| Avocat
à la Cour, docteur en droit |
| |
|
|
|
Le "phishing" est un dérivé du terme "fishing" qui signifie "pêche" en anglais.
Il s'agit d'une technique de fraude qui consiste à envoyer un mail non sollicité à une personne, dans le but d'obtenir ses données confidentielles, souvent à caractère bancaire.
La pratique la plus simple consiste à faire miroiter à l'internaute une rétribution importante, en échange de son aide dans le transfert d'argent. Connue aussi sous le nom de "lettre nigériane", cette technique sert tout simplement à obtenir le numéro de compte bancaire d'un client, pour ensuite effectuer un virement au profit du pirate.
Le "phishing" peut également se présenter sous la forme plus sophistiquée d'un message reprenant l'identité d'un site dont vous êtes client, par exemple de votre banque en ligne, qui vous demande pour des raisons de sécurité, de ressaisir vos données. Afin que vous puissiez effectuer cette saisie, le message contient alors un lien vers le site pirate, copie conforme du site officiel d'origine.
|
La technique du "phishing" perçue sous différents angles
Compte tenu de son caractère relativement complexe, le "phishing" est susceptible d'être sanctionné sur divers fondements.
Il peut tout d'abord être appréhendé sous l'angle du spamming. Le pirate envoie en effet une quantité importante de mails à des personnes qui ne les ont pas sollicités, et ce dans le but de réussir à faire mordre à l'hameçon, le plus de personne possible. En cela, il constitue un manquement au principe d'interdiction du spamming, édicté à travers divers textes, et récemment consacré par la loi dans la confiance pour l'économie numérique (texte adopté le 6 mai 2004).
Le "phishing" peut également être sanctionné sur le fondement de l'infraction de collecte frauduleuse de données nominatives prévue par l'article 226-18 du code pénal. Une fois que l'utilisateur a mordu à l'hameçon, le pirate se procure en effet des données personnelles, et les traite de manière informatique, et ce, de manière frauduleuse. Cette infraction est punie de cinq ans d'emprisonnement, et de 300.000 euros d'amende.
Ensuite, pour mieux appâter sa victime, le pirate utilise souvent l'identité du site piraté. Il va par exemple utiliser la marque du site, et sa charte graphique, son contenu. Il contrefait ainsi la marque, et les droits d'auteur du site piraté. Infractions prévues par le Code de la propriété intellectuelle, et dont les sanctions ont récemment été aggravées par la loi Perben II, à trois ans d'emprisonnement, et 300.000 euros d'amende.
L'objectif final du "phishing" : l'escroquerie
Une fois que le pirate est en possession des données confidentielles, il peut perpétrer d'autres infractions pénales, qui constituent le but ultime de la pratique.
L'infraction principale est à n'en pas douter l'escroquerie. Le pirate utilise en effet le plus souvent les données confidentielles communiquées par l'internaute pour effectuer un virement sur son compte, ou des achats en lignes. L'escroquerie est punie de cinq ans d'emprisonnement et de 375.000 euros d'amende.
Mais le pirate peut également avoir pour "unique" intention d'utiliser vos identifiants afin d'accéder à la partie privée d'un site, ou un intranet.
Dans ce cas, pourrait s'appliquer l'infraction d'accès frauduleux à un système de traitement automatisé de données (STAD) prévue par l'article 323-1 du code pénal. Cette infraction est punie d'un an d'emprisonnement et de 15.000 euros d'amende.
Si le pirate ne se contente pas d'accéder au STAD, mais de l'entraver, ou de supprimer ou modifier les données qu'il contient, il encourt une peine aggravée de 3 ans d'emprisonnement et de 45.000 euros d'amende.
|
