Le vol d'identité, la plus grande menace criminelle des années à venir

Jean-Paul Pinte : L’essence de notre vie sociale a toujours été basée sur la confiance nous signale Gérald Bronner dans La démocratie des crédules.

Il faudra désormais compter sans elle. Et Snowden de nous expliquer lors de ses vœux de Noël qu'en l'état actuel des choses "un enfant né aujourd'hui n'aura aucune conception de ce qu'est la vie privée" l

L’usurpation d’identité d’une personne physique ou morale consiste à prendre délibérément l’identité d’une autre personne vivante, dans le but de réaliser des actions frauduleuses. Quelle surprise d’apprendre un jour que votre identité a été utilisée, votre nom voire certaines données personnelles réutilisés à des fins malencontreuses nuisant par là même à votre réputation mais aussi à votre porte-monnaie !

Le phénomène est de plus en plus inquiétant et mérite d’être considéré comme l’une des plus grandes menaces de notre siècle car plus rien ne nous rendra avant l’époque de la surabondance informationnelle et de la mutation numérique amorcée il y a presque 20 ans en France et depuis bien plus longtemps dans le monde.

Nos vies sont devenues numériques. Les frontières entre notre intimité et notre extimité poreuses.Ce dernier concept défendu par Serge Tisseron, sociologue s’est en effet étendu à l’ensemble des pratiques de mise en scène de soi dont les pratiques nouvelles sur Internet et plus particulièrement, celles des jeunes.

Mais à vrai dire, cela nous touche tous aujourd’hui et il en faut peu pour que nos identités soient usurpées à partir de la toile mais aussi à partir de petits gestes quotidiens pouvant nous trahir un peu plus tard sans que nous en ayons conscience.

Nous nous numérisons en intégrant au fur et à mesure les médias et supports qu’impliquent aujourd’hui notre société connectée.

Du Web 1.0 (Web de stockage des pages) jusqu’au Web des objets connectés en passant par le Web social (2.0) et sémantique (3.0) toutes nos données peuvent devenir à tout moment des données intelligentes pour des personnes mal intentionnées voire cybercriminelles !

Que dire de ce phénomène et de son ampleur à ce jour ?

Tout d’abord au niveau pénal un grand pas a été franchi. Il est en effet prévu par la loi LOPPSI 2 que tout acte d’usurpation d’identité sera dorénavant puni d’un an d’emprisonnement et de 15 000 euros d’amende. Il n’existait jusqu’à ce jour aucune législation spécifique pour lutter contre ces actes malveillants et souvent traumatisants pour les victimes.

Le phénomène ne se limite pas au seul fait de la société numérique signale-t-elle mais touche aussi la tromperie envers les aides sociales, les documents comme la carte d’identité, le passeport, le permis de conduire, …

En termes de chiffres, difficile de se faire une idée exacte car seules quelques enquêtes datant de plus de deux ans et quelques éléments de veille issus du Web nous permettent de nous situer.

Selon un rapport du Credoc de 2009, chaque année on dénombrerait plus de 210 000 victimes.

L'interrogatoire de 300 victimes démontre que "le coût individuel moyen d'une usurpation d'identité se monte à 2.229 euros", cumulant les détournements (argent, aides sociales, etc.), le montant des démarches administratives et judiciaires, et les coûts supplémentaires générés par cet imbroglio (médecin, frais postaux). Après le remboursement par les assurances, le montant moyen restant à la charge de la victime est de 1.556 euros, bien que dans certains cas, l'histoire tourne au drame avec interdit bancaire, perte d'emploi, voire emprisonnement.

Toujours selon le CREDOC le coût de l’usurpation d’identité de ces 210 000 s’élèverait à 474 millions d'euros pour les assureurs et particuliers. Ces derniers ayant dû, pour un tiers d'entre eux, affronter l’épreuve qu’il sont bien eux-mêmes.

Le français a plus de chances de subir une usurpation d'identité qu'un cambriolage (150 000) ou un vol de voiture (130 000).

120.000 victimes d'usurpation d'identité chaque année en France annonce Daniel Martin le 25 février 2013[8], ancien commissaire de la DST, spécialisé dans les nouvelles technologies donnait une conférence à Limoges pour évoquer les différentes formes de délinquance sur le net.

