juripole information juridique
informatique juridique droit de l'informatique

Phishing

Phishing et contrefaçon


Mots-clés : 

Phishing, contrefaçon, usurpation de site, récupération de données personnelles

Date : 

11-11-2005

Après le Tribunal correctionnel de Strasbourg, qui avait prononcé le 2 septembre 2004, une première condamnation pour des faits de "phishing", le Tribunal correctionnel de Paris a rendu le 21 septembre 2005 une nouvelle décision en la matière, dans des circonstances et sur un fondement différents.

Le phishing - de fishing (pêche) et phreaking, contraction de phone et freak (piratage téléphonique) - est une forme d’escroquerie consistant à inviter les internautes, au moyen d’un mail "hameçon", à se connecter à un site internet imitant celui d’une société digne de confiance (ebay, Microsoft, Paypal, banques, etc.), afin de lui soutirer des données personnelles notamment bancaires, utilisées ensuite par l’escroc pour détourner des fonds.

Les tribunaux n’ont pas eu à attendre pour prononcer les premières condamnations sur cette forme de cybercriminalité, actuellement en plein essor, qui peut être sanctionnée au titre de plusieurs incriminations existantes. On peut en relever au moins trois :

  • Le phishing constitue avant tout une escroquerie, passible des peines de l’article 313-1 du Code pénal :
  • L'escroquerie est le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manoeuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. L'escroquerie est punie de cinq ans d'emprisonnement et de 375000 euros d'amende.

    C’est sur ce fondement que le Tribunal correctionnel de Strasbourg était entré en voie de condamnation à l’égard d’un étudiant qui avait créé un faux site du Crédit Lyonnais et avait ainsi extorqué 20.000 euros au total à une douzaine de personnes.

  • Le phishing constitue également une contrefaçon de marque et de droit d’auteur.
  • Pour rendre crédible le site (bancaire, par exemple) sur lequel les internautes sont invités par mail à se connecter pour communiquer les informations nécessaires à l’escroc, ce site doit ressembler le plus possible au vrai site. Le "phisher" est ainsi amené à copier une ou plusieurs pages du vrai site, protégées par le droit d’auteur en tant qu’oeuvres de l’esprit, et à reproduire les noms, logos, etc. de la société "hameçon", lesquels sont généralement déposés en tant que marque verbale et/ou figurative.

    C’est le fondement sur lequel le Tribunal correctionnel de Paris a prononcé sa condamnation dans le jugement du 21 septembre 2005, qui concernait un cas de phishing utilisant une copie servile de la page d’enregistrement du service MSN de Microsoft.

    Il semble que le fondement de la contrefaçon ait été utilisé d’une part parce que Microsoft n’était pas elle-même victime de l’escroquerie et ne pouvait donc agir sur ce fondement, et d’autre part parce que les pièces du dossier n’établissaient pas que des internautes aient "mordu à l’hameçon" et communiqué des données personnelles.

  • Le phishing pourrait également être sanctionné sur le fondement de l’article 226-18 du Code pénal qui dispose, dans sa rédaction issue de la loi nº 2004-801 du 6 août 2004 (réformant la loi "informatique et libertés") :
  • Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

Alexis Baumann

Avocat à la Cour


Voir aussi : TGI Paris 21 septembre 2005

Retour à la liste des articles

droit informatique droit de l'informatique
formation contrats informatiques