La répression du spamming, du phishing et du pharming

Dans le cadre du séminaire assuré par Monsieur Joël FERRY :

ORDRE PUBLIC ET NOUVELLES TECHNOLOGIES

Comment le SPAMMING, le PHISHING et le PHARMING, peuvent-ils être réprimés en France ?

I / La définition du Spam et son encadrement juridique

A/ La définition du spam

La CNIL l’a défini comme « l’envoi massif et parfois répèté de courrier électronique non sollicité, le plus souvent à caractère commercial à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse électronique dans les espaces public de l’Internet. »(Forum de discussion, liste de diffusion, annuaire, site web…)

Eléments d’identification

• Message électronique : les spams transitent par voie électronique. Principalement par les courriers électronique, mais d’autres canaux de transmission sont utilisés dans plusieurs pays (spam mobile : SMS et MMS, spam sur IP, etc.)

• Dissimulation ou falsification de l’origine des messages : les spams sont souvent envoyés de manière à ce que l’identité de l’expéditeur soit dissimulée derrière des informations d’en-tête fausses. Les spammeurs utilisent souvent sans autorisation des serveurs de messagerie tiers.

• Un spam ne propose pas d’adresse valide et fonctionnelle à laquelle les destinataires peuvent envoyer un message pour demander de ne plus recevoir de messages non sollicités.

• Contenu illégal ou condamnable : le spam est souvent vecteur de contenus frauduleux ou trompeurs, de virus, etc. Il peut aussi contenir des contenus pornographiques ou condamnables qui peuvent être illégaux dans certains pays, en particulier lorsqu’ils sont adressés à des mineurs.

• Utilisation d’adresses sans le consentement du propriétaire : Les spammeurs utilisent souvent des adresses de courriel collectées sans le consentement explicite de leur propriétaire, souvent en utilisant des logiciels qui recueillent sur le Web ou génèrent des adresses de courrier électronique (collecte et attaque dictionnaire).

• Envois en nombre et répétés : les spammeurs envoient généralement leurs messages en masse et de manière non sélective, sans avoir aucune autre information sur les destinataires que leur adresse électronique.

Le spam se matérialise par l’envoi d’un courrier électronique, il convient dès lors de définir ce qu’englobe la notion de courrier électronique : La LCEN le défini comme étant « tout message, sous forme de texte, de voix de son ou d’image, envoyé par un réseau public que communication, stocké sur un serveur de réseau ou dans l’équipement terminal du destinataire, jusqu’à ce que ce dernier le récupère ». Les spams se retrouvent essentiellement sur les boîtes mail qu’il s’agisse d’un ordinateur, d’un téléphone portable(sms, sms). Concernant l’ordinateur les spams se retrouvent sur différentes applications tel que moteur de recherche, Voip, les blogs, les messagerie…).

Face à cette surabondance de l’envoi de spam, des moyens sont mis en œuvre pour pouvoir lutter et se prémunir d’éventuelles atteintes (protection des données personnelles, escroqueries diverses et variées) :

Ainsi il convient de suivre ces usages élementaires de prudence :

• Ne donnez pas votre adresse e-mail principale sur des sites

• Utilisez une autre adresse pour les offres promotionnelles et les achats en ligne

• Lisez les petits caractères sur les sites

• Ne répondez pas aux spams

• Utilisez un logiciel ou un service antispams

• Vérifiez s’il s’agit d’un canular, d’un virus ou de phishing

Deux « approches » de réglementation en matière de spam peuvent être envisagées à savoir l’ « opt-in » et l’ « opt-out »  :

« opt-in » : Le régime de l’« opt-in » oblige les personnes qui prospectent par courriel à obtenir, préalablement a tout envoi, le consentement de l’internaute a recevoir des sollicitations dans sa boite courrier électronique.( cochez la petite case !!!) Selon l’article 22 de la loi no 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique « I. – L’article L.33-4-1 du code des postes et télécommunications est ainsi rédigé : « Est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen. » La LCEN reprend donc la position adoptée par la CNIL qui condamne la prospection par utilisation de coordonnées sans consentement préalable (définit à l’article 13 de la directive du 12/07/02)