Le député Catherine Vautrin confirme bien le coût pour la société de 474 millions d’euros mais signale aussi 1,4 milliard de préjudice pour l’UNEDIC, 1 milliard pour la caisse nationale d’assurance-maladie et 1 milliard pour la caisse d’allocations familiales, soit un total de 3,874 milliards par an. Quant au coût individuel moyen d’une usurpation, il est estimé à 2 229 euros cumulant les détournements (argent, aides sociales), le montant des démarches administratives et judiciaires, et les coûts supplémentaires générés par cet imbroglio (médecin, frais postaux). après le remboursement par les assurances, le montant moyen restant à la charge de la victime est de 1 556 euros.

Selon une étude du CSA "Les français et la criminalité identitaire" le phénomène aurait doublé de 2009 à 2012 passant de 200 000 à 400 000 le nombre de victimes de l’usurpation d’idendité.

La 4ème campagne de sensibilisation à l'usurpation d'identité menée par Fellowes a débuté le 10 octobre 2012 lors d'une conférence de presse qui a connu un retentissement immédiat dans les médias. Les chiffres percutants de l'étude réalisée par le CSA ont été diffusés dans les nombreux articles parus dans la presse écrite nationale et régionale ou sur le web. Ce sondage CSA, pour le compte de la société d'accessoires de bureau Fellowes, a été réalisé les 29 et 30 août par téléphone auprès d'un échantillon de 1 050 personnes âgées de 15 ans et plus.

On y apprend notamment que :

• 8% des Français déclarent avoir été victimes d’usurpation d’identité au cours des 10 dernières années contre 4,2% en 2009.

• Par ailleurs, près de deux tiers des Français (63%) pensent que le risque de criminalité identitaire est élevé.
• Cette perception élevée du risque s’accompagne d’une protection en priorité des papiers d’identité (58%) mais les Français ne vont pour autant pas jusqu’à leur destruction systématique lorsqu’ils sont obsolètes.
• 6 Français sur 10 sont au courant que des documents contenant des données personnelles sont parfois revendus de manière illégale.
• Une majorité relative en France ignore la valeur financière de leur identité.
• Les papiers d’identité et de voyage, objets surveillés avec le plus d’attention par les Français.
• Les copies papiers plus utilisés qu’Internet pour transmettre des données personnelles
• Des habitudes qui varient principalement entre destruction et conservation sans protection particulière des documents contenant des données personnelles.

Quelles formes ces usurpations prennent-elles ? Comment s'en prémunir ?

Avec plus de trois milliards d’internautes, il y a fort à parier que Les usurpations d’identité vont continuer à se développer sur la toile. Entreprises comme particuliers doivent s’y préparer et être vigilants lorsqu’ils mettront à la poubelle des documents ou communiqueront sur des espaces numériques de plus en plus nomades. Ils devront apprendre à connaître les méandres de la toile car Internet a été créé sans que l’on se soucie de sa sécurité et il semblerait que tout un pan de la société ne connaisse pas comment fonctionne réellement Internet.

Tout sera branché et interconnecté dans le Big Bang numérique qui s’annonce et son Big Data portera l’information quasiment à bout de clic. Il faut donc s’attendre à voir apparaître de nouveaux cyber-délinquants qui, comme à chaque nouveauté s’adaptent et ont toujours un temps d’avance.

Les données issues de nos pérégrinations sur la toile génèrent à leur tour des métadonnées qui peuvent être transmises à divers organismes en indiquant leurs titulaires par un pseudonyme. Le pseudonymat ne suffira pas à garantir l’anonymat des données et il faudra développer de nombreuses techniques pour protéger les données sensibles sans les rendre inexploitables. Nous en sommes donc rendus là et ainsi si nous n’y prenons garde se constituera notre ADN numérique.

De faux profils naîtront sur les réseaux sociaux vous invitant à vous lier d’amitié avec une personne que vous ne connaissez en fait pas vraiment voire pas du tout. Votre profil s’il n’est pas encore créé pourra l’être par un tiers sur ces réseaux sociaux avec, pour seul but, de vous associer à d’autres profils n’ayant aucun centre d’intérêt avec vous mais que vous validerez tant l’ingénierie sociale visant à nuire à votre identité ou à l’utiliser à des fins frauduleuses sera forte et bien montée.

