WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

L'usurpation d'identité sur internet


par Marie FAGET
Université Paris II Panthéon-Assas - Master 2 Droit du Multimédia et de l'Informatique 2008
Dans la categorie: Droit et Sciences Politiques > Droit des Nouvelles Technologies
   
Télécharger le fichier original

Disponible en mode multipage

UNIVERSITE PANTHEON- ASSAS PARIS II

DROIT- ECONOMIE-SCIENCES SOCIALES

L' USURPATION D'IDENTITÉ

SUR INTERNET

Année universitaire 2008 - 2009 Melle FAGET Marie

SOMMAIRE

SOMMAIRE 2

INTRODUCTION 3

I LES DIFFERENTS MODES D'USURPATION D'IDENTITE 5

A L'USURPATION D'IDENTITE, MOYEN D'ATTEINTE AUX INTERETS EXTRAPTARIMONIAUX DE LA PERSONNE 5

B L'USURPATION D'IDENTITE, MOYEN D'ATTEINTE AUX INTERETS PATRIMONIAUX DE LA PERSONNE 6

II LES SOLUTIONS JURIDIQUES ET TECHNIQUES CONTRE L'USURPATION D'IDENTITE 8

A LA SOLUTION JURIDIQUE : LA SANCTION DE L'USURPATION D'IDENTITE 8

1)

L'USURPATION D'IDENTITE SANCTIONENE COMME MOYEN DE COMMETRE D'AUTRES INFRACTIONS 8

2)

L'ABSENCE DE DELIT SPECIQUE DE L'USURPATION D'IDENTITE SUR INTERNET 11

B LA SOLUTION TECHNIQUE : LA PREVENTION CONTRE L'USURPATION D'IDENTITE 12

1) LES MOYENS TECHNIQUES SUECTPTIBLES D'ETRE MIS EN OEUVRE PAR LES ENTREPRISES 12

2) LES MOYENS SUSCEPTIBLES D'ETRE MIOS EN OEUVRE PAR LES PARTICULIERS 13

CONCLUSION 16

BIBLIOGRAPHIE 17

INTRODUCTION

« Si dans le monde réel, nul ne peut s'attribuer une identité qui ne soit pas reconnue par les autorités publiques, dans le monde virtuel il en va tout autrement. « L'identité

numérique » échappe à toute attribution par une autorité publique, c'est à dire que les
éléments qui la composent ne relèvent pas de l'identité juridique de la personne
»1.

Le terme identité vient du latin identitas qui découle lui même du mot idem qui signifie « le même ». Le terme identité peut être défini comme « ce qui fait qu'une personne est elle-même et non une autre » 2. L'identité permet donc de distinguer une personne d'une autre. L'identité est un concept complexe car les éléments qui concourent à identifier et à individualiser chaque personne sont non seulement constants et stables (nom, prénom, sexe de la personne) mais aussi variables (comportement, personnalité, physiologie de la personne), l'être humain évoluant tout au long de son existence. Les éléments de l'identité d'une personne saisis par le droit sont les attributs traditionnels émis par les autorités publiques (carte d'identité, passeport, état civil, permis de conduire, numéro de sécurité social). Il s'agit donc des éléments stables de la personne: nom, prénom, domicile....

Sur Internet, les éléments qui définissent une personne ne se résument pas à son état civil. D'autres éléments, inconnus dans le monde dit « réel », tels que le mot de passe, le pseudonyme, l'adresse IP, et l'adresse électronique identifient une personne.

L'usurpation d'identité peut être définie comme « la pratique par laquelle une personne utilise

ou exploite sciemment les informations personnelles d'une autre personne à des fins illégales »3 L'usurpateur d'identité emprunte donc de façon définitive ou temporaire l'un des éléments identifiants de la personne.

L'usurpation d'identité n'est pas une pratique nouvelle, le droit protégeant depuis longtemps les atteintes au nom s'il en découle un risque pénal pour la personne. Pour que cette usurpation soit sanctionnée, il est nécessaire de prouver que des éléments identifiants de l'état

1 J. Panis, Exposé des motifs de la proposition de loi relative à la pénalisation de l'usurpation d'identité présenté au Sénat le 6 novembre 2008.

2 Vocabulaire juridique de l'Association Henri Capitant, édition PUF, 7e édition.

3 O. Itéanu, L'identité numérique p. 139, édition Eyrolles.

civil de la personne, entrainant un risque de confusion, d'assimilation entre l'usurpateur et le titulaire, ont été utilisés4.

