Accueil SCOCI > Thèmes > Phishing

Phishing

De quoi s’agit-t-il ?

Le terme anglais « Phishing » est la contraction des mots "Password" (mot de passe) et "Fishing" (pêcher). En français, le mot « Phishing » a été traduit avec « Hameçonnage » et « Filoutage ».

Le "phishing" est utilisé par les escrocs pour accéder à des données confidentielles comme par exemple les données d'identification pour les comptes E-mail, des sites d'enchères (p. ex. eBay) ou de connexion bancaire (e-banking). Pour ce faire, les escrocs envoient un grand nombre de courriels dont l'adresse de l’expéditeur a été falsifiée. Ces courriels informent la victime potentielle que ses données de connexion (nom d'utilisateur et mot de passe) pour un site d’enchères, par exemple, ne sont plus sûrs, ou plus à jour, et qu'ils doivent être reconfirmés au moyen d'un lien présent dans le message. L’adresse de l’expéditeur ayant été falsifiée, le lien en question n'amènera donc pas l'internaute sur la page originale du site légitime (dans ce cas le site d’enchères), mais sur une page très semblable et montée de toute pièce par les escrocs. Si l’internaute introduit ses informations personnelles sur cette page il devient immédiatement victime, car les escrocs ne vont évidemment pas tarder à se servir de ses accès.

De manière générale, les escrocs ignorent dans quelle banque la victime possède un compte, mais préfèrent miser sur les envois en masse (SPAM) de leurs courriers électroniques. Par conséquent, il arrive souvent que ces tentatives d’obtention illégale de données d'identification échouent chez des personnes qui n'ont rien à voir avec l'institut financier visé par l'escroquerie.

Les bases légales

Dans le cadre d’une définition juridique du phishing, les articles suivants peuvent notamment entrer en ligne de compte:

Art. 143 CP Soustraction de données
1 Celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissement illégitime, aura soustrait, pour lui-même ou pour un tiers, des données enregistrées ou transmises électroniquement ou selon un mode similaire, qui ne lui étaient pas destinées et qui étaient spécialement protégées contre tout accès indu de sa part, sera puni d’une peine privative de liberté de cinq ans au plus ou d’une peine pécuniaire.
2 La soustraction de données commise au préjudice des proches ou des familiers ne sera poursuivie que sur plainte.

Art. 143bis CP Accès indu à un système informatique
Celui qui, sans dessein d’enrichissement, se sera introduit sans droit,au moyen d’un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, sera, sur plainte, puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.


Art. 144 CP Dommages à la propriété
1 Celui qui aura endommagé, détruit ou mis hors d’usage une chose appartenant à autrui ou frappée d’un droit d’usage ou d’usufruit au bénéfice d’autrui sera, sur plainte, puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.

Art. 144bis CP Détérioration de données

1. Celui qui, sans droit, aura modifié, effacé, ou mis hors d’usage des données enregistrées ou transmises électroniquement ou selon un mode similaire sera, sur plainte, puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire. Si l’auteur a causé un dommage considérable, le juge pourra prononcer une peine privative de liberté de un à cinq ans. La poursuite aura lieu d’office.
2. Celui qui aura fabriqué, importé, mis en circulation, promu, offert ou d’une quelconque manière rendu accessibles des logiciels dont il savait ou devait présumer qu’ils devaient être utilisés dans le but de commettre une infraction visée au ch. 1, ou qui aura fourni des indications en vue de leur fabrication, sera puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire. Si l’auteur fait métier de tels actes, le juge.

Art. 147 CP Utilisation frauduleuse d’un ordinateur
1 Celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissement illégitime, aura, en utilisant des données de manière incorrecte, incomplète ou indue ou en recourant à un procédé analogue, influé sur un processus électronique ou similaire de traitement ou de transmission de données et aura, par le biais du résultat inexact ainsi obtenu, provoqué un transfert d’actifs au préjudice d’autrui ou l’aura dissimulé aussitôt après sera puni d’une peine privative de liberté de cinq ans au plus ou d’une peine pécuniaire.

Art. 251 CP Faux dans les titres
1. Celui qui, dans le dessein de porter atteinte aux intérêts pécuniaires ou aux droits d’autrui, ou de se procurer ou de procurer à un tiers un avantage illicite, aura créé un titre faux, falsifié un titre, abusé de la signature ou de la marque à la main réelles d’autrui pour fabriquer un titre supposé, ou constaté ou fait constater faussement, dans un titre, un fait ayant une portée juridique, ou aura, pour tromper autrui, fait usage d’un tel titre, sera puni d’une peine privative de liberté de cinq ans au plus ou d’une peine pécuniaire.

Art. 62 LPM (Loi sur la protection des marques) Usage frauduleux
1 Sur plainte du lésé, est puni d’une peine privative de liberté d’un an au plus ou
d’une peine pécuniaire celui qui:

a. désigne illicitement des produits ou des services par la marque d’un tiers en
vue de tromper autrui, faisant croire ainsi qu’il s’agissait de produits ou de
services originaux;

Nos conseils

Il faut tout d’abord savoir que les banques, les entreprises spécialisées dans les enchères sur Internet et autres institutions similaires, ne demandent jamais de confirmer ou vérifier un mot de passe par E-Mail.

Parmi les mesures de protection principales, on conseille de ne jamais répondre à ce type de courriels et de ne jamais cliquer sur les liens qu’ils contiennent. Il est aussi fortement conseillé d’utiliser un filtre anti-phishing, et si vraiment le doute subsiste de contacter l'institution visée par l'escroquerie. Celle-ci, du coup, sera aussi prévenue et pourra de son côté prendre des mesures.

Le formulaire d’annonce du SCOCI vous permet de signaler et dénoncer ces tentatives d’arnaque ou de demander conseil.

Que faire si l’on est victime ?
Dans l’hypothèse où vous avez transmis vous données confidentielles, il faut prendre contact avec les fournisseurs de services concerné (banque, provider ou adresse de messagerie) afin de leur communiquer la situation et vous permettre de reprendre le contrôle de votre compte.

Si vous désirez obtenir plus d’informations sur les méthodes de phishing ainsi que sur le E-Banking, vous pouvez consulter le site de MELANI.

Recherche rapide
Bases légales
Liens