Pas très compliqué si l’on sait passer un peu de temps sur un moteur de recherche et rapprocher des données sur une personne. On connaîtra son entourage comme le fait déjà un logiciel de cartographie de Google (Touchgraph Seo).

On arrive même déjà aujourd’hui à connaître les amis de nos amis sur le réseau FACEBOOK sans être leur ami ni les connaître !

Certains iront même jusqu’à utiliser les Splogs[1] pour arriver à leur fin, voire à se perfectionner en cartographie pour déceler les interactions humaines et rentrer dans les réseaux de personnes qu’ils ont envie de surveiller par exemple comme je le signale dans un ouvrage co-écrit avec Myriam Quéméner [2](p.119).

En dehors des usurpations d’identité via les documents papier officiels vont ainsi se développer de nouvelles formes comme la diffamation, l’injure, le dénigrement.
Dans cette révolution de données l'individu sera sommé de déterminer jusqu'où il est prêt à aller pour reprendre le contrôle de sa vie privée et de sa sécurité.

Comment s’y préparer ?

Il convient dés aujourd’hui de ne pas mélanger nos données personnelles et professionnelles et si possible d’avoir au moins deux profils par réseau social dont un pour surveiller l’autre. C’est ce que je préconise à mes étudiants le plus souvent…

Sur vos Smartphones, futur terrain de développement, pensez un jour que vos courriers envoyés avec pièce jointe sont souvent l’objet d’informations utiles pour quiconque trouverait votre appareil. Aussi, vérifiez que ces derniers messages comportant des pièces jointes ne sont pas des messages transmis à des organismes de nos administrations ou des banques avec lesquels nos échanges se numérisent de plus en plus.

Vérifiez vos comptes et surtout imprimez vos relevés pour une lecture plus facile des opérations. Certains prélèvements de 15 à 30 euros voire plus peuvent passer à la trappe et apparaître à vos yeux comme des petites sommes sans intérêt mais se répétant dans la durée de manière hebdomadaire, mensuelle, etc.

N’utilisez que des sites de confiance pour vos achats, et surtout regardez bien l’adresse URL de votre site à chaque passage sur une nouvelle page car le simple fait de voir Https:// ou un cadenas sur la page ne doit pas vous rassurer. Ce type d’adresses s’achète aujourd’hui sur Internet pour une poignée de dollars.

La personne dont l’identité est usurpée se retrouve souvent à son insu victime d’une opération souvent financière voire civile (comme un mariage). Cela pourrait aller à l’extrême jusqu’au crime perpétré en votre nom !

N’attendez donc pas de ne plus pouvoir prouver votre identité.

Les conséquences psychologiques sont aussi souvent dramatiques signalait aussi le député Catherine Vautrin: "75.000 personnes sont chaque année amenées à devoir faire la preuve de leur identité et il arrive que certaines victimes mettent des années à prouver à l’administration leur véritable identité. 10% des victimes sont d’ailleurs tombées malade et 13% ont été assignées en justice. Un cinquième d’entre elles sont sorties traumatisées de l’expérience".

Tout commence par une bonne diététique informationnelle

Infobèses nous sommes devenus et la règle serait aujourd’hui de veiller à son auto-surveillance s’il n’est pas trop tard. Certains pratiquent alors l’obfuscation consistant à repousser des données plus loin dans le Web profond. D’autres savent faire le contraire pour vous ramener sur le devant de la scène avec des informations que vous aviez peut-être oubliées mais qui ne font pas souvent votre bonne réputation.
Googlez vous pour commencer mais dépassez le seuil des premières pages.
Utilisez aussi un outil du MIT comme IMMERSION. Il vous en dira beaucoup sur l’utilisation de votre messagerie Gmail, Yahoo, …

En termes de traçabilité numérique visualisez en temps réel les cookies et la face cachée de votre navigation avec le nouvel outil développé par la CNIL. Cookieviz identifie en temps réel les cookies qui transmettent des informations vous concernant à d’autres sites.
Enfin, testez le tout nouvel outil ALGOPOL, une application qui vous permet de visualiser votre réseau d’amis sur Facebook sous la forme d’une carte interactive. Vous pouvez ainsi explorer votre réseau social : qui étaient vos premiers amis? Qui sont vos meilleurs commentateurs ?

Vous voilà déjà mieux parés pour vous voir en détail sur la toile !

