L’une des colonnes de conseils les plus lues sur ce site est un article de 2018 intitulé « Plantez votre drapeau, marquez votre territoire », qui tentait de faire comprendre aux lecteurs l’importance de créer des comptes sur des sites Web tels que ceux de la Social Security Administration, de l’IRS et de d’autres avant que les escrocs ne le fassent pour vous. Un concept clé ici est que ces services n’autorisent qu’un seul compte par numéro de sécurité sociale – qui, pour le meilleur ou pour le pire, est l’identifiant national de facto aux États-Unis. Mais BreachTrace a récemment découvert que ce n’est pas le cas de tous les sites du gouvernement fédéral conçus pour vous aider à gérer votre identité en ligne.
Un lecteur qui a récemment été victime d’une fraude à l’assurance-chômage raconte qu’on lui a dit de créer un compte à la département de la Sécurité intérieurec’est Site Web myE-Verifyet placez un verrou sur son numéro de sécurité sociale (SSN) pour minimiser les risques que des voleurs d’identité puissent abuser de son identité pour frauder à l’emploi à l’avenir.
Selon le site Web, environ 600 000 employeurs sur plus de 1,9 million de sites d’embauche utilisent E-Verify pour confirmer l’admissibilité à l’emploi des nouveaux employés. Le portail client d’E-Verify, myE-Verify, permet aux utilisateurs de suivre et de gérer les demandes d’emploi effectuées via le système E-Verify. Il dispose également d’un « Self Lock » conçu pour empêcher l’utilisation abusive de son SSN dans E-Verify.
L’activation de ce verrou est censée signifier que pour l’année suivante, si une personne non autorisée tente d’utiliser frauduleusement un SSN pour une autorisation d’emploi, elle ne peut pas utiliser le SSN dans E-Verify, même si le SSN est celui d’un emploi autorisé individuel. Mais en pratique, ce service peut en fait ne pas dissuader les voleurs d’identité de vous faire passer pour un employeur potentiel.
À la demande du lecteur qui a tendu la main (et dans l’intérêt de suivre mes propres conseils pour planter son drapeau), BreachTrace a décidé de créer un compte myE-Verify. Après avoir vérifié mon adresse e-mail, on m’a demandé de choisir un mot de passe fort et de sélectionner une forme d’authentification multifacteur (MFA). L’option MFA la plus sécurisée proposée (un code à usage unique généré par une application comme Google Authenticator ou Authy) était déjà présélectionnée, j’ai donc choisi celle-ci.
Le site a demandé mon nom, adresse, SSN, date de naissance et numéro de téléphone. On m’a ensuite demandé de sélectionner cinq questions et réponses qui pourraient être posées si j’essayais de réinitialiser mon mot de passe, telles que « Dans quelle ville avez-vous rencontré votre conjoint » et « Quel est le nom de l’entreprise de votre premier emploi rémunéré. J’ai choisi des réponses longues et charabia qui n’avaient rien à voir avec les questions (oui, ces questions de mot de passe sont presque inutiles pour la sécurité et sont souvent la cause de prises de contrôle de compte, mais nous y reviendrons dans une minute).
Questions de réinitialisation du mot de passe sélectionnées, le site a ensuite posé quatre questions d’« authentification basée sur les connaissances » à devinettes multiples pour vérifier mon identité. le Commission fédérale du commerce des États-Unisc’est page d’introduction sur la prévention du vol d’identité lié au travail dit que les personnes qui ont placé un gel de sécurité sur leurs dossiers de crédit auprès des principaux bureaux de crédit devront lever ou dégeler le gel avant de pouvoir répondre à ces questions avec succès sur myE-Verify. Cependant, je n’ai pas trouvé que c’était le cas, même si mon dossier de crédit est gelé avec les principaux bureaux depuis des années.
Après avoir répondu avec succès aux questions de KBA (la réponse à chacune était « aucune de ces réponses », soit dit en passant), le site a déclaré que j’avais créé mon compte avec succès ! J’ai alors pu voir que j’avais la possibilité de placer un « Self Lock » sur mon SSN dans le système E-Verify.
Cela m’a obligé à choisir trois questions et réponses supplémentaires. Le site n’a pas expliqué pourquoi il me demandait de le faire, mais j’ai supposé qu’il me demanderait les réponses au cas où je choisirais plus tard de déverrouiller mon SSN dans E-Verify.
Après avoir sélectionné et répondu à ces questions et cliqué sur le bouton « Verrouiller mon SSN », le site a généré un message d’erreur indiquant que quelque chose s’était mal passé et qu’il ne pouvait pas continuer.
