Le Phishing : Attrape-moi si tu peux.

par Pablo Nicoli, avocat au Barreau de Paris.

Au premier regard, le courriel présenté ci-dessus peut apparaître comme étant une requête pleinement légitime émanant du service bancaire VISA ; et ce, afin de vous alerter d’un risque de fraude sur votre compte bancaire.

Cependant, sous cet apparent vernis de bienveillance se cache en réalité un exemple topique d’une des arnaques les plus populaires et lucratives ayant court actuellement sur l’Internet : le phishing.

Tout d’abord, commençons par définir ce terme qui se propage comme une traînée de poudre sur la Toile.

Le mot phishing vient de la contraction des mots anglais « fishing » - signifiant « pêcher » - et « phreaking » (faisant référence à l’utilisation frauduleuse des lignes téléphoniques). 

Dès lors, s’il fallait imager cette pratique frauduleuse en conservant le champs lexical de la pêche, la pratique du phishing s’apparenterait au déploiement par les pirates informatiques de centaines – voire parfois de milliers - de lignes de pêche dans cet océan numérique qu’est l’Internet.

On comprend alors mieux pourquoi le phishing est bien souvent traduit en français par le terme « hameçonnage ».

Dans ce type de pêche, la victime n’est pas spécifiquement ciblée et les délinquants numériques se contentent d’envoyer en très grand nombre ces différents hameçons à des centaines, voire des milliers d’adresses courriels ; et ce, de manière automatisée et souvent procédurale.

[ Notez également qu’à l’inverse, il existe également le Spear Phishing, qui s’apparenterait davantage à de la pèche au harpon. Plus complexe, moins brouillonne et plus ciblée, cette pratique s’avère bien plus malicieuse et nécessite la mise en place par le pirate informatique d’un réel process de social engineering. ]

2. Le Phishing en quelques chiffres :

Les données statistiques des attaques de phishing recensées sont alarmantes tant par le volume qu’elles représentent que par leur évolution exponentielle.

140 attaques de phishing par heure

Selon l’Anti-Phishing Working Group (APWG), entité coordonnant la lutte contre la cybercriminalité aux États-Unis, 1,22 million d’attaques par phishing ont été enregistrées ; et ce, rien que pour l’année 2016.

L’étude de l’APWG précise également qu’il s’agit d’une hausse de 65 % par rapport à 2015. 

Près de 278.000 « faux sites » ont été détectés rien qu’au troisième trimestre. La plupart du temps, les courriels contiennent un lien similaire au vrai (par exemple : Gougle au lieu de Google), qui renvoie vers un site frauduleux qui va siphonner vos données en demandant votre mot de passe.

Les particuliers deux fois plus infectés que les professionnels

Les entreprises disposent – bien souvent - de moyens de défense plus élevés et plus sophistiqués (firewall, logiciels de sécurité…) que les simples particuliers.

D’après Microsoft, les ordinateurs de ces derniers sont 2,2 fois plus victimes de malwares que ceux des professionnels. 

[ Exception faite des exploits (éléments de programme permettant au logiciel malveillant de s’installer), aussi courants sur PC particuliers que professionnels, alors même que ces derniers sont deux fois moins nombreux. Preuve qu’il s’agit là d’une menace très sérieuse pour les entreprises. ]

Une entreprise subit 29 cyberattaques par an

Selon le C.E.S.I.N. (Club des Experts de la Sécurité de l’Information et du Numérique regroupant les responsables de la sécurité informatique de 280 sociétés tricolores), les entreprises françaises ont été victimes de 29 attaques informatiques en moyenne en 2016. Il est une fois de plus constaté une multiplication par deux du nombre d’attaques par rapport à l’année précédente. 

[ Le ransomware est le mode d’attaque favori des hackers, avec pas moins de 80 % des victimes déclarant en avoir subi, loin devant l’attaque par déni de service (40 %). ]

Si ces données peuvent paraître quelque peu datées, il conviendra d’admettre que les chiffres actuels sont considérablement plus vertigineux encore. 

En effet, au cours du mois de janvier 2019, Microsoft comptabilisait en moyenne 225 000 tentatives de phishing par jour. En février dernier, ils sont passés à 300 000 en moyenne avec un pic à 480 000.

L’urgence de la situation est patente et il conviendra donc d’être en mesure à décrypter les différentes étapes d’une telle attaque afin de pouvoir au mieux s’en protéger.

3. Le détail de l’attaque :

De manière générale, le process mis en place par les cyber-délinquants est quasiment systématiquement le même et peut se décortiquer comme suit : 

- Vous recevez un courriel semblant parvenir d’une entreprise de confiance (site de e-commerce, banque, PayPal, ou réseaux sociaux..),

- Ce courriel vous invitera à vous connecter par le biais d’un lien hypertexte à un site factice. Dans la grande majorité des cas, ledit site factice sera une copie conforme du site original (typographie, graphisme, logo…),

- Si vous avez eu le malheur de cliquer sur ce lien frauduleux, il y a fort à parier que l’on vous y réclamera sous divers prétextes fallacieux (mise à jour du service, mise à jour de votre mot de passe, vérifications diverses…) des informations confidentielles (coordonnées bancaires, données d’identification…),

- S’il s’avère que vous renseignez ces informations sensibles, les cyber-délinquants les utiliseront à des fins malhonnêtes, notamment pour pirater vos comptes et effectuer des virements de sommes d’argent qui deviendront – bien malheureusement pour vous – difficilement traçables.

