Le phishing (ou hameçonnage) est une technique visant à exploiter la crédulité de la victime sur Internet en l’amenant vers de faux sites de référence (imitation de sites de banques, sites de commerce) pour qu’il transmette, en toute confiance, ses coordonnées d’identification, bancaires, etc.

En envoyant un lien dirigeant vers un site imité (jusqu’à l’url!), les pirates arrivent à récupérer les données entrées sur cette page: login, mot de passe, identifiants bancaires, etc.

Cette technique, bien que généralement pratiquée sur Internet, peut aussi avoir lieu par téléphone, par fax. C’est surtout par l’envoi massif de mails et la création de fausse barre Google que la tromperie se fait.

Pour exemple, une célèbre arnaque visant les possesseurs de compte Paypal permettait aux escrocs de récupérer les coordonnées d’identification au site par l’envoi d’un mail à partir d’une adresse qui semble réelle (service@paylpal.fr) et qui renvoyait vers une url quasiment similaire. Seule la lettre « L » (écrite en minuscule) était remplacée par un « i ». La différence est difficilement visible!

En France, la législation contre cette pratique n’est pas clairement définie. Une proposition de loi a été portée par le sénateur Michel Dreyfus-Schmidt en 2005 mais est restée vaine. Aux Etats-Unis, la loi du 9 juillet 2004 « Anti-phishing Act » prévoit cette infraction et renforce les peines des exécutant par la loi du 16 juillet 2005 « Identify Theft Penalty Enhancement Act ». Le Royaume-Uni est, quant à lui, le seul pays européen à disposer d’une protection contre la fraude commise en ligne depuis le 15 janvier 2007 avec le « Fraud Act », permettant de sanctionner le vol de l’identité en ligne.

La pratique judiciaire française contre ces atteintes aux données personnelles et bancaires se sert des éléments existant dans sa législation, décortiquant l’action du phishing. On fait ainsi appel à :

• Le spamming, prévu aux articles 226-16 à 226-24 du Code pénal et aux dispositions de la LCEN;
• La responsabilité civile avec l’article 1382 du code civil qui dispose que « Tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer« ;
• L’escroquerie prévue aux articles 313-1 et suivants du Code pénal;
• L’usurpation d’identité (article 434-19 du Code pénal : seulement en cas d’utilisation dans un acte authentique, un document administratif ou encore en cas de faux – art. 781 du Code pénal). L’usurpation d’identité devient un délit lorsque le voleur a opéré « dans des circonstances qui ont déterminé ou auraient pu déterminer contre le tiers volé des poursuites pénales », art. 434-23 du Code pénal;
• Accès frauduleux à un système de traitement automatisé de données (art. 323-1 et s. du Code pénal);
• La contrefaçon de marque (art. L. 713-1 et s. du Code de la propriété intellectuelle);
• Abus de confiance (art. 314-1 et s. du Code pénal);
• Collecte frauduleuse de données nominative (art. L. 226-18 du Code pénal).

Avec toutes ces dispositions, le phishing est couvert. Toutefois, une sénatrice, Jacquelin Panis, propose, dans un nouveau projet de loi relative à la pénalisation de l’usurpation d’identité numérique, un complément à l’article 434-23 du Code pénal.

Ce projet de loi vise la mise en place d’une carte nationale d’identité électronique intégrant un standard de signature électronique sécurisée. Avec ce texte, un article 323-8 du Code pénal serait ajouté, visant précisemment le spamming, et disposerait qu’ »Est puni d’un an d’emprisionnement et de 15.000 euros d’amende, le fait d’usurper sur tout réseau informatique de communication l’identité d’un particulier, d’une entreprise ou d’une autorité publique. (…) Les peines prononcées se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l’infraction à l’occasion de laquelle l’usurpation a été commise. »