La nécessité d’une vigilance accrue face aux tentatives de phishing

Le phishing – ou hameçonnage – est la pratique par laquelle une personne malveillante réclame des informations personnelles, souvent bancaires, à sa victime. Ces données sont généralement vendues par la suite.

Si l’élicitation, consistant en une soustraction sournoise d’information, est une pratique ancienne, elle est aujourd’hui largement facilitée par internet.

Cette méthode est a priori connue de tous. Mais la sophistication des procédés et l’agilité des fraudeurs leurs permettent de prospérer. Face aux demandes d’informations émanant de tiers, la vigilance est nécessaire et les potentielles victimes sont incitées à la plus grande prudence.

Mais dans quelle mesure un comportement peut-il être qualifié de négligeant ?

La décision du 28 mars 2018 de la Cour de cassation apporte quelques éléments de réponse.

Après avoir été victime d’un hameçonnage qui avait entraîné un débit frauduleux de 7 000 euros sur son compte, le client d’une banque avait saisi la justice pour demander sa condamnation au remboursement de la somme soustraite.

La Cour d’appel avait d’abord jugé que la Banque devait prendre en charge l’utilisation frauduleuse de la carte de paiement car l’établissement ne prouvait pas l’infaillibilité de son système de sécurité (en l’occurrence le « 3D secure »). Elle ajoutait que le client avait adopté une attitude raisonnable puisqu’il avait prévenu la banque dès la réception d’un SMS l’avisant d’opérations de paiement en cours et y avait fait opposition. Ce client, « normalement attentif », ne pouvait percevoir les indices propres à le faire douter sur la source de la demande.

Mais l’affaire fut ensuite portée devant la Cour de cassation par la banque qui soutenait que l’utilisateur avait manqué de vigilance.

La Cour de cassation entendit cette critique et cassa l’arrêt de la cour d’appel au motif que le client n’avait pas satisfait à son obligation de prendre toute mesure raisonnable pour préserver sa sécurité.

Les indices contenus dans le courriel auraient dû éveiller l’attention de son destinataire.

La victime avait vraisemblablement affaire à des fraudeurs peu rodés : La décision aurait-elle été aussi stricte face à un montage ne contenant aucun élément suspect ?

La question est légitime car les cybercriminels ont acquis une certaine habilité voire un professionnalisme et les mails ne finissent plus forcément parmi les courriers indésirables, sont correctement orthographiés et mènent parfois vers des sites internet identiques à ceux des sociétés qu’ils imitent.

Articles similaires