"Phishing": que risquent les auteurs et leurs victimes ?

Diffamations, atteintes à la vie privée, fraudes informatiques, « hacking », « happy slapping »: les comportements illicites pullulent sur le net. Et, face à l’essor de cette « cybercriminalité », l’intervention du droit pénal apparaît plus que légitime. Dernière arnaque à la mode : le « phishing ».

Cette fraude à grande échelle, certainement la plus répandue sur Internet, fait près de 20 000 victimes en France chaque année et s’élèverait à plusieurs centaines de milliers d’euros.

Le « phishing », qu’est-ce que c’est ?

Contraction des mots « fishing » (pêcher) et « phreaking » (utilisation frauduleuse des lignes téléphoniques), le « phishing » (ou hameçonnage) n’est ni plus ni moins qu’une partie de pêche géante où des « cyber-escrocs » lancent un grand nombre de lignes dans l’espoir qu’un internaute finisse par mordre à l’hameçon.

Le scénario est le suivant : vous recevez un mail semblant parvenir d’une entreprise de confiance (banque, site de commerce ou de paiement en ligne, réseau social..) vous invitant à vous connecter par le biais d’un lien hypertexte à un site factice, copie conforme du site original (graphisme, logo…) où l’on vous réclame sous divers prétextes (mise à jour du service, vérifications…) des informations confidentielles (coordonnées bancaires, données d’identification…). Informations que les « cyber-gredins » utiliseront à des fins malhonnêtes, notamment pour pirater vos comptes et effectuer des virements de sommes d’argent.
Fort heureusement, le piège ne se refermera pas toujours sur son destinataire. En effet, les e-mails étant envoyés à des adresses électroniques récoltées au hasard sur Internet, beaucoup d’internautes recevront un faux courriel d’une entreprise ou d’un établissement dont ils ne sont pas clients et passeront donc à travers les mailles du filet.
Au surplus, il est souvent aisé d’identifier une tentative de « phishing », de part les erreurs de syntaxe et les fautes d’orthographe contenues les e-mails. Et pourtant, nombreux sont encore ceux qui mordent à l’hameçon…

Que risquent les « phisheurs » ?

Difficile à traquer, le « phisheur » risque gros une fois démasqué. En effet, l’auteur d’un « phishnig » pourra être poursuivi pour :

§  Usurpation d’identité,

Sur le fondement de l’article 434-23 du Code pénal, qui punit de 5 ans d’emprisonnement et 75 000 euros d’amende le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales.   Mais surtout, depuis la loi LOPSI II du 14 mars 2011, le « phishing » rentre dans le champ de la nouvelle incrimination relative à l’usurpation d’identité en ligne, que l’article 226-4-1 de Code pénal punit d’un an d’emprisonnement et de 15 000 € d’amende.

§  Escroquerie,

Sur le fondement de l’article 313-1 du Code pénal, qui punit de 5 ans d’emprisonnement et de 375 000 € d’amende « le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque […] ».

§  Contrefaçon de droits intellectuels (pages Web, marques, logo, chartre graphique..),

Notamment sur le fondement des articles L. 713-2 et L. 713-3 du Code de la propriété intellectuelle. Le propriétaire du site reproduit ou imité par le « phisheur » peut ainsi faire sanctionner l’usage de sa marque sur le fondement de la contrefaçon. C’est en ce sens que le  TGI de Paris s’était prononcé, le 21 septembre 2005, à l’encontre d’un étudiant qui avait créée une copie servile de la page d’enregistrement MSN, contrefaisant ainsi la marque Microsoft. Si la sanction prononcée était faible en l’espèce (500 € d’amende avec sursis et 700 euros de dommages-intérêts à verser à Microsoft), le délit de contrefaçon est passible de 3 ans d’emprisonnement et 300 000 € d’amende.

§  Collecte frauduleuse de données à caractère personnel,

Sur le fondement de l’article 226-18 du Code pénal, qui prévoit une peine de 5 ans de prison et de 300 000 € d’amende. 

§  Atteinte à un système de traitement automatisé de données,

Sur le fondement de l’article 323-3 du Code pénal, qui punit de deux ans d’emprisonnement et 30 000 € d’amende « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ».

Que risquent les « phishés » ?

A priori, pas grand-chose. Car si le « phishé » peut voir son compte en banque vidé en quelques minutes, il devrait pouvoir récupérer son argent sous bref délai. La banque a en effet l’obligation légale d’indemniser immédiatement la victime de l’arnaque à hauteur de ses pertes, à condition que cette dernière ait agi au plus tard dans les treize mois suivant la date du débit. C’est du moins ce que prévoit l’article L.133-18 du Code monétaire et financier : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».

Protégé par la loi, le « phishé » devra encore surmonter la potentielle mauvaise foi de son banquier. En effet, face à la multiplication des demandes de remboursement liées au développement considérable de la pratique du « phishing », les banquiers ne suivent plus. Ils tenteront donc bien souvent d’échapper à leurs obligations en décourageant la victime de poursuivre la procédure d‘indemnisation.
Que le « phishé » ne s’y méprenne pas, les arguments invoqués par son conseiller pour refuser ou retarder l‘indemnisation (obligation de déposer plainte, obligation de souscrire à une assurance de moyens de paiement…) doivent tous être invalidés. Par ailleurs, les conditions générales de la banque ne sauraient primer sur la loi, laquelle impose un remboursement immédiat.

Chronique co-écrite par Marion Barbezieux, Juriste.     

Phishing