Avec le développement des nouvelles technologies, la cybercriminalité ne cesse d'augmenter. Et parmi les cyberattaques, on observe que l'hameçonnage (« phishing ») est le fléau le plus fréquent et qu'il s'accroît considérablement. Cette tendance est confirmée par Kaspersky Labs qui, dans son baromètre des menaces informatiques pour l'année 2018, montre que l'hameçonnage reste le vecteur le plus utilisé pour les attaques informatiques. Le secteur financier est le plus touché : 44 % des attaques étaient dirigées vers des banques, des systèmes de paiement ou des boutiques en ligne. Toujours selon Kaspersky Labs, il y a eu presque autant de tentatives d'hameçonnage financier en 2018 que d'attaques d'hameçonnage tous genres confondus en 2017. De même, UFC - Que Choisir explique que « dans une large majorité des cas (plus de 60 %), la victime ignore comment ses données bancaires ont pu être récupérées et détournées. Mais lorsqu'elle parvient à l'identifier c'est le phishing qui arrive largement en tête ». En effet, cette technique représente 48 % des moyens utilisés pour obtenir des informations confidentielles.

Après avoir dans un premier temps examiné le phénomène d'hameçonnage bancaire et la jurisprudence en la matière, nous verrons dans un second temps comment il est possible d'éviter de tomber dans le piège. Enfin, nous évoquerons les nouvelles formes d'hameçonnage.

1. L'hameçonnage : un véritable fléau en plein essor

A. Le concept d'hameçonnage

L'hameçonnage consiste à envoyer massivement un faux courriel, apparemment authentique, utilisant l'identité d'une institution financière ou d'un site commercial connu, dans lequel on demande aux destinataires, sous différents prétextes, de mettre à jour leurs coordonnées bancaires ou personnelles, en cliquant sur un lien menant vers un faux serveur Internet, copie conforme du site de l'institution ou de l'entreprise, où le pirate récupère ces informations, en vue de les utiliser pour détourner des fonds à son avantage.

Cette pratique frauduleuse touche autant les particuliers que les entreprises de toutes tailles. Mais, comme on l'a vu en introduction, les banques restent les principales victimes de l'hameçonnage qui dirige les clients peu vigilants vers des sites mimant ceux des établissements bancaires.

B. L'alerte de l'Autorité de contrôle prudentiel et de résolution (ACPR)

Dans un communiqué de presse du 23 septembre 2019, l'ACPR met en garde le public contre la multiplication de sites frauduleux de banques, très bien imités. Cette autorité administrative, chargée de la supervision des secteurs bancaires et d'assurance constate en effet que des pirates falsifient en masse des sites internet de nombreuses sociétés et organisations existantes « quasi intégralement identiques mais se présentant sous des noms différents ou avec quelques variations (URL différents, coloris ou variation dans l'usage de certaines photos, ...) ».

Depuis la fin août, 60 sites frauduleux ont été ajoutés à la liste noire de l'ACPR et transmis au Parquet de Paris en vue d'une enquête judiciaire.

C. La jurisprudence relative à l'hameçonnage

Les victimes d'hameçonnage se retournent vers leurs banquiers pour obtenir un remboursement. Mais qu'en est-il de la jurisprudence en la matière ?

Dans un arrêt important rendu le 28 mars 2018, la Cour de Cassation s'est prononcé sur la négligence grave du client, victime d'une fraude d'hameçonnage, pour exclure l'obligation de garantie de la banque.

En l'espèce, le client de la banque Crédit mutuel de Beauvais a reçu plusieurs courriels frauduleux portant le logo « parfaitement imité » de cet établissement bancaire comprenant un « certificat de sécurité à remplir attentivement». Celui-ci l'a scrupuleusement renseigné allant même jusqu'à demander à sa banque la communication d'informations complémentaires pour pouvoir remplir le certificat litigieux. En revanche, il existait des indices susceptibles de créer un doute sur l'origine des courriels, en particulier des fautes d'orthographe et une adresse électronique de la banque différente de celle du Crédit mutuel. Par la suite, les fraudeurs à l'origine de ces courriels ont utilisé les informations qui leur ont été communiquées pour effectuer des paiements frauduleux et soustraire une certaine somme du Livret Bleu de la victime. Le client a alors assigné sa banque pour obtenir le remboursement des sommes débitées en application de l'article L 133-24 du code monétaire et financier. La banque a refusé de procéder au remboursement en reprochant à son client une négligence grave concernant la conservation de données strictement personnelles.

Les juges de fond de la Cour d'appel d'Amiens ont ordonné le remboursement en se basant sur le caractère peu informé du client sur la pratique d'hameçonnage et donc sur l'absence de négligence grave.

Le Crédit mutuel a alors formé un pourvoi en cassation fondant son action notamment sur l'article L 133-19-4 du Code monétaire et financier qui dispose « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ».

