La lutte contre le spam et le phishing

Il suffit de partir en vacances ou de s’éloigner de son ordinateur-smartphone-tablette pendant quelques jours pour être submergé de mails en tout genre. Or, la grande majorité des messages correspond soit à de la publicité, soit à des spams.

I. La distinction entre les messages publicitaires légaux, les spams et le phishing 

Le message publicitaire est légal lorsqu’une personne accepte délibérément que des données à caractère personnel (adresse mail, notamment) soient utilisées à des fins de prospection directe.
Il doit s’agir du destinataire qui fournit son adresse mail lors d’une vente ou d’une prestation de services (notamment lors d’une inscription pour des cartes de fidélité).
Le destinataire du message publicitaire doit alors pouvoir s’opposer à l’envoi de mails lorsqu’il le souhaite. C’est ainsi que l’on retrouve, dans chaque message publicitaire, une mention (écrite le plus souvent en minuscule à la fin du message) rappelant au destinataire qu’il peut se désinscrire à tout moment en raison des dispositions de la loi du 6 janvier 1978 (dite « loi informatique et libertés ») ou encore des dispositions de la loi du 21 juin 2004 (loi LCEN).
L’article L34-5 du Code des postes et des communications électroniques dispose, dans son alinéa 5, qu’il est interdit d’émettre un tel message publicitaire sans indiquer de coordonnées valables auxquelles le destinataire puisse utilement transmettre une demande tendant à obtenir que ces communications cessent. La désinscription doit dès lors être nécessairement prévue dans le message publicitaire.

Le spam, ou pourriel, correspond au message publicitaire envoyé sans l’autorisation de la personne : c’est alors une communication électronique non sollicitée.
Les produits les plus vantés dans les spams sont généralement des messages à caractère financier (crédit, casino en ligne, mutuelles, impôts), économique (tourisme, vestimentaire…) et sexuel (services pornographiques, médicaments à visée sexuelle).

Le phishing, ou hameçonnage, correspond quant à lui à un message non sollicité envoyé dans le but d’obtenir des renseignements personnels, et de perpétrer une usurpation d’identité. La personne envoyant un tel message se fait passer pour un tiers de confiance (banque, administration, CAF, fournisseur d’accès à internet, EDF) afin de soutirer des renseignements personnels (mot de passe, date de naissance, numéro de crédit…).

II. La lutte contre le spam

Article L34-5 du Code des postes et des communications électroniques, reproduit à l’article L121-20-5 du Code de la consommation.
Est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen.

Pour l’application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe.
Constitue une prospection directe l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services.

Dans tous les cas, il est interdit d’émettre, à des fins de prospection directe, des messages au moyen d’automates d’appel, télécopieurs et courriers électroniques, sans indiquer de coordonnées valables auxquelles le destinataire puisse utilement transmettre une demande tendant à obtenir que ces communications cessent sans frais autres que ceux liés à la transmission de celle-ci. Il est également interdit de dissimuler l’identité de la personne pour le compte de laquelle la communication est émise et de mentionner un objet sans rapport avec la prestation ou le service proposé.

Le spam est interdit par la loi, dans la mesure où il faut que le destinataire ait expressément exprimé son consentement à recevoir de tels messages. Néanmoins, il n’empêche que, malgré les progrès techniques (filtrages automatiques des spams par les services de messagerie en ligne), l’on reçoit quotidiennement une multitude de spams.

CEDH Muscio c. Italie, 13 novembre 2007 (requête n°31358/03).
Une association de parents catholiques italienne, ayant reçu des courriers non sollicités (spam) à caractère pornographique, a porté plainte contre X devant le Parquet de Brescia.
Elle se base sur les principes de diffamation, de publications obscènes et d’escroquerie informatique.

L’affaire a été classée sans suite, car la réputation du requérant n’avait pas été touchée et n’avait pas subi de préjudice patrimonial. La diffamation n’avait pas été caractérisée car les e-mails avaient été envoyés au hasard à des adresses existantes sur Internet.
L’association s’est alors pourvue devant la Cour européenne des droits de l’homme pour voir l’inaction de l’État reconnu dans sa lutte contre les spams. Elle invoque essentiellement l’article 8 (droit à la vie privée),

La CEDH déclare la requête irrecevable.
Il n’avait pas été possible d’identifier l’expéditeur des spams car il avait caché son adresse électronique. L’État n’aurait pas pu déployer davantage d’efforts supplémentaires car de nombreuses difficultés objectives existent quant à l’utilisation de procédés techniques pour obtenir les sources des informations relatives au requérant.
Une fois connecté à Internet, les utilisateurs ne jouissent plus d’une protection effective de leur vie privée et s’exposent nécessairement à la réception de messages et informations non sollicitées, malgré l’existence de filtres informatiques.
La Cour ne peut dès lors exiger d’efforts supplémentaires de la part de l’Etat concernant la lutte contre les spams.

