Que faire en cas de phishing ou d'hameçonnage ?


Cet article appartient au dossier de l'Institut national de la consommation "Les arnaques bancaires et financières".


Le phishing ou hameçonnage consiste à collecter vos données personnelles dans le but d'usurper votre identité et/ou de vous voler de l'argent.

 

L'Institut national de la consommation vous décrypte cette fraude, vous informe sur vos recours et les précautions à prendre.

 

1 - Qu'est-ce que l'hameçonnage ?

2 - Quels sont vos recours en cas d'hameçonnage ?

3 - Quelles précautions devez-vous prendre pour éviter l'hameçonnage ?

 

 

1 - Qu'est-ce que l'hameçonnage ?

Le phishing ou hameçonnage consiste à collecter vos données personnelles dans le but d'usurper votre identité et/ou de vous voler de l'argent.

 

Pour détourner votre vigilance, le pirate se fait passer pour un organisme ou une société connue (Trésor public, administration, sécurité sociale, fournisseur d'électricité, opérateur téléphonique, banque, site de e-commerce, réseau social...) et vous envoie un faux message (mail avec l'en-tête et le logo de l'organisme, SMS, appel téléphonique...). 

 

Ce message est souvent alarmiste (par exemple, "on tente de pirater vos données bancaires"...) ou prétend que vous allez recevoir un remboursement ou un gain (par exemple "votre caisse d'assurance maladie vous informe que vous avez un remboursement de frais à recevoir. Nous vous demandons de mettre à jour vos données pour que votre remboursement soit effectué dans les plus brefs délais").

 

Ces messages vous incitent à cliquer sur un lien. La page associée au lien vous propose de saisir vos données personnelles (identifiants, mots de passe...) et/ou vos données bancaires, ce qui permet ainsi au fraudeur d'initier un paiement (achats frauduleux...) ou de pirater votre compte.

 

Dans un communiqué de presse du 15 octobre 2020, l'Autorité de contrôle prudentiel et de résolution (ACPR) a alerté et mis en garde le public contre des escrocs qui envoient des courriels frauduleux en usurpant l'identité de l'ACPR, afin d'obtenir des victimes le versement de fonds (paiement d'amendes....) ou la collecte de données personnelles. Les fraudeurs utilisent les noms et logos de l'ACPR et envoient des mails à partir d'adresses à l'apparence officielle. L'ACPR demande de ne pas répondre à ses sollicitations.

 

 

2 - Quels sont vos recours en cas d'hameçonnage ?

 

1 - Si vous avez communiqué des éléments sur vos moyens de paiement ou si vous constatez des débits frauduleux sur votre compte :

 

  • faites immédiatement opposition auprès de votre banque. Votre responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à votre insu, l'instrument de paiement ou les données qui lui sont liées (article L.133-19 II du Code monétaire et financier),
     
  • déposez plainte auprès du commissariat de police ou de la gendarmerie dont vous dépendez en fournissant tous les éléments de preuve en votre possession. Vous pouvez déposer une pré-plainte en ligne pour faciliter les démarches.

> Pour vous aider dans vos démarches, consultez la lettre type de l'INC "Vous contestez un achat à distance réglé par carte bancaire".

 

 

2 - Si vous êtes victime d’une usurpation de votre boite mail ou d’un autre compte, changez immédiatement vos mots de passe.

 

3 - Si vous avez reçu un message douteux sans y répondre :

 

  • signalez le à Signal-spam.fr.
  • signaler l'adresse du site d'hameçonnage à Phishing-initiative.fr qui vérifiera s'il s'agit d'un site d'hameçonnage et s'il est avéré qu'il s'agit bien d'un tel site, le fermera.

Enfin, pour être conseillé en cas d’hameçonnage, contactez le service "Info Escroqueries" au 0 805 805 817 (appel gratuit du lundi au vendredi de 9h à 18h30).

 

> Pour en savoir plus, visionnez les vidéos de Signal Spam : "Qu'est-ce que Signal Spam ?" , Le réflexe Signal spam", "Stop phishing".