La Cour de Cassation a démontré que le client a transmis des données personnelles alors que le message contenait des indices révélant son caractère frauduleux : fautes d'orthographe et adresse électronique de l'émetteur erronée. Ayant reconnu la négligence fautive du client de la banque au regard des articles L. 133-16 et L. 133-19 du code monétaire et financier, le Cour de cassation a cassé et annulé le jugement rendu par la Cour d'appel d'Amiens.

Dans un attendu de principe, la Cour de cassation a posé que « manquait, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communiquait les données personnelles de ce dispositif de sécurité en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance ». Elle a ajouté que « peu importait que cet utilisateur ait été ou non avisé des risques d’hameçonnage ».

Cet arrêt s'inscrit dans la droite lignée de la jurisprudence de la Cour de cassation qui tend à renforcer l'obligation incombant aux utilisateurs de préserver la sécurité de leurs données de sécurité personnalisées dans le contexte d'une forte croissance des pratiques d'hameçonnage. Il élargit la marge de manœuvre des banques pour refuser le remboursement d'une somme acquise par fraude en démontrant l'existence d'indices permettant au client de détecter la fraude.

2. Comment reconnaître une tentative d'hameçonnage bancaire, comment réagir pour ne pas en être victime et quels sont les recours en cas de victimisation ?

A. Comment repérer une tentative d'hameçonnage bancaire ?

Un escroc envoie un courriel à un internaute en utilisant frauduleusement le nom et le logo d'une banque pour lui demander par exemple ses coordonnées bancaires et son code confidentiel en prétextant une mise à jour de ses données, un problème sur son compte, une régularisation d'une facture impayée, etc...

Il faut savoir que les banques ne demandent jamais que leur soient communiquées des coordonnées bancaires, que ce soit par courrier électronique ou par téléphone.

B. Les bons réflexes à adopter pour éviter de tomber dans le piège de l'hameçonnage bancaire

• Ne pas communiquer des informations sensibles par messagerie ou par téléphone;
• Ne pas ouvrir une pièce jointe à un courriel douteux;
• Vérifier l'adresse électronique complète de l'expéditeur;
• Vérifier l'orthographe et la syntaxe des messages reçus car les messages frauduleux comportent souvent des fautes de français;
• En cas de doute, contacter l'organisme imité pour vérifier si le message provient de cet organisme;
• Consulter les alertes d'hameçonnage sur le site de la banque.

C. Que faire si l'on est victime d'hameçonnage bancaire ?

• Prévenir immédiatement sa banque afin qu'elle bloque le compte en ligne et qu'elle surveille les mouvements suspects sur le compte bancaire en question;
• Changer les mots de passe du compte bancaire en ligne;
• Faire opposition sur la carte bancaire;
• Contester les opérations de débit;
• Porter plainte contre X.

L'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), qui est en charge de plusieurs affaires d'hameçonnage, donne des conseils sur son site. Par ailleurs, en partenariat avec la Fédération bancaire française et le GIE Cartes bancaires, l'Office a mis en place un dispositif d'alerte en direction des établissements bancaires et financiers. Il vise entre autres à détecter les courriels qui contiennent les adresses de sites internet qui contrefont de véritables sites de banques.

3. Des nouvelles formes d'hameçonnage

A. L'hameçonnage ciblé ou "spear phishing"

L'hameçonnage ciblé ou "spear phishing" désigne en sécurité informatique une variante de l’hameçonnage, épaulée par des techniques d’ingénierie sociale. Contrairement à l’hameçonnage traditionnel basé sur l’envoi d’un message générique à un grand nombre de destinataires, l'hameçonnage ciblé se focalise sur un nombre limité d’utilisateurs, souvent un seul, auquel est envoyé un message fortement personnalisé afin de dérober des données confidentielles. L'escroc se fait passer pour une personne de confiance, un membre de l'entourage, un collaborateur ou un interlocuteur connu de la victime. Le contenu du courriel, la plupart du temps bien rédigé, apparaît plausible et authentique.

B. L'hameçonnage vocal ou "voice phishing"

L'hameçonnage vocal est la technique utilisée par un escroc via un appel téléphonique pour obtenir frauduleusement des données personnes : numéros de comptes bancaires, mots de passe, etc...

Deux types d'approche sont possibles : les victimes sont contactées soit par un automate, soit par une personne physique. Dans le cas d'un appel par un automate, un serveur vocal va évoquer par exemple un problème lié à un compte bancaire et demander à la victime de composer rapidement un numéro de téléphone qui va le mettre en relation avec un système automatisé lui demandant de communiquer ses identifiants bancaires. Ces derniers seront alors utilisées par le fraudeur pour accéder au compte bancaire de la victime, faire des achats sur internet, ... Dans l'hypothèse d'un appel par une personne physique, cette dernière va faire croire à une victime potentielle qu'il y a un problème sur son compte bancaire en se faisant passer pour un employé de sa banque. Il va ensuite lui soutirer des informations bancaires.

