L’obligation de vigilance de l’internaute victime de phishing

Données personnelles 186 Vues 0 commentaire

La Cour de cassation a surprit le monde du numérique, en reconnaissant à une banque, en 2018, la possibilité de s’exonérer de son obligation de rembourser les internautes victimes de phishing. La plus grande vigilance s’impose donc à ces derniers.

Le phishing, un phénomène toujours aussi présent sur Internet

Le phishing, autrement appelé hameçonnage, se définit comme un comportement malveillant consistant à récupérer les données personnelles d’un internaute, afin de pouvoir par la suite les revendre à des tiers peu scrupuleux, ou s’en servir. Le phishing se manifeste le plus souvent à travers des e-mails envoyés par des pirates informatiques se faisant passer pour des organismes officiels ou sociétés réellement existantes. Cherchant à gagner la confiance de l’internaute ou à lui faire peur, le message contient le plus souvent une adresse internet renvoyant à une page sur laquelle l’internaute sera invité à entrer ses informations personnelles. Celles-ci seront en réalité transmises par l’internaute au pirate informatique, qui pourra alors en disposer comme il l’entend.

Après avoir connu son apogée en 2010, cette pratique frauduleuse a légèrement décliné, jusqu’à représenter tout de même, en 2019, 60% des spams (messages indésirables) reçus dans nos boites aux lettres électroniques. Parmi toutes ces tentatives de phishing, durant l’année 2018, 44 % des mails frauduleux visaient à récupérer des informations bancaires.

Fort heureusement, si les outils technologiques employés par les pirates peuvent parfois convaincre des internautes peu méfiants, plusieurs indices permettent de les détecter :

  1. De nombreuses fautes d’orthographe dans le corps du texte,
  2. L’absence de mentions légales en bas des mails,
  3. Des adresses internet (URL) ne renvoyant pas sur les sites officiels des organismes,
  4. L'adresse e-mail expéditrice qui n'est pas celle qu'elle prétend être (toujours vérifier l'adresse expéditrice !),
  5. Ou tout simplement une prise de contact physique avec l’organisme concerné, qui pourra alors réfuter les allégations contenues dans le mail.

Des juges peu compréhensifs vis-à-vis des victimes

La vigilance est de mise, et pour cause. Outre les conséquences désastreuses que peuvent avoir les mails frauduleux pour les victimes ciblées, la Cour de cassation fait preuve de sévérité à leur égard, lorsqu’il s’agit pour elles d’obtenir ensuite le remboursement des fonds dérobés auprès de leur établissement bancaire.

Ainsi, un arrêt de la Cour de cassation en date du 28 mars 2018[1] s’est penché sur le cas d’un internaute ayant reçu un mail portant le logo du Crédit Mutuel, accompagné d’un « certificat de sécurité à remplir attentivement ». La Cour d’appel a précisé que ce certificat avait été scrupuleusement renseigné :

« la victime allant même jusqu’à demander à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux, ce qui montre sa totale naïveté ».

Selon elle, le client de la banque devait être indemnisé, dès lors qu’il a fourni des informations confidentielles à son insu, et que :

« n’est pas constitutive d’une négligence grave le fait pour un client « normalement » attentif de n’avoir pas perçu les indices propres à faire douter de la provenance des messages reçus. »

La Cour de cassation casse toutefois l’arrêt d’appel. Selon elle :

« manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage ».

Autrement dit, peu importe que l’internaute client d’un organisme bancaire ne soit pas avisé des risques de phishing, ni informé sur les moyens de les détecter. Il suffit à l’établissement bancaire, qui supporte la charge de la preuve de la négligence de son client, de mettre en avant les indices qui auraient dû permettre à ce dernier de détecter la fraude, et que nous avons évoqué plus haut.

Une telle position apparaît nécessairement sévère pour les internautes victimes de phishing, dès lors que selon les mots de la Cour d’appel, seul un « examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d’orthographe du message, sont de nature à interpeller le client ».

La prudence dicte donc plus que jamais aux clients d’établissements bancaires destinataires de mails sollicitant certaines informations personnelles de ne pas y donner suite, et de contacter l’organisme mentionné dans le mail par le biais de son site internet officiel, ou par téléphone.

