Parfois en novembre, quelqu’un est entré dans un bureau de poste américain et a rempli un formulaire de changement d’adresse, tout comme des dizaines de millions de personnes le font chaque année pour acheminer leur courrier vers une nouvelle adresse. La personne a signé le formulaire, l’a remis et est sortie. Cela a suffi à déclencher un effet domino qui a bouleversé la vie d’un ancien dirigeant de Microsoft à plusieurs États, car la personne qui a signé le formulaire a effectivement détourné l’adresse du domicile du dirigeant en quelques minutes seulement.
La fraude repose sur une simple faille dans la façon dont le service postal américain traite les changements d’adresse. Ce n’est ni une technique nouvelle ni particulièrement sophistiquée, et elle est connue depuis longtemps des fraudeurs et des enquêteurs fédéraux. Un formulaire de changement d’adresse déposé frauduleusement peut avoir des retombées durables pour les milliers de personnes dont le courrier est détourné et réacheminé chaque année, les criminels pouvant obtenir des factures, des cartes de crédit et d’autres informations sensibles pouvant être utilisées pour piller des comptes bancaires ou effectuer des achats frauduleux. .
Ce qui est plus déconcertant, c’est qu’il semble y avoir une solution tout aussi simple. Mais bien que l’USPS reconnaisse qu’il y a un problème, il ne dirait pas comment il prévoit de combler l’échappatoire qui permet aux fraudeurs de tirer profit de l’identité de quelqu’un d’autre.
L’ancien dirigeant de Microsoft, qui a demandé à ne pas être nommé mais a accepté de raconter son histoire à TechCrunch, n’est pas naïf face aux menaces de cybersécurité et de confidentialité. Mais de son propre aveu, l’ancien dirigeant a déclaré qu’il ne savait pas qu’il était si facile pour quelqu’un de changer son adresse de manière malveillante sans son consentement, sans parler d’ouvrir les portes aux criminels pour piller ses comptes ou potentiellement accumuler des milliers de dollars en achats frauduleux. . Tout cela, dit-il, est dû à un simple formulaire papier qui est remis au bureau de poste sans trop de réflexion.
USPS a traité quelque 36 millions de changements d’adresse en 2021. Il existe deux façons de changer une adresse. La plupart des gens remplissent le formulaire en ligne en fournissant leur ancienne et leur nouvelle adresse, puis paient 1,10 $ pour la commodité de la rapidité. L’autre moyen – toujours utilisé par une minorité significative de personnes – consiste à remplir le formulaire papier dans un bureau de poste local de l’USPS.
Ni le formulaire en ligne ni le formulaire papier n’obligent la personne à présenter une preuve de son identité. Le formulaire en ligne, au moins, nécessite un petit paiement, qui n’est en aucun cas une vérification de l’identité d’une personne, mais il laisse une trace papier numérique qui le rend finalement traçable à quelqu’un. Mais USPS s’appuie presque entièrement sur le système qui fait confiance à la personne qui signe le formulaire papier, quelle qu’elle soit.
Après avoir rempli ce formulaire, rien ne garantit que l’USPS vérifiera l’identité de la personne soumettant la demande de changement d’adresse. Crédits image : Tech Crunch
Le formulaire papier est officiellement connu sous le nom de formulaire PS 3575. Aussi bureaucratique que soit la paperasserie gouvernementale, ce formulaire est à la fois d’une simplicité rafraîchissante et remarquablement ennuyeux. Vous devez demander le formulaire de la taille d’une carte postale dans un bureau de poste USPS, ce que nous avons fait – pour le journalisme ! La personne le remplit ensuite avec son nom, son ancienne adresse, sa nouvelle adresse et la durée pendant laquelle elle souhaite réacheminer son courrier.
La dernière chose à faire est de signer le formulaire et de le remettre à un facteur ou de le déposer dans la fente aux lettres à l’intérieur du bureau de poste. Mais en plus d’un avis au verso avertissant que remplir le formulaire avec de fausses informations pourrait entraîner des accusations criminelles (si pris), il n’y a aucune garantie que l’USPS vérifiera l’identité de la personne soumettant un formulaire papier de changement d’adresse. C’est la faille simple que les fraudeurs exploitent pour détourner les adresses personnelles, voler leurs cartes de crédit et faire des ravages sur leurs comptes bancaires.