Dans l'univers numérique, l'usurpation d'identité ne concerne pas seulement le nom de la personne. La captation et l'utilisation frauduleuse de tout élément qui concourent à identifier la personne peuvent permettre de se faire passer pour quelqu'un d'autre. L'usurpation d'identité connaît un regain d'intérêt avec Internet, les auteurs d'usurpation d'identité disposant d'outils techniques sophistiqués pour usurper les identifiants des internautes. Ces usurpations sont non seulement plus fréquentes mais causent également des dommages d'une ampleur potentiellement supérieure.

Or, on constate que les différents identifiants numériques ne sont pas tous juridiquement protégés. Ainsi l'usurpation d'un pseudonyme ou d'un mot de passe n'est pas sanctionnée en tant que telle car ces identifiants ne sont pas reconnus par le droit comme des signes d'identité.

Après avoir envisagé les différents modes d'usurpation d'identité (I), nous verrons les solutions juridiques et techniques possibles contre l'usurpation d'identité numérique (II)

4 CA Paris 8 mars 1966, JCP G 1967, II, 14934 note P. Nepveu.

I Les différents modes d'usurpation d'identité

Dans ce paragraphe, une typologie des principales usurpations d'identité susceptibles de se produire sur Internet sera réalisée. Nous allons subdiviser nos parties en fonction de la finalité de l'usurpation d'identité : d'un coté l'atteinte aux intérêts extra-patrimoniaux5 de la personne (A), de l'autre, l'atteinte aux intéréts patrimoniaux de la personne (B).

A L'usurpation d'identité, moyen d'atteinte aux intérêts extra-patrimoniaux de la personne

Les blogs, forums, réseaux sociaux, messageries électroniques ne proposent aucun système permettant de contrôler l'exactitude des données fournies par l'internaute lors de son inscription. Dès lors, toute personne a la possibilité de ne pas donner sa véritable identité, voire d'utiliser le nom d'une autre personne dans le but de se faire passer pour elle. L'usurpateur peut soit copier l'identité numérique préexistante d'une personne, soit créer l'identité numérique d'une personne qui n'en disposait pas à l'origine pour l'usurper.

En 2007, un individu a voulu montrer la facilité de créer des faux profils sur les réseaux sociaux. Il a créé sur le réseau social Facebook un profil sous le nom d'Alain Juppé et ce profil est resté actif pendant près de 3 semaines6. Si la plupart des faux profils sur les réseaux sociaux sont seulement des plaisanteries7, voire des mises en garde contre ce genre de pratique (cas de l'usurpation d'identité d'Alain Juppé), ces usurpations peuvent être un moyen d'attenter à la réputation de la personne.

Dans un arrêt rendu par la Chambre criminelle de la Cour de cassation datant du 29 mars 2006, un certain Jean X avait envoyé un message électronique diffamatoire à plusieurs personnes sous la signature d'André Y dans le but de lui nuire8.

Dans un jugement datant du 16 juin 2006, le tribunal correctionnel de Carcassonne a jugé une affaire dans laquelle un tiers fréquentait un site de rencontres sous le nom d'une autre personne9. L'auteur de cette usurpation d'identité faisait passer la personne pour une femme facile et communiquait ses coordonnées à tous les membres du site de sorte que la victime de cette usurpation recevait un nombre important d'appels.

5 Par intérêt extra-patrimonial on entend la catégorie hétérogène de préjudice qui regroupe l'atteinte aux sentiments, à l'honneur, à la réputation, aux droits de la personnalité.

6Reuters: http://www.01net.com/editorial/365566/un-faux-alain-juppe-sur-facebook/

7 On dénombre une quinzaine de Nicolas Sarkozy, Ségolène Royal sur facebook mais aussi des Jules Cesar, Elvis Presley.

8 Cass. Crim. 29 mars 2006, E. Caprioli De l'usurpation d'identité en matière pénale, CCE juillet-août 2006 p.39-40. Nous reviendrons sur cet arrêt dans d'autres développements de ce mémoire.

9 Tribunal correctionnel Carcassonne 16 juin 2006.

L'usurpation d'identité portant atteintes aux intéréts extra-patrimoniaux d'une personne est donc aisément effectuée dans l'univers numérique et est susceptible d'avoir des conséquences préjudiciables importantes. L'usurpation d'identité est également et le plus souvent surtout pratiquée dans le but d'attenter aux intéréts patrimoniaux (B).

B L'usurpation d'identité, moyen d'atteinte aux intérêts patrimoniaux de la personne

L'usurpation d'identité sur Internet est essentiellement un moyen de retirer un avantage économique. Les techniques d'usurpation d'identité sont diverses et de plus en plus sophistiquées. Nous allons présenter les trois principales d'entre elles.

