L'usurpation d'identité sur internet

B La solution technique : la prévention contre l'usurpation d'identité

Des moyens de lutte en amont de l'usurpation d'identité permettraient de réduire considérablement le risque d'usurpation d'identité. Ces moyens de prévention peuvent provenir des entreprises (1) mais aussi des particuliers internautes(2).

1) Les moyens susceptibles d'être mis en oeuvre par les entreprises

Les entreprises et institutions directement menacées par l'usurpation d'identité peuvent mettre en place un certain nombre d'outils pour se prémunir de l'usurpation d'identité dont elles sont victimes mais dont sont également victimes leurs clients.

Tout d'abord, les entreprises pourraient établir une politique de confidentialité relative au contenu de leurs courriers électroniques et transmettre cette politique á leurs clients. Cette politique pourrait notamment prévoir de ne pas introduire de liens hypertexte dans les courriers électroniques qu'elles envoient ou, au contraire, inclure dans ces courriers électroniques des éléments permettant au client de s'assurer que l'entreprise est bien à l'origine de ce courrier³⁷ . Les éléments d'authentification de l'entreprise pourraient etre des

³⁷ B. Amaudric du Chaffaut et T. Limouzin-Lamothe, Une nouvelle forme de criminalité informatique à InSUMIBdIBlaBloi : le phishing, Expertises avril 2005 p. 140& s.

éléments concernant le destinataire que seule l'entreprise est susceptible de connaître, tel que le numéro de client, le rappel de la date de son dernier achat,...

L'entreprise a également la possibilité recourir à un prestataire de nom de domaine fiable capable de garantir une sécurité maximale sur ses serveurs.

Les établissements bancaires disposent également de la faculté de mettre en place un moyen d'authentifier leurs clients porteurs de cartes bancaires lors d'achats effectués sur Internet autrement que par le cryptogramme visuel (les trois chiffres au dos de la carte bancaire). Le système 3DSecure permet de réduire les risques d'usurpation d'identité par le biais de la carte bancaire³⁸. En effet, lors d'un achat sur Internet après que l'internaute ait saisi le numéro de carte bancaire, la date d'expiration et le cryptogramme visuel, il est redirigé vers le site de sa banque qui lui demande de fournir des informations complémentaires. Ces informations complémentaires, que chaque banque choisit librement, permettent d'identifier l'internaute. La banque émettrice authentifie alors le porteur de carte et confirme à la banque du commerçant l'identité de l'acheteur. Pour que le paiement soit effectué en mode 3DSecure, il est nécessaire que non seulement la carte de paiement soit une carte 3DSecure mais également que le commerçant en ligne accepte ce mode de paiement. A l'heure actuelle, plusieurs banques françaises proposent cette solution notamment la Caisse d'Epargne avec son produit ID Tronic (authentification par mot de passe envoyé par SMS) et des émetteurs e-Carte Bleue/Verified by Visa (authentification par les identifiant de connexion et mot de passe indiqués pour la génération du numéro virtuel). Une généralisation de ce type d'outil serait un moyen de protection efficace.

De son coté, Twitter, outil de réseau social et de micro-blogging, a décidé de mettre très prochainement en place des comptes certifiés, attestant de la véracité de l'identité du compte de la personne³⁹. Les comptes certifiés disposeront d'un logo intitulé « Verified Account ». Cette mesure, permettra d'éviter que des personnes utilisent sciemment l'identité d'un autre individu dans le but de nuire à sa réputation. Ces mesures d'authentification de compte seraient pour le moment limitées aux agences publiques et aux personnes disposant d'une certaine notoriété. Il est souhaitable que la certification de compte s'étende à tous les

38 Observatoire de la cyber-consommation du forum des droits sur l'internet du 27 janvier 2005 http://www.foruminternet.org/telechargement/documents/rapp-cyberconso-20050519.pdf

39 http://twitteradar.com/twitter-lance-la-certification-de-compte-en-beta/news

utilisateurs de ce réseau social et que d'autres services de communication en ligne suivent la même démarche.

Les particuliers peuvent individuellement limiter les risques d'usurpation d'identité (2).