Spoofing : comment les entreprises peuvent-elles se protéger ? avec Emilie de Vaucresson, Associée, Joffe & Associée.
Category
🗞
NewsTranscription
00:00On poursuit ce Lex Inside et on va parler spoofing, comment les entreprises peuvent-elles
00:16se protéger de cette arnaque avec mon invité, Émilie De Vaucrosson, associée chez Joffet
00:22Associé.
00:23Émilie, bonjour.
00:24Bonjour Arnaud.
00:25Alors, le spoofing est une arnaque qui est de plus en plus fréquente, mais qu'est-ce
00:30que le spoofing et quelle est l'ampleur de ce phénomène ?
00:33Alors, le spoofing, c'est effectivement une arnaque qui consiste à usurper l'identité
00:40des entreprises ou des personnes qui sont victimes de ce spoofing.
00:45D'accord.
00:46L'ampleur est de plus en plus importante.
00:51On estime aujourd'hui, à peu près en 2023, que ça représente plus de 379 millions d'euros
01:02de fraude.
01:03C'est énorme.
01:04C'est une grosse ampleur.
01:06L'objectif de ce type d'arnaque, quelle est-elle ? C'est d'utiliser la confiance, de jouer
01:15sur l'émotion, de jouer sur l'urgence pour que des personnes en situation de confiance
01:23remettent des données, des informations, voire de l'argent à un escroc qui en profite
01:34et qui utilise un certain nombre de mécanismes pour obtenir cette confiance des personnes.
01:39D'accord.
01:40Alors maintenant qu'on sait ce qu'est le spoofing, quelles sont les différentes formes
01:44de spoofing qui visent les entreprises ?
01:46Alors, il y a plusieurs formes de spoofing, il y a le spoofing par usurpation de mail.
01:54D'accord.
01:55Ça consiste en fait à utiliser l'adresse e-mail ou une adresse e-mail qui est très
02:02proche de celle d'une entreprise et de laisser croire à la personne qui va recevoir l'e-mail
02:08que c'est l'entreprise d'origine qui a adressé cette e-mail.
02:12Ça peut consister en des faux sites, des sites frauduleux dont l'adresse e-mail, l'URL
02:23exactement, est très proche de celle de la société usurpée.
02:28Ça peut consister également en des appels téléphoniques avec falsification du numéro
02:38de téléphone ou d'envoi de SMS où ça sera l'utilisation du numéro de téléphone
02:44de l'entreprise d'origine.
02:46Par exemple, les banques sont souvent victimes du spoofing par téléphone où l'attaquant
02:55va réussir à faire afficher sur le téléphone de la victime le numéro de téléphone de
03:03son conseiller bancaire.
03:04Donc, on pense qu'on est avec son conseiller bancaire et en fait derrière c'est un arnaqueur.
03:09Exactement.
03:10Alors justement, c'est ces techniques qui peuvent permettre de gagner la confiance de
03:16la victime ?
03:17Ces techniques permettent de complètement obtenir la confiance de la victime puisqu'elle
03:23ne pense pas qu'elle est en situation ou en présence d'un arnaqueur et généralement
03:30l'arnaqueur va utiliser une situation d'urgence, soit se faire passer pour le conseiller bancaire
03:37pour laisser croire qu'il y a une situation de fraude et qu'il faut agir en urgence et
03:46donc intervenir sur le compte et la personne va se laisser emmener et manipuler par l'arnaqueur
03:52directement par téléphone.
03:54Ça peut être aussi des situations où la personne va aller spontanément sur un site
03:59internet qui est un faux site, mais elle aura été amenée soit par de la publicité
04:04ou par des actes, par du mailing.
04:07Elle va renseigner des données personnelles.
04:10Exactement et pour lui laisser croire qu'elle peut être la première à bénéficier d'un
04:16avantage particulier, par exemple pour investir auprès de société, etc.
04:19Alors pour se prémunir de ce type d'arnaque, quelles sont les étapes clés pour une entreprise
04:26victime de spoofing ?
04:27Alors quand une entreprise s'aperçoit qu'elle est victime de cette usurpation d'identité,
04:34la première chose à faire c'est déjà porter plainte, plainte pénale pour usurpation
04:38d'identité.
04:39Ça peut aussi être pour contrefaçon de marque, parce que par exemple le site internet
04:43pourrait reproduire des logos, le nom de l'entreprise.
04:47Donc là d'abord c'est porter plainte, c'est inviter aussi les victimes qui remontent
04:53cette information à l'entreprise dont l'identité est usurpée parce que parfois l'entreprise
04:57elle-même n'en a pas conscience, n'est pas informée, donc c'est les victimes qui
05:01vont se retourner vers elle et qui vont l'informer.