« opt-out » : Permet de prospecter directement les internautes, ces derniers conservent toute fois la possibilité de s’opposer a posteriori a l’envoi de toutes sollicitations. Sur le plan communautaire certaines directives , notamment celle relative au commerce électronique du 8 juin 2000 en son article 7 impose au minimum une politique d’opt-out et laissant la possibilité aux Etats de mener une politique plus protectrice et restrictive( opt-in)

B/ La repression du Spam

Plusieurs moyens s’offrent aux particuliers :

• contacter FAI ou le fournisseur de messagerie de l’expéditeur du spam dans le but que ce dernier ferme le compte sur fondement des conditions générales d’utilisation du service : Diverses décisions de justice (TGI Rochefort-sur-mer, 28 février 2001 ; TGI Paris, 15 janvier 2002 ; Tribunal de commerce Paris 5 mai 2004) ont reconnu la licéité d’une telle solution, notamment en se basant sur l’article 1135 du Code civil.

• Egalement possibilités de saisir la CNIL en vu d’une dénonciation au parquet, toutefois la CNIL en tant qu’AAI à la possibilité d’infliger des sanctions administratives et pécuniaires (lesquelles ?)

• Enfin en cas d’infraction, il est possible de porter plainte auprès du commissariat ou la police le plus proche de votre domicile ou bien en adressant une lettre au procureur de la république Les fondements de l’action en justice :

Le régime de droit commun :

La répression du spam sur le fondement de la violation de la loi informatique et libertés du 6 janvier 1978 (art 226-16 à 226-24 CP) qui puni d’une peine de prison et d’une amende de 300 000€ le fait de procéder à un traitement de données à caractère personnel sans respecter les formalités, mais aussi la collecte d’information par des moyens frauduleux ou illicites, de stocker des informations contenant données à caractèr raciales, ethniques, philosophique … La répression du spam sur le fondement de la violation de la loi dites Godfrain du 5 janvier 1988 concernant la fraude informatique (art 323 et suiv.) qui réprime l’envoi de courriers électronique en nombre excessif (art 323-2) ainsi que l’envoi de courrier sans pouvoir être identifié (à savoir en prenant le contrôle d’un ordinateur tiers art 323-3). Ces infractions sont punie d’une peine de 5 ans de prison et de 75 OOO€ d’amende.

Le régime spécial de la LCEN du 21 juin 2004

Le législateur, par la LCEN interdit de réaliser des opérations de marketing électronique direct sur des personnes physiques n’ayant pas manifester leur consentement au préalable, a fait le choix de l’approche de l’opt in pour l’envoi de courrier à caractère commercial, Le non-respect du principe du consentement préalable est sanctionné par une amende de 750 € pour chaque message irrégulièrement expédié (article R.10-1 du code des postes et des communications électroniques), mais la LCEN prévoit une dérogation au principe du consentement préalable lorsque la personne a déjà été contactée, à l’occasion d’une vente ou d’une prestation de service, par l’organisme souhaitant la démarcher. Ainsi, si quelqu’un a acheté un produit auprès d’une entreprise, celle-ci pourra lui adresser des messages commerciaux pour assurer la promotion de ses produits, à la condition toutefois que ceux-ci soient analogues à celui qu’il avait antérieurement acheté auprès d’elle. De plus, l’entreprise doit lui offrir la possibilité, au moment de sa commande, de s’opposer gratuitement à recevoir de la publicité de sa part. Le législateur a décider de s’attaquer de front au spamming commercial mais a pris le parti d’exclure de ce régime les courriels à cara non commerciaux type message à cara religieux ou politique, canulars ou mail bombing => à ces derniers s’applique le régime de l’opt-out. Il faut noter que la LCEN ne s’applique qu’aux personnes physiques et non au personnes morales ainsi Le consentement préalable n’est pas exigé lorsque les messages électroniques sont adressés à des personnes morales comme par exemple à des sociétés. Cependant, si une adresse de courrier électronique professionnelle permet directement ou indirectement d’identifier un individu (exemple : nom.prenom@nomdelasociété.fr) son consentement a être prospecté doit être obtenu.