Tout d'abord, le phishing (hameçonnage en français), est un terme dérivé du mot anglais < fishing », qui signifie pêcher à la ligne et du mot < phreaking » qui désigne l'utilisation frauduleuse des lignes téléphoniques10. En règle générale, la personne à l'origine du phishing envoie un courrier électronique à un internaute en se faisant passer pour une entreprise (généralement une banque) ou une autorité publique en reproduisant le logo ou l'en-tête de la personne morale. Le courrier électronique contient un lien hypertexte renvoyant vers une page web qui est la copie conforme de celle de l'institution ou de l'entreprise (< site miroir »). Sous des motifs de panne informatique ou de mise à jour, le courrier électronique invite l'internaute à cliquer vers le lien hypertexte afin qu'il saisisse des informations confidentielles le concernant telles que des mots de passe ou des numéros de son compte bancaire, de sa sécurité sociale. L'auteur du phishing obtient de cette manière directement et facilement des informations confidentielles d'une personne11.

Le phishing combine ainsi une technique informatique complexe, qui permet la mise en scène d'une entité réelle et connue en se faisant passer pour elle, avec la crédulité de l'internaute, dont la confiance a été trompée et qui pense naïvement révéler ses informations à la personne morale dont le logo ou l'en-tête a été copié. Ce système de fraude aurait touché 2 millions de personne aux Etats-Unis et couté 1,2 milliards de dollars en 2003 aux banques américaines12. Si à l'heure actuelle, le phishing est essentiellement utilisé pour attenter aux intérêts financiers des personnes physiques ou morales, il est possible que cette technique se développe par la

10 F. Duflot «Phishing » : les dessous de la contrefaçon, RLDI janvier 2006 p.54.

11 N. Martin Phishing: What's happening? Quelles solutions juridiques pour lutter contre le phishing?, Expertises février 2006 p. 65.

12 Etude du cabinet Gartner, juin 2004.

suite pour devenir un outil d'espionnage industriel. En effet, l'auteur du phishing pourrait, grâce aux mots de passe des salariés, accéder aux serveurs d'une entreprise13.

Ensuite, le pharming est une forme de phishing plus perfectionnée, qui consiste à pirater le système de nommage d'un site Internet14. L'auteur du pharming pirate un nom de domaine (le plus souvent le nom de domaine d'une banque). Pour mettre en oeuvre ce piratage, les auteurs de pharming utilisent un virus de type « cheval de Troie » qui s'installe sur le disque dur de l'internaute. Le cheval de Troie est un « logiciel malveillant dissimulé derrière l'apparence d'un logiciel légitime conçu pour exécuter discrètement des actions à l'insu de l'utilisateur »15. Tout internaute dont l'ordinateur a été infecté par ce cheval de Troie, sera redirigé vers un faux site web imitant celui de l'entreprise ou de l'institution lorsqu'il saisira leur adresse Internet. S'il saisit des informations confidentielles sur le faux site, ces informations lui seront dérobées. Cette technique, difficile à détecter, est encore plus pernicieuse que le phishing car même un internaute vigilant est susceptible d'être victime de cette atteinte.

En juillet 2007, les banques CIC et Crédit Mutuel ont alerté leurs clients des risques de pharming susceptibles de se produire sur leur page Internet16.

Enfin, le spoofing est une variante du pharming consistant à pirater l'adresse IP d'un
ordinateur dans le but de se l'approprier17. L'adresse IP (Internet Protocol) est une «Série de

Internet»18. Cette technique permet de masquer l'adresse IP réelle de l'ordinateur avec lequel il se connecte sur Internet. Le pirate aura ainsi la possibilité de faire passer des paquets sur un réseau sans que ceux-ci ne soient interceptés par le système de filtrage du pare-feu19. En effet, comme les systèmes pare-feu fonctionnent généralement grâce à des règles de filtrage,

13 B. Amaudric du Chaffaut et T. Limouzin-Lamothe, Une nouvelle forme de criminalité informatique à l'épreuve de la loi : le phishing, Expertises avril 2005 p. 140& s.

14 O. Itéanu, L'identité numérique p. 143, édition Eyrolles.

15 Cybercriminalité : morceaux choisis, AJ Pénal n° 3/2009 de mars 2009 p. 120.

16 K. Solovieff, http://www.01net.com/editorial/355464/les-clients-de-banques-francaises-sont-la-cible-dunvirus-tres-vicieux/

17 O. Itéanu, L'identité numérique p. 143, édition Eyrolles.

18 Dossier Cybercriminalité : morceaux choisis, AJ Pénal n° 3/2009 de mars 2009 p. 120.

19

Le pare-feu (firewall en anglais) est un logiciel permettant de protéger un ordinateur des intrusions provenant notamment du réseau Internet.

indiquant les adresses IP autorisées à communiquer avec les machines internes au réseau, le pirate qui usurpe une adresse IP autorisée pourra accéder au réseau en toute liberté20.

