Spoofing, Arnaques et Protection des Paiements : Conseils d'un Avocat
Publié le 24-09-03
Sommaire :
1 )Introduction
2 )Le spoofing c'est quoi ?
3 )Quels réflexes pour se protéger selon l’ACPR?
3-1 )Ne jamais divulguer d'informations personnelles
3-2) Garder un esprit critique même dans un contexte d'urgence
3-3 )Agir rapidement en cas de doute
3-4 )Signaler et documenter l'escroquerie
4) Recommandations préventives spécifiques
4-1) Applications anti-spam et de sécurité mobile
4-2)Mais des solutions peuvent aussi être proposées par les fournisseurs d'accès Internet (FAI)
5) Conclusion et appel à l’action
1)Introduction :
Dans le cadre de notre série sur les arnaques en ligne, nous explorons aujourd'hui les diverses escroqueries financières utilisant les services de communication électronique
Cet été, l'Autorité des Marchés Financiers (AMF) et l'Autorité de Contrôle Prudentiel et de Résolution (ACPR) ont multiplié les mises en garde et les conseils pour alerter le public sur les dangers croissants des arnaques financières.
Fin août 2024, l'ACPR a diffusé une nouvelle mise en garde particulièrement intéressante concernant une technique d'escroquerie connue sous le nom de spoofing.
Dans cet article, nous vous expliquerons en détail cette méthode de fraude spécifique et vous proposons des conseils pratiques pour vous en protéger.
2 )Le spoofing c'est quoi ?
Le spoofing est une infraction qualifiée de délit d'usurpation de numéro de téléphone, également connu sous le nom de « Caller ID Spoofing ».
Cette infraction est codifiée à l'article 226-1 du Code pénal, qui incrimine spécifiquement l'action de porter atteinte à l'intimité de la vie privée d'autrui par des moyens technologiques.
Pour le texte de loi l'infraction se caractérise par :
- La captation, l'enregistrement ou la transmission, sans le consentement de leur auteur, de paroles prononcées à titre privé ou confidentiel ;
- La fixation, l'enregistrement ou la transmission, sans le consentement de la personne concernée, de son image dans un lieu privé ;
- La captation, l'enregistrement ou la transmission, par quelque moyen que ce soit, de la localisation en temps réel ou différé d'une personne, sans son consentement.
Lorsque ces actes sont commis au vu et au su des intéressés, sans qu'ils s'y opposent alors qu'ils étaient en mesure de le faire, leur consentement est présumé.
Le spoofing, qui s’apparente aux situations décrites dans les alinéas 1 et 2, est puni d'un an d'emprisonnement et de 45 000 euros d'amende.
Cette technique consiste à tromper la victime en lui inspirant confiance, souvent dans un contexte anxiogène, afin de lui soutirer des informations confidentielles ou de la manipuler pour qu'elle réalise des opérations frauduleuses à son propre détriment.
Contrairement au phishing, qui est une méthode différente, le spoofing repose sur une ingénierie sociale plus sophistiquée.
En effet, le phishing (ou hameçonnage) utilise l'envoi de messages électroniques ou de courriels non sollicités, qui imitent généralement la page Internet d'un établissement de crédit ou d'une autre entreprise, pour inciter la victime à interagir avec le contenu du message.
L'objectif est de pousser la victime à se connecter à une fausse page sous prétexte de vérifier ou de mettre à jour ses identifiants personnels, permettant ainsi à l'escroc d'accéder à ses informations et d'effectuer ensuite des transactions frauduleuses.
Le spoofing, quant à lui, implique une approche plus directe et personnelle.
La victime reçoit un SMS, souvent suivi d'un appel téléphonique, d'une personne se faisant passer pour un conseiller bancaire ou financier.
Ce faux conseiller utilise une technique oratoire anxiogène pour convaincre la victime qu'elle est la cible d'une arnaque.
Il l'invite ensuite à se connecter en direct, sous ses instructions, soit sur l'application bancaire de son téléphone portable, soit sur l'espace client en ligne de son établissement bancaire.
L'objectif est de lui faire effectuer des opérations de vérification qui permettront en réalité à l'escroc de réaliser des transactions frauduleuses à son propre profit.