Une fois qu’un formulaire est remis et traité, USPS envoie deux lettres, une lettre à l’ancienne adresse et une autre à la nouvelle adresse, informant le résident que le changement d’adresse a eu lieu. Mais ces lettres peuvent, et sont, facilement manquées, et les lettres elles-mêmes ne nécessitent pas l’attention ou l’interaction du client, uniquement si la personne souhaite «voir ou annuler» une demande de changement d’adresse non autorisée.
Non seulement cette faille n’est pas nouvelle, mais elle est largement documentée. Dans un cas particulièrement comique de 2017, un résident d’Atlanta a été arrêté pour avoir encaissé des chèques qu’il avait détournés du siège social du géant de l’expédition UPS, ce qui a entraîné l’accumulation de masses de courrier devant l’appartement du malheureux fraudeur. Pourtant, il a fallu près de trois mois à UPS pour remarquer que son courrier n’arrivait pas.
Une lettre de l’une des banques de l’ancien dirigeant, qu’il a partagée avec TechCrunch, corrobore son compte et a confirmé que la banque a effectué le changement d’adresse dans ses systèmes « à la suite de données reçues du United States Postal Service (USPS) indiquant qu’un un changement d’adresse s’est produit. Parce que l’USPS avait accepté le changement d’adresse frauduleux effectué au nom de l’ancien dirigeant, l’USPS a transmis la nouvelle adresse établie par les fraudeurs à d’innombrables autres sociétés, y compris ses banques. USPS vend depuis longtemps les données de changement d’adresse à des courtiers en données, qui revendent ces informations à quiconque souhaite les acheter, comme les institutions financières.
Heureusement pour lui, il a attrapé la fraude avant que les criminels ne puissent causer des dommages irréversibles, mais il a quand même fallu des semaines pour remettre ses comptes – et son adresse personnelle – en ordre. Mais la fraude au changement d’adresse touche toujours chaque année des milliers de personnes qui n’ont pas l’influence d’un ancien responsable technologique pour retrouver une vie normale.
Pour comprendre comment le service postal américain réduisait ce type de fraude au changement d’adresse étant donné que cela reste un problème persistant, TechCrunch a demandé à USPS de commenter.
Les porte-parole de l’USPS, Sue Brennan et Tatiana Roy, ont refusé de commenter et ont renvoyé notre e-mail au US Postal Inspection Service, ou USPIS, la branche chargée de l’application de la loi de l’USPS, qui a fourni à TechCrunch une déclaration passe-partout – dont certaines se sont répétées – mais n’a pas dit comment le service postal américain prévoyait d’empêcher la fraude au changement d’adresse. L’USPIS a envoyé sa réponse à partir d’une adresse e-mail générale anonyme et a refusé à plusieurs reprises de fournir le nom d’un porte-parole à la demande de TechCrunch, bien que ce soit une pratique courante pour les journalistes. Lorsqu’elle a été contactée par e-mail, Ariana Ramirez de l’USPIS a également refusé de fournir le nom du porte-parole des médias du département.
Dans sa déclaration standard, l’USPIS a déclaré que « lorsque ces situations se présentent, l’USPS réévalue ses contrôles internes pour répondre aux problèmes de sécurité », sans dire quels étaient ces contrôles internes, le cas échéant, ni s’ils ont mis en œuvre des changements. Nous avons demandé à nouveau, mais n’avons pas reçu de réponse.
« Les clients sont encouragés à surveiller la réception de leur courrier, en le récupérant quotidiennement dans leur boîte aux lettres ou via la livraison informée en ligne », ajoute le communiqué, faisant référence au service en ligne qui permet aux résidents de prévisualiser leur courrier et colis USPS entrants. Mais bien que la vérification régulière de votre boîte aux lettres puisse aider à remarquer le courrier manquant avant qu’il ne soit trop tard, ce n’est en aucun cas infaillible. C’est pourquoi les fraudeurs continuent de le faire.
Ni USPS ni USPIS n’ont mentionné ce qui semble être une solution évidente. Si le formulaire en ligne nécessite un petit paiement pour réduire les risques de fraude, pourquoi ne pas vérifier la preuve d’identité de la personne lors de la remise du formulaire en personne ?