L'usurpation d'identité, moyen d'atteindre les intérêts extra-patrimoniaux de la personne est réalisée avec une étonnante facilité sur Internet car tout individu peut s'enregistrer sous le nom d'un tiers sur les services de communication électronique. L'usurpation d'identité, pour atteindre les intérêts patrimoniaux de la personne ne cesse d'évoluer grace aux moyens techniques offerts par Internet. Ce type d'usurpation d'identité s'éloigne de plus en plus des usurpations d'identités « classiques », reposant dans l'usurpation du nom d'une personne.

Face au constat du développement de ces pratiques malveillantes, le droit et la technique offrent des solutions qui ne sont pas toujours pleinement satisfaisantes (II).

II Les solutions juridiques et techniques contre l'usurpation d'identité

L'usurpateur d'identité doit pouvoir etre sanctionné pour les actions qu'il a commises (A). Toutefois, une politique exclusivement répressive n'est pas pleinement satisfaisante. Des moyens de prévention techniques doivent également être mis en place pour endiguer les usurpations d'identités numériques (B).

A IIa solution juridique : la sanction de l'usurpation d'identité

L'usurpation d'identité n'est à l'heure actuelle sanctionnée que lorsqu'elle « entraine un risque pénal pour la victime de l'usurpation »21(1). En effet, il n'existe pas d'infraction spécifique sanctionnant l'usurpation d'identité de manière autonome à l'heure actuelle (2).

1) L'usurpation d'identité sanctionnée comme moyen de commettre d'autres infractions

Même si la personne, victime de l'usurpation de son nom a la possibilité d'engager une action civile contre l'auteur de l'usurpation, nous n'envisagerons dans cette partie que les règles du droit pénal permettant de sanctionner l'usurpation d'identité.

Les appréhensions pénales possibles de l'usurpation d'identité sont multiples mais leur champ d'application est restrictif.

20 Usurpation d'adresse IP http://www.commentcamarche.net/contents/attaques/usurpation-ip-spoofing.php3

21 C. Manara Conditions de la sanction de l'usurpation de nom sur Internet, D. 2006 p. 1443&s.

L'article 434-23 du code pénal22 sanctionne la personne qui prend le nom d'un tiers dans des circonstances qui ont déterminé ou auraient pu déterminer contre le tiers usurpé des poursuites pénales. Il est donc nécessaire de prouver que non seulement l'auteur de l'usurpation a pris le nom d'un tiers (première condition), mais encore que cet usage a été fait dans l'intention de rendre ce tiers passible d'une sanction pénale (deuxième condition)23. Le pseudonyme, l'adresse électronique, le mot de passe ou encore l'adresse IP d'une personne ne peuvent etre assimilés à un nom, le droit pénal étant d'interprétation stricte. En outre, si l'auteur de l'usurpation se contente de naviguer sur Internet, il ne peut faire l'objet de sanction pénale. Ce fondement peut etre retenu dans des hypothèses d'usurpation du nom d'une personne. La Cour d'appel de Colmar, dans l'affaire évoquée supra avait retenu ce fondement pour sanctionner un message électronique diffamatoire envoyée sous le nom d'un tiers. La Chambre criminelle de la Cour de cassation a cassé l'arret au motif que la diffamation n'était pas constituée et donc a fortiori la prise du nom d'un tiers non plus24.

La diffamation de l'article 29 alinéa 1 de la loi du 29 juillet 188125 permet de sanctionner les usurpations d'identité qui portent atteinte à la réputation de la personne. Pour que cette infraction soit constituée, il est nécessaire de prouver que les propos, écrits portent atteinte à la considération d'une personne déterminée et qu'ils soient suffisamment précis. Dans l'arr~t du 29 mars 2006, la Cour de cassation a considéré que la diffamation n'était pas suffisamment caractérisée et a cassé l'arr~t de la Cour d'appel26.

L'autre qualification juridique pénale possible est l'escroquerie ou la tentative
d'escroquerie27. L'escroquerie parait être le fondement le plus évident pour sanctionner le
phishing. En effet, l'auteur du phishing utilise une fausse identité en se faisant passer pour une

22 Article 434-23 du code pénal : « Le fait de prendre le nom d'un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende ».

23 J-S Mariez Un premier pas vers la mise en place d'un dispositif pertinent de lutte contre l'usurpation d'identité sur Internet ?, RLDI novembre 2008 p. 65 &s.

24 Cass. Crim. 29 mars 2006, E. Caprioli De l'usurpation d'identité en matière pénale, CCE juillet-août 2006 p.39-40.

25 Article 29 alinéa 1de la loi du 29 juillet 1881 « toute allégation ou imputation d'un fait qui porte atteinte à lihonne-uThwIMEcfonsidIADIioCAde la personne ou du corps auquel le fait est imputé, est une diffamation ».

2 Cass. Crim. 29 mars 2006, A. Cousin L'usurpation d'identité sur internet : une lacune à combler ?, Expertises août-septembre 2006 p.322-323.

27 Article 313-1 du code pénal « le fait soit par l'usage d'un faux nom ou d'une fausse qualité soit par l'abus d'une qualité vraie, soit par l'emploi de manoeuvres frauduleuses de tromper une personne physique ou morale et de la déterminer ainsi à son préjudice ou au préjudice d'un tiers à remettre des fonds des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge », ce délit est puni de cinq ans d'emprisonnement et de 375 000 euros d'amende.

entreprise titulaire d'un site Internet dans le but de recueillir des fonds, des valeurs ou un bien quelconque que sont les informations personnelles de la victime. Le tribunal de grande instance de Paris, dans un jugement du 2 septembre 2004 a ainsi sanctionné sur ce fondement l'auteur d'un phishing qui avait imité le site Internet de la banque Crédit Lyonnais, puis récupéré les identifiants et mots de passe de clients de la banque28.

Pour les cas de phishing ou de pharming, la contrefaçon de marque29 ou de droit d'auteur est également une qualification juridique envisageable. Dans une affaire où l'auteur d'un phishing avait repris sur un site miroir les éléments caractéristiques du site MSN Messenger, le tribunal de grande instance de Paris en date du 21 septembre 2005 a retenu la contrefaçon de marque30.

L'article 323-3-1 du code pénal31 est un moyen de lutter de manière préventive aux risques d'usurpation d'identité. Le tribunal correctionnel de Saverne, dans un jugement datant du 12 juin 2008, a appliqué cet article pour sanctionner un individu qui diffusait sur son blog un guide d'utilisation détaillant la démarche à suivre pour s'approprier l'identifiant et le mot de passe des utilisateurs de MSN32.

La collecte déloyale de données à caractère personnel33 et le traitement de donnée réalisé sans le respect des formalités préalables34 pourraient être des moyens juridiques permettant d'engager des poursuites à l'encontre de l'auteur d'une usurpation d'identité. Une donnée à caractère personnel est une information relative à une personne physique identifiée ou qui

28 TGI Paris 2 septembre 2004.

29 Article L 122-4 du code de la propriété intellectuelle « Toute représentation ou reproduction intégrale ou SEUl1l1eE11111EGEQs l17RQs1Qt1PeQt de l'aXteXr RX de ses ayaQtRMXTH114152FB1E JO1Q 114F111PrPHSRXWIL traduction, EnDfESMIRQ RXECECITEQsfREPDEIRQ, EffiEUDQIeP1Qt RXalCUSER(XctIRQ SEUXQ aIHMERX EXQ SERFpCp quelconque ».

30 TGI Paris 21 septembre 2005, disponible sur www.legalis.net

31 Article 323-3-1 du code pénal « Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 ( c'est-à-dire d'introduire frauduleusement des données dans un système de traitement automatisé, d'entraver et fausser son fonctionnement et de supprimer ou modifier frauduleusement des données) est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée ».

32 TGI correctionnel Saverne 12 juin 2008, J-S Mariez 8 Q SrePier Sas Y1rs la Pise eQ Slace d'XQ disSRsitif SHtiQ1Qt allXtt1ilRQtMXsXrSEVERQ d'ideQtitp sXr JQteIQei ?, RLDI novembre 2008 p. 65 &s.

33 Article 226-18 du code pénal « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende ».

34 Article 226-17 du code pénal « Le fait de procéder ou de faire procéder à un traitement de données à MLEFIgHSHIRQQHIPaQs,P1FFEHIQ oeXYUDIWP1FXU2 STHRIF1TDI zumorm israHRE Q° III-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. »

peut être identifiée, directement ou indirectement, par référence à un ou plusieurs éléments qui lui sont propres35. Le phishing, pharming ou même le spoofing36 sont susceptibles d'être condamné sur ces fondements.

Si le droit existant permet à l'heure actuelle de réprimer un nombre important de cas d'usurpation d'identité sur Internet, les solutions juridiques proposées par les différentes incriminations pénales ne sont pas pleinement satisfaisantes, la sanction étant aléatoire. L'absence de délit sanctionnant en tant que tel l'usurpation d'identité crée un vide juridique (2).

2) L'absence de délit spécifique de l'usurpation d'identité sur internet

En raison de l'insuffisance des délits précités, le projet de la loi d'orientation et de programmation pour la performance de la sécurité intérieure (dit LOPPSI 2) propose d'incriminer de manière spécifique l'usurpation d'identité numérique. L'article 2 de la loi LOPPSI 2 prévoit d'insérer un article 226-16-1 dans le code pénal qui réprimerait « Le fait d'utiliser, de manière réitérée, sur un réseau de communication électronique l'identité d'un tiers ou des données qui lui sont personnelles, en vue de troubler la tranquillité de cette personne ou d'autrui, est puni d'un an d'emprisonnement et de 15 000 € d'amende.