3 )Quels réflexes pour se protéger selon l’ACPR?
Le spoofing, également connu sous le nom de « fraude au faux conseiller bancaire », est une technique d'escroquerie en pleine expansion qui inquiète particulièrement les banques et les Prestataires de Services de Paiement (PSP) dans l'industrie des Fintechs.
La directive DSP2, inscrite dans le Code Monétaire et Financier (CMF) , protège les droits du payeur, c'est-à-dire la victime, en cas d'opérations de paiement non autorisées, notamment lorsqu'elles résultent d'une escroquerie.
Cette directive permet à la victime d'obtenir l'annulation de l'opération frauduleuse et surtout son remboursement par sa banque.
Cependant, comme nous le verrons dans le paragraphe suivant, les prestataires de services de paiement, y compris les banques, cherchent souvent, dans les contentieux liés aux demandes d’annulation des autorisations de paiement (carte bleue et/ou virement instantané), à renverser la présomption légale de leur responsabilité fondée sur le risque en opposant au « payeur-victime » sa prétendue faute ou négligence.
Face à cette situation, il est essentiel que les victimes adoptent des réflexes de protection contre l'usurpation d'identité, ce qui était d'ailleurs l'objectif du document pédagogique diffusé en ligne par l'ACPR au cours de l'été 2024.
L'ACPR y souligne que les escrocs utilisent des techniques d'ingénierie sociale, que nous avons détaillées dans notre précédent article, pour placer la victime dans une situation d'urgence.
Ils invoquent la peur en se faisant passer pour des représentants bancaires et prétendent que la victime est, au moment de l’appel sur son portable, ciblée par une fraude en cours, insistant sur la nécessité d'agir immédiatement pour l’arrêter.
L’ACPR rappelle que plusieurs techniques comportementales s'imposent pour se protéger préventivement:
3-1 )Ne jamais divulguer d'informations personnelles :
Bien qu'il soit courant d'être contacté par un conseiller de sa banque, il est important de rappeler qu'il n'est jamais approprié, quel que soit le canal de communication, de partager des informations personnelles telles que l'identité, la date de naissance, l'adresse, le numéro de carte bancaire, ou encore les codes d'accès aux applications bancaires et aux comptes en ligne.
Ces informations doivent rester strictement confidentielles.
3-2) Garder un esprit critique même dans un contexte d'urgence :
L'ACPR rappelle qu'une situation d'urgence ne doit pas faire perdre de vue l'importance de la vigilance.
Refusez systématiquement de valider des opérations bancaires sur votre application si elles n'ont pas été initiées directement par vous.
3-3 )Agir rapidement en cas de doute :
Si vous réalisez, après coup, que vous avez validé une opération frauduleuse, il convient de contacter immédiatement votre banque.
Il sera donc nécessaire d’identifier précisément les opérations effectuées sous contrainte, en distinguant les paiements par carte des virements instantanés réalisés depuis le compte ou l’application.
Il faut ensuite faire opposition sur les moyens de paiement utilisés en demandant le changement de vos codes d'accès à la banque en ligne.
3-4 )Signaler et documenter l'escroquerie :
En plus de signaler les opérations de paiement non autorisées à votre banque dans les plus brefs délais, il conviendra de déposer une plainte auprès des autorités compétentes.
Et surtout de conserver toutes les preuves liées au processus d'escroquerie (captures d'écran, SMS, courriels, etc.).
Si l'étape la plus urgente dans toutes ces formalités est de signaler rapidement l'escroquerie à votre banque en décrivant le contexte et en contestant les opérations de paiement par un premier appel téléphonique ou un email, il est également fortement recommandé de consulter en parallèle un avocat spécialisé dans ces types d'escroqueries.
Un avocat pourra vous accompagner dans la préparation de votre communication avec la banque et dans la rédaction du dépôt de plainte.
Se faire assister par un avocat est crucial, car les banques exigent souvent la remise de documents, tels que les déclarations faites à la police, et peuvent éventuellement utiliser la façon dont vous vous êtes exprimé pour refuser leur garantie et le remboursement des sommes en question.