Le signalement des spams.
L’association « Signal Spam », association à but non lucratif et partenaire de la CNIL, lutte contre les spams. Lorsqu’elle est alertée par l’existence de spams, elle transmet à la CNIL les informations afin de permettre le déclenchement d’enquêtes et de contrôles sur place, afin de sanctionner les spammeurs et les empêcher de réitérer.
Pour lutter contre le spam, l’association prévoit que les utilisateurs doivent s’inscrire sur son site internet et peuvent télécharger une extension (pour les logiciels de messagerie tels que outlook ou thunderbird). Avec cette extension, un bouton « signal spam » apparaîtra sur la boîte électronique, il suffira alors de sélectionner le message à signer et de cliquer sur le bouton.
Concernant les autres systèmes de messagerie sur Internet (orange, la poste, thunderbird, gmail, free, yahoo…, etc), il s’agit d’un formulaire de signalement en ligne afin de copier l’adresse et le message reçu.

Concernant les messages spams reçus par sms, le message doit être envoyé par sms à l »Association française du multimédia mobile. Lorsqu’un sms abusif est reçu sur le téléphone, il faut alors le signaler en le transférant au n° 33700.


III. La lutte contre le phishing

De nombreux virus se joignent au phishing, tels que le virus de la gendarmerie ou le virus hadopi. Ces virus ont la particularité de bloquer l’ordinateur et d’indiquer la possibilité de payer 100€ ou 200€ pour éviter toute « poursuite judiciaire » des infractions (pornographie infantile, violation du droit d’auteur…). Cette possibilité est une tentative d’escroquerie permettant, pour les personnes les plus crédules, qu’elles puissent payer en « échange » d’une absence de poursuites contre elles.

De nombreux mails opérant la pratique dite du « phishing » sont désormais reçus sur les boites de messagerie en ligne.
Elles se font passer pour un tiers de confiance et demandent des informations personnelles (identifiants et mots de passe, renouvellement du compte, numéro de compte bancaire, mise à jour des données…).
Il peut également s’agir de messages précisant qu’une personne a gagné à un tirage au sort, ou de messages prévoyant la possibilité de faire des dons pour des maladies rares, tentant ainsi d’abuser de la gentillesse et des sentiments des personnes.

Ces messages sont, généralement, des copies identiques aux sites d’origine. Quelques erreurs subsistent parfois (absence d’accents, lettre manquante dans le nom de domaine…) qui permettent de repérer cette pratique du phishing.
Lorsqu’une personne reçoit ce type de mails et qu’il paraît crédible, mieux vaut s’abstenir d’entrer les données demandées : il est préférable d’aller de soi-même sur le site pour vérifier si l’information était réelle ou non.

La législation pouvant s’appliquer au phishing.
Article 313-1 du Code pénal.
L’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge.
L’escroquerie est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende.

Article 226-18 du Code pénal.
Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.

Il n’existe actuellement pas de législation relative expressément au problème posé par le phishing. Néanmoins, les délits d’escroquerie et de collecte frauduleuse de données nominatives semblent pouvoir s’appliquer.
L’emploi de manœuvres frauduleuses afin de tromper une personne, tel que décrit dans le délit d’escroquerie, semblerait effectivement être le cas du phishing.

Le signalement des tentatives de phishing sur Internet.
La plateforme « PHAROS » (plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements), disponible sur le site du gouvernement à l’adresse internet-signalement.gouv.fr, permet de signaler toutes les tentatives de phishing.

Le signalement sera ensuite traité par un service de police judiciaire (office central de lutte contre la criminalité liée aux technologies de l’information et de la communication), qui ouvrira ensuite une enquête pénale sous l’autorité du Procureur de la République par la suite.
Si le contenu signalé est illicite mais est conçu à l’étranger, il est transmis à Interpol qui l’oriente ensuite vers les autorités judiciaires du pays concerné.

Le Ministère de l’intérieur, dans une réponse en date du 13 juin 2013 à une question écrite posée par un député UMP, a tenu à rappeler que la plate-forme a reçu en 2012 près de 120.000 signalements, dont des milliers ont été transmis pour enquête aux services répressifs français et à Interpol.

De surcroît, la plateforme « phishing-initiative », soutenue par la CNIL et par le gouvernement, est un projet conjoint de Paypal et de Microsoft.
Il vise, une fois la menace de phishing confirmée, à bloquer le site dans tous les navigateurs pour qu’il ne soit plus accessible par les internautes.

Advertisements
Cet article, publié dans Droit des nouvelles technologies, est tagué , , , . Ajoutez ce permalien à vos favoris.

