Le phishing, ses composantes et sa répression en France

A. La notion de phishing

1. Le phishing au sens classique

Le phishing (contraction des mots anglais « fishing », en français pêche, et « phreaking », désignant le piratage de lignes téléphoniques), traduit parfois en « hameçonnage » ou « filoutage », est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires mais aussi login, mot de passe…) auprès d’internautes. Le terme est apparu en 1996.

Quelles sont les caractéristiques de cette menace ?

– Exploiter le facteur humain : Un système basé sur la crédulité de la victime

La technique du phishing est une technique d’« ingénierie sociale » c’est-à-dire consistant à exploiter non pas une faille informatique mais la « faille humaine » en dupant les internautes par le biais d’un courrier électronique, résultant souvent d’un envoi massif de courriers électroniques (spamming) semblant provenir d’une entreprise de confiance, le plus généralement, une banque ou un site de commerce.
Dans ce cas, l’email en question va se faire passer pour la banque de l’internaute (il s’agit d’une usurpation d’identité, ou spoofing) et va demander à l’internaute de confirmer ses coordonnées bancaires en cliquant sur un lien.

– L’imitation du site de référence

Le lien sur lequel l’internaute clique, pointe sur un site copiant, imitant du mieux possible la banque en question et va récupérer les informations à des fin frauduleuses. Ainsi, sur la masse d’emails envoyés, un petit nombre d’internautes se fera duper. Mais à grande échelle, ce sont des sommes d’argent énormes qui sont ainsi détournées.

Aujourd’hui, les attaques par phishing font preuve de plus en plus d’imagination et sont de plus en plus difficile à déjouer, si bien que des internautes confirmés peuvent en être victime. Les escrocs peuvent ainsi envoyer des emails véritablement personnalisés à leurs victimes en augmentant la véracité de l’email à l’aide de données spécifiques comme le nom, le prénom et l’adresse postale ou la banque réelle de l’internaute (on parle alors de "spear phishing", ou "pêche à la lance").

Quelles sont les différentes formes du phishing ?

Les techniques utilisées par les pirates ne cessent d’évoluer. Voici donc une présentation non exhaustive des dernières formes de phishing :

– Le phishing par mail
La victime reçoit un message avec un lien l’invitant à se connecter sur le site de sa messagerie. Les coordonnées de la victime seront ensuite utilisées pour renvoyer le lien au carnet d’adresse venant tout fraîchement d’être récolté.

– Le phishing par téléphone
Appelé aussi vishing. Des escrocs se servent maintenant du téléphone pour tenter de récupérer les identifiants bancaires de leur victime.

– Le phishing par fax
Des escrocs se servent aussi du fax pour tenter de récupérer les identifiants bancaires ou de compte PayPal de leurs victimes.

– Le phishing par téléphone portable
Des escrocs utilisent également le téléphone mobile pour tenter de récupérer les identifiants bancaires de leurs victimes.

– Le phishing à travers les fausses barre Google
Proposée par Google, la barre Google est un programme s’installant dans votre navigateur sous la forme d’une petite barre additionnelle. Son but : permettre d’accéder directement au moteur de recherche et bloquer les ouvertures de fenêtres intempestives.
Depuis le 5 Octobre 2005, une fausse barre du moteur propagée à partir de services de messagerie instantanée vise à récupérer les numéros de cartes bancaires.

Mais la plus dangereuse de toutes les différentes formes de phishing reste le pharming .


2. Le pharming, encore plus dangereux que le phishing

Le pharming (contraction des mots anglais «farming» (culture) et «phone phreaking» (piratage de lignes téléphoniques)).
L’objectif du pharming est le même que celui du phishing : induire l’internaute en erreur et l’amener sur un faux site WEB, un site contrefait, imitant le plus possible le site de référence.
Mais dans l’hypothèse du pharming, la technique ne consiste plus à se satisfaire d’une pâle copie d’un site d’une banque/e-commerce avec une adresse WEB proche de celle de référence mais à utiliser directement l’adresse de référence (le nom de domaine) du site !
L’internaute est ainsi redirigé vers le véritable site de sa banque. Il se croit alors à l’abri de toute manipulation.

