Le Phishing (ou hameçonnage) est une pratique frauduleuse de plus en plus répandue qui touche autant les particuliers que les entreprises de toutes tailles. Un arrêt important a été rendu en la matière par la Cour de cassation le 28 mars dernier (numéro 16-20.018).

Dans cette affaire, un particulier, client de la banque Crédit mutuel de Beauvais, avait été victime de phishing au moyen de courriels frauduleux. Il avait en effet reçu « des courriels successifs portant le logo parfaitement imité du Crédit mutuel accompagnés d’un ‘certificat de sécurité à remplir attentivement’ qu’il a scrupuleusement renseigné, allant même jusqu’à demander à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux, ce qui montre sa totale naïveté ». Après avoir obtenu les informations fournies par la victime, les auteurs du phishing ont réussi à effectuer des paiements frauduleux par carte bancaire pour un montant de 2731 euros ainsi qu’à soustraire 4500 euros du Livret Bleu de la victime.

La victime a assigné sa banque pour obtenir le remboursement de ces sommes. La banque a refusé de procéder au remboursement en reprochant à son client une négligence fautive dans la conservation de données strictement personnelles. En effet, l’article L133-16 du code monétaire et financier précise que « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées ».

Les juges de fond ont ordonné à la banque le remboursement de son client, victime de phishing. La banque a formé un pourvoi en cassation fondant son action notamment sur l’article L133-19 du code monétaire et financier, selon lequel « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16 et L133-17 ».

D’après les juges, il incombait à la banque de prouver la négligence grave de son client. La banque a mis en avant le fait que son client disposait d’éléments qui auraient dû le faire douter du caractère officiel des courriels reçus : « seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d’orthographe du message, sont de nature à interpeller le client ».

La Cour de cassation a donc reconnu la négligence fautive du client de la banque. Dans un attendu de principe, la Cour de cassation a posé que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage ».

Il est intéressant de noter que dans cette affaire, les auteurs du phishing ont utilisé la simple adresse e-mail « agence@mail-mail.com » pour envoyer des messages frauduleux à la victime. Cette adresse n’a manifestement aucun rapport avec la banque Crédit Mutuel. Si l’adresse e-mail avait été plus proche de la marque « Crédit Mutuel », et bien qu’une Cour de Cassation n’ait pas vocation à décider en fait, nous pouvons raisonnablement nous poser la question de savoir si la décision aurait été différente.

Cependant, il faut noter que peut être indiqué en tant que nom d’expéditeur, tout et n’importe quoi. Ainsi, même si l’adresse email n’a aucun rapport avec la banque, il est possible que le fraudeur ait usurpé le nom de la banque lors de ces envois. Dans un tel cas, la seule solution permettant de vérifier l’identité de l’expéditeur, est d’analyser l’entête complète du mail reçu. Les cas d’usurpation d’identité dans un but de phishing sont de plus en plus fréquents et élaborés. Il convient donc de faire appel à des spécialistes afin de bénéficier d’une surveillance mais également d’analyses précises permettant une prise de décision avisée.

Cet arrêt s’inscrit dans la lignée de la jurisprudence précédente de la Cour de cassation en matière de phishing. En effet, selon l’arrêt de la Cour de cassation du 25 octobre 2017 (numéro 16-11.644) concernant un cas de phishing via courriels frauduleux se présentant comme émanant de l’opérateur téléphonique SFR, les juges de fond doivent rechercher, au regard des circonstances de l’espèce, si la victime « n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux ». Selon la Cour de cassation, la juridiction de proximité a privé sa décision de base légale car elle n’a pas recherché si « le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article   L133-16 du code monétaire ».

L’arrêt de la Cour de cassation du 28 mars dernier constitue un rappel important aux consommateurs sur la nécessité de rester attentifs et vigilants. En effet, les pratiques de phishing deviennent de plus en plus ingénieuses, comme le montre le cas de phishing par homoglyphie analysé il y a deux mois par nos experts.

Davantage de conseils pour les consommateurs victimes d’actes de phishing sont disponibles sur le site du Ministère de l’Intérieur.

Si vous souhaitez connaitre les solutions SafeBrands pour les entreprises en vue de lutter efficacement contre le phishing, n’hésitez pas à contacter nos chargés de clientèle via notre formulaire en ligne, par email domaines@safebrands.com ou téléphone au +33 (0)1 80 82 82 60.