C'est un genre d'usurpation d'identité d'un site web. Même logo, même typographie, même mise en page. On appelle cela le « phishing » , néologisme contractant « fishing » (pêche) et « phreaking » (piratage de ligne téléphonique, terme fait lui-même de « phone » et « freak » ). On vous y envoie généralement par le biais d'un e-mail à l'apparence tout aussi officielle. Le but ? Détourner l'argent des internautes imprudents.

Dans la grande majorité des cas, les escrocs mettent en ligne des faux sites officiels d'organismes financiers ou d'e-commerce, afin d'amener les victimes à leur communiquer leurs données personnelles (numéro de carte bancaire, mot de passe, etc.). C'est pour ce type de malveillance qu'un étudiant de Strasbourg a été condamné, en décembre dernier, à un an de prison avec sursis et 8 500 euros d'amende, comme le révèle le Forum des Droits sur l'Internet (FDI).

Il s'agit de la première condamnation pour un tel acte en France. L'étudiant avait créé un faux site du Crédit Lyonnais et réussi à voler une douzaine de personnes, pour un montant de 20 000 euros au total. « Des plaintes ont été déposées et, en quelques semaines , la personne a été retrouvée , précise Benoît Tabaka, au FDI. Mais lorsque la perquisition a eu lieu, on a retrouvé d'autres sites de banques prêts à être mis en ligne. »

La condamnation a été prononcée pour escroquerie plutôt que pour contrefaçon (qui aurait aussi pu jouer) car les peines sont plus lourdes.

Il reste que l'internaute qui en est victime n'a parfois aucun recours. « Il existe deux grands types de phishing, explique Benoît Tabaka. Soit il y a récupération de numéro de carte bancaire, et là toutes les garanties traditionnelles fonctionnent, en vertu de la loi du 15 novembre 2001 . Soit il s'agit de récupération d'identifiants de connexion, et là l'internaute est responsable de ses données. La banque n'est donc pas tenue de le rembourser. »

En pratique, on peut cependant imaginer que les banques fassent un geste commercial, mais c'est selon leur bon vouloir. Cet été, la Société Générale a ainsi dédommagé des clients délestés de 15 000 euros par des pirates à la suite de l'installation de chevaux de Troie sur leurs ordinateurs.

Le FDI tient à soulever un autre problème, plus large : l'aggravation du phénomène du phishing en France. En novembre 2004, en effet, le rapport mensuel de l'Anti-Phishing Work Group, organisme d'observation et de prévention de cette pratique, avait placé la France au dixième rang des pays les plus exposés.

En décembre, elle est passée au cinquième, avec 2,7 % des 1 707 attaques de sites en phishing recensées par l'organisation, au même niveau que l'Allemagne et le Brésil, et devant la Roumanie, le Canada et l'Inde. Ce chiffre était de 1,54 % en novembre.