Maître Véronique Rondeau-Abouly a mis au point un mode opératoire précis pour vous aider à gérer ces premières formalités, à préserver vos droits et à prendre contact avec la banque et les autorités judiciaires.
Comme nous le rappellerons à la fin de cet article, n'hésitez surtout pas à nous contacter pour obtenir l'assistance nécessaire.
En résumé, même dans un contexte d'urgence, il est crucial de rester vigilant et de ne jamais perdre de vue les bonnes pratiques pour se protéger contre les tentatives d'escroquerie.
4) Recommandations préventives spécifiques :
Le régime de la responsabilité des conséquences des activités numériques, notamment en cas de spoofing, repose sur la théorie du risque.
C'est sur cette base que les banques sont tenues de rembourser les montants détournés lors d'opérations de paiement non autorisées, sauf en cas de négligence grave du client (article L. 133-13 du Code monétaire et financier).
Selon la jurisprudence récente, la négligence grave doit être caractérisée par un manquement significatif du client à ses obligations de sécurité, comme la communication imprudente de ses identifiants confidentiels.
Ainsi, c'est la banque qui assume le principe du risque de l’escroquerie dès lors que le client n'a pas commis de négligence grave.
La fraude aux opérations de paiement par carte ou virement instantané est devenue un enjeu de contentieux majeur en matière bancaire.
Les banques et autres prestataires de services de paiement, impliqués dans l’opération contestée, cherchent souvent à se décharger de leurs obligations de remboursement en invoquant la négligence grave du client ou un manquement à ses obligations de sécurité liées aux instruments de paiement mis à sa disposition.
La technique probatoire pour établir la responsabilité fondée sur le risque et obtenir une indemnisation repose sur la preuve d'un comportement "ex ante" (c'est-à-dire avant la survenance du dommage), est basée sur l'application du principe de précaution.
Ce principe, appliqué au régime de la responsabilité pour risque, exige de prouver que les risques ont été anticipés dès la conception des produits ou des services, ou de démontrer que la personne concernée a pris les mesures nécessaires pour évaluer et tenter d'anticiper les dommages potentiels liés à l'utilisation de la technologie, y compris les usages illégaux.
Les banques et autres fournisseurs d’instruments de paiement dans le cadre des communications électroniques tendent souvent à opposer à la victime une faute dans l’utilisation de la technologie, même lorsque des mesures préventives, comme les systèmes d’authentification forte, ont été mises en place.
Cependant, dans le cas du spoofing, la difficulté réside dans le fait que l’escroc interfère pendant l'authentification forte, guidant ainsi la victime à autoriser un paiement qui semble légitime, mais qui en réalité sert à détourner des fonds à son insu, rendant la prévention plus complexe.
La jurisprudence sur le contentieux des arnaques au paiement par l’usage des instruments de paiement, tels que décrits ci-dessus, est en constante évolution.
Cette évolution reflète la nécessité pour les juges d'adapter l'interprétation des définitions juridiques aux nouvelles technologies utilisées dans les services de paiement, en particulier pour les notions de consentement et de validation des autorisations de paiement.
Dans ce contexte de désintermédiation relative, il est crucial que les juges comprennent les risques technologiques sous-jacents pour rendre des décisions justes et adaptées."
Or, il existe des tensions d'intérêts évidentes entre les banques et autres prestataires de services de paiement et les victimes, qui sont les utilisateurs de leurs services.
À cet égard, et nous y reviendrons dans de futurs articles, la révision prochaine de la directive DSP2 ainsi que la mise en œuvre imminente du règlement (UE) 2024/886 sur les virements instantanés en euros ne résolvent pas entièrement ces tensions ni les difficultés réelles d'interprétation des textes adoptés.
Le développement rapide de la technologie rend les notions telles que le consentement au paiement et son autorisation de plus en plus "relatives."
C'est pourquoi nous conseillons vivement aux utilisateurs de supports qui reçoivent des communications électroniques facilitant l’usage des instruments de paiement via des applications téléchargées, de se protéger contre les envois non autorisés de messages, lesquels constituent la technique du spoofing.