Ainsi selon la qualité du « spammé » (personnes physiques, PM) ou l’objet du courrier électronique => possibilité de se fonder soit sur le régime de droit commun ou alors sur le régime spécial de la LCEN

Il découle de ce qui précède que le spamming permet d’imposer une stratégie économique basé par exemple sur la publicité. Mais il peut aussi être le support d’infractions plus sophistiquées et de fait, plus abouties.

II / Phishing, Pharming, la transposition de l’escroquerie à l’Internet

A/ Définition, et description du mode opératoire

Le « phishing », « filoutage » en français, est défini par la Commission générale de terminologie et de néologie comme une « technique de fraude visant à obtenir des informations confidentielles, telles que des mots de passe ou des numéros de cartes de crédit, au moyen de messages ou de sites usurpant l’identité d’institutions financières ou d’entreprises commerciales ».

Le « pharming » est une technique de fraude voisine du « phishing » consistant à rediriger le trafic internet d’un site internet vers un autre site dans le but d’obtenir des informations confidentielles, telles que des mots de passe ou des numéros de cartes de crédit lui ressemblant.

Le terme « pharming » provient de la contraction des mots anglais « farming » et « phone phreaking », qui pourrait se traduire par « piratage de lignes téléphoniques »

Le « pharming », ou utilisation de sites Web factices, peut être similaire au hameçonnage c’est à dire le « phishing ». Le « Pharming » est une technique les plus insidieuse car vous pouvez être redirigé vers un faux site Web à votre insu. La technique consiste à s’attaquer directement à la résolution DNS. L’internaute tape correctement l’adresse du site d’origine dans son navigateur mais l’adresse IP associée est piratée et il accède finalement au site contrefait.

Pour mieux comprendre le procédé, détaillons les modes d’attaque :

• La manipulation du cache DNS de l’internaute. Chaque ordinateur gère un cache des résolutions DNS qu’il a déjà effectuées afin d’accélérer les résolutions suivantes similaires. Un virus ou un cheval de Troyes peut pirater ce cache et ainsi modifier artificiellement l’adresse IP associée à un site pour l’utilisateur infecté.

• La manipulation d’un serveur DNS d’un FAI. Ce type d’attaque est plus efficace mais plus difficile à mettre en œuvre. Il consiste à insérer un enregistrement DNS frauduleux directement sur le serveur DNS d’un fournisseur d’accès à Internet. Tous les clients de ce FAI utilisant ce serveur seront alors affectés par l’attaque ;

• La manipulation d’un serveur DNS autoritaire. Cette attaque est identique à la précédente mais concerne directement un serveur DNS autoritaire pour le nom de domaine visé. Elle est ainsi la plus dévastatrice car chaque internaute souhaitant accéder au site contrefait sera affecté.

La redoutable complexité technique du pharming contraste avec le laxisme et le desinteret d’une grande majorité d’internaute concernant la sécurité informatique : En 2006, une étude réalisée par trois étudiants des universités d’Harvard et de Berkeley, a montré que les internautes sont généralement incapables de différencier un courriel légitime d’un courriel frauduleux : 91 % des internautes n’ont ainsi pas remarqué qu’une version frauduleuse du site de la Bank of the West était écrit bankofthevvest.com et non bankofthewest.com. L’étude a également montré que les internautes pensaient qu’un site Internet dont l’adresse est ebay-members-security.com a nécessairement un lien avec le site d’eBay (ebay.com), ce qui n’est évidemment pas le cas.