Quel est le mode opératoire ?

Le pharming est une technique qui vise à exploiter des vulnérabilités DNS pour récupérer les données d’une victime. (Le Domain Name System ou DNS, système de noms de domaine est un système qui va se charger de traduire une adresse du site de référence : site bancaire/e-commerce…du type www.lcl.fr, qui est plus facile a retenir pour l’homme, en une adresse IP.
Cela permet donc de simplifier la connection entre les machines en créant des noms de domaines qui redirigent vers ces fameuses IP.
La technique du pharming consiste donc à s’attaquer directement à la résolution DNS du site de référence. L’internaute tape correctement l’adresse du site d’origine dans son navigateur (http://www.lcl.fr) mais l’adresse IP associée à ce site est piratée et l’internaute accède finalement au site contrefait. Il se retrouve sur une page piratée imitant la page officielle se son site bancaire. Il est alors invité à entrer les clés d’identification nécessaires pour effectuer des virements vers des comptes extérieurs à sa banque. Les pirates à l’origine de l’attaque récupèrent ainsi non seulement l’identifiant et le mot de passe mais également les clés personnelles de l’internaute, qui serviront à effectuer des virements frauduleux.
Au final, les pirates parviennent à détourner l’adresse du site Internet d’une banque par exemple, et à récupérer les coordonnées bancaires de plusieurs de ses clients.
Ainsi, par exemple www.lcl.fr ne pointera plus vers l’adresse IP du serveur de la banque mais vers un autre serveur frauduleux.

Mais parce que le pharming exige un niveau de technicité bien supérieur, et parce que le DNS est très difficile à manipuler, il est beaucoup moins commun que le phishing. Cependant, il est possible que le pharming devienne une menace croissante dans le futur.

 

B. La répression du phishing en France

 

1. Quelle est la réalité en France de cette menace informatique ?


Historique :

L’APWG ( Anti-Phishing Working Group ) classait en 2007 la France en cinquième position comme pays hébergeant des sites de phishing sur la liste des pays à risque avec 2,7% des « sites miroirs ». Pas loin avec l’Allemagne (2%), le Royaume-Uni (1.5%). Mais très loin derrière les Etats-Unis (28 % des faux sites résident sur le sol américain) et de la République de Corée (21 %)
En réalité, le « phishing » en France fait peu de victimes mais reste une menace grandissante.
En effet, le nombre de clients touchés par cette escroquerie en ligne reste limité. Mais les attaques s’améliorent et des variantes plus sournoises apparaissent.
Depuis 2 ans en France, ce sont surtout des attaques de petite envergure, de 30 000 à 400 000 e-mails ce qui reste minime par rapport aux vagues de plusieurs millions de messages aux Etats-Unis qui ont provoqué la perte en 2007 de plus de 3.2 milliards de dollars pour près de 3.6 millions de personnes touchés.

En France, les rares cas de condamnations d’actes de « phishing » ont été attribués à des individus isolés dès 2004. Mais la plupart des attaques émanent en réalité de groupes de malfaiteurs organisés depuis l’étranger. Et dans ce cas, si les banques déposent systématiquement plainte, l’action judiciaire est beaucoup plus compliquée et sera fonction des accords internationaux passés par la France. Cela explique pourquoi malgré les nombreuses attaques, très peu de banques, craignant que cela ne ternisse leur réputation, déposent plainte.
« Il y a deux phases, expliquait en 2005 Catherine Chambon, alors commissaire divisionnaire à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). D’abord la fermeture des sites. Là, nous avons des actions coordonnées assez efficaces. Ensuite, pour engager des poursuites, l’identification des auteurs. C’est plus aléatoire, il y a plus de difficultés. » L’OCLCTIC est familier du « phishing » depuis plusieurs années et estime qu’il y a une réelle expansion en volume, notamment avec l’utilisation de « botnet » (réseaux de PC utilisés par des pirates).
Un responsable de la Brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti) en 2003:« Et ce n’est que la partie visible de l’iceberg. Les sociétés rechignent à porter plainte à cause de l’impact négatif sur leur image. Nous pensons donc que 90% de ce type de criminalité nous échappe. Le gros des escroqueries demeure l’achat sur Internet de produits divers au moyen de numéros de carte de crédit volés ou générés par logiciel ».