En d'autres termes, il est essentiel qu'ils se protègent des interactions entrantes sur leur téléphone portable, qu'il s'agisse de SMS ou d'appels téléphoniques provenant d'inconnus, qui pourraient être des tentatives de spoofing.
Heureusement, plusieurs options sont disponibles pour les utilisateurs de téléphones mobiles pour se prémunir contre ces risques.
Ces outils peuvent être téléchargés directement depuis les magasins d'applications ou, dans certains cas, proposés par les Fournisseurs de Services Internet (FAI).
4-1) Applications anti-spam et de sécurité mobile :
Elles peuvent être trouvées dans les différents magasins d’application comme :
- Google Play Store pour Android et l'App Store d'Apple, elles sont conçues pour bloquer les appels et messages indésirables.
- Pour les utilisateurs Android, des applications comme Norton Mobile Security, Truecaller, et Hiya peuvent être un outil de prévention interessant.
- Pour les utilisateurs iOS, des solutions comme Lookout Mobile Security ou Avast Mobile Security offrent des protections adaptées aux spécificités de ce système.
Ces applications peuvent :
- filtrer les appels,
- envoyer automatiquement les spams vocaux vers la messagerie,
- et même analyser les liens reçus par SMS pour détecter les tentatives de phishing.
4-2)Mais des solutions peuvent aussi être proposées par les fournisseurs d'accès Internet (FAI) :
-
Services de protection du réseau :
Certains FAI et opérateurs mobiles offrent des services de sécurité intégrés à leur réseau. Ces services peuvent détecter et bloquer les appels frauduleux avant même qu'ils n'atteignent l'utilisateur final.
Par exemple, certains opérateurs envoient des alertes lorsque l'identifiant de l'appelant semble suspect, ou lorsqu'un appel provient d'un numéro connu pour être utilisé dans des arnaques.
-
Activation :
Ces services peuvent souvent être activés directement via l'application de gestion de compte du FAI ou en contactant le service client.
Certains opérateurs peuvent même proposer des services premium pour une protection renforcée.
En combinant des applications anti-spam disponibles sur les magasins d'applications avec les solutions offertes par les fournisseurs d'accès, les utilisateurs peuvent significativement réduire le risque de tomber victime de spoofing.
Ces outils de protection constituent une barrière essentielle contre les cybercriminels, en filtrant et bloquant les tentatives d'arnaque avant qu'elles n'atteignent la victime.
5) Conclusion et appel à l’action :
Bien sûr, en l’état du droit positif sur les opérations de paiement en ligne, les victimes de spoofing ne sont pas obligées de justifier de l’installation de mesures de prévention spécifiques, telles que des applications anti-spam et de sécurité mobile, lorsqu’elles contestent des opérations de paiement.
Cependant, comme nous l’avons brièvement mentionné dans notre analyse de l’évolution de la jurisprudence sur les contentieux des arnaques en ligne, il est important de souligner que, même si les victimes disposent d’un droit opposable légal pour obtenir le remboursement de leurs opérations de paiement non autorisées ou mal exécutées, il apparaît que :
- L’examen de la conduite du « payeur-victime » est de plus en plus scrutée et analysée par les banques, parfois avec une certaine « mauvaise foi », pour refuser leur garantie en interprétant de manière très large la notion de faute de l’utilisateur.
La preuve par la victime de solutions préventives rendant plus difficile les intrusions non sollicitées sur les portables ne peut que l’avantager dans ces débats judiciaires rigoureux et complexes.
Nous reviendrons vers vous dans un prochain article pour faire le point sur l’état de cette jurisprudence, d’autant que ces procédures d’arnaques interviennent dans des contextes technologiques différents et complexes.
Ainsi, le développement continu des nouvelles technologies, comme la réglementation de la technologie NFC (« Near Field Communication »), régulée par plusieurs dispositions législatives et réglementaires en France, rend l’appréciation de la faute de l’utilisateur différente par rapport à un contexte de phishing ou de spoofing.
La technologie NFC, bien qu’elle apporte souplesse et convivialité aux utilisateurs pour jumeler leurs opérations de paiement entre leur téléphone portable et leurs cartes bancaires, présente aussi des risques d’arnaque ou de dysfonctionnements.
