Un des signes révélateurs de l’humanisation croissante de l’Internet est la présence de plus en plus fréquente et pluri-forme des arnaques. Dans un récentarticle, nous évoquions le cas du phishing qui nous a d’ailleurs amené à informer de ce danger nos concitoyens dans le cadre d’une émission de radio sur France Bleu.

Toujours sur le même thème, nous avons demandé au Cabinet Picovschi, créé en 1988 par Maître Gérard Picovschi et spécialisé en Droit de la Propriété Intellectuelle et des nouvelles technologies, de nous faire part d’un complément d’information sur ce que prévoit la loi et ce que préconisent les instances juridiques compétentes en la matière.

Hélène de Brettes Pour Domainews.fr / Domaine.info

En septembre 2004, est intervenue la premièrecondamnation d’un français pour phishing.

Le phishing consiste à se faire passer pour une entité en ligne, une entreprise par exemple, en usurpant son identité et ainsi amener les utilisateurs à divulguer leurs données personnelles et bancaires. Les fraudeurs reprennent les signes distinctifs de l’entreprise usurpée, comme sa marque, son logo, sa mise en page…

Les données qu’ils réussissent à obtenir sontensuite exploitées ou vendues à des organisations malhonnêtes.

Phishing est issu des termes « fishing » signifiant pêche et « phreaking » invoquant le piratage de ligne téléphonique. Selon Benoît TABAKA, il y a deux types de phishing. « Soit il y a récupération de numéro de carte bancaire, et là toutes les garanties traditionnelles fonctionnent, en vertu de la loi du 15 novembre 2001. Soit il s’agit de récupération d’identifiants de connexion, et là l’internaute est responsable de ses données. La banque n’est donc pas tenue de le rembourser. »

Le phishing recourt à des emails et sites webs factices où les internautes n’ont plus qu’à entrer leur mot de passe, leur code bancaire, leur numéro de sécurité sociale… Il existe aussi le pharming qui permet par le biais de malware et spyware de détourner les internautes des véritables sites vers les sites frauduleux.

Le 2 septembre 2004, un étudiant strasbourgeois a été condamné pour escroquerie par phishing. Il avait créé un site internet reproduisant celui du Crédit lyonnais. Ce qui lui a permis d’obtenir les mots de passe et coordonnées bancaires des clients. Il a ainsi pu détourner 20 000 €. Il a été condamné à un an d’emprisonnement avec sursis et 8 500 € de dommages et intérêts.

L’organisme d’observation et de prévention du phishing, l’Anti-Phishing Work Group avait placé la France au dixième rang des pays les plus exposés en novembre 2004, un mois plus tard elle passait au cinquième rang avec 2,7% des 1 707 attaques recensées.

Alors que les Etats Unis se trouvent au premier rang avec 32% des attaques. Une loi anti-phishing a été adoptée par les sénateurs américains le 9 juillet 2004, The anti-phishing Act. L’acte de mystifier un site web avec l’intention de « solliciter, de requérir ou d’inciter toute personne à fournir des moyens d’identification à une autre » est un crime fédéral.

En France, vu l’augmentation des attaques, le Forum des droits sur l’Internet rappelle des conseils de vigilance aux internautes :

1/ ne jamais communiquer des données sensibles (numéro de carte bancaire, identifiants personnels) en cliquant sur un lien envoyé par courrier électronique ;

2/ toujours vérifier, dans la barre d’adresse du navigateur, l’adresse du site internet avant de saisir les informations demandées ;

3/ toujours partir de la page d’accueil d’un site pour accéder aux autres pages, notamment celles où sont demandées des identifiants ; 4/ lors de la consultation de sites sécurisés (sites bancaires, par exemple), s’assurer de l’activation du cryptage des données (l’adresse du site doit commencer par https et non par http)

5/ en cas de doute, prendre contact directement avec l’entreprise concernée (votre banque, votre fournisseur d’accès à l’internet, etc.) pour lui signaler le message suspect.