2. La répression du phishing :

Existe-t-il à l’heure actuelle un fondement juridique spécifique qui incrimine le phishing, qualifié d’usurpation d’identité numérique ?

Malheureusement non. On peut reprocher en effet au législateur français, contrairement au législateur américain ou anglais, son laxisme quant à l’introduction dans le Code Pénal d’un article spécifique sanctionnant « l’usurpation d’identité numérique ».
Pourtant, cette infraction avait fait l’objet d’une proposition de loi du 4 juillet 2005 à l’initiative du sénateur Michel Dreyfus-Schmidt. Mais elle est restée lettre morte pour des raisons sans doute liées à son manque de précision concernant la notion « d’identité numérique ».

– France : Proposition de loi du 4 juillet 2005 (qui est resté lettre morte) du sénateur Michel Dreyfus-Schmidt relative à la pénalisation de « l’usurpation d’identité numérique sur les réseaux informatiques »: Ajout au code pénal de l’article 323-8 ainsi rédigé :
"Est puni d’une année d’emprisonnement et de 15 000 euros d’amende, le fait d’usurper sur tout réseau informatique de communication l’identité d’un particulier, d’une entreprise ou d’une autorité publique. Les peines prononcées se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l’infraction à l’occasion de laquelle l’usurpation a été commise ».

– Etats-Unis: Loi du 9 juillet 2004 « Anti-phishing Act » et le renforcement des peines avec la loi du 16 juillet 2005 « Identity Theft Penalty Enhancement Act »

– Grande-Bretagne : Fraud Bill de juin 2005, projet de loi qui veut infliger dix ans de prisons contre l’usurpation d’didentité numérique

Les dispositions législatives et réglementaires :

Cependant, même si la jurisprudence sur le phishing reste embryonnaire, le phishing est susceptible d’être sanctionné sur 8 fondements juridiques:

– Il peut tout d’abord être appréhendé sous l’angle du spamming. Le pirate envoie en effet une quantité importante de mails à des personnes qui ne les ont pas sollicités, et ce dans le but de réussir à faire mordre à l’hameçon, le plus de personne possible. En cela, il constitue un manquement au principe d’interdiction du spamming, édicté à travers divers textes, et récemment consacré par la LCEN du 6 mai 2004

– Responsabilité civile (article 1382 du Code civil) ; Article 1382 tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer.

– Escroquerie (articles 313-1 et suivants du Code pénal) ; Article 313-1 (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002). L’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manoeuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. L’escroquerie est punie de cinq ans d’emprisonnement et de 375000 euros d’amende.

– Usurpation d’identité (article 434-23 du Code pénal) ; Article 434-23 (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002).
Le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. Nonobstant les dispositions des articles 132-2 à 132-5, les peines prononcées pour ce délit se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l’infraction à l’occasion de laquelle l’usurpation a été commise. Est punie des peines prévues par le premier alinéa la fausse déclaration relative à l’état civil d’une personne, qui a déterminé ou aurait pu déterminer des poursuites pénales contre un tiers. En pratique, les prémisses de jurisprudence nous indiquent qu’il ne suffit pas pour se rendre coupable du délit d’usurpation d’identité, de faire usage du nom d’un tiers, il est en effet indispensable que cet usage soit susceptible d’entraîner à l’égard de l’usurpé des conséquences pénales. Cour de cassation, 29 mars 2006