 

[1]Cour de cassation, civile, Chambre commerciale, 28 mars 2018, 16-20.018

Obtenez un devis en 24 heures par nos avocats

Prestation demandée :

Merci de sélectionner le thème de votre devis

Pays ou organisation :

Type de contrat :

Votre besoin :

Votre besoin :

Votre besoin :

Type de règlement :

Votre besoin :

Vos informations :

* : champs obligatoires

Commentaires

Aucun commentaire

Donnez votre avis

* : champs obligatoires

Lectures en lien

Marteau de président, utilisé dans les tribunaux

Jeux de hasard en ligne : obtention de l'agrément de l'ANJ

E-commerce 562 Vues 0 commentaire

Quelles sont les conditions d'obtention de l'agrément de l'Autorité de Régulation des Jeux En Ligne (ARJEL), devenue Autorité Nationale des Jeux (ANJ), permettant de proposer des jeux de hasard payants ?

soleil couchant prit d'un hublot d'avion duquel on voit l'aile

Lastminute et l’assurance annulation à la dernière minute

E-commerce 234 Vues 0 commentaire

Quiconque a déjà réservé des billets de train ou d’avion sur internet s’est vu proposer une assurance annulation, destinée à obtenir indemnisation en cas d’imprévu empêchant le départ. Le site Lastminute.com s’est vu reprocher, sur ce point, des abus.

une personne entrain de faire du parapente avec un soleil couchant

Offres de type coffrets smartbox : implications juridiques et responsabilités

E-commerce 353 Vues 0 commentaire

Quelles sont les responsabilités juridiques des différents intervenants dans les offres de type coffrets smartbox ? Analyse de l'évolution législative et de l'apport des différentes réformes en la matière.

Bâtiment blanc et orange, d'une architecture moderne

La garantie décennale dans le domaine de la construction

Contrats 526 Vues 0 commentaire

Qu'est-ce que la garantie décennale ? Quand s'applique t-elle ? Dans quels cas la garantie biennale est vouée à s'appliquer ? Analyse des garanties dans le domaine de la construction : distinction entre menus ouvrages et gros ouvrages, notion de vices non-apparents, etc.

Un homme réalisant des achats sur Internet

Fraude à la carte bancaire, un e-commerçant peut-il se faire rembourser ?

E-commerce 728 Vues 0 commentaire

Quelles sont les règles juridiques régissant les fraudes à la carte bancaire ? Quelles sont les responsabilités et les conditions de remboursement de chacun des intervenants (consommateur, commerçant et banque) en cas de fraude ?

un homme regardant un site internet sur sa tablette

Sites internet de petites annonces : les aspects juridiques

E-commerce 1027 Vues 0 commentaire

Quelles sont les obligations légales dans les sites de petites annonces ? Quelles sont les responsabilités, s'agissant du vendeur professionnel et du vendeur particulier opérant sur une plateforme de petites annonces ? L'éditeur du site est-il responsable ?

Des colis entassés dans une camionnette

Les réseaux de distribution sélective sur internet

E-commerce 384 Vues 0 commentaire

Qu'est-ce qu'un réseau de distribution sélective ? Interdire la commercialisation de produits sur internet aux distributeurs non-agréés est-il constitutif d'une atteinte au principe de libre concurrence ? Analyse de cette problématique juridique.

téléphone sur lequel il y a des conversations à lire

Entente en vue de la préparation d’une entrave au fonctionnement d’un STAD : une acception large

E-commerce 153 Vues 0 commentaire

Par un arrêt en date du 7 novembre 2017, la Cour de cassation a estimé que la mise à disposition aux internautes d’une passerelle informatique « WebIRC » constituait un délit d’entente.

enseigne rouge sur laquelle il est écrit "internet @"

Le cybersquatting, qu'est-ce que c'est ?

Donnees personnelles 217 Vues 0 commentaire

Le cybersquatting peut sembler une bonne idée pour celui qui décide de s’y adonner. Prenant deux formes distinctes, il ne mène toutefois, le plus souvent, à rien, au grand dam des squatteurs.

un sac sur lequel est accroché un masque d'anonymous

Contre les cyberattaques, des recours juridiques efficaces ?

Donnees personnelles 263 Vues 0 commentaire

Les cyberattaques, qui frappent de nombreux sites internet, visent tant les particuliers que les entreprises. On estime à plus d’un milliard le nombre de cyberattaques en 2018, un chiffre qui a progressé de 32 % en un an.

rue couverte de panneaux publicitaires

Publicité illicite sur internet : encore trop d’abus

E-commerce 226 Vues 0 commentaire

En 2016, Google annonçait avoir supprimé 1,7 milliard de publicités mensongères, illégales ou trompeuses, soit deux fois plus qu’en 2015. Elles étaient 3,2 milliards en 2017, soit l’équivalent de 100 publicités par seconde, contre 2,3 milliards en 2018.