La Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (HADOPI) a lancé une alerte à la suite de l’envoi de fausses recommandations sur la toile. L’arnaque a toutefois mis en avant un problème dans le mode de communication du détail des œuvres téléchargées au destinataire des avertissements.
Depuis sa création, l’HADOPI est loin de faire l’unanimité auprès des utilisateurs d’internet. Instituée pour lutter contre le téléchargement illégal, la Haute Autorité envoie par voie électronique des recommandations aux cybernautes dont la ligne d’accès internet a permis la reproduction ou la mise à disposition sans autorisation d’œuvres protégées par le droit d’auteur, à charge pour ceux-ci de sécuriser leur ligne.
Or le 12 octobre dernier plusieurs internautes ont reçu une recommandation semblant émaner de la Haute Autorité qui, en plus du message d’avertissement habituel, comportait un lien cliquable permettant aux destinataires de consulter le détail des œuvres ayant fait l’objet de l’avertissement. Il s’agissait en réalité d’une tentative de phishing qui n’aboutissait pas à la collecte de données personnelles mais qui poussait les internautes à composer un numéro surtaxé.
Malgré les quelques fautes d’orthographe du message, et notamment la présence du mot «consulation » au lieu de consultation, le contenu restait crédible. En effet la confusion était possible, d’une part parce qu’un numéro de dossier était attribué à l’internaute et que d’autre part, le contenu du mail était similaire à l’exemple de recommandation présentée par l’HADOPI au début de son activité. La redirection vers un site dont l’interface était identique au site officiel de l’autorité a fini de créer un amalgame même si, le fait que le nom de domaine n’apparaisse pas en .fr et ne mentionne pas le terme HADOPI pouvait soulever quelques doutes. Quoi qu’il en soit un internaute peu attentif était alors informé que s’il souhaitait consulter le détail des œuvres téléchargées illégalement , celui-ci devait obtenir un code d’accès au moyen de numéros de téléphone qui s’avéraient être surtaxés.
Dès le 13 octobre l’HADOPI a réagit dans un communiqué de presse. Elle a rappelé que « les mails de recommandations de l’Hadopi ne comportent jamais de lien cliquable » et qu’il est possible de la contacter par un numéro non surtaxé. Elle a invité par la suite les internautes qui avaient un doute sur les messages d’avertissement reçus à prendre directement contact avec elle.
Ce n’est pas la première fois que de fausses recommandations sont envoyées au nom de l’HADOPI. Mais dans cette affaire, les choses sont un peu différentes. Les escrocs ont joué sur un point faible de la procédure mise en œuvre par la réponse graduée. En effet la loi a prévu que le détail des œuvres visées par la recommandation ne serait transmis à l’internaute que sur sa demande expresse afin de protéger sa vie privée.
L’article L.331-25 du code de la propriété intellectuelle dispose que les recommandations « indiquent les coordonnées téléphoniques, postales et électroniques où leur destinataire peut […]obtenir, […], des précisions sur le contenu des œuvres ou objets protégés concernés par le manquement qui lui est reproché. »
Or, malgré la permission de la loi, l’HADOPI considère que cette demande ne doit s’opérer que par voie postale ou téléphonique pour s’assurer que les données personnelles soient transmises au bon destinataire et non à un tiers. La communication par un formulaire en ligne suppose un encadrement du traitement automatisé des données à caractère personnel qui n’a jamais été mis en œuvre. Or selon le rapport d’activité de l’autorité, les trois quart des internautes qui prennent contact avec l’HADOPI s’intéressent au détail des œuvres qu’ils auraient téléchargées. Il est clair qu’en facilitant l’accès à ces demandes les escrocs s’assuraient un succès aisé. Cette arnaque traduit la difficulté des internautes à dialoguer avec la Haute Autorité. Le courriel, moyen de communication rapide et gratuit, correspond davantage au public concerné.
En tous les cas, il paraît évident que tous les internautes recevant une recommandation risquent de contacter l’HADOPI pour vérifier la fiabilité du message reçu, ce qui peut se retourner contre elle. Son standard pourra t-il supporter cette vague d’appel ? L’HADOPI va devoir encore perdre du temps et de l’énergie à faire un tri entre les vrais avertissements et les faux.
Au final quels sont les recours possibles pour les personnes escroquées ? La loi leur permet de porter plainte sur le fondement de l’article L.226-18 du code pénal.
Cet article dispose que : « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende ».
Il est également possible d’agir sur le fondement de l’escroquerie. Une disposition issue du nouvel article L.44-3 du code des postes et des télécommunications prévoit que le président de l’Autorité de régulation des communications électroniques et des postes (ARCEP) peut saisir le juge des référés pour suspendre les numéros de téléphone litigieux. L’HADOPI peut également saisir le juge sur le fondement de la contrefaçon de marque.
Il n’en reste pas moins que même si des numéros ont été suspendus le 13 octobre dans l’après-midi, il apparaît assez ironique qu’une autorité dont l’une des valeurs est la sécurisation et qui met en œuvre « un dispositif pédagogique de sensibilisation » des internautes à la surveillance de leur accès internet se retrouve acteur, malgré elle, d’une tentative de phishing. Nous pouvons constater que la solution anti-phishing adoptée par la Haute Autorité à savoir, l’envoie au format texte des recommandations, a été peu efficace. Pour un site jugé comme peu crédible et peu fiable par les votes des internautes eux-mêmes, il est clair que cette tentative de phishing risque de discréditer davantage la Haute Autorité.
Sources:
http://www.numerama.com/magazine/20166-attention-aux-faux-mails-hadopi.html
http://www.pcinpact.com/actu/news/66361-hadopi-arnaque-phishing.htm
http://www.pcinpact.com/actu/news/66367-hadopi-arcep-escroquerie.htm