– Accès frauduleux à un système de traitement automatisé de données (articles 323-1 et suivants du Code pénal) ; Article 323-1 (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
(Loi nº 2004-575 du 21 juin 2004 art. 45 I Journal Officiel du 22 juin 2004)
Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende. TGI Paris,13ème chambre, 2 septembre 2004

– Contrefaçon de marque (article L. 713-1 et suivants du Code de la propriété intellectuelle) ;
L’enregistrement de la marque confère à son titulaire un droit de propriété sur cette marque pour les produits et services qu’il a désignés. Dans ce sens, une application positive sanctionnant le phishing sur ce fondement : TGI Paris, 31ème chambre, 21 septembre 2005

– Abus de confiance (articles 314-1 et suivants du Code pénal) ;
(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) L’abus de confiance est le fait par une personne de détourner, au préjudice d’autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de les représenter ou d’en faire un usage déterminé. L’abus de confiance est puni de trois ans d’emprisonnement et de 375000 euros d’amende.

– Collecte frauduleuse de données nominatives (article L. 226-18 du code pénal)
Le « phishing » peut également être sanctionné sur le fondement de l’infraction de collecte frauduleuse de données nominatives en application l’article 226-18 du code pénal. Car au final, le pirate se procure des données personnelles, et les traite de manière informatique de manière frauduleuse. Cette infraction est punie de cinq ans d’emprisonnement, et de 300.000 euros d’amende.


Les autres moyens de riposte :

Au-delà des dispositions législatives et réglementaires, la lutte contre les escroqueries de type phishing requiert que les internautes soient sensibilisés à ce problème et apprennent à s’en défendre. Les initiatives pédagogiques émanent des secteurs publics et privés.
En effet, l’enjeu essentiel concerne la confiance des internautes envers les services offerts sur internet. L’accroissement d’escroqueries comme le phishing peut freiner le développement du commerce électronique voire la dématérialisation des échanges de données entre l’administration et le citoyen si ce dernier redoute le détournement de ses informations confidentielles.
En France, il existe des sites destinés aux internautes tels que le site Protège ton Ordi à destination des plus jeunes. Les sites bancaires tels que la banque LCL offre également des informations relatives au phishing et aux moyens de s’en prémunir.
D’autre part, des sociétés informatiques commencent à se mobiliser contre le phishing. Ainsi, l’entreprise Microsoft s’est engagée dans un programme mondial contre le phishing. Dans le cadre de ce projet baptisé « Global Phishing Enforcement Initiative », Microsoft a déjà déposé plusieurs plaintes dans de nombreux pays en vue de faire fermer les sites frauduleux liés à ce type d’escroquerie. Elle a développé aussi des outils de messagerie commencent à intégrer des fonctions anti-phishing. Ainsi la dernière version du navigateur Internet Explorer 7 pour Windows XP intègre un filtre anti-phishing.

 

SOURCES :

Cyberdroit : Le droit à l’épreuve de l’internet chez DALLOZ de Christiane Féral-Schuhl

http://fr.wikipedia.org/wiki/Hame%C…

http://www.commentcamarche.net/atta…

http://www.zebulon.fr/dossiers/59-p…

http://www.phishing.fr/

http://www.arobase.org/arnaques/phi…

http://www.journaldunet.com/juridiq…

http://www.microsoft.com/switzerlan…

http://fr.wikipedia.org/wiki/Pharming

http://www.webmaster-hub.com/public…

http://www.microsoft.com/canada/fr/…

https://informations.lcl.fr/securit…

http://www.01net.com/editorial/3554…

http://winsa.free.fr/wordpress/?p=155

http://fr.wikipedia.org/wiki/Anti-p…

http://fr.trendmicro.com/fr/threats…

http://www.infos-du-net.com/actuali…

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.