4 commentaires pour La lutte contre le spam et le phishing

  1. Bonjour, je viens de lire votre article sur le spam et le phishing.
    Je voulais savoir si vous saviez les moyens que l’on pouvait mettre en œuvre en tant qu’hébergeur d’email.

    En effet, les services tels que gmail continuent a supprimer les spam / messages de phishing même après leur délivrance dans les boites emails.
    Mais la loi français protégeant les correspondances, il n’est normalement pas légal d’aller regarder les messages dans la boite email des clients.

    E gros, un hébergeur français peut empêcher un email d’arriver dans la boite, mais une fois qu’il y est, on ne peut plus rien faire.

    Est-ce que cette contrainte est vraiment spécifiée dans la loi et applicable dans ce domaine ?
    Elle créé un vide de sécurité important que nous pourrions améliorer très simplement.
    Qu’en rendez-vous ?
    Pierre Bonneau

  2. N’utilisant pas gmail, je ne connais pas exactement leur politique de suppression de messages.
    Les servies de messagerie empêchent tous les spams d’entrer dans la boite de réception classique et les classent en spams. Ils ne peuvent toutefois pas les supprimer automatiquement : si le message n’était pas un spam, l’utilisateur doit pouvoir le recevoir.
    C’est pour cela que la plupart (tous ?) des services de messagerie ont un dossier spams que l’utilisateur peut vérifier quand bon lui semble si les messages sont réellement des spams ou non.

    L’hébergeur fait simplement le tri entre les messages ressemblant à des spams et ceux qui sont désirés par l’utilisateur, mais ne se permet pas de supprimer de lui-même les messages.
    Cette solution me semble convenable dès lors que je trouverai assez aberrant que le service de messagerie se permette de supprimer, à tort, des messages dont j’aurais aimé avoir la réception.

    Je ne sais pas comment les services de messagerie trient les messages en tant que spam, mais je doute qu’ils lisent exactement tout le contenu des messages, je suppose que le tri est fait par mots-clefs.

    Une des solutions pourrait être, pour lutter contre ce phénomène, que le service de messagerie empêche tout envoi de messages identiques ou provenant d’une certaine adresse lorsqu’une grande partie de ses utilisateurs a de lui-même catalogué le message comme spam.

    Or, la loi (provenant d’une directive européenne) n’oblige pas les hébergeurs à avoir une obligation de surveillance des fichiers. Autrement dit, les hébergeurs ne sont pas tenus de supprimer les fichiers, dont les messages, qui réapparaissent.
    C’est pour cela que la question du spam est difficile : d’un côté il y a la liberté de l’utilisateur qui doit avoir la possibilité de recevoir tous les messages qu’il désire, de l’autre une question de sécurité, étant donné que l’hébergeur ne dispose pas de cette obligation légale de supprimer les fichiers qui reviennent sans cesse.
    Le tri entre les messages « spams » et les autres est fait pour faciliter la vie des usagers (facebook, par exemple, le fait aussi avec son dossier « autres »), mais il ne doit pas empêcher les utilisateurs de réceptionner s’ils le désirent tous les messages qui leur sont adressés.
    Cf : https://peregrinationsjuridiques.wordpress.com/2013/03/16/la-responsabilite-des-hebergeurs/

    A quoi pensiez-vous quand vous indiquiez que cela pourrait être amélioré très simplement ?

    • Bonjour,

      Je travail pour un de ces hébergeur, et en fait, je voulais plus parler de la situation suivante.
      A T0, une campagne de spam commence,
      30 minutes plus tard les équipes arrivent à identifier le spam.
      A partir de ce moment là, tous les spam sont refusés ou triés selon le degré de confiance.

      Le problème, c’est les quelques millions d’email qui ont été reçu entre T0 et T+30. Ils sont dans la boite email des destinataires, et donc, nous pensons que légalement nous n’avons plus le droit d’y accéder. Hors, nous serions tout à fait en mesure de retrouver les spam et de les déplacer dans la bonne catégorie dans ce cas là. C’est dailleur ce que fait gmail par exemple.

      C’était tout le sens de mon message.

      Pierre

  3. Disons qu’il est difficile pour un hébergeur d’intervenir lorsque le message a déjà été envoyé dans la boite de réception pour des questions morales plus que juridiques.
    Si un utilisateur se rendait compte que l’hébergeur ne trie plus non seulement en amont, mais également après l’envoi des messages, cela pourrait provoquer une fuite de la clientèle/utilisateurs.

    Légalement, ce pourrait être possible a priori. Il y a un flou juridique à ce niveau, et une mise en balance de différents intérêts serait faite.
    Je ne suis pas certain que le secret des correspondances puisse être invoqué puisque la même action de tri est déjà faite avant. Je pense plus qu’il s’agit d’un interdit moral de la part des hébergeurs qui se refusent à lutter contre les spams alors même que l’utilisateur a déjà pu accéder à ces messages, les supprimer ou les lire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s