Ce n’est pas une idée nouvelle. L’organisme de surveillance indépendant qui supervise le service postal, le Bureau de l’inspecteur général de l’USPS (ou USPS OIG), s’inquiète depuis des années de la fraude au changement d’adresse. L’USPS OIG a déclaré dans son rapport d’audit de 2018, qu’il a initié sur la base des préoccupations des législateurs, des organes de presse et des plaintes des clients, que le service postal n’exigeait pas que les clients présentent une pièce d’identité gouvernementale, telle qu’un passeport ou un permis de conduire, pour examen lors de la soumission d’un formulaire papier de changement d’adresse. L’organisme de surveillance a noté que plusieurs services postaux à l’étranger, notamment l’Australie, le Canada et le Royaume-Uni, exigent tous une certaine forme de contrôle d’identité lors de la soumission manuelle d’un formulaire de changement d’adresse, mais qu’ils acceptent également une gamme de documents pour ceux qui n’ont pas de pièce d’identité émise par le gouvernement.
L’USPS OIG a été clair dans ses conclusions. « L’absence d’une politique nationale pour soutenir un tel contrôle des exigences d’identification peut perpétuer des activités frauduleuses supplémentaires et nuire à la marque du service postal en tant que fournisseur de confiance. »
À la suite de l’audit, l’USPS a déclaré qu’il prévoyait de mettre en œuvre des contrôles d’identité émis par le gouvernement pour les formulaires papier de changement d’adresse d’ici la fin mars 2019.
Le porte-parole de l’USPS OIG, Bill Triplett, a déclaré à TechCrunch que l’USPS était d’accord avec les conclusions de l’inspecteur général de son rapport d’audit de 2018 et que les recommandations ont été clôturées en août 2019, indiquant que le problème est résolu. Le porte-parole a déclaré que l’USPS « a fourni des documents démontrant que les vendeurs ont besoin d’une pièce d’identité pour traiter les demandes de changement d’adresse en personne ».
Lorsqu’on lui a demandé si l’USPS appliquait cette politique : « Le service postal dispose des informations les plus récentes sur la manière dont il applique ses politiques. En règle générale, une fois que nous clôturons une recommandation basée sur les pièces justificatives fournies par le service postal, nous ne terminons pas les travaux de suivi pour vérifier s’ils continuent de la mettre en œuvre », a déclaré le porte-parole.
L’USPS OIG a déclaré qu’il « envisagerait d’auditer ce sujet à l’avenir ».
Pour dire la partie calme à voix haute, l’USPS n’applique pas correctement sa propre politique en matière de contrôle d’identité lorsque quelqu’un dépose un formulaire papier de changement d’adresse. L’USPS n’a pas encore commenté ou identifié les efforts déployés pour réduire ce type de fraude.
Ce n’est pas seulement le cas d’un ancien cadre de Microsoft qui n’a pas eu de chance et est passé entre les mailles du filet. KIRO 7 News, basé à Seattle, a couvert cette histoire il y a à peine six mois et est parvenu aux mêmes conclusions. Après avoir rendu compte d’une famille locale qui avait été confrontée à ce problème à deux reprises, l’USPS a rejeté l’épreuve de la famille en affirmant que le vol d’identité « ne peut pas se produire » par la fraude au changement d’adresse.
« Mais cela ne tient pas compte du fait que quelqu’un ne demande pas de pièce d’identité au comptoir », a écrit KIRO 7 News, pointant directement la faille du système.
Un contrôle d’identité n’a pas besoin de s’appuyer sur une grande base de données d’informations ou sur la tenue d’un registre d’enregistrements pour les décennies à venir. Il ne devrait pas exiger plus qu’une personne montrant simplement à un travailleur postal sa preuve d’identité, ou un document similaire, lorsqu’il remet le formulaire, tout comme les systèmes postaux le font dans d’autres pays. Vérifiez leur nom, et rien de plus. Et bien qu’aucun système ne soit jamais parfait, un bref coup d’œil sur l’identité ou les documents d’une personne rendrait beaucoup plus difficile le changement d’adresse de quelqu’un sans sa permission.
Sinon, personne ne peut faire grand-chose pour prévenir ce type de fraude sans un certain niveau de vigilance constante. Mais à un moment donné, cela ne devrait pas être la responsabilité du consommateur, alors que l’USPS pourrait appliquer la solution qu’il aurait corrigée il y a quatre ans.
« Pour les élections, pour les questions financières, tout le monde compte sur la Poste », m’a dit l’ancien cadre. Pourtant, pour une faille simple mais dévastatrice avec une solution tout aussi simple, il a dit qu’il ne pouvait pas comprendre pourquoi l’USPS « ne fait rien ».
Contactez le bureau de sécurité sur Signal et WhatsApp au +1 646-755-8849 ou par e-mail. Vous pouvez également nous faire part d’histoires ou partager des documents en toute sécurité via SecureDrop.