Tous les utilisateurs d'internet sont confrontés au « phishing ». Terme anglo-français tiré de « fishing » (pêche) aussi appelé hameçonnage ou filoutage. De quoi est-il question exactement ? Quels recours avez-vous en tant que victime ? Le point sur la question.
Phishing : définition
Le phishing est l'opération par laquelle une personne tente d'obtenir des informations confidentielles vous concernant sur Internet.
Il s'agit généralement de :
- votre identité et vos conditions de vie (noms, prénom, date de naissance, adresse, etc.) ;
- vos références bancaires (n° de compte, de carte de crédit, etc.).
Ces données seront ensuite utilisées frauduleusement et à votre détriment.
Exemple : risque d'usurpation d'identité, détournement de fonds...
Mise en œuvre du phishing
La pratique la plus courante repose sur la contrefaçon d’un site internet existant tel que celui de votre banque ou du service des impôts.
Un message vous est adressé sur votre boite e-mail personnelle afin de vous inviter à suivre un lien. L'adresse URL du site est masquée pour plus de vraisemblance.
Il s'agit généralement d'une invitation à régler une facture qui serait demeurée impayée ou une mise à jour de vos données personnelles. Il peut également être question d'un remboursement type crédit d'impôt. L'argument financier est prépondérant. Le lien conduit alors au site internet contrefait, vous invitant à fournir vos données personnelles.
Bon à savoir : quelques précautions d'usage sont recommandées pour la navigation sur internet. Ainsi, il convient de ne pas ouvrir les liens qui vous seraient adressés de manière suspecte. En cas de doute, contactez l'administration ou la banque prétendument auteure du mail. Vous éclaircirez ainsi la situation.
Phishing et qualification juridique
Le phishing relève des qualifications juridiques suivantes :
- contrefaçon (articles L. 335-1 et suivants, et L. 713-2 et suivants du Code de la propriété intellectuelle) ;
- escroquerie (articles 313-1 et suivants du Code pénal) ;
- délit d'usurpation d'identité en ligne (article 226-4-1 du Code pénal) ;
- collecte frauduleuse de données à caractère personnel (article 226-18 du Code pénal).
Il s'agit de délits, punis sur le plan pénal par :
- des peines d'emprisonnement allant de 1 à 5 ans ;
- des amendes dont le montant oscille entre 15 000 et 375 000 €.
Démarches en cas de phishing
Ce qu'il faut faire en cas phishing
Si vous avez été victime de phishing, voici la marche à suivre :
- contacter votre banque afin de faire opposition à tout paiement ou virement suspect ;
- signaler le site frauduleux sur un site officiel dédié au combat contre le phishing ;
- vous rendre au commissariat le plus proche de chez vous afin de déposer plainte.
Vous pouvez aussi signaler l'utilisation frauduleuse de votre compte bancaire en utilisant le site masecurite.gouv.fr, qui fait le lien avec la gendarmerie (il remplace le site moncommissariat.fr). Ce site vous permet de signaler une fraude bancaire via le téléservice Perceval. Cela vous évite de vous déplacer au commissariat ou à la gendarmerie et facilite le remboursement.
Bon à savoir : votre banque est tenue de vous rembourser les opérations réalisées en fraude sur votre compte.
En effet l'article L. 133-18 du Code monétaire et financier dispose que « en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu (...) ».
Bon à savoir : eu égard au caractère international des échanges internet, il existe peu de chances que le responsable effectif du phishing soit appelé devant un tribunal pour répondre de ses agissements frauduleux.
En revanche, ces démarches vous permettront, entre autres, d'obtenir plus rapidement le remboursement auprès de votre banque des éventuels frais débités à cause de la fraude.
En outre, un risque d'usurpation d'identité existe. Le signalement judiciaire de la situation est donc nécessaire.
Important : l'utilisateur d'un service de paiement qui communique les données personnelles du dispositif de sécurité, en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance, manque à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité. La Cour de cassation a ainsi déjà retenu la négligence grave d’un client victime de phishing pour écarter la responsabilité de la banque (Cass. com., 28 mars 2018, n° 16-20.018).
Un site internet pour aider les victimes de phishing
Le Gouvernement a mis en ligne un site destiné à aider les victimes de phishing, qu'elles soient des particuliers, des entreprises ou des collectivités territoriales.
La victime renseigne sur le site l'adresse postale du lieu où le phishing a pu avoir lieu, afin d'être mise en contact avec des prestataires de proximité dont l'objectif est d'aider ces victimes dans leurs démarches. Les prestataires présents sur le site ont signé la charte d’engagement du dispositif national d’assistance aux victimes de cybermalveillance. Ils peuvent, ou non, facturer leur intervention, ce qui est précisé aux victimes.
Par ailleurs, la plateforme Thesee permet de déposer plainte en ligne en cas d’e-escroquerie (escroquerie sur internet) : piratage de compte mail ou de réseau social avec demande d’argent, escroquerie à la petite annonce, fausse location, chantage en ligne, escroquerie aux sentiments ou lors d’un achat sur un site de vente en ligne frauduleux. À réception de la plainte, les éléments communiqués sont analysés par des experts de la police judiciaire.