Le phishing

Le phishing
Vous voulez plus d’informations ?
Contactez nous au +33(0)1 56 79 11 00

Nos attachés d'information sont à votre écoute et vous expliqueront notre fonctionnement.

Rencontrons-nous !

Nous sommes présents au 90 avenue Niel,
62 & 69 rue Ampère, 75017 Paris.

SOMMAIRE

Internet compte chaque jour plus d’internautes, consécutivement, les arnaques sur le web sont également en hausse : spamming, publicités trompeuses, mais aussi phishing. Ce terme qui vous est peut-être inconnu est pourtant attribué à une pratique frauduleuse qui génère d’importants préjudices pécuniaires. Avocats Picovschi, expert en NTIC à Paris ayant développé depuis plusieurs années sa pratique en la matière, a jugé opportun de vous expliquer en quoi consiste le phishing.

Qu’est-ce que le phishing ?

Le phishing, également appelé « filoutage » ou « hameçonnage », est le nom donné à une forme d’escroquerie qui s’est développée sur le Web.  Le phishing est souvent le fait d’un hacker qui se fait passer sur Internet pour une institution, une entreprise ou un organisme à qui l’on peut faire confiance (banque, opérateur téléphonique, assurance…), en usurpant son identité afin d’amener les utilisateurs à divulguer leurs données personnelles, tels que les données bancaires, des identifiants de connexion, le numéro de sécurité sociale ou le numéro fiscal, etc.  Les données qu’ils réussissent à obtenir sont ensuite exploitées à leur profit ou vendues à des organisations malhonnêtes.

Quels sont les procédés du phishing ?

Les fraudeurs ont généralement recours à différentes méthodes afin de duper les internautes.  Le phishing utilise souvent l’innocence et la confiance des internautes dans le numérique afin de récolter des informations.

La récolte illicite des informations peut, par exemple, s’effectuer par un hacker qui enverra une masse importante de mail (spam) aux particuliers en se présentant comme la CAF, les services des impôts ou encore une banque, etc. Dans ces mails, le hacker prendra soin de demander rapidement l’exécution d’une démarche, souvent en menaçant le particulier de pénalités ou de répercussions en l’absence de réponse rapide. Les prétextes pour la collecte des informations ne manquent pas : changement de sites, renouvellement des fichiers clients, problème informatique, une nouvelle règlementation, etc.

Souvent, un lien hypertexte sera présent dans l’email afin de réorienter l’internaute vers un site contrefaisant, imitant celui de l’organisme dont l’identité est usurpée (parfois avec beaucoup de succès). Pour usurper l’identité d’une entreprise ou d’une institution « de confiance », le mail pourra reprendre les signes distinctifs de l’entreprise usurpée, comme sa marque, son logo, sa mise en page...

Remplir les informations sur ce site permettra aux hackers mal intentionnés de vous extorquer vos informations confidentielles.

Prévention : comment limiter les risques ?

Sachez qu'en principe, aucun organisme ne vous enverra de courrier électronique afin d’obtenir vos coordonnées ou encore vos identifiants par mail. Il s’agit d’une règle de sécurité, afin de sécuriser les processus de transfert d’informations. De plus, en cas de doute, il sera plus prudent de ne pas cliquer sur le lien proposé dans le mail, mais de rejoindre le site de l’expéditeur (directement ou par un moteur de recherche). De même, vous pouvez téléphoner à l’organisme pour leurs demander, s’ils sont bien les véritables expéditeurs. Si tel n’est pas le cas, votre démarche mettra en garde l’organisme afin qu’ils puissent prévenir leurs autres utilisateurs.

Que faire si vous êtes victime de phishing ?

Le phishing s’est développé parallèlement aux développements des nouvelles technologies et de l’utilisation de plus en plus courante d’Internet et des boîtes mail. De nouveaux textes sont aussi venus encadrer cette manœuvre et de nombreuses mesures ont été mises en place pour prévenir ce type d’agissements et alerter les utilisateurs (filtres et logiciels protégeant les utilisateurs, URL commençant par https://…).

Que vous soyez dans la situation où vous avez subi une atteinte due à une usurpation d’identité, ou un préjudice financier du fait de l’utilisation frauduleuse de vos données personnelles, des recours vous sont offerts. Selon les cas, vous pourrez obtenir réparation (responsabilité civile) ou initier une action auprès des juridictions pénales.

Par exemple, l’article 226-18 du Code pénal dispose que : « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. » L’escroquerie et l’arsenal du droit pénal classique pourront également venir au service des victimes.

Les entreprises dont l’identité a été usurpée pourront également agir, selon les cas, sur le terrain de l’e-réputation ou de la contrefaçon. De plus depuis, la loi Loppsi II de 2011 d’orientation et de programmation pour la performance de la sécurité intérieure est ainsi venue créer un délit d’usurpation d’identité (226-4-1 al. 2 du Code pénal). L’auteur de tels faits encourt un an d'emprisonnement et 15 000 € d'amende.

Quant aux consommateurs, ils ont la possibilité de s’appuyer sur les articles du Code monétaire et financier pour ne pas subir un préjudice financier trop important en raison d'opérations de paiement non autorisées par l’utilisation de leurs données bancaires.

Attention toutefois à prendre toute mesure raisonnable pour préserver la sécurité de vos données bancaires ! Le fait pour une personne qui répond à un courriel frauduleux « qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage » pourrait constituer une faute (Cour de cassation, Chambre commerciale, 28 mars 2018, 16-200.18).

Avocat Picovschi, ayant des pôles d’expertise en droit des affaires, droit pénal, droit bancaire et droit des NTIC, pourra vous donner des conseils avisés et vous informer de manière précise sur les différentes solutions qui vous sont offertes.

Votre avis nous intéresse

* Ces champs sont obligatoires
En savoir plus sur le traitement des données