Est puni de la mme peine le fait d'utiliser, sur un réseau de communication électronique, l'identité d'un tiers ou des données qui lui sont personnelles, en vue de porter atteinte à son honneur ou à sa considération».

La possible incrimination de l'usurpation d'identité numérique n'est pas une nouveauté. Dès juillet 2005, le sénateur M. Dreyfus-Schmidt proposait d'insérer un article 323-8 dans le caractère personnel qui punirait « d'une année d'emprisonnement et de 15 000 euros d'amende, le fait d'usurper sur tout réseau informatique de communication l'identité d'un particulier, d'une entreprise ou d'une autorité publique. Les peines prononcées se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l'infraction à l'occasion de laquelle l'usurpation a été commise.»

Ce projet de loi a un champ d'application plus large que la proposition sénatoriale car il
réprime non seulement l'usurpation d'identité mais aussi l'usurpation de données

35 L'article 2 alinéa 2 de la loi Informatique et Libertés.

36 L'adresse IP étant considérée par la CNIL et par la Cour de cassation (Cass. Crim. 4 avril 2007.) comme une donnée personnelle.

personnelles. On peut se demander si la notion de donnée personnelle doit titre interprétée comme renvoyant à la notion de donnée personnelle de l'article alinéa 2 de la loi Informatique et Libertés.

Son champ d'application est également plus étroit que la proposition sénatoriale car le délit d'usurpation d'identité est restreint à deux hypothèses : il est nécessaire que l'auteur du délit ait l'intention, soit de troubler la tranquillité d'une personne de manière réitérée (il s'agit d'une infraction d'habitude), soit d'attenter á son honneur ou á sa considération.

Au final, ce projet de loi est décevant car ces nouveaux délits ne permettent pas de sanctionner des comportements d'usurpation d'identité qui échappent actuellement au droit. De plus, il ne détermine pas ce qu'est l'identité numérique d'une personne sur Internet.

S'il est important que les différents modes d'usurpation d'identité puissent etre appréhendés pénalement, le recours à la sanction n'est pas l'unique remède. Un environnement sécurisé est susceptible de réduire les risques d'usurpation d'identité (B).

B La solution technique : la prévention contre l'usurpation d'identité

Des moyens de lutte en amont de l'usurpation d'identité permettraient de réduire considérablement le risque d'usurpation d'identité. Ces moyens de prévention peuvent provenir des entreprises (1) mais aussi des particuliers internautes(2).

1) Les moyens susceptibles d'être mis en oeuvre par les entreprises

Les entreprises et institutions directement menacées par l'usurpation d'identité peuvent mettre en place un certain nombre d'outils pour se prémunir de l'usurpation d'identité dont elles sont victimes mais dont sont également victimes leurs clients.

Tout d'abord, les entreprises pourraient établir une politique de confidentialité relative au contenu de leurs courriers électroniques et transmettre cette politique á leurs clients. Cette politique pourrait notamment prévoir de ne pas introduire de liens hypertexte dans les courriers électroniques qu'elles envoient ou, au contraire, inclure dans ces courriers électroniques des éléments permettant au client de s'assurer que l'entreprise est bien à l'origine de ce courrier37 . Les éléments d'authentification de l'entreprise pourraient etre des

37 B. Amaudric du Chaffaut et T. Limouzin-Lamothe, Une nouvelle forme de criminalité informatique à InSUMIBdIBlaBloi : le phishing, Expertises avril 2005 p. 140& s.

éléments concernant le destinataire que seule l'entreprise est susceptible de connaître, tel que le numéro de client, le rappel de la date de son dernier achat,...

L'entreprise a également la possibilité recourir à un prestataire de nom de domaine fiable capable de garantir une sécurité maximale sur ses serveurs.

Les établissements bancaires disposent également de la faculté de mettre en place un moyen d'authentifier leurs clients porteurs de cartes bancaires lors d'achats effectués sur Internet autrement que par le cryptogramme visuel (les trois chiffres au dos de la carte bancaire). Le système 3DSecure permet de réduire les risques d'usurpation d'identité par le biais de la carte bancaire38. En effet, lors d'un achat sur Internet après que l'internaute ait saisi le numéro de carte bancaire, la date d'expiration et le cryptogramme visuel, il est redirigé vers le site de sa banque qui lui demande de fournir des informations complémentaires. Ces informations complémentaires, que chaque banque choisit librement, permettent d'identifier l'internaute. La banque émettrice authentifie alors le porteur de carte et confirme à la banque du commerçant l'identité de l'acheteur. Pour que le paiement soit effectué en mode 3DSecure, il est nécessaire que non seulement la carte de paiement soit une carte 3DSecure mais également que le commerçant en ligne accepte ce mode de paiement. A l'heure actuelle, plusieurs banques françaises proposent cette solution notamment la Caisse d'Epargne avec son produit ID Tronic (authentification par mot de passe envoyé par SMS) et des émetteurs e-Carte Bleue/Verified by Visa (authentification par les identifiant de connexion et mot de passe indiqués pour la génération du numéro virtuel). Une généralisation de ce type d'outil serait un moyen de protection efficace.

