Phishing : à qui la faute ?

0

Nous avons tous déjà reçu ce mail, bourré de fautes d’orthographe, tentant piètrement d’imiter de grandes entreprises ou institutions, au contenu des plus surprenants – et parfois presque risibles.

Mais, pour pouvoir traiter de ce dont nous allons parler aujourd’hui, il est à noter que la menace « phishing » a évolué tant en sophistication qu’en ingéniosité, et les mails basiques qui nous faisaient presque sourire hier sont devenus aujourd’hui de vraies campagnes malveillantes aux stratagèmes des plus malicieux.

Les attaques de phishing sont d’ailleurs aujourd’hui parfois si sophistiquées qu’elles réussissent à tromper les plus habiles et informés d’entre nous. Mais qu’il s’agisse d’une tentative de phishing crédible ou non, que se passe-t-il si un internaute tombe dans le piège lancé par les pirates ? Que risque-t-il ? Les banques et assurances couvrent-elles forcément les victimes de ces cyber-menaces ?

Phishing : un petit rappel nécessaire

Pour rappel, le phishing est une tentative cyber-criminelle durant laquelle une ou plusieurs victimes vont recevoir un mail ou un SMS qu’ils penseront être envoyés par une institution, une entreprise ou même d’un simple individu (qu’ils connaissent ou non).

Ce mail, ou SMS, aura pour but final de lui soutirer des informations telles que des données personnelles, des informations bancaires et autres mots de passes qui pourraient être utilisés par les pirates à des fins frauduleuses. Peu coûteux et relativement faciles à mettre en place de nos jours, ces mails ou SMS malveillants passent facilement au travers des filtres spam grâce à leurs méthodes sophistiquées et atteignent très souvent leurs cibles (bien souvent avec efficacité).

Mais alors que se passe-t-il une fois la victime tombée dans le piège – évident ou non – d’un pirate ? 

Etre victime de phishing n’est, dans certains cas, plus excusable aux yeux de la loi

Et oui, si cela peut paraitre surprenant, puisque la personne recevant un mail de phishing parait au premier abord totalement innocente face aux pirates, être victime de phishing n’est aujourd’hui pas toujours excusable aux yeux de la loi, notamment en ce qui concerne le fait de fournir ses données bancaires.

En effet, suite à un arrêt de la Cour de cassation à la fin de l’année 2017 (cass. du 28.3.18, n° 16-20 018),  fournir ses données bancaires à un pirate peut relever, aux yeux de la justice, de « négligence grave ».

Elle casse en cela l’arrêt d’appel qui retenait que la victime avait fourni les renseignements dits sensibles à son insu et qui estimait aussi que pour une personne « normalement » attentive, le fait de ne pas avoir su reconnaitre et percevoir les indices qui auraient pu la faire douter, n’était pas une négligence grave.

Aujourd’hui la loi impose donc à un utilisateur de n’importe quel service de paiement de prendre « toute mesure raisonnable pour préserver la sécurité » de ses moyens de paiement.

Et il conviendra, au cas par cas et au vu des circonstances, de vérifier si cette absence de méfiance devant une campagne de phishing était bien conforme à cette obligation ou n’était pas, au contraire, « un manquement, par négligence grave, à ses obligations ».

Les banques ne peuvent donc généralement pas être tenues responsables de ces fraudes, et ne sont pas tenues de couvrir et rembourser les victimes, à moins que leurs conseils, retards ou autres erreurs aient entraîné un vol d’argent. 

Que puis-je faire pour me protéger des campagnes de phishing ?

Voici quelques conseils pour vous aider à établir une protection maximale contre ces cyber menaces – ces conseils sont évidemment à utiliser en parallèle d’une bonne mise en application des bonnes pratiques de l’utilisation d’Internet.

Chez vous

  • Utilisez la dernière version de votre système d’exploitation.
  • Assurez-vous d’effectuer toutes les mises à jour nécessaires afin de protéger votre ordinateur.
  • Ne cliquez pas ou ne téléchargez aucune pièce-jointe reçue par mail si vous n’êtes pas sûr de sa provenance et de l’expéditeur de cette pièce.
  • Mettez régulièrement à jour votre Anti-spams.

Au travail

  • Les derniers patchs doivent être immédiatement déployés sur l’intégralité des machines de votre entreprise.
  • Tout équipement infecté doit être immédiatement retiré du réseau.
  • Mettez régulièrement à jour votre Anti-spams.
  • Sensibilisez et formez votre équipe aux dangers de ces campagnes malveillantes.
  • Vous pouvez aussi choisir de poursuivre cette sensibilisation à travers la mise en place de cours et de formations de sensibilisation à la sécurité des systèmes d’information, que nous pouvons vous proposer.

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply