Hameçonnage
Hameçonnage : les cyber victimes prises entre la marteau et l’enclume
Jul
La responsabilité des Cybervictimes d’Hameçonnage, de typosquattage, ransomhack, spear phishing, sim swapping, Email & Web Spoofing, est engagé.
Il ne peut plus y avoir de doute, la responsabilité de l’internaute est juridiquement engagée avec quasiment aucun recours pour les victimes d’obtenir un quelconque remboursement !
A noter, qu’on trouve le plus souvent le terme anglais “phishing” qui se traduit “hameçonnage” en français, de même pour le typosquattage qui vient de l’anglais “typosquatting” ou le spear phishing l’hameçonnage ciblé via des techniques d’ingénierie sociale ou encore Spoofing technique d’usurpation.
Suite à la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015, l’ordonnance n° 2017-1252 du 9 août 2017 apporte aux articles L133-16 et L.133-19 du Code monétaire et financier des modifications visant les victimes d’hameçonnage aux cartes bancaires.
L’article L133-16 du Code monétaire et financier (ci-après) précise : « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation. »
L’article L.133-19 du Code monétaire et financier (ci-après) précise dans l’alinéa IV : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du Code monétaire et financier».
L’arrêt de la Cour de cassation du 25 octobre 2017 et celui du 28 mars 2018 forment une jurisprudence sur l’engagement de responsabilité de l’internaute victime d’un hameçonnage par téléphone via une usurpation d’identité et/ou via un faux site internet et/ou un faux courriel.
L’arrêt du 25 octobre 2017, (cass. du 25.10.17, n° 16-11 644)
Article de presse le monde.fr : http://sosconso.blog.lemonde.fr/2017/10/26/elle-avoue-a-sa-banque-avoir-ete-victime-de-phishing
L’arrêt du 28 mars 2018, (cass. du 28.3.18, n° 16-20 018)
Les cours de cassation renforcent l’obligation de prudence des internautes face aux attaques d’hameçonnage qui peuvent être téléphonique, via SMS ou e-mail, relatives à l’utilisation de ses cartes bancaires ou codes confidentiels.
- L’arrêt du 28 mars 2018 approfondit le cadre de responsabilité qui pèse sur l’internaute en précisant que le manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.
- L’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance est tenu pour unique responsable
- La banque n’est pas tenue d’informer ses clients des risques d’hameçonnage.
Comment les cybercriminels contournent-ils l’authentification du code 3D Secure ?
1er étape : le cybercriminel doit obtenir de sa prochaine victime les identifiants et les mots de passe de son opérateur téléphonique.
Pourquoi ? Pour permettre au cybercriminel de mettre en place des renvois téléphoniques des messages reçus notamment de sa banque. C’est plus simple que de voler le téléphone. D’où l’importance de changer régulièrement ses mots de passe du compte de son opérateur. Ce point devient de plus en plus crucial puisque le smartphone est un terminalLe terme "terminal" est utilisé sur ce site pour désigner tout appareil informatique mobile tel... More de paiement et/ou de contrôle d’accès nomade.
2ème étape : le cybercriminel doit maintenant obtenir toutes les informations de la carte bancaire. Plusieurs possibilités ; soit l’hameçonnage (phishing) par mail, SMS, chantage, téléphone en se faisant passer par un agent de l’opérateur. La victime par excès de confiance lui donne ses informations. Elle n’a pas conscience que le 3D Secure va être aussi envoyé au cybercriminel.
Le cybercriminel n’a plus qu’à réaliser le paiement qu’il pourra lui-même valider à la place de la victime.
La victime informée en même temps que le cybercriminel qu’il y a une demande de validation d’un achat via sa carte bancaire pense, puisqu’elle n’a pas validé le paiement, qu’elle est en sécurité. Elle peut faire opposition à sa carte bancaire. Seulement il est déjà trop tard. Le paiement est irrévocable et la responsabilité de la banque est dégagée. C’est l’arrêt du 25 octobre 2017.
Dans un autre cas d’espèce, le vol du smartphone avec la carte bancaire peut avoir le même résultat. De la même manière quand vous payez physiquement avec votre carte bancaire où l’on peut voir en clair le CCV ou CVC composé de 3 à 4 chiffres utilisés pour les paiements sur internet.
Il est conseillé d’utiliser l’une des solutions EviTag NFC, EviCard NFC usage personnel ou EviLite NFC, EviPlus NFC ou EviPro NFC de Fullsecure pour un usage professionnel ou d’entreprise qui permettent, après que vous ayez fait physiquement disparaître le code CCV ou CVC, de réaliser des paiements sur internet en toute sécurité. En cas de vol de la carte bancaire, le cybercriminel n’a physiquement pas accès au CCV ou CVC, la protection avec les solutions de Fullsecure est immédiate. Cette solution n’est pas dépendante du facteur temps lié à la déclaration de perte ou de vol pour un usage sur internet. De plus, cette solution est capable de gérer plusieurs cartes bancaires et est compatible avec tout type de carte bancaire à l’international, sans frais supplémentaire, ni engagement financier.
Il existe les CCV ou CVC qui changent de manière dynamique plusieurs fois par jour. Une nouvelle sécurité qui a un coût supplémentaire annuel. Utilisé lors de paiements physiques, le CCV ou CVC est visible. Le cybercriminel ne dispose que d’un intervalle de temps très court pour voler ses victimes avant le changement automatique du CCV ou CVC. En cas de vol de ce type de carte bancaire, le temps dépend de l’heure et de la date de la déclaration du vol comme pour les autres cartes bancaires.
Sim swapping : Que dit le Code monétaire et financier concernant les codes 3D Secure ?sim swapping
Selon l’article L133-23 du Code monétaire et financier, c’est à la banque d’apporter la preuve de l’enregistrement de ce type d’authentification qui permet de présumer de la validé du paiement par l’ayant droit. A défaut, selon l’article L133-18 la transaction est réputée « non autorisée », la banque est dans l’obligation de rembourser.
Le code 3D Secure a été développé par Visa et MasterCard pour lutter contre les risques de fraude sur Internet. Ce code est donc envoyé par les services numériques de Visa ou Master Card et n’est connu de l’utilisateur qu’au moment de sa réception. De fait, il ne peut pas le communiquer à un cybercriminel sauf si celui-ci a volé le smartphone, réussi à faire une copie de la SIM et le plus courant accéder aux comptes du client de l’opérateur téléphonique pour effectuer un renvoi d’appel pour obtenir le Code 3D Secure.
L’internaute doit devenir un expert en détection d’hameçonnage (phishing) et en typosquattage (Typosquatting) face à l’ingéniosité des cybercriminels
Selon la jurisprudence, l’internaute doit procéder à un « examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d’orthographe… » ce qui doit permettre d’obtenir des indices« de nature suffisante pour interpeller l’internaute.”
Or les critères retenus par les jurisprudences depuis 2015 entrent déjà en désuétude du fait de la qualité de la contrefaçon des sites internet en perpétuelle augmentation, mais pas seulement.
En effet, le seul examen pour détecter une “adresse changeante” est devenu complexe pour les #cybervictimes. Ces ingénieux cybercriminels trouvent de nombreuses solutions pour tromper leur vigilance notamment par l’utilisation de caractères spéciaux dans le nom de domaine.
L’obsolescence jurisprudentielle face à l’évolution du hameçonnage par Unicode
Les cybercriminels utilisent des caractères spéciaux proches de l’alphabet latin, l’unicode E100. Ils ont à leur disposition plus de 26 caractères (Ḁ ḁ Ḃ ḃ Ḅ Ḇ ḇ Ḉ ḉ Ḋ ḋ Ḍ ḍ Ḏ ḏ Ḑ ḑ Ḓ ḓ Ḕ, Ṛ, ṛ, Ṟ, ṟ, Ṣ, ṣ, Ṭ, ṭ, Ṯ , ṯ, Ṱ, ṱ). Il leur suffit d’acheter un nom de domaine semblable à l’original, et de remplacer l’un des caractères par un caractère de l’unicode, le plus ressemblant possible, avec par exemple un point en-dessous du caractère.
A titre d’exemples, nous allons utiliser des sites internet d’opérateurs téléphoniques et de banques, juste en remplaçant la lettre “r” par “ṛ” cela peut donner ceci “fṛee.fr” ou en remplaçant “b” par “ḅ” ” ḅouyguestelecom.fr” ou “ḅanquepopulaire.fr”.
Un nouveau jeux pervers qui serait imposé par la jurisprudence qui implique à la Cyber-Victime de détecter la différence masquée dans l’URL (l’adresse).
Les cybercriminels seraient-il en train de répondre à ma demande ? En effet je leur avais suggéré afin d’aider les #cybervictimes de changer leurs modes opératoires pour les aider face à la jurisprudence. « S’il vous plaît ne faites plus de fautes d’orthographe, et si ce n’est pas grammaticalement correct, faîtes en sorte que le simple examen de l’adresse changeante ne soit pas évidente au seul examen ».
Avec la fausse URL et une fois le site contrefait à l’identique de l’original, le piège est activé pour capter les futures #cybervictimes.
Le Typosquattage “Typosquatting en anglais” une autre forme d’hameçonnage
Quasi identique à l’hameçonnage, faux site, fausse URL, à la grande différence que le cybercriminel mise sur les fautes de frappe des #cybervictimes lorsque l’utilisateur renseigne l’adresse internet. Citons par exemple “fri.fr” sans (ee) ou “bouyguetelecom.fr” sans (s) ou “banque-populaire.fr” avec ajout d’un trait d’union ou “free.com” en changeant l’extension (.fr).
Un nouveau terrain de jeux pour les cybercriminels, une fausse barre d’adresse sur les téléphones Android qui utilisent le navigateur Chrome.
Google Chrome sur smartphone Android fait apparaitre uniquement le titre du site visité plutot que d’afficher la barre d’adresse complète avec l’URL. Une nouvelle fonctionnalité destinée au confort des utilisateurs pour laisser plus de place à la lecture du contenu. Cela permet au cybercriminel de faire passer une page de phishing pour une page web légitime.
L’usurpation sur l’extension du nom de domaine fait de nombreuses cybervictimes, notamment pour les domaines en .com. Le cybercriminel achète un nom de domaine en .co avec un nom identique à celui d’un site connu, exemple “www.amazon.co”. La cybervictime reçoit un mail qui paraît venir du site original. Elle est invitée à se connecter via un lien au site miroir “www.amazon.co”. Elle ne va pas faire attention qu’elle n’est pas sur le site original avec une extension .co au lieu de .com. C’est donc en toute confiance que la cybervictime va saisir des informations personnelles, et surtout son identifiant de connexion et mot de passe.
Comment la jurisprudence va t-elle évoluer pour déterminer le seuil qui va permettre de qualifier la Cybervictime de “négligente” ?
Protection naturelle contre l’hameçonnage et le typosquattage
Il y a une barrière au hameçonnage lorsque l’extension du nom de domaine est propriétaire. C’est le cas par exemple de l’extension de la banque BNP Paribas avec son extension propriétaire “.bnpparibas” du site “www.mabanque.bnpparibas”. Dans ce cas d’espèce, c’est un coût de l’ordre de 185 000 USD et une procédure contraignante pour obtenir de l’ICANN son extension de nom de domaine personnalisée qui établit une barrière naturelle contre ce type d’attaque. Cependant, encore faut-il que les utilisateurs de ces sites soient informés de cette distinction. Dans le cas contraire la jurisprudence est sans équivoque et s’imposera aux cybervictimes. En effet, difficile d’expliquer qu’elles n’ont pas vu l’extension différente.
Pour en savoir plus sur l’extension personnalisée
https://www.prodomaines.com/extension-personnalisee
Le niveau informatique général est-il si linéaire chez les internautes qu’ils sont tous en mesure de réaliser un tel examen ?
J’en doute fort.
De la même manière, penser que seuls les initiés sont à l’abri d’un hameçonnage me paraît un raccourci très hasardeux.
Il devient de plus en plus difficile pour l’internaute de différencier le vrai du faux.
La jurisprudence ou une révision de la loi ne devraient-elles pas prendre compte la qualité du faussaire comme pour la monnaie, pour exonérer la responsabilité de la victime ?
Le paiement par virement instantané, un nouvel eldorado des cybercriminels ?!
Que vont imaginer les cybercriminels pour créer de nouvelles victimes suite à la nouvelle mise en œuvre initiée par la BCE avec le système de paiement par virement instantané, en moins de 10 secondes, de manière irrévocable, réalisable avec un simple numéro de téléphone ?
