Dans un contexte où les cyberattaques se multiplient et où l‘hameçonnage ou le phishing se perfectionne, l’alliance entre réglementation, formation des employés et vigilance devient essentielle.
France Travail, successeur de Pôle Emploi, a subi sa quatrième fuite de données en 2 ans. Cet acte de cyber malveillance a permis la consultation non autorisée des données personnelles d’environ 1,6 million de jeunes suivis par le réseau des Missions Locales.
France Travail, ex-Pôle Emploi, et le réseau des Missions Locales – dispositif d’accompagnement des jeunes ont annoncé le 1er décembre qu’une cyberattaque avait permis la consultation des données personnelles d’environ 1,6 million de jeunes.
Les données de 1,6 million de jeunes concernées
Selon France Travail, près de 1,6 million de jeunes pourraient avoir vu leurs informations consultées de manière illégitime. Les données susceptibles d’avoir été accédées comprennent le nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses postale et électronique ainsi que les numéros de téléphone. Face à cette problématique constante de cyber-incidents, les organismes publics alertent sur les risques d’hameçonnage par mail, d’appels frauduleux et d’usurpation d’identité. Alors, …
C’est quoi le hameçonnage ?
Hameçonnage ou encore phishing ? Selon ‘’ACTUALITES JURIDIQUES ‘’ dans son article La législation sur les pratiques de phishing et la cybersécurité’’, « le phishing, ou hameçonnage en français, est une technique de cybercriminalité consistant à tromper les utilisateurs pour obtenir des informations confidentielles. Les cybercriminels se font souvent passer pour des entités de confiance (banques, administrations, etc.) afin de soutirer des données personnelles ou financières. »
Il faut comprendre que, le procédé utilisé est le même avec le pêcheur traditionnel. Ainsi, tel un pêcheur irait au bord du fleuve Comoé avec sa canne à pêche. Pour avoir du poisson, il met un morceau de viande sur l’hameçon comme appât. Le poisson, ne soupçonnant pas la supercherie, fait un bond, saute sur la viande et là, se fait avoir. Le procédé, la tactique ou le stratagème est le même.
Le cyber attaquant transmet un lien de la part de votre banque ou de votre patron en apparence inoffensif, vous demandant de renseigner. Il ajoutera souvent dans son mail le caractère urgent du message : « Votre compte sera bloqué ou action immédiate requise » etc. L’usurpation d’identité (se faire passer pour votre banque), le lien frauduleux, le faux site web ressemblant à l’original, les demandes d’informations sensibles, et la pression psychologique liée à l’urgence font partie des critères classiques du phishing.
En cliquant sur le lien, le cyber attaquant peut avoir accès aux données personnelles ; en renseignant noms, prénoms, mots de passe ou codes, vous lui transmettez vos informations sensibles.
Inge raconte son expérience : « On m’a vidé mon compte ».
À 45 ans, Inge a récemment été victime d’un hameçonnage. Elle se rappelle encore dans les moindres détails comment s’est déroulée l’escroquerie. « Cela s’est passé au début du confinement, le dimanche 22 mars vers midi. J’étais occupée à faire plusieurs choses : préparer à manger, dresser la table, je devais aider mon fils, etc. Juste à ce moment-là, j’ai reçu un SMS d’un numéro de téléphone inconnu.
Le message indiquait que ma carte bancaire venait d’être utilisée pour se connecter à l’application de ma banque. S’il ne s’agissait pas de moi, je devais vérifier la connexion frauduleuse via un lien qui se trouvait dans le SMS. Ce n’est qu’après coup que je me suis rendu compte que toutes sortes de choses ne concordaient pas : j’avais ma carte à portée de main, ma banque ne me prévenait jamais de la sorte et le nom de domaine du lien était suspect. Mais sur le moment même, j’ai cliqué sur le lien et je suis tombée sur une reconstitution du site de ma banque où je me suis connectée avec mon lecteur de carte. Un message d’erreur s’est alors affiché, j’ai reçu un nouveau SMS et j’ai une nouvelle fois tenté de me connecter. »
Inge s’est alors replongée dans la préparation de son repas, puis a consulté le solde de son compte sur l’application de sa banque. « J’étais anéantie. J’ai vu deux transactions de 2 000 euros par virement et encore un de 500 euros. Après un dernier virement de 9 euros, mon compte était totalement vide. »
La loi dit quoi?
Le cadre juridique français
En France, plusieurs textes de loi encadrent la lutte contre le phishing et plus largement la cybercriminalité. La loi pour la confiance dans l’économie numérique (LCEN) de 2004 a posé les premières bases légales. Elle a notamment introduit le délit d’usurpation d’identité en ligne.
Le Code pénal sanctionne également ces pratiques à travers plusieurs articles. L’article 323-3 punit de cinq ans d’emprisonnement et de 150 000 euros d’amende le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou modifier frauduleusement les données qu’il contient.
- Le cadre juridique ivoirien
Selon l’article 25 de la loi N°2013-451 du 19 juin 2013 relative à la lutte contre la cybercriminalité « est punit d’une peine d’emprisonnement d’un an à 5 ans et d’une amende de 5 000 000 à 10 000 000 de francs CFA, quiconque utilise les éléments d’identification d’une personne physique ou morale dans le but de tromper de tromper les destinataires d’un message électronique ou les usagers d’un site Internet en vue de les amener à communiquer des données à caractère personnel ou des informations confidentielles.
La peine d’emprisonnement ne peut être inférieure à 5 ans et la peine d’amende inferieure à 20 000 000 de francs CFA, lorsque les données à caractère personnel ou les informations confidentielles communiquées ont servi au détournement de fonds public ou privé » En clair, celui ou celle qui obtient par des techniques de phishing est passible d’une peine pénale. Pire, la peine est aggravée, lorsqu’au bout de l’action criminelle, les cyber-délinquants ont détourné des fonds
Comment prévenir le phishing ? Eduquer-Former-Sensibiliser ?
Pour se protéger du phishing, il est essentiel d’adopter quelques réflexes simples. D’abord, il faut toujours vérifier l’identité de l’expéditeur : les cybercriminels utilisent souvent des adresses ou numéros suspects pour se faire passer pour des banques ou des administrations. Ensuite, se méfier des messages qui insistent sur l’urgence, car la pression psychologique est l’un des principaux outils des fraudeurs.
Ne jamais cliquez sur un lien reçu par mail ou SMS. Aussi, est-il important de vérifier attentivement le nom de domaine du site et de ne jamais fournir d’informations sensibles comme un mot de passe, un code PIN ou un code reçu par SMS, car aucune banque ne demandera ce type de données par message. Le témoignage de Inge suffit à lui seul pour s’en convaincre. Enfin, en cas de doute, il vaut mieux s’abstenir d’agir et contacter directement l’organisme concerné via ses canaux officiels ou « son Prési ».
Mathieu Kouamé