De son coté, Twitter, outil de réseau social et de micro-blogging, a décidé de mettre très prochainement en place des comptes certifiés, attestant de la véracité de l'identité du compte de la personne39. Les comptes certifiés disposeront d'un logo intitulé « Verified Account ». Cette mesure, permettra d'éviter que des personnes utilisent sciemment l'identité d'un autre individu dans le but de nuire à sa réputation. Ces mesures d'authentification de compte seraient pour le moment limitées aux agences publiques et aux personnes disposant d'une certaine notoriété. Il est souhaitable que la certification de compte s'étende à tous les

38 Observatoire de la cyber-consommation du forum des droits sur l'internet du 27 janvier 2005 http://www.foruminternet.org/telechargement/documents/rapp-cyberconso-20050519.pdf

39 http://twitteradar.com/twitter-lance-la-certification-de-compte-en-beta/news

utilisateurs de ce réseau social et que d'autres services de communication en ligne suivent la même démarche.

Les particuliers peuvent individuellement limiter les risques d'usurpation d'identité (2).

2) Ies particuliers internautes

Des politiques de sensibilisation sur les risques d'usurpation d'identité numérique délivrés aux particuliers leur permettraient d'adopter une pratique d'utilisation d'Internet qui soit plus responsable et de se doter d'outils techniques efficaces de prévention.

L'observatoire de la cyber-consommation du forum des droits sur l'internet du 27 janvier 2005 dispense des conseils pratiques aux particuliers40. Ces conseils consistent surtout à se prémunir contre les atteintes de phishing.

Tout d'abord, lorsqu'un internaute reçoit un courrier électronique l'invitant à cliquer sur le lien hypertexte afin qu'il délivre des données personnelles, il est préférable qu'il saisisse manuellement l'adresse du site Internet plutôt que de cliquer sur le lien hypertexte. Par ce moyen, l'internaute pourra vérifier dans la barre d'adresse du navigateur l'adresse du site Internet.

Ensuite, l'observatoire de la cyber-consommation préconise de toujours partir de la page d'accueil d'un site pour accéder aux autres pages, notamment celles où sont demandées des identifiants.

De plus, lorsque l'internaute consulte des sites sécurisés, il est recommandé de vérifier que le chiffrement des données soit activé. Pour procéder à cette vérification, l'internaute doit double-cliquer sur le cadenas qui apparaît en bas à droite de la page. En cliquant sur ce cadenas, l'internaute connaît le certificat de sécurité dont bénéficie la société et peut s'assurer que la société bénéficiaire est bien celle qui exploite le site.

Enfin, en cas de doute sur l'authenticité de l'expéditeur du courrier électronique, l'internaute doit appeler l'organisme qui lui a apparemment envoyé le message afin de vérifier que cet organisme est bien à l'origine du courrier électronique.

Pour se prémunir d'une usurpation identité il est également opportun de communiquer peu de renseignements personnels sur les forums et les sites de réseaux sociaux.

40 Observatoire de la cyber-consommation du forum des droits sur l'internet du 27 janvier 2005 http://www.foruminternet.org/telechargement/documents/rapp-cyberconso-20050519.pdf

L'internaute peut également se doter d'outils informatiques de prévention. L'utilisation de logiciels antivirus, antispam, antispyware et d'un pare-feu réduisent considérablement les risques de pharming et de spoofing.

En outre, des acteurs du commerce électronique tels que Netcraft et Core Street proposent des« barres d'outils informatiques » qui permettent à l'internaute de détecter s'il se trouve sur un site fiable et de bloquer des envois à des serveurs répertoriés sur des listes noires41.

Une attitude vigilante, l'adoption d'outils techniques de sécurisation de la connexion Internet et d'authentification de l'entreprise et des internautes préviennent l'usurpation d'identité. L'association de mesures techniques et juridiques appropriées permet d'enrayer l'usurpation d'identité numérique. Il est toutefois impossible de neutraliser totalement ce phénomène, le risque zéro n'existant pas.