Comment ça marche ? (source la tribune)
C’est un virement en euros que l’on initie depuis le site de sa banque ou son application mobile bancaire en choisissant le mode instantané. Il suffit de saisir l’IBAN ou, moins fastidieux, son numéro de téléphone mobile (converti en IBAN par la banque), voire de scanner un QR code pour envoyer l’argent. Le compte est crédité en moins de 10 secondes et la confirmation du paiement est envoyée par SMS sous 20 secondes. Le virement est irrévocable. Le service est utilisable 24h/24, 365 jours par an. Un plafond de 15.000 euros a été décidé au niveau européen (les Pays-Bas l’ont supprimé).
Je prédis un aggravement de la cybercriminalité sur ce nouveau système SEPA Express, si le système de sécurité n’est pas égal ou supérieur à celui des cartes bancaires !
L’innovation va de plus en plus loin pour permettre à la machine de se substituer progressivement au consentement physique humain puisque les courants de pensées estiment que l’homme est plus défaillant que la machine.
A ce jour, on ne peut pas encore assigner une machine au tribunal. De fait, personne n’est à l’abri de se retrouver entre le marteau et l’enclume.
«Ransomhack» : le chantage à la non-conformité RGPD
Les cybercriminels utilisent aussi l’hameçonnage pour dérober des données privées, on parle de «ransomhack». Prises en otage, ces données font l’objet d’un chantage en utilisant la nouvelle réglementation Européenne (RGPD) pour faire pression sur les victimes. L’objectif est d’obtenir plus rapidement la rançon. Il suffit de menacer la victime de rendre publiques les données si la rançon n’est pas versée faisant peser dans la balance les risques de fortes sanctions pénales et civiles encourus en cas de non signalement à la CNIL du vol de données.
Encore une fois la technique du marteau et de l’enclume devient une arme redoutable face à la peur de la double sanction, victime et justiciable pénalement et civilement.
La technique du hameçonnage n’est plus la chasse gardée des cybercriminels : elle peut-être plus ou moins légale !
Difficile d’établir des statistiques, les victimes ne portant pas plainte. Il est fort probable qu’un grand nombre d’entre vous se reconnaîtront dans cette situation.
Pourquoi ?
Malgré les nouvelles dispositions qu’imposent le RGDP, les sites de vente en ligne de biens et/ou de services ont trouvé un moyen d’obtenir les informations des cartes bancaires de leurs clients. Or, il n’y aucune raison pour que le client fournisse ce type d’information.
Seulement voilà, cela revêt une apparence légale, pour obtenir ces précieuses informations des cartes bancaires. En principe, légalement vous avez le droit de demander leur suppression.
Maintenant que l’on en a fini avec la théorie, passons à la pratique
Comme nous l’avons vu précédemment, donner les informations de cartes bancaires est sous l’entière responsabilité de l’internaute.
De la même manière, il est de notoriété publique que les cybercriminels dérobent régulièrement des données privées, notamment de cartes bancaires dans les bases de données des sites marchands.
Selon le principe de prudence établi par la cour de cassation, ne pourrait-il pas être repris à l’encontre de la victime ? La Cour ne pourrait-elle pas estimer qu’il n’est nul besoin d’informer l’internaute qu’il existe un risque que l’on dérobe ses informations de carte bancaire ? Qu’il est de fait le seul responsable des informations qu’il transmet !
Pourquoi les sites de vente en ligne ont-ils besoin de ces informations de cartes bancaires ? Qu’en font-ils réellement ?
Sauf erreur de ma part, au regard du RGPD, vous seriez en droit de poser la question.
Il y a de multiples bonnes raisons qui seront invoquées, mais celles-ci ne concernent pas le client mais le fournisseur de service, surtout lorsque ce dernier a mis en place un système de paiement récurent.
Ces informations de cartes bancaires deviennent précieuses pour la qualité de la créance escomptable non échue ou EENE. Si vous souhaitez en savoir plus (https://comptabilite.ooreka.fr/astuce/voir/609429/effet-escompte-non-echu).
Ce qu’il faut retenir : L’effet escompté non échu est transmissible à un autre créancier ou à un établissement bancaire. Plus la créance est de qualité moins le coût de l’escompte est onéreux. Même si les taux sont bas, c’est un gain.
Autre intérêt, c’est l’oubli et le retrait de petites sommes qui passent souvent sous le radar des clients. On établit des conventions qui prévoient un renouvellement automatique et des dates anniversaires assorties d’un délai minimum pour dénoncer le contrat.