05:04À ce moment-là c'est dire aux victimes, vous aussi allez porter plainte et cette fois-ci
05:08ça sera pour escroquerie.
05:09Donc plus il y aura des plaintes pénales déjà, plus ça va faire un peu bouger les
05:13choses.
05:14Il y a aussi la possibilité en fonction du type d'arnaque, c'est de faire des procédures
05:22pour récupérer les noms de domaines frauduleux.
05:24Enfin, il est possible de faire des signalements et des plateformes qui sont mises à disposition
05:32par le gouvernement, donc il y a la plateforme TZ, aussi Fichines Initiatives et puis quand
05:39on est en présence d'une arnaque par téléphone, donc l'usurpation du numéro de téléphone,
05:45il faut informer l'ARCEP et l'opérateur de téléphonie.
05:49Et puis réagir promptement, j'imagine dès qu'on a connaissance qu'on s'est fait arnaquer,
05:56il faut agir tout de suite ?
05:57Il faut agir tout de suite et idéalement on peut aussi mettre des messages d'avertissement
06:04sur le site internet pour dire attention, on a fait l'objet d'une usurpation d'identité
06:11mais ce n'est pas nous qui vous appelons directement.
06:14D'accord et quelle peut être la responsabilité d'une entreprise dont l'identité a été usurpée
06:20pour arnaquer des clients, si on s'en est servi pour arnaquer des clients ?
06:24Alors cette entreprise, elle est victime, donc en tant que telle, elle n'a pas de responsabilité
06:30légale sauf si elle laisse la situation perdurer, qu'elle en a connaissance et c'est ce que
06:36vous disiez, il y a peut-être un intérêt quand même à agir vite pour faire en sorte
06:40qu'à partir du moment où on en a connaissance, qu'elle évite la propagation de cette fraude.
06:47Il y a aussi des cas un petit peu particuliers qui vont concerner les banques où on a notamment
06:55un arrêt récent de la cour de cassation qui, dans une affaire concernant BNP Paribas,
07:02a pu décider que le client de BNP Paribas qui avait été finalement victime de cette fraude
07:12et qui avait du coup fait des versements à l'arnaqueur, qu'il n'avait pas été parti,
07:22en tout cas que la banque n'était pas en mesure de démontrer qu'il avait été gravement négligent.
07:27Et donc à partir du moment où il n'y avait pas de négligence grave de cette personne cliente
07:33de BNP Paribas, BNP Paribas a été condamné à rembourser à son client les sommes qui ont
07:40été versées par fraude à l'arnaqueur. Donc il y a quand même une protection des
07:46clients de l'entreprise victime ? Il y a des protections de ces personnes-là,
07:54étant précisé que ça s'est retourné contre BNP Paribas qui a dû payer et rembourser son client.
08:02Alors justement, est-ce que l'arsenal juridique dont on dispose est satisfaisant pour contrer
08:09ces arnaques et indemniser les victimes ou est-ce qu'il faut faire évoluer le droit ?
08:15Alors on a un certain nombre de mécanismes qui ne s'orientent pas vers l'indemnisation des victimes,
08:24mais qui cherchent à encadrer et à lutter contre la fraude elle-même. Donc on a une loi,
08:33en fait la loi Néguélen de 2020 sur le démarchage téléphonique, dont des dispositions sont rentrées
08:42en vigueur là au 1er octobre 2024 et qui impose aux opérateurs de téléphonie de mettre en place
08:48un système des mécanismes d'authentification des numéros. Ce qui signifie qu'à partir du 1er
08:55octobre 2024, si un appel est réalisé au moyen d'un numéro qui n'est pas authentifié par un
09:02opérateur, cet appel sera automatiquement interrompu. Donc ça c'est un moyen de protéger...
09:10Ça évite les usurpations d'identité dont vous avez parlé précédemment.
09:15Exactement, au moyen du téléphone. Alors pour le moment c'est uniquement sur les
09:18lignes de téléphone fixe. Mais on parlait tout à l'heure du conseiller bancaire. Le conseiller
09:25bancaire c'est un numéro de téléphone fixe qui est utilisé, donc ça sera un moyen de limiter et
09:30d'éviter ces fraudes. On a aussi dans la loi SREN de 2024 un dispositif qui est prévu,
09:40une autorité administrative qui doit être désignée et qui pourra soit demander à l'éditeur
09:48d'un site internet frauduleux de supprimer son site internet et à défaut de le connaître pourra
09:54demander aux fournisseurs d'accès de supprimer l'accès à ce site internet ou alors de mettre
10:02un message d'avertissement que l'internaute pourra lire et devra accepter avant d'accéder
10:09au site frauduleux. Ça c'est encore un outil qui est très intéressant pour contrer ces arnaques.
10:13Exactement. On va terminer là-dessus. Merci d'être venue sur notre plateau. Merci Arnaud.