41 C. Guillemain Des barres d'outils pour Internet Explorer et Firefox protègent du "phishing, http://www.zdnet.fr/actualites/telecoms/0,39040748,39196431,00.htm

CONCLUSION

La répression de l'usurpation identité se heurte de front avec le principe du droit à l'anonymat sur Internet qui est le cheval de bataille de certaines personnes.

Le rapport La vie privée à l'heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l'information42, fait au nom de la commission des lois, et présenté le 27 mai 2009 propose de reconnaître un droit à l'anonymat dans l'univers numérique. L'identité numérique serait dissociée de l'identité réelle de l'internaute par le biais d'un pseudonyme. Grâce à ce pseudonyme, l'internaute pourrait préserver son identité civile lorsqu'il publie une information sur un service de communication en ligne. Le dévoilement délibéré de la vie privée, qui est particulièrement important sur les sites de réseaux sociaux où les individus sont encouragés à délivrer un grand nombre d'informations les concernant, et les risques personnels et professionnels qui découlent de cette exhibition pourraient donc être amoindries avec l'utilisation d'un pseudonyme. Toutefois, afin d'éviter que cet anonymat ne constitue un moyen d'impunité, le rapport suggère que le pseudonyme de la personne soit déposé auprès d'un organisme indépendant qui pourrait le communiquer à la justice en cas d'infractions.

42 V Detraigne et A-M Escoffier, rapport La vie privée à l'heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l'information, http://www.senat.fr/rap/r08-441/r08-441_mono.html

Bibliographie

Ouvrage

O. Itéanu L'identité numérique, Eyrolles

Dictionnaire

Vocabulaire juridique de l'Association Henri Capitant, édition PUF, 7e édition. Rapports

Observatoire de la cyber-consommation du forum des droits sur l'internet les paiements sur Internet du 27 janvier 2005

Y Detraigne et A-M Escoffier, La vie privée à l'heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l'information

Etude

Etude du cabinet Gartner, juin 2004.

Revues juridiques

* Recueil Dalloz

C. Manara Conditions de la sanction de l'usurpation de nom sur Internet, D. 2006 p. 1443&s. *Communication Commerce Electronique

E. Caprioli De l'usurpation d'identité en matière pénale, CCE juillet-août 2006 p.39-40 *Actualité juridique Pénal

Dossier Cybercriminalité : morceaux choisis AJ Pénal n° 3/2009 de mars 2009p. 120. *5 HAe LEP \ 112111t 12IRIimmatériel

F. Duflot «Phishing » : les dessous de la contrefaçon, RLDI janvier 2006 p.54.

J-S Mariez Un premier pas vers la mise en place d'un dispositif pertinent de lutte contre l'usurpation d'identité sur Internet ?, RLDI novembre 2008 p. 65 &s.

*Expertises

B. Amaudric du Chaffaut et T. Limouzin-Lamothe, Une nouvelle forme de criminalité informatique à l'épreuve de la loi : le phishing, Expertises avril 2005 p. 140& s.

N. Martin Phishing: What's happening? Q phishing?, Expertises février 2006 p. 65.

A. Cousin L'usurpation d'identité sur internet : une lacune à combler ?, Expertises aoûtseptembre 2006 p.322-323.

AIMMIIIIIMIt' (ML(et

Reuters http://www.01net.com/editorial/365566/un-faux-alain-juppe-sur-facebook/

K. Solovieff, http://www.01net.com/editorial/355464/les-clients-de-banques-francaises-sontla-cible-dun-virus-tres-vicieux/

C. Guillemain Des barres d'outils pour Internet Explorer et Firefox protègent du "phishing,

Usurpation d'adresse IP http://www.commentcamarche.net/contents/attaques/usurpation-ipspoofing.php3

Twitterman http://twitteradar.com/twitter-lance-la-certification-de-compte-en-beta/news Jurisprudence

Cass. Crim. 29 mars 2006

Cass. Crim. 4 avril 2007

CA Paris 8 mars 1966, JCP G 1967, II, 14934 note P. Nepveu. TGI Paris 2 septembre 2004.

TGI Paris 21 septembre 2005

TGI correctionnel Saverne 12 juin 2008,

Tribunal correctionnel Carcassonne 16 juin 2006

Textes législatifs

Article 226-17 du code pénal Article 226-18 du code pénal Article 313-1 du code pénal Article 323-3-1 du code pénal Article 434-23 du code pénal

Article 29 alinéa 1de la loi du 29 juillet 1881

Article L 122-4 du code de la propriété intellectuelle L'article 2 alinéa 2 de la loi Informatique et Libertés

Projet et proposition de loi

Projet de la loi d'orientation et de programmation pour la performance de la sécurité intérieure

J. Panis, Exposé des motifs de la proposition de loi relative à la pénalisation de l'usurpation d'identité présenté au Sénat le 6 novembre 2008.