Le phishingLe phishing
Date : avril 2005
En septembre 2004, est intervenue la première condamnation d’un français pour phishing.
Le phishing consiste à se faire passer pour une entité en ligne, une entreprise par exemple, en usurpant son identité et ainsi amener les utilisateurs à divulguer leurs données personnelles et bancaires.
Les fraudeurs reprennent les signes distinctifs de l’entreprise usurpée, comme sa marque, son logo, sa mise en page…
Les données qu’ils réussissent à obtenir sont ensuite exploitées ou vendues à des organisations malhonnêtes.
Phishing est issu des termes « fishing » signifiant pêche et « phreaking » invoquant le piratage de ligne téléphonique.
Selon Benoît TABAKA, il y a deux types de phishing. « Soit il y a récupération de numéro de carte bancaire, et là toutes les garanties traditionnelles fonctionnent, en vertu de la loi du 15 novembre 2001.
Soit il s′agit de récupération d′identifiants de connexion, et là l′internaute est responsable de ses données. La banque n′est donc pas tenue de le rembourser. »
Le phishing recourt à des emails et sites webs factices où les internautes n’ont plus qu’à entrer leur mot de passe, leur code bancaire, leur numéro de sécurité sociale…
Il existe aussi le pharming qui permet par le biais de malware et spyware de détourner les internautes des véritables sites vers les sites frauduleux.
Le 2 septembre 2004, un étudiant strasbourgeois a été condamné pour escroquerie par phishing. Il avait créé un site internet reproduisant celui du Crédit lyonnais. Ce qui lui a permis d’obtenir les mots de passe et coordonnées bancaires des clients.
Il a ainsi pu détourner 20 000 €. Il a été condamné à un an d’emprisonnement avec sursis et 8 500 € de dommages et intérêts.
L’organisme d’observation et de prévention du phishing, l’Anti-Phishing Work Group avait placé la France au dixième rang des pays les plus exposés en novembre 2004, un mois plus tard elle passait au cinquième rang avec 2,7% des 1 707 attaques recensées.
Alors que les Etats Unis se trouvent au premier rang avec 32% des attaques. Une loi anti-phishing a été adoptée par les sénateurs américains le 9 juillet 2004, The anti-phishing Act.
L’acte de mystifier un site web avec l’intention de « solliciter, de requérir ou d’inciter toute personne à fournir des moyens d’identification à une autre » est un crime fédéral.
En France, vu l’augmentation des attaques, le Forum des droits sur l’Internet rappelle des conseils de vigilance aux internautes :
1/ ne jamais communiquer des données sensibles (numéro de carte bancaire, identifiants personnels) en cliquant sur un lien envoyé par courrier électronique ;
2/ toujours vérifier, dans la barre d’adresse du navigateur, l’adresse du site internet avant de saisir les informations demandées ;
3/ toujours partir de la page d’accueil d’un site pour accéder aux autres pages, notamment celles où sont demandées des identifiants ;
4/ lors de la consultation de sites sécurisés (sites bancaires, par exemple), s’assurer de l’activation du cryptage des données (l’adresse du site doit commencer par https et non par http)
5/ en cas de doute, prendre contact directement avec l’entreprise concernée (votre banque, votre fournisseur d’accès à l’internet, etc.) pour lui signaler le message suspect.
Le FDI reviendra particulièrement sur le phishing à l′occasion du prochain rapport de l′Observatoire CyberConso prévu pour mars 2005.
Maggy RICHARD
Cabinet d’avocat Gérard PICOVSCHI
Ensemble vers le succès.
Ce site relève des traités internationaux et de la législation française sur les droits d'auteur et la propriété intellectuelle. La reproduction de tout ou partie de ce site est formellement interdite sauf autorisation expresse du Cabinet Picovschi. La reproduction des textes sur un support papier pour un usage personnel est autorisée sous réserve du respect de l’intégrité des documents reproduits et de la citation de la source du document sous la forme: < Document du site Internet http://www.avocats-picovschi.com >.
