Alerte aux usurpations d'identité !

En 2008, un jeune Bordelais crée un faux profil d’Alain Juppé sur le site communautaire Facebook. Les collaborateurs du maire de Bordeaux mettront un mois à réagir et à faire annuler ce compte. “ J’ai voulu montrer que sur ce type de site, dont l’utilisation est en train d’exploser, on peut facilement se cacher sous un faux profil ”, a déclaré alors à la presse le plaisantin. Une affaire sans conséquence grave, mais qui a révélé ce qui allait devenir un phénomène. “ Mon couple a été brisé à cause de Facebook. Une personne a usurpé mon identité et a insulté ma compagne. ” “ On a piraté ma boîte mail et on s’en sert pour envoyer des spams à mes contacts. ” Messages d’insultes, commentaires désobligeants signés sous un nom usurpé, fausses rumeurs, révélations intimes soi-disant diffusées par la personne concernée… La victime tombe des nues lorsqu’elle se rend compte des dégâts causés en son nom. Les conséquences sur la vie privée prennent souvent une tournure dramatique. Sans parler du piratage de numéros et codes de carte de crédit ou de coordonnées bancaires et de leur utilisation frauduleuse, au préjudice de leur possesseur : achats sur Internet avec une carte détournée, transactions d’argent sous une fausse identité…“ On vole de l’information à des fins financières (cartes de crédit, login, mot de passe…), activistes (sur les réseaux sociaux, les messageries) ou de nuisance (pour l’internaute, les sites, les serveurs, les PC, les applications) ”, constate Laurent Heslault, directeur des technologies de sécurité chez Symantec. L’une des principales ruses employées n’est pas nouvelle, c’est celle du “ hameçonnage ” (ou phishing), qui consiste à récupérer un mot de passe et un identifiant et à emprunter l’identité de la victime à des fins mercantiles. Mais le tout dernier rapport de sécurité sur Internet publié par Norton-Symantec pointe du doigt les réseaux sociaux et leurs fils d’actualités. Une des techniques d’attaque les plus affûtées est celle des URL raccourcies. Destinées à abréger une adresse Web complexe et retirant, du coup, toute indication sur la destination du lien, elles permettent d’affaiblir la vigilance des internautes et de les diriger discrètement vers de faux sites. Soit pour capter leurs données personnelles, soit pour les inciter à télécharger un logiciel espion. Sur les réseaux sociaux, ces mini-URL sont diffusées via les fils d’actualités de leurs victimes et se propagent sur les murs de leurs “ amis ”, qui les partagent à leur tour avec leurs propres amis… Tout cela en quelques minutes. Autre outil de piratage des données chez les hackers : les kits d’attaque, maliciels qui affectent les plug-ins des navigateurs. Ils ont généré une hausse des attaques en ligne de 93 % en 2010 par rapport à 2009. Et avec la diversité des équipements à partir desquels nous nous connectons à des services Web ? netbooks, smartphones, tablettes ?, les risques s’amplifient. Les attaques visant les terminaux mobiles ont donc aussi explosé l’an dernier. L’utilisateur croit télécharger une banale application, mais un cheval de Troie a pris la place de cette dernière et infecte le smartphone. Des milliers d’appareils peuvent être ainsi touchés.

Un délit passible de prison

Les parades, on les connaît, mais il est toujours bon de se les rappeler et de les répéter à ses proches (voir notre mémo page ci-contre). Si le mal est déjà fait, premier réflexe : contactez le responsable du site sur lequel agit l’imposteur et exigez la suppression du compte. Prévenez aussi votre fournisseur d’accès et vos contacts que votre identité a été usurpée. Pour frapper fort, déposez une plainte à votre commissariat. Dans les cas de fraude bancaire, l’usurpateur encourt cinq ans d’emprisonnement et 375 000 euros d’amende pour escroquerie (article 313-1 du code pénal). Le détournement d’identité peut également tomber sous le coup des dispositions de la loi Informatique et libertés puisqu’elle donne lieu à l’utilisation de données à caractère personnel d’un individu sans son accord, délit sanctionné par cinq ans de prison et 300 000 euros d’amende.Enfin, depuis février dernier, l’usurpation d’identité est devenue un délit pénal à part entière. La loi d’orientation et de programmation pour la performance de la sécurité intérieure (Loppsi 2) le définit ainsi : “ Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération. ”Les recommandations de la CNIL sur www.cnil.fr/vos-libertes/vos-droits/details/article/lusurpation-didentite-en-questions/

Le mémo des bonnes pratiques

Des règles simples pour surfer en toute confiance.

1. Se sensibiliser aux risques

S’informer et prendre conscience des dangers. Éviter les pièges liés à l’appât du gain, trop fréquents. Se rappeler que lorsque les échanges ne sont pas sécurisés, ils circulent en clair sur le Web. Effacer régulièrement ses cookies et historiques de navigation, changer de mots de passe, en utiliser plusieurs (en évitant les plus évidents). Faire très attention lorsqu’on utilise un ordinateur partagé ou le smartphone d’un ami : penser à toujours se déconnecter avant de fermer les applications Facebook, Twitter, Linkedin ou Gmail. Redoubler de vigilance sur les réseaux sociaux : plus vous avez d’amis, plus vous devez vous méfier.

2. Maintenir sa configuration à jour

Que l’on utilise un PC de bureau, un ordinateur portable ou un smartphone, il faut mettre son système d’exploitation à jour dès que possible. Il faut agir de la même façon avec son navigateur. Mais gare à ne pas cliquer trop vite lorsqu’on vous propose spontanément un lien vers une mise à jour. Tournez-vous toujours vers les sites de confiance ou ceux des éditeurs.

3. S’appuyer (et non se reposer) sur des suites de sécurité

Une suite de sécurité est un outil de prévention d’intrusion et de défense en cas d’attaque. En aucun cas, il ne doit se substituer à la vigilance de l’internaute. Lui seul sait mesurer la notion de confiance ; la machine et les logiciels ne font finalement qu’exécuter ses ordres.

Interview : Maître Anthony Bem

Avocat au barreau de Paris, spécialiste en droit de l’Internet

Quel est l’apport de la loi Loppsi 2 en matière d’usurpation d’identité ?

Avant que cette loi ne soit adoptée en février dernier, les sanctions sur les délits d’usurpation d’identité relevaient du droit privé. Seules les conséquences civiles de l’usurpation d’identité pouvaient être punies. Avec la Loppsi 2, l’usurpation d’identité est désormais reconnue en tant que délit à part entière et relève du droit pénal. De ce fait, l’usurpateur risque non seulement de devoir indemniser la victime comme cela était déjà le cas auparavant, mais aussi une amende et une peine d’emprisonnement assortie selon les cas d’une inscription sur le casier judiciaire. La seconde évolution provient du fait que le délit pénal est aussi expressément consacré en matière d’Internet, de par l’alinéa 2 de l’article 226-4-1 du code pénal, ce qui est suffisamment rare pour être relevé.

Quelle est l’attitude à adopter face à cette pratique ?

Il faut porter plainte sous réserve de disposer d’une preuve préalable. Celle-ci peut être établie par un huissier de justice qui respecte les prérequis techniques. Il faut savoir que les captures d’écran ne sont pas recevables en justice. Il y a possibilité également d’établir un constat d’expert avec des organismes tels que l’APP ou le Celog. Généralement, les plaintes concernant Facebook demeurent sans réponse. On peut alors s’appuyer sur un avocat pour les faire aboutir.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Frédérique Crépin et Rémi Langlet