Détournement d'une adresse mail, création d'un faux profil sur Facebook, utilisation de données bancaires volées, etc

l'usurpation d'identité arrive en tête sur la liste des attaques cybercriminelles. Près de 10 millions de personnes ont été exposées au risque de vol d'identité en 2008, révèle le rapport 2008 Identity Fraud Survey de Javelin Strategy & Research. "Nous nous attendons à une croissance mensuelle de 336 % des codes malveillants visant à usurper l'identité des internautes en 2009, une hausse portée par les gains considérables que les cybercriminels génèrent avec cette activité", explique Luis Corrons, directeur technique de PandaLabs, laboratoire d'analyse de la société Panda Security, qui est un éditeur de solutions de sécurité. Sur ce sujet, lepoint.fr a interrogé Cédric Manara, professeur à l'EDHEC Business School et membre du Legal EDHEC Research Center.

Quelles sont les techniques les plus utilisées par les usurpateurs d'identité et dans quel but ?

Une personne usurpe l'identité numérique d'une autre lorsqu'elle obtient, détient ou utilise ses informations personnelles sans autorisation et dans un but frauduleux, notamment pour détourner des fonds ou nuire à sa réputation.
Les techniques sont diverses. Certaines sont artisanales : utiliser une fausse adresse e-mail ou un nom de domaine trompeur, créer un faux profil sur Facebook... D'autres sont plus sophistiquées : spywares (logiciels malveillants s'exécutant à l'insu de l'utilisateur), spoofing (détournement d'adresse IP), phishing (combinaison d'un e-mail frauduleux et d'une fausse page Web destinée à récupérer des mots de passe)... Dans le cas de ces dernières, il faut réunir certains moyens techniques et logiciels, et elles sont souvent le fait de groupes organisés. Mais il n'est nul besoin de maîtriser les technologies pour accéder à des informations essentielles ! Pendant la dernière campagne présidentielle aux États-Unis, un étudiant avait réussi à accéder au compte de messagerie Yahoo! de Sarah Palin après avoir essayé divers mots de passe correspondant à la biographie de la candidate se trouvant sur Wikipedia...
L'usurpation touche aussi bien les entreprises que les personnes physiques, mais celles-ci sont plus vulnérables, car elles sont moins averties et se protègent moins.

La loi punit-elle les voleurs d'identité ? Que risquent-ils ?

Non, aucune loi ne punit directement l'usurpation d'identité sur Internet. D'ailleurs, l'OCDE a publié fin mars 2009 un rapport intitulé Online Identity Theft montrant que la plupart des pays occidentaux ne disposent pas d'une législation spécifique réprimant le vol d'identité. En France, le délit d'usurpation d'identité n'est directement sanctionné que dans un cas : le fait de prendre le nom d'un tiers. En outre, l'article 434-23 du Code pénal ne punit l'usurpation d'identité que si l'usurpateur fait courir à sa victime un risque pénal, ce qui est restrictif. C'est ainsi qu'une personne a été condamnée pour s'être fait passer pour un salarié tenant des propos diffamatoires à l'égard de ses collègues, ce qui faisait courir à l'employé victime le risque d'être condamné pour diffamation (Cour de cassation, 29 mars 2006).
L'usurpation d'identité est sanctionnée indirectement, au travers de l'atteinte à des données personnelles, de l'escroquerie, de la contrefaçon de marque, de l'atteinte à un système automatisé de traitement de données...
Sur le plan civil, chacun peut aussi faire sanctionner l'atteinte à son nom ou à d'autres éléments de sa personnalité, ou encore obtenir le remboursement des sommes dépensées par celui qui a utilisé les données de sa carte bancaire frauduleusement. Une femme a été indemnisée de son préjudice causé par une collègue qui utilisait son identité et ses coordonnées téléphoniques sur Meetic, où elle la faisait passer pour "une femme facile, désireuse de relations sexuelles" ( tribunal correctionnel de Carcassonne, 16 juin 2006 ).

Le nouveau délit d'usurpation d'identité est annoncé depuis plusieurs années. Quelles infractions va-t-il couvrir ?

Les sanctions existantes sont considérées comme insuffisantes au regard du développement considérable de l'usurpation d'identité. La ministre de l'Intérieur a d'ailleurs annoncé, le 24 mars 2009, que l'usurpation d'identité sur Internet serait "mieux sanctionnée". De leur côté, les fournisseurs français d'accès à Internet souhaiteraient pouvoir agir au nom de leurs abonnés, dans les cas de phishing par exemple, mais la loi ne leur en donne pas le droit. La nouvelle incrimination, dont on ne connaît pas encore la portée, figurera dans le projet de loi de programmation et de performance pour la sécurité intérieure. Ce qui est singulier, c'est que des sénateurs avaient déjà proposé, en 2005 puis en 2008 , que soit créée une infraction pénale spécifique... sans que leur proposition soit débattue. Cela fait plusieurs années que les juristes pointent du doigt ce qui peut être vu comme une lacune de la loi.
Selon la façon dont le projet de loi définira l'identité, on saura si l'infraction peut s'appliquer à des cas aussi divers que le détournement d'un avatar sur Second Life, la capture d'un pseudo sur un forum, la création d'un blog ou d'un profil MySpace sous un faux nom, etc.

Le détournement d'adresse IP, technique qui permet notamment de télécharger des oeuvres musicales de façon "masquée", fait beaucoup parler de lui. Y a-t-il "usurpation d'identité" dans ce cas de figure ?

Là aussi, cela dépendra de la façon dont le texte sera rédigé. La question centrale, c'est la définition de l'identité. Il y a des choses qui s'y rattachent de façon certaine, comme le numéro de Sécurité sociale. D'autres y sont moins directement liées, mais méritent peut-être protection : c'est le cas par exemple du code PIN associé à un téléphone mobile ou à une carte de crédit. Dès lors qu'elle permet l'identification d'un internaute - et c'est le sens dans lequel se prononcent les autorités communautaires -, l'adresse IP peut à son tour être considérée comme constitutive de l'identité. Celui qui en a été "dépossédé" à son insu pourrait donc s'en plaindre... s'il s'en rend compte ! Car les fraudeurs restent toujours mieux équipés que leurs victimes...