Hélas, la déconnexion et la reconnexion ont montré que le site avait effectivement continué et que mon SSN était verrouillé. Joie.
Mais je devais encore savoir une chose : quelqu’un d’autre pourrait-il se faire passer pour moi et créer un autre compte en utilisant mon SSN, ma date de naissance et mon adresse, mais sous une adresse e-mail différente ? À l’aide d’un navigateur et d’une adresse Internet différents, j’ai procédé à la recherche.
Imaginez ma surprise lorsque j’ai pu créer un compte séparé en tant que moi avec juste une adresse e-mail différente (encore une fois, les bonnes réponses à toutes les questions KBA étaient « aucune de ces réponses »). Lors de la connexion, j’ai remarqué que mon SSN était en effet verrouillé dans E-Verify. J’ai donc choisi de le déverrouiller.
Le système a-t-il posé l’une des questions d’identification qu’il m’a fait créer précédemment ? Non. Il vient de signaler que mon SSN était maintenant déverrouillé. La déconnexion et la reconnexion au compte d’origine que j’ai créé (à nouveau sous une adresse IP et un navigateur différents) ont confirmé que mon SSN était déverrouillé.
ANALYSE
De toute évidence, si le système E-Verify permet de créer plusieurs comptes en utilisant le même nom, adresse, numéro de téléphone, SSN et date de naissance, cela n’est pas idéal et va quelque peu à l’encontre de l’objectif d’en créer un dans le but de protéger son identité. d’une mauvaise utilisation.
De peur que vous pensiez que votre SSN et DOB sont en quelque sorte des informations privées, vous devez savoir que ces données statiques sur les résidents américains ont été exposées à plusieurs reprises dans d’innombrables violations de données, et dans tous les cas, ces chiffres sont disponibles à la vente sur la plupart des Américains via des sites Web sombres pour à peu près l’équivalent en bitcoins d’une boisson caféinée raffinée chez Starbucks.
Être incapable de passer par des questions d’authentification basées sur les connaissances sans d’abord dégeler son dossier de crédit auprès d’un ou de tous les trois grands bureaux de crédit (Equifax, Experian et TransUnion) peut en fait être un plus pour ceux d’entre nous qui sont paranoïaques à propos du vol d’identité. Je n’ai trouvé aucune mention sur le site E-Verify de la société ou du service qu’il utilise pour poser ces questions, mais le fait que le site ne semble pas se soucier de savoir si un gel est en place est troublant.
Et lorsque la bonne réponse à toutes les questions KBA qui sont posées est invariablement « aucune des réponses ci-dessus », cela diminue quelque peu la valeur de les poser en premier lieu. Peut-être que c’était juste la chance du tirage au sort dans mon cas, mais aussi troublant néanmoins. Quoi qu’il en soit, ces questions KBA sont notoirement faibles en matière de sécurité, car les réponses à celles-ci sont souvent extraites de dossiers qui sont de toute façon publics, et peuvent parfois être déduites en étudiant les informations disponibles sur les profils de médias sociaux d’une cible.
En parlant de questions idiotes, s’appuyer sur des « questions secrètes » ou des « questions de défi » comme méthode alternative pour réinitialiser son mot de passe est gravement obsolète et peu sûr. Une étude de 2015 par Google intitulé « Secrets, mensonges et récupération de compte” (PDF) a constaté que les questions secrètes offrent généralement un niveau de sécurité bien inférieur aux seuls mots de passe choisis par l’utilisateur. De plus, l’idée qu’un compte protégé par une authentification multifacteur puisse être sapé en réussissant à deviner la ou les réponses à une ou plusieurs questions secrètes (répondues honnêtement et peut-être localisées par des voleurs en exploitant ses comptes de médias sociaux) est gênante.
Enfin, les conseils donnés au lecteur dont la demande m’a initialement incité à m’inscrire à myE-Verify ne semblent pas avoir quoi que ce soit à voir avec le fait d’empêcher les voleurs d’identité de réclamer frauduleusement des prestations d’assurance-chômage en son nom au niveau de l’État. BreachTrace a suivi quatre lecteurs différents qui ont laissé des commentaires sur ce site au sujet d’avoir été victimes de fraude au chômage récemment, et aucun d’entre eux n’a vu de demandes à ce sujet dans leurs comptes myE-Verify après les avoir créés. Non pas qu’ils auraient dû voir des signes de cette activité dans le système E-Verify ; Je voulais juste souligner que l’un semble avoir peu à voir avec l’autre.