Le phishing, les ransomware, les malware et les botnets constituent différentes techniques pouvant être mises en œuvre par les cybercriminels. Il s’agit donc de plusieurs types de menaces dont chaque personne doit pouvoir se protéger.
Le phishing (ou hameçonnage) est une technique utilisée par les cybercriminels dans le but de tromper une personne, afin que celle-ci lui donne accès à ses données à caractère personnel, en se faisant passer pour un tiers de confiance.
Différentes techniques peuvent être utilisées afin de mettre en œuvre le phishing. Il peut s’agir de l’envoi de messages ou de mails, de QR codes, de liens sponsorisés sur des moteurs de recherche ou encore d’appels téléphoniques frauduleux. Le plus souvent, les messages ou mails frauduleux contiennent un lien cliquable renvoyant les victimes à un site ayant une apparence légitime. L’objectif est d’inciter les victimes à réaliser une action afin d’obtenir notamment des données personnelles ou confidentielles, par exemple des coordonnées bancaires.
Le phishing constitue l’une des principales menaces en matière de cybercriminalité. Selon une statistique publiée par l’INSEE concernant la cyberdélinquance, en 2019, 42% des personnes de plus de 15 ans déclarent avoir reçu des messages frauduleux. De plus, le bilan de 2023 sur les cyberattaques contre les entreprises démontre quelles ont été les principales cyberattaques pour lesquelles une assistance a été demandée sur Cybermalveillance.gouv.fr. 23,5% des attaques relèvent du piratage de compte, 21,2% des attaques concernent le phishing et 16,6% concerne les attaques par rançongiciel.
Le phishing est une technique utilisée de manière courante par les cybercriminels. De plus en plus de personnes reçoivent une multitude de liens ou de messages frauduleux, presque quotidiennement. Ce procédé peut avoir de grandes répercussions pour les victimes de phishing.
Les principales formes de phishing
Le dispositif national Cybermalveillance.gouv.fr a recensé les principales attaques par phishing en 2023.
La forme la plus commune concerne le phishing à l’infraction routière. Il s’agit principalement de mails ou de SMS qui sont envoyés aux victimes, afin que celles-ci paient une amende, en cliquant sur un lien frauduleux.
Il existe également des formes de phishing relatives aux infractions pédopornographiques ou au faux support technique. Le phishing au faux conseiller bancaire permet aux cybercriminels d’obtenir la confiance de leurs victimes en se faisant passer pour un conseiller bancaire tout en leur soutirant des coordonnées bancaires.
Bien d’autres formes de phishing sont mises en œuvre tel que le phishing à la vignette Crit’Air, à la livraison de colis, à la fausse confirmation de commande etc.
Les conséquences du phishing
Le phishing peut entraîner de graves conséquences pour les victimes, il est donc important pour tout un chacun de savoir détecter les tentatives de phishing et de pouvoir s’en protéger.
Premièrement, les données collectées lors du phishing peuvent être revendues à d’autres cybercriminels, notamment sur le Darkweb. Ces données peuvent être utiles à ces cybercriminels afin d’effectuer d’autres cyberattaques ou même pour usurper l’identité des victimes.
En effet, l’usurpation d’identité peut être l’une des conséquences du phishing, car les données collectées peuvent être utilisées et détournées par les cybercriminels. Par exemple, lorsqu’une tierce personne détient l’IBAN de sa victime, celle-ci peut effectuer des prélèvements frauduleux, souscrire à des abonnements indésirables ou souscrire à des prêts frauduleux au nom de la victime.
Le phishing peut donc également avoir des conséquences financières pour leur victimes. Des débits bancaires frauduleux ou plus généralement toute transaction financière effectuée depuis le compte bancaire d’une victime peut engendrer un grand préjudice financier pour celle-ci. Ce préjudice peut être accentué du fait que le victimes ne se rendent pas toujours directement compte des prélèvements frauduleux effectués et ceux-ci peuvent donc se prolonger dans le temps.
La répression du phishing
Le phishing peut être réprimé sous différents angles, car cette technique renvoie à plusieurs infractions.
Premièrement, les articles 323-1 et suivants du Code pénal répriment le fait : « d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ». Ces articles sanctionnent plus généralement toute atteinte à un système de traitement automatisé de données, il peut s’agir par exemple d’objets connectés.
Puis, lorsque les cybercriminels se font passer pour un tiers de confiance afin d’obtenir les données personnelles de victimes, comme par exemple une banque, il s’agit là d’une usurpation d’identité. L’article 226-4-1 du Code pénal définit l’usurpation d’identité comme : « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération ».
De plus, est également réprimé par le Code pénal : « le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite » (art. 226-18 Code pénal). Le phishing peut également être considéré comme un envoi massif de courriels non sollicités (art. 226-18-1 Code pénal).
Pour conclure, un arrêt de la chambre commerciale de la Cour de cassation du 23 octobre 2024 a précisé le devoir de vigilance des banques en matière de spoofing téléphonique. La Cour de cassation a considéré qu’en l’espèce, il n’y avait pas eu de négligence grave de la part de la victime, car l’escroc était notamment parvenu à faire apparaître sur le portable de la victime un numéro de téléphone identique à celui de sa vraie conseillère bancaire. Le devoir de vigilance des banques peut donc aussi permettre aux victimes de phishing de se protéger contre des prélèvements frauduleux.
Julie Branco de Véra
M2 Cyberjustice – Promotion 2024-2025
Sources :
Cyberdélinquance − Sécurité et société | Insee
Numérique -Le bilan 2023 des cyberattaques contre les entreprises | Entreprendre.Service-Public.fr
Communiqué: Escroquerie bancaire par spoofing téléphonique | Cour de cassation