Nouveauté : noyer le poisson sous couvert de mises à jour des conditions générales de vente ! On modifie de manière unilatérale le contrat de service pour lequel vous aviez accordé votre consentement. L’astuce est le critère de confiance. On vous fait accepter de nouvelles conditions qui annulent les précédentes.
Allons encore plus loin dans le non-respect des règles de droit.
Si on n’arrive pas à vous faire accepter un nouveau document, on fait appel à un principe de droit qui n’existe pas en matière contractuelle. Au même titre que l’on ne peut changer un contrat de manière unilatérale, que ce soit par adhésion ou de manière synallagmatique, sans le consentement du co-contractant.
Le silence ne vaut pas acceptation !
Or nombre d’entreprises de services vous adressent des mails en vous informant qu’à défaut de réponse dans un certain délai, le contrat sera considéré comme accepté. Si vous refusez, vous perdez le service pour lequel le fournisseur s’était pourtant engagé. Cependant, l’engagement peut aussi prévoir des portes dérobées « back doors » comme l’assujettissement à la mise à jour de conditions générales de vente.
La méthode du marteau et de l’enclume est activée !
Voilà une forme de chantage pourtant illégale, faite par voie numérique mais qui n’est pas pour autant classée dans les cyber crimes.
Pourquoi ?
Un début de piste de réponse, parce qu’ils agissent à découvert et qu’ils sont légalement enregistrés aux registres des sociétés mais pas les cybercriminels en principe.
La force dissuasive d’un recours par l’internaute !
Ils ont aussi un atout maître, le coût d’une procédure en action civile ou pénale au regard des petits montants en cause. Le coût pour obtenir une décision de justice, tel les frais de procédure, les honoraires d’avocats, le temps passé et l’incertitude d’obtenir réparation, suffisent à faire abandonner toute envie de poursuite.
Même si le dol civil et/ou pénal peut être qualifié, personne ne saura jamais que vous êtes aussi victime d’hameçonnage par tromperie du cocontractant pour obtenir les informations des cartes bancaires ou des données privées.
Cependant, quand vous montrer les dents à contrario des cybercriminels, ils transige sans trop résister. Cela dépendra aussi de votre interlocuteur mis en position de fusible. Une contre mesure de l’internaute. Cela dépendra aussi de l’interlocuteur mis en position de fusible.
Le rapport de force par échange de chantage peut s’équilibrer. Le risque d’une mauvaise publicité sur les réseaux sociaux, la CNIL Pro ou Privé, peut avoir des conséquences plus coûteuses que les sommes engagées. De la même manière si l’internaute bénéficie d’une assurance qui prend en charge les frais d’avocats et de procédure. Dans cette hypothèse le chantage est inversé par l’internaute. Ce dernier n’est plus entre le marteau et l’enclume.
Au final l’arrange à l’amiable vaut mieux qu’un long procès. En conséquence de quoi, le risque d’une mauvaise publicité sur les réseaux sociaux peu avoir des conséquences plus coûteuse que les sommes engagés. Dans cette hypothèse cette forme de menace peut permettre à l’internaute de ne plus être entre le marteau et l’enclume.
Vous souhaitez en savoir plus sur la tromperie du cocontractant d’un point de vu juridique.
Avoir la liberté de ne pas donner d’informations de carte bancaire en dehors d’une transaction unique et sous le contrôle et le consentement exclusif du payeur, ne devrait pas être un droit à défendre.
Les solutions que nous développons telles qu’EviCard, EviTag et la gamme EviPro avec le plugin EviLock NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More permettent de protéger les informations des cartes bancaires et de contrer les attaques d’hameçonnage. C’est surtout un outil pour permettre d’exercer ce droit à ne plus données ses informations de carte de crédit sur internet pour être sauvegardé.
Pour en savoir plus sur nos solutions de protection des cartes bancaires vous pouvez lire les articles suivants sur Linkedin :
Pourquoi les coffres forts électroniques #NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More Offline de Fullsecure sont-ils déjà en conformité avec le décret qui entrera en vigueur le 01/01/19 ?
https://www.linkedin.com/pulse/pourquoi-les-coffres-forts-%C3%A9lectroniques-nfc-offline-de-gascuel/
Un nouveau service de sécurité individuelle sans cloud avec anti-phishing pour protéger de bout en bout tous types de cartes bancaires