C. L'harponnage ciblé ou "whaling"

L'harponnage ciblé est une technique d'hameçonnage utilisée par les cybercriminels contre des entreprises. Se faisant passer pour des cadres supérieurs d'une entreprise, les cybercriminels ciblent directement la haute direction ou d'autres membres importants de la société dans le but de voler de l'argent, des informations sensibles ou d'accéder aux systèmes informatiques de la compagnie.

3. Conclusion

Le secteur financier est une cible de prédilection des cyber attaques, et en particulier les banques, qui offrent d'importantes sources de gains. La multiplication des attaques informatiques contre les banques est une conséquence de leur transformation numérique. Le secteur bancaire est devenu une cible de choix pour la cybercriminalité. Dès lors, la sécurité et la lutte contre la cybercriminalité sont des enjeux majeurs pour le secteur bancaire. Le socle de la relation entre la banque et son client reste la confiance, et il est essentiel de la préserver en mettant en œuvre tous les moyens nécessaires pour la sécurité des informations.

Pour répondre à la cybercriminalité qui pèse sur le secteur financier, les autorités de supervision ont renforcé progressivement leur action.

• L’ANSSI (Agence nationale de la sécurité des systèmes d'information) et I'AMF se sont engagées en février 2018 pour une coopération renforcée dans le domaine de la protection des systèmes d’information.
• En juillet 2016 la Fédération bancaire française et la Police judiciaire ont signé un accord de partenariat. Ainsi, au travers de cette collaboration, une banque victime d'une cyberattaque ou ayant détecté un tel risque, pourra transmettre, en toute sécurité et confidentialité, les informations afférentes aux services de police pour analyse. Cette analyse permettra de mieux comprendre les attaques et de pouvoir prendre des mesures adéquates afin d'en limiter les impacts dommageables. Par ailleurs, les banques déjouent quotidiennement les tentatives de cyber-attaques ou attaques de cybercriminels. Les sites internet des banques ou les ordinateurs des collaborateurs peuvent être des cibles. C’est pourquoi depuis des années, les banques réalisent d’importants investissements pour se prémunir de tels risques, pour maintenir un degré de sécurité élevé.
• Face à l'augmentation des cyberattaques, l'Autorité de contrôle prudentiel et de résolution (ACPR) a souhaité apporter un cadre aux banques et assurances. A cet effet, et comme on l'a vu précédemment, elle sonne l'alerte sur la "duplication de masse de sites frauduleux de banque en ligne" et met régulièrement à jour la liste noire qui récapitule tous ces sites.
• La FBF et le CFONB émettent régulièrement des recommandations pour lutter contre la fraude sur les moyens de paiement. Ces recommandations sont relayées par les banques auprès de leurs clients.

4. Glossaire

Autorité de contrôle prudentiel et de résolution (ACPR) : Autorité administrative indépendante adossée à la Banque de France, qui est en charge de l’agrément et de la surveillance des établissements bancaires et d’assurance ainsi que de la prévention et de la gestion des crises bancaires.
L’Autorité de contrôle prudentiel (ACP), créée en janvier 2010 à partir de la fusion de la Commission bancaire, de l’Autorité de contrôle des assurances et des mutuelles (ACAM), du Comité des établissements de crédit et des entreprises d’investissement et du Comité des entreprises d’assurance, est devenue ACPR depuis la loi de séparation et de régulation des activités bancaires du 26 juillet 2013.

Données de sécurité personnalisées : Données délivrées par un prestataire de service de paiement à son client à des fins d'authentification.

Hameçonnage ciblé ("spear phishing") : Hameçonnage par lequel un cybercriminel dupe un individu identifié au sein d’une organisation en se faisant passer pour une personne de confiance.

Hameçonnage vocal ("voice phishing") : Technique frauduleuse utilisant le téléphone par Internet ainsi que des serveurs vocaux afin de collecter un maximum d'informations, généralement bancaires.

Harponnage ciblé ("whaling") : Hameçonnage ciblé par lequel un cybercriminel dupe un individu ayant un pouvoir décisionnaire au sein d'une organisation, en se faisant passer pour une personne influente ou d'autorité.

Usurpation d'identité : Le fait de s'approprier l'identité d'autrui.

© Copyright ANDESE
Le présent document est protégé par les dispositions du code de la propriété intellectuelle. Les droits d'auteur sont la propriété exclusive d'ANDESE (Association Nationale des Docteurs ès Sciences Économiques et en Sciences de Gestion). La copie ou la reproduction (y compris la publication et la diffusion), intégrale ou partielle, par quelque moyen que ce soit (notamment électronique) sans le consentement de l’éditeur constituent un délit de contrefaçon sanctionné par les articles L. 335-2 et suivants du code de la propriété intellectuelle.