Diriez-vous que dans l'esprit des citoyens français, de tels actes sont réellement associés à de la criminalité ? En sommes-nous restés à une vision à l'ancienne, qui ne prend en compte que la criminalité "visible" et non celle qui s'agite sur la toile ? Pourquoi ?

Pas vraiment. En effet ces actes d’usurpation d’identité n’ont pas encore provoqué une véritable prise de conscience chez les citoyens comme les entreprises d’ailleurs car ce n’est qu’au moment où cela arrive que l’on mesure l’impact.

Comme pour la souscription d’une assurance, on ne lit pas toutes les clauses du contrat, on ne mesure pas la typologie des risques possibles car nous sommes dans une société immédiate et nos actes sur la toile s’inscrivent dans une sorte de normalité presque magique. On est dans une sorte flux de pratiques qui du Web passe sur nos Smartphones sans oublier les réseaux sociaux dont la connaissance se limite encore trop peu à Facebook, Linkedin, Viadéo, Twitter (voir panorama des médias sociaux).

Le lien entre la criminalité visible et celle provenant du Web ne se fait pas et pourtant elle est de plus en plus liée à nos habitudes de vie, à la facilité de géolocaliser les personnes,  aux moyens mis à notre disposition aujourd’hui pour les tracer via les réseaux sociaux par exemple.

Nos activités et nos associations virtuelles n’ont pourtant jamais autant été liées.

Les états auront du mal à supporter qu’une personne utilise des moyens d’anonymat sur la toile car l’identité deviendra une marchandise qui existera principalement en ligne comme le signalent Eric Schmidt et Jared Cohen dans leur ouvrage récent [3].

Les technologies que nous utilisons sont invasives par nature. Elles regroupent dans de vastes banques de données ce que nous sommes et il est temps de le (faire) savoir. Même les rumeurs seront éternelles selon ces auteurs et nous sommes ce que nous tweetons. Ils évoquent même un genre de "crime d’honneur virtuel" ou tentative délibérée demain de salir l’identité virtuelle d’un personne da façon préventive (en exposant ce qui passe pour un méfait ou en diffusant de fausses informations) ou réactive (en associant son identité en ligne à des contenus détaillant un crime, réel ou imaginaire).

Archives.org a été longtemps un cimetière de pages Web que peu connaissaient. Il en va de même pour les changements qui s’opèrent dans les modes d’emploi de réseaux sociaux comme Facebook. Quand les citoyens en prendront conscience il sera trop tard pour eux de choisir tel ou tel réglage plus strict des préférences de confidentialité sur ces sites de réseaux sociaux.

Peu de gens s’intéressent en fait à l’envers du décor et tout le monde s’en fiche ou presque. Internet est devenu un véritable fourre-tout dont nos modes d’accès se limitent depuis plus de 10 ans à un seul outil de recherche.

Voici une des raisons pour mieux comprendre le décalage. Vous voyez ici en parti ce qui s’annonce. Ce sera disent les auteurs de cet ouvrage "la première génération sur Terre dont la trace sera indélébile".

Les personnes victimes de cette cybercriminalité ont-elles le réflexe de déposer plainte auprès des forces de l'ordre ? Ces dernières risquent-elles d'être de plus en plus sollicitées dans ce domaine, et se préparent-elles en conséquence ?

De ce côté l’on ira de plus en plus je pense vers le dépôt de plainte même s’il faut avouer que jusqu’à présent peu de personnes ou d’entreprises le faisaient.

On évoque en effet un pourcentage de 10 % de dépôts de plainte ces dernières années.

Le CREDOC estimait à l’époque de son étude à 75000 Personnes le nombre de dépôts de plainte au niveau de l ‘usurpation d’identité.

Ce faible taux est principalement dû au fait que les personnes ne connaissent pas suffisamment leurs droits en la matière mais il semblerait qu’un changement progressif s’opère ces deux dernières années.

Les victimes qui souhaitent connaître l’identité de "l’usurpateur" et éventuellement le voir sanctionner doivent déposer une plainte pénale soit auprès du commissariat de police ou de la brigade de gendarmerie de leur domicile, soit auprès du procureur de la République.

Jusqu’à récemment, l’usurpation d’identité n’était pas considérée, à elle seule, comme un délit pénal. Seules les conséquences de l'usurpation d'identité pouvaient faire l'objet d'une sanction comme, par exemple, l’escroquerie, ou encore la diffamation.

