartes d'identité pour se rendre dans des agences bancaires des provinces de Nghe An, Ha Tinh et Thanh Hoa afin d'y créer de faux comptes bancaires. Ils ont ensuite vendu des informations, notamment des mots de passe et des codes OTP, à un compte Telegram nommé « HN », pour des sommes allant de 1 à 1,5 million de VND. Grâce à cette méthode et à cette astuce, Nguyen The Tuan et Vo Trong Huy ont réalisé avec succès de nombreuses transactions et gagné d'importantes sommes d'argent.

Après avoir acheté de faux comptes à leurs « hommes de main », les individus portant le nom de compte « HN » ont utilisé des astuces pour pirater des comptes bancaires afin de s'approprier près de 2 milliards de VND.

Selon le représentant de la police criminelle, cet incident démontre l'existence d'une nouvelle méthode et d'une nouvelle ruse criminelle. Les criminels ont exploité les failles de sécurité des données clients des banques et des services de télécommunications pour commettre des délits.

Selon les statistiques des autorités, de début 2023 à aujourd'hui, 17 escroqueries en ligne ont été recensées dans la province, impliquant 26 participants, causant des pertes de 5 à 7 milliards de dongs. Outre les appels frauduleux, de nombreuses personnes sont également mécontentes des appels visant à proposer des services, à harceler ou à faire de la publicité.

Mme Tran Thi Le, résidant dans le hameau 2 de la commune de Trung Phuc Cuong (Nam Dan), a déclaré : « À plusieurs reprises, alors que j'étais occupée par mon travail, dans la circulation ou en train de faire une sieste, quelqu'un m'appelait soudainement pour me proposer d'acheter des biens, des services ou des biens immobiliers. Il se présentait comme une chaîne de télévision recrutant des collaborateurs, annonçant que mon abonnement était sur le point d'être bloqué… ce qui me mettait très en colère. Parfois, je me disais de ne pas répondre à ce numéro étrange, mais comme j'étais en déplacement et que je craignais que ce soit le numéro d'un client, je devais répondre. »

En fait, de nombreuses personnes sont confrontées à des appels harcelants et ennuyeux comme dans le cas de Mme Le, mais sont impuissantes et doivent appuyer sur le bouton muet ou bloquer le numéro.

Sensibilisation à la protection des données personnelles

Face à la divulgation et à la perte généralisées de données personnelles dans le cyberespace, le gouvernement a publié le 17 avril 2023 le décret n° 13/2023/ND-CP relatif à la protection des données personnelles. Ce décret entre en vigueur le 1er juillet 2023.

La publication du décret réglementant la protection des données personnelles est extrêmement nécessaire pour prévenir les actes de violation des données personnelles, affectant les droits et les intérêts des individus et des organisations ; et pour renforcer la responsabilité des agences, des organisations et des individus, en premier lieu des responsables du traitement des données personnelles.

L'article 8 du décret n° 13 stipule les actes interdits, notamment : le traitement des données personnelles en violation des dispositions de la loi sur la protection des données personnelles ; le traitement des données personnelles pour créer des informations et des données contre la République socialiste du Vietnam ; le traitement des données personnelles pour créer des informations et des données affectant la sécurité nationale, l'ordre et la sécurité sociaux, ainsi que les droits et intérêts légitimes d'autres organisations et individus ; l'obstruction des activités de protection des données personnelles des autorités compétentes ; l'exploitation des activités de protection des données personnelles pour violer la loi.

Français Notamment, le Décret 13 stipule : Les organisations et les personnes fournissant des services de marketing et de présentation de produits publicitaires ne sont autorisées à utiliser les données personnelles des clients collectées dans le cadre de leurs activités commerciales pour fournir des services de marketing et de présentation de produits publicitaires qu'avec le consentement de la personne concernée. Le traitement des données personnelles des clients pour fournir des services de marketing et de présentation de produits publicitaires doit obtenir le consentement du client, à condition que celui-ci connaisse clairement le contenu, la méthode, la forme et la fréquence de la présentation du produit. Les organisations et les personnes fournissant des services de marketing et de présentation de produits publicitaires sont responsables de prouver que l'utilisation des données personnelles des clients dont les produits sont présentés est conforme aux dispositions des Clauses 1 et 2 du présent Article.

Outre le décret n° 13, le Premier ministre a également publié la décision n° 964 approuvant la stratégie nationale de cybersécurité, visant à relever proactivement les défis du cyberespace jusqu'en 2025, avec une vision à l'horizon 2030 ; et la décision n° 1907 approuvant le projet « Propagande, sensibilisation et diffusion des connaissances sur la sécurité de l'information pour la période 2021-2025 ». En application des décisions du Premier ministre, le ministère de l'Information et des Communications a publié le 26 juin 2023 le communiqué officiel n° 2416 relatif à la participation à la campagne du Mois d'action visant à diffuser l'identification et la prévention de la fraude en ligne à l'échelle nationale, jusqu'au 20 juillet 2023.

Le document indique : « Ces derniers temps, les incidents de fuite d'informations, de données personnelles et de fraude en ligne ont augmenté. L'une des principales causes de l'insécurité de l'information est déterminée par la sensibilisation des utilisateurs. Par conséquent, la propagande et la diffusion visant à doter chaque individu des connaissances et des compétences de base pour garantir la sécurité de l'information sur le réseau sont un facteur clé pour créer un cyberespace sûr. »

Sur cette base, le 28 juin 2023, le Comité populaire provincial de Nghe An a publié le document n° 5188 ordonnant aux départements provinciaux, aux branches et aux syndicats, ainsi qu'aux comités populaires des districts, des villes et des villages de participer activement au « Mois d'action pour propager, identifier et prévenir la fraude en ligne » lancé par le ministère de l'Information et des Communications pour sensibiliser et développer les compétences des fonctionnaires, des employés publics, des étudiants, des citoyens, des agences, des organisations et des entreprises afin de garantir la sécurité dans le cyberespace, d'accélérer le processus de transformation numérique et de développer une infrastructure économique et sociale numérique durable.

Le Comité populaire de la province de Nghe An a publié la Directive n° 17 sur le renforcement des solutions de prévention et de lutte contre la criminalité liée aux technologies de pointe. Cette directive exige des services, antennes et organisations des provinces, districts, villes et bourgs qu'ils dirigent la promotion de la propagande, la diffusion des lois et des avertissements sur les méthodes et les astuces des activités criminelles afin que les fonctionnaires et la population soient informés et vigilants. Parallèlement, ils doivent prendre des mesures proactives pour améliorer la sécurité des réseaux informatiques et des données lors de la connexion et de l'accès au cyberespace.

Toutefois, en plus de la participation aux travaux d'alerte et de propagande, il faut perfectionner le système de réglementations et de sanctions suffisamment fortes pour dissuader les violations de la loi sur la protection des données personnelles ; il faut gérer strictement les actes d'échange, de commerce, de divulgation et de fuite d'informations personnelles du secteur fonctionnel.

Chaque citoyen doit être sensibilisé à la protection des informations personnelles ; réfléchir attentivement avant de fournir des informations personnelles telles que le numéro CCCD, le numéro de carte d'identité, le numéro de compte bancaire... à d'autres, limiter le partage d'informations sur les réseaux sociaux, pour se protéger du risque de divulgation et de fuite d'informations.