 

  Il faut savoir que, concernant le phishing, les banques refusent parfois le remboursement, prévu à l'article L. 133-19 II du code monétaire et financier, en prétextant la négligence grave du consommateur.

 

Selon l'article L. 133-16 du Code monétaire et financier, dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses "données de sécurité personnalisées". Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation "qui doivent être objectives, non discriminatoires et proportionnées".

 

La Cour de cassation estime que répondre à un mail d'hameçonnage peut être une négligence grave du consommateur, mais la banque doit apporter la preuve de cette négligence.

 

La chambre commerciale de la Cour de cassation, dans un arrêt du 28 mars 2018 (Cass.com. 28 mars 2018, n°16-20.018) s'est montrée sévère envers la victime d'un hameçonnage en jugeant qu'a manqué par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, la personne qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'elle soit, ou non, avisée des risques d'hameçonnage.

 

D'autres décisions vont dans ce sens.

 

La Cour de cassation, dans un arrêt du 1er juillet 2020 (Cass. com. 1er juillet 2020, n°18-21.487) a considéré qu'une juridiction du fond ne peut condamner une banque à rembourser à son client la moitié des sommes détournées de son compte par un tiers après avoir retenu qu'il avait commis une négligence grave en répondant à un courriel présentant de sérieuses anomalies tenant tant à la forme qu'au contenu du message qu'il comportait.

 

Pour retenir la négligence grave, les juges du fond vérifient , au cas par cas, si la victime d'un phishing pouvait avoir conscience ou non de caractère frauduleux du courriel reçu (faute d'orthographe, adresse mail différente...) l'invitant à communiquer ses données personnelles. Si la négligence grave peut être caractérisée, la banque n'aura pas à rembourser les paiements frauduleux.

 

 

3 - Quelles précautions devez-vous prendre pour éviter l'hameçonnage ?

 

  • Ne communiquez jamais vos données bancaires (code de carte bancaire, identifiants, mots de passe...) par messagerie ou téléphone. Aucune administration ou entreprise ne vous demandera ces informations par ce moyen. 
     
  • Méfiez-vous des messages alarmistes ou proposant un remboursement.
     
  • Avant de cliquer sur un lien douteux, vérifiez l’adresse de l’émetteur du message et celle du site sur lequel on vous attire. La moindre faute d’orthographe doit vous alerter. L’adresse du site qui s’affiche sur votre navigateur doit correspondre exactement au site concerné, un seul caractère différent montre qu’il s’agit certainement d’un site frauduleux. L'idéal est de se connecter sur le site du prestataire en tapant l'adresse directement dans la barre du navigateur. Sinon vérifiez l'adresse du site vers lequel vous allez être redirigé en passant le curseur de votre souris sur le lien.

    Si vous avez un doute, contactez directement l’organisme pour lui faire confirmer qu’il est bien à l’origine du message. Consultez le site de la société qui est censée vous avoir envoyé le mail. Certaines publient sur leur site des informations concernant les cas de phishing les concernant.
     

  • Consultez la plateforme Cybermalveillance.gouv.fr qui vous informe et vous donne des conseils pour vous protéger et pour réagir face à de type d'attaque. Par exemple, consultez la rubrique "Pourquoi et comment bien gérer ses mots de passe".
     
  • Méfiez-vous également des appels de "faux conseillers bancaires" qui, au motif d'opérations inhabituelles sur votre compte bancaire, vous demande de confirmer vos coordonnées bancaires ou votre numéro de carte par téléphone.

 

Pour en savoir plus :

 

> Voir les vidéos Consomag "Que faire pour ne pas être victime d'hameçonnage ?"," Escroquerie sur internet : comment ne pas se faire avoir ? " et Comment réagir face à un mail de phishing" avec Cybermalveillance.gouv.fr.

 

 

Corinne Lamoussière-Pouvreau

Juriste à l'Institut national de la consommation

Haut de page