Usurpation d’identité : mieux vaut prévenir que guérir

Par Olivier Demilly, délégué général adjoint de Chambersign

Même si beaucoup d’utilisateurs sont conscients des risques qu’ils prennent et des conséquences que peut engendrer un comportement à risque, la perception du risque reste le plus souvent dépendante d’une expérience vécue. D’autant plus que le sentiment d’insécurité diminue avec l’usage des suites anti-virus, qui donnent l’impression, trompeuse, d’une protection sans faille pour laquelle une petite entorse à la règle resterait sans conséquence.

Dans la lignée des comportements à risque, le Credoc nous apprend que la plupart des entreprises ne prennent aucune mesure de protection. L’étude du Credoc révèle que quatre poubelles d’entreprises sur cinq recèlent un document confidentiel, une aubaine pour les fraudeurs, qui peuvent y récupérer sans mal listings clients, informations commerciales et autres données personnelles.

Une chose est sûre, l’expérience démontre que les victimes d’usurpation d’identité peuvent être de grosses organisations sensées se prémunir par des moyens adéquats. Ainsi, le 23 décembre 2008, nous apprenions par les gazettes que le New York Times daté du 22 décembre avait publié une fausse lettre du maire socialiste de Paris, Bertrand Delanoë, très critique sur Caroline Kennedy, et s’en est excusé quelques heures après dans sa version en ligne.

Le service de presse de M. Delanoë a confirmé quelques jours après, à Paris, que le texte était un faux. Le quotidien a publié un démenti sur son site internet, reconnaissant que les vérifications d’usage sur l’expéditeur du message, qui est arrivé par courrier électronique, n’ont pas été suffisantes. « Nous aurions dû alors contacter le bureau de M. Delanoë pour nous assurer qu’il nous avait effectivement écrit. Cela n’a pas été fait, et sans cette vérification, cette lettre n’aurait jamais dû être imprimée», précise le NYT sur son site.

D’ailleurs, qui donc aujourd’hui dans son quotidien vérifie que l’email reçu a bien été envoyé par la bonne personne ? Alors que n’importe qui peut envoyer un mail à la place d’une autre personne !
 
Plus récemment encore, en février 2009, nous apprenions qu’un garage du sud de la Charente s’est fait escroquer par un faux fax. Ce document faxé à la banque du garagiste mentionnait toutes sortes d’informations personnelles (numéro de banque, numéro de compte…), mais portait également le cachet et la signature de l’exploitant. L’établissement bancaire récepteur procéda sans hésiter au paiement de l’avis reçu par fax. Cette confiance « aveugle » aura eu pour lourde conséquence d’alléger le compte bancaire du garagiste de 11 233, 10 euros.

Dans un cas comme dans l’autre, il est légitime de remettre en question nos comportements vis-à-vis de la confiance à avoir dans nos échanges électroniques tant il est facile de les détourner. Les apparences sont parfois trompeuses, nous enseigne le dicton, l’internet, l’email et le fax ne sont pas des outils de confiance, n’importe qui peut se faire passer pour une autre personne. Si une entreprise en litige devait utiliser un document numérique au titre de preuve, celui-ci ne serait pas recevable en tant que tel, à moins que les conditions stipulant que « son auteur puisse être dûment identifié et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité »   puissent être remplies (Article 1316-1 du Code Civil).
 
Le New York Times, journal né en 1851, fort de 98 prix Pulitzer, n’est pourtant pas une feuille locale sans moyens techniques modernes, pas plus que la Municipalité de Paris. Or la réalité est bien sous nos yeux : le NYT n’a pas imaginé que lorsqu’on signe ‘Maire de Paris’ un courriel à contenu sensible adressé à l’un des plus prestigieux quotidiens du monde, le minimum est de vérifier l’authenticité de l’expéditeur. De même que l’établissement bancaire n’a pas imaginé un instant qu’une demande de virement arrivée par fax et comportant une signature et quelques données personnelles pouvait être un faux.

Ces 2 exemples symptomatiques et rendus publics confirment que le développement des échanges en ligne a besoin de confiance et que cette confiance est en train de s’éroder à grands pas.

Il existe un moyen infaillible pour se prémunir contre ce genre d’arnaque. Dans de tels cas, il aurait été judicieux d’employer un certificat de signature électronique délivré par une autorité de confiance. En effet, un certificat garantit de manière forte l’identité du signataire et l’intégrité du document ou du message et confère une valeur juridique à l’échange. Un certificat électronique apporte la même valeur juridique aux documents électroniques que la signature manuscrite.

Ces certificats sont simples d’utilisation, ils peuvent être obtenus en quelques clics (sous 48h à travers le réseau des CCI), au prix modique de 80 euros l’an auprès de ChamberSign, l’autorité de certification des chambres de commerce et d’industrie. Il faut donc que nos entreprises passent au plus vite d’une attitude de confiance présumée à une confiance démontrée dans leurs échanges électroniques. Elles ne doivent pas attendre qu’un incident arrive car il arrivera !

Pourquoi faudrait-il toujours attendre d’être la victime d’une situation pour se décider à se protéger ?