AIPS Approche Informatique Pont- Scorff. . Lusurpation didentité et la collecte dinformations confidentielles : « phishing », « pharming », « IP spoofing

AIPS Approche Informatique Pont-

Scorff

. L’usurpation d’identité et la collecte d’informations

confidentielles : « phishing », « pharming », « IP spoofing »

et « sniffing »

A. Présentation des techniques

• Le « phishing », « filoutage » en français, est défini par la Commission générale de terminologie et de néologie comme une « technique de fraude visant à obtenir des informations confidentielles, telles que des mots de passe ou des numéros de cartes de crédit, au moyen de messages ou de sites usurpant l’identité d’institutions financières ou d’entreprises commerciales ».

• Le « pharming » est une technique de fraude voisine du « phishing » consistant à rediriger le trafic internet d’un site internet vers un autre site dans le but d’obtenir des informations confidentielles, telles que des mots de passe ou des numéros de cartes de crédit lui ressemblant.

• L’« IP spoofing » est une technique de « hacking » « consistant à utiliser l'adresse IP d'une machine, ou d'un équipement, afin d'en usurper l'identité. Elle permet de récupérer l'accès à des informations en se faisant passer pour la machine dont on spoofe l'adresse IP. De manière plus précise, cette technique permet la création de paquets IP avec une adresse IP source appartenant à quelqu'un d'autre. » (définition donnée sur Wikipedia).

• Enfin, le « sniffing » est une technique consistant à écouter une ligne par laquelle transitent des paquets de données pour récupérer à la volée les paquets qui peuvent être intéressants.

B. Les risques liés à ces différentes techniques

Détournement du numéro de carte bancaire, transfert de sommes d’argent depuis le compte bancaire, utilisation de la connexion des internautes pour commettre des infractions, détournement de mots de passe.

C. Les moyens de protection

• Selon la finalité poursuivie par l’utilisateur de ces techniques, les fondements juridiques susceptibles d’être invoqués par la victime de la fraude sont différents :

• responsabilité civile (article 1382 du Code civil) ;• escroquerie (articles 313-1 et suivants du Code pénal) ;• usurpation d’identité (article 434-23 du Code pénal) ;• atteinte à un système de traitement automatisé de

données (articles 323-1 et suivants du Code pénal) ;• contrefaçon de marque (article L. 713-1 et suivants du

Code de la propriété intellectuelle) ;• abus de confiance (articles 314-1 et suivants du Code

pénal).

II. Les dangers liés à la messagerie électronique :

« spamming », « scamming », « bombing »


• Le « spamming » est défini par la Commission générale de terminologie et de néologie comme l’« envoi d’un même message électronique à un très grand nombre de destinataires au risque de les importuner ».

• Le « bombing » est défini comme l’« envoi d’une grande quantité de messages à un destinataire unique dans une intention malveillante ». Le « mailbombing » consiste à envoyer de façon massive des courriels à un ou des destinataires.

• Le « scamming » est un type de « hoax » ou « canular », terme défini comme une « information fausse transmise par messagerie électronique et incitant les destinataires abusés à effectuer des opérations ou à prendre des initiatives inutiles, voire dommageables ».


Déni de service, perte de données, saturation du système d’information…

C. Les moyens de protection • Selon la finalité poursuivie par l’utilisateur de ces techniques, les

fondements juridiques susceptibles d’être invoqués par la victime de la fraude sont différents :

• responsabilité civile (article 1382 du Code civil) ;• atteinte à un système de traitement automatisé de données (articles

323-1 et suivants du Code pénal) ;• collecte de données à caractère personnel par un moyen

frauduleux, déloyal ou illicite (article 226-18 du Code pénal) ;• atteinte au droit de la propriété intellectuelle (code de la propriété

intellectuelle) ;• interdiction de toute prospection directe par courrier électronique à

destination des personnes physiques sans leur consentement préalable (article L. 120-20-5 du Code de la consommation) ;

• escroquerie (articles 313-1 et suivants du Code pénal).

III. Les techniques liées au référencement : « metatagging »,

« Googlebombing »


• Le « googlebombing » est une pratique consistant à détourner le référencement d’un site dans un moteur de recherche.

• Le « metatagging » est une technique consistant à insérer dans le code source d'une page Internet le signe distinctif d’un tiers dans le but d’optimiser le référencement de la page dans les moteurs de recherche.


Atteinte à l’image de marque, captation de clientèle…



• contrefaçon (articles L. 335-1 et suivants du Code de la propriété intellectuelle) ;

• concurrence déloyale et parasitisme (article 1382 du Code civil).

IV. Une pratique portant atteinte à la personne : le

« happyslapping »

A. Présentation de la technique

Une personne filme une scène dans laquelle une personne est victime d’un délit ou d’un crime notamment dans le but de la diffuser sur internet.

B. Les moyens de protection

• Aucune disposition spécifique du Code pénal ne punit la diffusion de violences physiques subies par une personne. Cependant, il a été proposé d'instituer une circonstance aggravante lorsque l'auteur filme son propre délit ou son propre crime. À suivre.

• Divers fondements juridiques pourront être invoqués par une personne victime de cette pratique :

• atteinte à la vie privée (article 9 du Code civil) ;• injure (article 29 de la loi sur la liberté de la presse du

29 juillet 1881) ;• diffamation (article 33 de la loi sur la liberté de la presse

du 29 juillet 1881).

V. Une pratique commerciale déloyale : le

« slamming »

A. Présentation de la technique

Technique qui consiste à écraser une ligne dégroupée d’un abonné par un autre opérateur sans l’accord de celui-ci.Dans certains cas, l’abonné s’inscrit chez plusieurs fournisseurs d’accès à internet. Dans d’autres cas, l’abonné contracte, après avoir été démarché par téléphone ou sur internet, à un abonnement sans s’en rendre vraiment compte.

B. Les risques liés à cette technique

Paiement de deux abonnements pour une prestation effective, perte du numéro de téléphone…



• responsabilité civile (article 1382 du Code civil) ;• responsabilité de plein droit du fournisseur

d’accès internet initial dans le cas d’un abonnement souscrit à distance (article 121-20-3 du Code de la consommation) ;


VI. Les atteintes aux noms de domaine :

« typosquatting » , « cybersquatting » et

« dotsquatting »


• Le « cybersquatting » désigne la pratique d'enregistrer des noms ou des marques sur internet afin d'ensuite soit de le revendre à l'ayant-droit, soit d'altérer sa visibilité.

• Le « typosquatting » est une forme de « cybersquatting » consistant à enregistrer des noms ou des marques en commettant des fautes d'orthographe sur internet afin d'ensuite soit de le revendre à l'ayant-droit, soit d'altérer sa visibilité.

• Le « dotsquatting » est également une forme de « cybersquatting » dérivé du « typosquatting » consistant à enregistrer des noms ou des marques précédés de « www » sur internet afin de capter le trafic provenant d'internautes ayant oublié le point entre « www » et le nom de domaine.


Altération de l'image, captation de clientèle


• Les fondements juridiques susceptibles d’être invoqués par la victime de la fraude sont différents :

• responsabilité civile (article 1382 du Code civil) ;

• contrefaçon (articles L. 335-1 et suivants du Code de la propriété intellectuelle) ;


Documents

AIPS Approche Informatique Pont- Scorff. . Lusurpation didentité et la collecte dinformations confidentielles : « phishing », « pharming », « IP spoofing