Les pirates du web ne manquent pas d’imagination et les juristes doivent faire preuve d’autant de réactivité pour enrayer la cybercriminalité. Ainsi, après la difficulté à instaurer la confiance pour les achats sur Internet via le paiement par carte bleue, un nouveau système de « pêche »frauduleuse aux données personnelles vient d’être recensé. Le phishing, contraction des mots « fishing », pêche, et « phreaking », désignant le piratage de lignes téléphoniques, est né. Les pirates récupèrent par le biais de courriels factices, ayant l’apparence d’un courriel officiel, des données personnelles leur permettant par exemple, de vider des comptes en banques. Cela s’est produit récemment avec des clients de la Société Générale et de la Bred. Une première condamnation en France d’un internaute qui envoyait des courriels ponctués de faux liens vers un site factice du Crédits Lyonnais, avait déjà été prononcée par le tribunal correctionnel de Strasbourg. L’individu avait été condamné pour tentative d’escroquerie, peine assortie de 8 500 euros de dommages et intérêts et un an de prison avec sursis. Par le biais de son site en trompe l’œil, l’individu avait pu détourner 20 000 euros, après avoir récupéré des données personnelles et usurpé l’identité des clients du Crédit Lyonnais. Le tribunal de Strasbourg s’était alors fondé sur des dispositions pénales en condamnant le prévenu pour escroquerie. Une deuxième condamnation a été prononcée par le Tribunal de grande instance de Paris le 21 septembre 2005. Le tribunal s’est fondé sur la détention et l’usage illicite de la marque Microsoft, la reproduction et la diffusion non autorisée de la page d’enregistrement du site MSN Hotmail. La contrefaçon de marque ayant ici été retenue faute d’autre solution juridique satisfaisante. L’escroquerie n’a pu être caractérisée, à défaut de preuves, « le dossier ne démontre pas que des données personnelles ont été frauduleusement obtenues ». Il faut soulever en l’espèce, la clémence du juge. L’étudiant de 20 ans (« phisheur ») n’a été sanctionné que de 500 euros d’amende avec sursis et 700 euros de dommages et intérêts à verser à Microsoft. Les magistrats ont en effet pris en compte la jeunesse du prévenu, le fait que la copie du site n’était que servile et rudimentaire et enfin, qu’aucune donnée personnelle n’avait été subtilisée. Face à cette variation de sanction, il apparaît nécessaire de créer une catégorie d’infraction reconnue pour enrayer ce fléau, et ne pas remettre en cause les transactions sur Internet. Certaines entreprises pourraient alors connaître un manque à gagner faute de confiance de la part des internautes dans les transactions sur Internet. Néanmoins, ces derniers devraient être sensibilisés sur l’existence d’URL des pages web, le phishing reposant sur la crédulité des internautes. Une loi sanctionnant l’usurpation numérique en tant que telle est actuellement à l’étude au Parlement. La pêche promet d’être bonne car selon deux brigades de la Police Judiciaire instruisant des plaintes, 90% des phishing ne seraient pas signalés compte tenu de l’impact négatif de cette pratique sur l’image et la crédibilité des entreprises. Enfin, soulignons que si les « phishés » sont dédommagés par leur banque ou autres fournisseurs de services, ces derniers, malheureux, se retrouvent alors face à un manque à gagner…qui fera le bonheur des assureurs en retour.
Sources : Pcinpact.com ; ZDNet.fr
Sophie SAVAIDES