B / Moyens de protection contre phishing et pharming et l’encadrement juridique

1) Moyen de protection

Les méthodologies de protections dépendent de l’attaque. Si l’usurpation vient d’une modification des serveurs DNS de internet, il est difficile de nous en apercevoir, sauf si l’utilisateur en connaît l’adresse IP du site original. Si l’usurpation vient du coté du poste de l’utilisateur, des Antivirus possède une protection permettant d’auditer et de détecter les modifications systèmes des fichiers hosts et DNS. Quelques conseils pratiques

• ne jamais communiquer des données sensibles (numéro de carte bancaire, identifiants personnels) en cliquant sur un lien envoyé par courrier électronique ;
• toujours vérifier, dans la barre d’adresse du navigateur, l’adresse du site internet avant de saisir les informations demandées ;
• toujours partir de la page d’accueil d’un site pour accéder aux autres pages, notamment celles où sont demandées des identifiants ;
• lors de la consultation de sites sécurisés (sites bancaires, par exemple), s’assurer de l’activation du cryptage des données (l’adresse du site doit commencer par https et non par http) ;
• en cas de doute, prendre contact directement avec l’entreprise concernée (votre banque, votre fournisseur d’accès à l’internet, etc.) pour lui signaler le message suspect.
• préférer les achats en contre-remboursement plutôt que des achats sécurisés.

2) Encadrement juridique

Compte tenu de son caractère relativement complexe, le « phishing » est susceptible d’être sanctionné sur divers fondements. Et, selon la finalité poursuivie par l’utilisateur de ces techniques, les fondements juridiques susceptibles d’être invoqués par la victime de la fraude sont différents. En préalable, le phishing et le pharming sont susceptibles d’être appréhendés sous l’angle du spamming (cf. supra).

Les textes applicables

• responsabilité civile (article 1382 du Code civil) ; Article 1382 Tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer.

• escroquerie (articles 313-1 et suivants du Code pénal) ; Article 313-1 (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1^er janvier 2002)

L’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manoeuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. L’escroquerie est punie de cinq ans d’emprisonnement et de 375000 euros d’amende.

• usurpation d’identité (article 434-23 du Code pénal) ; Article 434-23 (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1^er janvier 2002)

Le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. Nonobstant les dispositions des articles 132-2 à 132-5, les peines prononcées pour ce délit se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l’infraction à l’occasion de laquelle l’usurpation a été commise. Est punie des peines prévues par le premier alinéa la fausse déclaration relative à l’état civil d’une personne, qui a déterminé ou aurait pu déterminer des poursuites pénales contre un tiers.

En pratique, les prémisses de jurisprudence nous indiquent qu’il ne suffit pas pour se rendre coupable du délit d’usurpation d’identité, de faire usage du nom d’un tiers, il est en effet indispensable que cet usage soit susceptible d’entraîner à l’égard de l’usurpé des conséquences pénales. Cour de cassation, 29 mars 2006

• atteinte à un système de traitement automatisé de données (articles 323-1 et suivants du Code pénal) ; Article 323-1 (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1^er janvier 2002)

(Loi nº 2004-575 du 21 juin 2004 art. 45 I Journal Officiel du 22 juin 2004)

Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende.

• contrefaçon de marque (article L. 713-1 et suivants du Code de la propriété intellectuelle) ;

L’enregistrement de la marque confère à son titulaire un droit de propriété sur cette marque pour les produits et services qu’il a désignés. Dans ce sens, une application positive sanctionnant le phishing sur ce fondement : TGI Paris, 31ème chambre, 21 septembre 2005

• abus de confiance (articles 314-1 et suivants du Code pénal) ;

(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1^er janvier 2002) L’abus de confiance est le fait par une personne de détourner, au préjudice d’autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de les représenter ou d’en faire un usage déterminé. L’abus de confiance est puni de trois ans d’emprisonnement et de 375000 euros d’amende.

• Collecte frauduleuse de données nominatives(article L. 226-18 du code pénal)

Le « phishing » peut également être sanctionné sur le fondement de l’infraction de collecte frauduleuse de données nominatives en application l’article 226-18 du code pénal. Car au final, le pirate se procure des données personnelles, et les traite de manière informatique de manière frauduleuse. Cette infraction est punie de cinq ans d’emprisonnement, et de 300.000 euros d’amende.