Fort heureusement, dans la majorité des cas, le piège ne se refermera pas toujours sur son destinataire. 

En effet, les courriels étant envoyés à des adresses électroniques récoltées au hasard sur Internet ou via des listes de courriels achetées sur des blackmarkets, beaucoup d’internautes recevront un faux courriel d’une entreprise ou d’un établissement dont ils ne sont pas clients et passeront donc à travers les mailles du filet. 

De surcroît, un certain nombre d’éléments peuvent vous permettre d’identifier une tentative de hameçonnage. 

À cet égard, je vous invite à lire l’article "Comment repérer une tentative de Phishing".

      

4. Les réponses apportées par le droit pénal français :

Face à l’essor fulgurant de cette pratique de cybercriminalité, l’intervention du droit pénal apparaît plus que nécessaire.

Toutefois, il convient de se rendre à l’évidence : le phishing est une infraction qui reste bien souvent impunie ; et ce, notamment au regard des difficultés posées par les considérations liées au caractère souvent extraterritorial de ces infractions. 

En tout état de cause, lorsque le cyber-délinquant aura été démasqué, ce dernier pourra être poursuivi pour les infractions suivantes :

- L’usurpation d’identité, sur le fondement de l’article 434-23 du Code pénal, qui punit de 5 ans d’emprisonnement et 75 000 euros d’amende le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales.

Mais surtout, depuis la loi LOPSI II du 14 mars 2011, le « phishing » rentre dans le champ de la nouvelle incrimination relative à l’usurpation d’identité en ligne, que l’article 226-4-1 de Code pénal punit d’un an d’emprisonnement et de 15 000 € d’amende.

- L’escroquerie, sur le fondement de l’article 313-1 du Code pénal, qui punit de 5 ans d’emprisonnement et de 375 000 € d’amende « le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manoeuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque […] ».

- La contrefaçon de droits intellectuels (pages Web, marques, logo, chartre graphique..), notamment sur le fondement des articles L. 713-2 et L. 713-3 du Code de la propriété intellectuelle. Le propriétaire du site reproduit ou imité par le « phisheur » peut ainsi faire sanctionner l’usage de sa marque sur le fondement de la contrefaçon.

C’est en ce sens que le TGI de Paris s’était prononcé, le 21 septembre 2005, à l’encontre d’un étudiant qui avait créée une copie servile de la page d’enregistrement MSN, contrefaisant ainsi la marque Microsoft. Si la sanction prononcée était faible en l’espèce (500 euros d’amende avec sursis et 700 euros de dommages-intérêts à verser à Microsoft), le délit de contrefaçon est passible de 3 ans d’emprisonnement et 300 000 € d’amende.

- La collecte frauduleuse de données à caractère personnel, sur le fondement de l’article 226-18 du Code pénal, qui prévoit une peine de 5 ans de prison et de 300 000€ d’amende.

- L’atteinte à un système de traitement automatisé de données, sur le fondement de l’article 323-3 du Code pénal, qui punit de 2 ans d’emprisonnement et 30 000 € d’amende « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ».

Dès lors, en cas de survenance de telles infractions consécutives à un phishing, la victime doit se tourner vers un avocat expert en cybercriminalité afin que ce dernier puisse l’orienter sur les actions à mener (notamment via un dépôt de plainte) ainsi que sur les preuves à regrouper en vue de constituer un dossier solide et susceptible d’être accueilli favorablement par les juridictions.

De la même manière, votre avocat pourra vous orienter dans les démarches à accomplir auprès de votre banque dans l’éventualité où le cyber-délinquant aurait ponctionné des sommes sur votre compte bancaire après avoir utiliser frauduleusement vos identifiants.

En effet, il convient de préciser que la banque a l’obligation légale d’indemniser immédiatement la victime de l’arnaque à hauteur de ses pertes, à condition que cette dernière ait agi au plus tard dans les treize mois suivant la date du débit. 

L’article L.133-18 du Code monétaire et financier dispose en effet qu’ : 

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».

En revanche, bien que protégé par la loi, la victime se heurte parfois à la potentielle mauvaise foi de son banquier. 

Il est en effet courant de constater que face à la multiplication des demandes de remboursement liées au développement considérable de la pratique du « phishing », les banquiers tentent bien souvent d’échapper à leurs obligations en décourageant la victime de poursuivre la procédure d‘indemnisation. 

Toutefois, et c’est là que l’intervention d’un avocat peut s’avérer bénéfique – et extrêmement rentable – pour la victime, votre avocat pénaliste expert en cybercriminalité pourra contre-carrer les arguments de votre banquier afin que vous obteniez un remboursement des sommes perdues à cause d’arnaques sur l’Internet le plus rapidement possible.