Nous décrypterons pour vous les enjeux des diverses situations qui peuvent se présenter afin de vous permettre de faire valoir vos droits.
Suivez-nous sur ce blog où nous publions régulièrement des articles sur le développement de la technologie dans le cadre des communications électroniques et les problématiques liées à leur application et utilisation.
Si vous avez été victime d’arnaque ou d’escroquerie en ligne lors de l’utilisation de services de communication électronique, ou pour toute autre escroquerie financière, comme les faux livrets d’épargne, les faux crédits alléchants, ou les investissements alternatifs sur divers produits sous-jacents, ainsi que les arnaques dans le secteur des cryptomonnaies.
Ces arnaques aux cryptomonnaies se présentent sous un prisme juridique différent en raison de la technologie sous-jacente, telle que la blockchain ou le registre DLT,
Concernant les cryptomonnaies, la difficile distinction du droit applicable en raison de l’omniterritorialitée de la technologie, ainsi que le chevauchement de sources de droit pouvant être alternativement applicables — le droit financier, le droit privé, ou depuis la Loi SREN, les dispositions dites JONUM pour les actifs numériques dans le secteur du Gaming ou du Play to Earn (P2E) — rend la situation encore plus complexe.
Maître Véronique Rondeau-Abouly peut donc vous aider à vous positionner sur toutes ces situations pour élaborer une stratégie défensive.
Le cabinet collabore également avec des experts spécialisés en « analyse on-chain » pour réaliser, en amont de vos recours, toutes les enquêtes et rapports nécessaires à l’élaboration de votre défense, qu’elle soit civile ou pénale.
Quelle que soit votre situation financière, nous proposons des solutions de paiement adaptées pour vous permettre de faire valoir vos droits et de protéger vos investissements.
N’hésitez pas à nous contacter pour une visioconférence de prise de contact afin de réaliser vos premières démarches dès qu’une atteinte à vos droits est constatée.
Surtout, consultez-nous avant de déposer une plainte si cela est nécessaire.
Disclaimer : À toutes fins utiles, nous précisons que les marques et applications citées dans cet article, telles que Truecaller, Hiya, et Norton Mobile Security, le sont à titre informatique et pédagogique .
Notre cabinet n’a aucun lien d’affiliation ou relation commerciale avec ces entreprises.
Nos informations sont basées sur des recherches indépendantes et visent à fournir aux lecteurs des options fiables pour leur protection en ligne.
Pour plus d’informations sur ces outils, vous pouvez visiter leurs sites officiels via les liens suivants :
Enfin, nous soulignons que notre liste est purement indicative et que d’autres options existent.
Le but de cet article est d’offrir une information globale et juridique sur le spoofing et les contextes d’arnaques, ainsi que de fournir des recommandations techniques complémentaires pour se protéger contre les arnaques via l’utilisation des portables.
N’hésitez pas à consulter notre onglet Data Literacy ( rubrique services)ou vous trouverez de nombreuses définitions appartenant au secteur du numérique.
Article publié le 03 Septembre 2024
Véronique RONDEAU-ABOULY
Avocat Blockchain et DPO externe.
La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.
Il est mis à jour régulièrement, mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsables de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution, le lecteur voudra bien considérer qu’en tout état de cause, pour une application personnalisée, chaque cas est unique et que bien sûr, le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article.
Mots Clefs : ACPR - Arnaque – Escroquerie – Fraude – Spoofing – Phishing – Prestataire de service de Paiement (PSP) – Carte bancaire – Virement Instantané - DSP2 -
Crédits Photos : :iStock.com/Elena Uve
Texte Audio by : SpeechGen.io - ai Text to speech
Le cabinet de Maître Rondeau Abouly à Paris et Marseille vous accompagne dans les domaines du Droit du numérique et des technologies avancées, de la Blockchain et des Cryptoactifs, incluant la démarche protection des données et de la vie privée (RGPD & ePrivacy).
Maître Rondeau Abouly met également à votre disposition un service d’horodatage de vos documents numériques sur la Blockchain.
© 2021 MAÎTRE VÉRONIQUE RONDEAU - ABOULY - Réalisation Bexter - Accueil - Plan du site - Mentions légales