La Loi d'Orientation et de Programmation pour la Performance de la Sécurité Intérieure (LOPSSI 2 ) votée en février 2011 , introduit dans son article 226-4-1 un nouveau délit sanctionnant d’un an de prison et de 15 000 euros d’amende: " Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération".

La première chose à faire dans le cas où des informations vous concernant ont été détournées ou publiées sans votre accord, c'est de vous adresser directement au responsable du site afin de demander à les consulter, ou exiger leur suppression. Vous trouverez sur le site de la CNIL des modèles de courrier pour formuler votre demande. Si vous n'obtenez pas de réponse, vous pouvez alors adresser une plainte en ligne à la CNIL. C'est gratuit. 

Concrètement, que peut faire la CNIL contre ce vol d’identité ?
 La CNIL aide les victimes d'usurpation à faire valoir leurs droits en particulier auprès des responsables des sites ou des fournisseurs de messagerie électronique piratée. Elle intervient notamment à l’appui de leur demande de suppression des fausses informations mises en ligne ou pour reprendre l’accès à leur messagerie électronique.

Devant l’ampleur et la progression de ces fraudes atteignant de façon inquiétante les supports numériques et informatiques, les forces de l’ordre ont créé des services spécialisés pour lutter contre la cybercriminalité.

Qu’il  s’agisse d’incidences sur votre compte bancaire, de fraude à l’identité, de diffusion de fausses informations vous concernant sur Internet, de faux compte sur Facebook par exemple, n’hésitez pas à lire les conseils du site Porterplainte.info.

La partie n’est pas gagnée à en croire la mésaventure de Théo.

Pour le cas précis de Facebook, tout d’abord, demandez au juge des référés que soit ordonné à la société Facebook de vous communiquer les données de nature à permettre l’identification de la personne qui a usurpé votre identité en créant le compte litigieux.

Ensuite, sur la base de l’adresse IP et de l’email de la personne ayant publié sous votre fausse identité, vous serez en mesure de vous faire communiquer par le fournisseur d’accès à l’internet de cette personne, les nom, prénoms, adresse et autres numéros de téléphone de la personne ayant souscrit l’abonnement qui correspondait à ces données.

Enfin, vous pourrez faire délivrer à l’usurpateur d’identité une assignation pour délit d’usurpation d’identité et faire condamner ce dernier à la somme totale de 15000 € et jusqu’à 1 an d’emprisonnement.

S'il y a diffamation, injure publique et/ou harcèlement, il est possible, voire souhaitable, de le signaler sur : https://www.internet-signalement.gouv.fr/ et ensuite de porter plainte selon le cas précis.

Un guide intitulé « Internet sans danger : le guide du bon sens numérique » publié chez Bayard par la compagnie d’Assurance AXA Prévention et plusieurs experts dont je suis vous donnera un ensemble de fiches pratiques sur comment surfer plus sûr.

La Gendarmerie Nationale a mis en place ces cinq dernières années une structure pyramidale d’experts en nouvelles technologie afin de couvrir le territoire. Un correspondant N-TECH est ainsi présent dans nombre de casernes de gendarmerie, et une soixantaine d’experts les épaulent au niveau national. Ces militaires ont suivi  une formation aux risques des nouvelles technologies et sont à même, dans chaque caserne, d’orienter, de conseiller et surtout d’évaluer la recevabilité d’une plainte.

La Police Nationale est aujourd’hui active dans le monde cyber avec l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication). Il dispose d’une unité spécialisée dédiée aux crimes informatiques. Mais, rattachée à la Direction de la Police Judiciaire, son domaine d’activité est la lutte contre la criminalité organisée. Les particuliers n’y ont pas accès. 

______________

[1] Issu de la contraction des mots spam et blog, le splog est un blog artificiel er sans valeur ajoutée qui récupère le contenu d’autres blogs dans le but d’améliorer le référencement de sites tiers au moyen d’hyperlien.

[2] Myriam Quéméner et Jean-Paul Pinte, Cybersécurité des acteurs économiques : risques, réponses stratégiques et juridiques, Editions Hermès, 2012

[3] Eric Schmidt et Jared Cohen, A nous d’écrire l’avenir : comment les technologies bouleversent le monde, Ed. Denoël, 2014