L'usurpation d'identité sur internet

B L'usurpation d'identité, moyen d'atteinte aux intérêts patrimoniaux de la personne

L'usurpation d'identité sur Internet est essentiellement un moyen de retirer un avantage économique. Les techniques d'usurpation d'identité sont diverses et de plus en plus sophistiquées. Nous allons présenter les trois principales d'entre elles.

Tout d'abord, le phishing (hameçonnage en français), est un terme dérivé du mot anglais < fishing », qui signifie pêcher à la ligne et du mot < phreaking » qui désigne l'utilisation frauduleuse des lignes téléphoniques¹⁰. En règle générale, la personne à l'origine du phishing envoie un courrier électronique à un internaute en se faisant passer pour une entreprise (généralement une banque) ou une autorité publique en reproduisant le logo ou l'en-tête de la personne morale. Le courrier électronique contient un lien hypertexte renvoyant vers une page web qui est la copie conforme de celle de l'institution ou de l'entreprise (< site miroir »). Sous des motifs de panne informatique ou de mise à jour, le courrier électronique invite l'internaute à cliquer vers le lien hypertexte afin qu'il saisisse des informations confidentielles le concernant telles que des mots de passe ou des numéros de son compte bancaire, de sa sécurité sociale. L'auteur du phishing obtient de cette manière directement et facilement des informations confidentielles d'une personne¹¹.

Le phishing combine ainsi une technique informatique complexe, qui permet la mise en scène d'une entité réelle et connue en se faisant passer pour elle, avec la crédulité de l'internaute, dont la confiance a été trompée et qui pense naïvement révéler ses informations à la personne morale dont le logo ou l'en-tête a été copié. Ce système de fraude aurait touché 2 millions de personne aux Etats-Unis et couté 1,2 milliards de dollars en 2003 aux banques américaines¹². Si à l'heure actuelle, le phishing est essentiellement utilisé pour attenter aux intérêts financiers des personnes physiques ou morales, il est possible que cette technique se développe par la

10 F. Duflot «Phishing » : les dessous de la contrefaçon, RLDI janvier 2006 p.54.

11 N. Martin Phishing: What's happening? Quelles solutions juridiques pour lutter contre le phishing?, Expertises février 2006 p. 65.

12 Etude du cabinet Gartner, juin 2004.

suite pour devenir un outil d'espionnage industriel. En effet, l'auteur du phishing pourrait, grâce aux mots de passe des salariés, accéder aux serveurs d'une entreprise¹³.

Ensuite, le pharming est une forme de phishing plus perfectionnée, qui consiste à pirater le système de nommage d'un site Internet¹⁴. L'auteur du pharming pirate un nom de domaine (le plus souvent le nom de domaine d'une banque). Pour mettre en oeuvre ce piratage, les auteurs de pharming utilisent un virus de type « cheval de Troie » qui s'installe sur le disque dur de l'internaute. Le cheval de Troie est un « logiciel malveillant dissimulé derrière l'apparence d'un logiciel légitime conçu pour exécuter discrètement des actions à l'insu de l'utilisateur »¹⁵. Tout internaute dont l'ordinateur a été infecté par ce cheval de Troie, sera redirigé vers un faux site web imitant celui de l'entreprise ou de l'institution lorsqu'il saisira leur adresse Internet. S'il saisit des informations confidentielles sur le faux site, ces informations lui seront dérobées. Cette technique, difficile à détecter, est encore plus pernicieuse que le phishing car même un internaute vigilant est susceptible d'être victime de cette atteinte.

En juillet 2007, les banques CIC et Crédit Mutuel ont alerté leurs clients des risques de pharming susceptibles de se produire sur leur page Internet¹⁶.

Enfin, le spoofing est une variante du pharming consistant à pirater l'adresse IP d'un
ordinateur dans le but de se l'approprier¹⁷. L'adresse IP (Internet Protocol) est une «Série de

Internet»¹⁸. Cette technique permet de masquer l'adresse IP réelle de l'ordinateur avec lequel il se connecte sur Internet. Le pirate aura ainsi la possibilité de faire passer des paquets sur un réseau sans que ceux-ci ne soient interceptés par le système de filtrage du pare-feu¹⁹. En effet, comme les systèmes pare-feu fonctionnent généralement grâce à des règles de filtrage,

¹³ B. Amaudric du Chaffaut et T. Limouzin-Lamothe, Une nouvelle forme de criminalité informatique à l'épreuve de la loi : le phishing, Expertises avril 2005 p. 140& s.

¹⁴ O. Itéanu, L'identité numérique p. 143, édition Eyrolles.

15 Cybercriminalité : morceaux choisis, AJ Pénal n° 3/2009 de mars 2009 p. 120.

¹⁶ K. Solovieff, http://www.01net.com/editorial/355464/les-clients-de-banques-francaises-sont-la-cible-dunvirus-tres-vicieux/

¹⁷ O. Itéanu, L'identité numérique p. 143, édition Eyrolles.

18 Dossier Cybercriminalité : morceaux choisis, AJ Pénal n° 3/2009 de mars 2009 p. 120.

19

Le pare-feu (firewall en anglais) est un logiciel permettant de protéger un ordinateur des intrusions provenant notamment du réseau Internet.

indiquant les adresses IP autorisées à communiquer avec les machines internes au réseau, le pirate qui usurpe une adresse IP autorisée pourra accéder au réseau en toute liberté²⁰.

L'usurpation d'identité, moyen d'atteindre les intérêts extra-patrimoniaux de la personne est réalisée avec une étonnante facilité sur Internet car tout individu peut s'enregistrer sous le nom d'un tiers sur les services de communication électronique. L'usurpation d'identité, pour atteindre les intérêts patrimoniaux de la personne ne cesse d'évoluer grace aux moyens techniques offerts par Internet. Ce type d'usurpation d'identité s'éloigne de plus en plus des usurpations d'identités « classiques », reposant dans l'usurpation du nom d'une personne.

Face au constat du développement de ces pratiques malveillantes, le droit et la technique offrent des solutions qui ne sont pas toujours pleinement satisfaisantes (II).