Que faire contre l'usurpation d'identité numérique ?

L’OCDE organise actuellement une conférence à Séoul sur le délicat problème des usurpations numériques (notamment). Cette question importante est remise à l’agenda des gouvernements du fait de l’ampleur qu’elle est en train de prendre : 32 milliards d’euros de cout pour les États-Unis pour 2007, plus de 2 milliards pour le Royaume-Uni… Des chiffres qui donnent le tournis.
Je me suis intéressé à ce sujet en 2005, notamment en rédigeant une proposition de loi pour le sénateur dont je suis l’assistant. Mon idée était de proposer une réponse simple, applicable à toutes les situations, et sans danger pour les libertés individuelles (malheureusement ce projet ne sera jamais mis à l’ordre du jour…).
Deux grandes réponses peuvent être apportées :
– La première : le contrôle a priori de nos identités de façon à les protéger, avec l’idée que plus il y aura de dispositifs pour nous identifier, moins il y a de chance qu’on nous usurpe. Ça semble être le bon sens, mais il y a un risque évident pour nos libertés. La biométrie, la vidéosurveillance peuvent très vite nous faire tomber dans une société ultra sécurisée et liberticide.
– La seconde réponse : le contrôle a postériori. On fixe un principe de droit : l’usurpation de l’identité numérique sera punie par x temps de prison (ce qui n’est pas le cas aujourd’hui), et on laisse à chacun la possibilité de respecter ou non le droit commun (c’est ça la démocratie).
Vous aurez compris où je me situe. Je vous invite à lire ce billet rédigé en 2006 et qui résume bien mes arguments.
La balle est dans le camp du législateur et surtout du gouvernement qui tient l’ordre du jour.

Banque HSBC : Alerte au phishing

Je tiens à prévenir ceux qui auraient un compte dans cette banque (c’est mon cas) : Il faut faire très attention aux emails que vous recevriez en provenance d’HSBC. Cela fait quelques semaines maintenant que je reçois coup sur coup, plusieurs emails (dont certains assez bien faits), mais crapuleux. Ils apparaissent avoir été envoyés de ces adresses : message@hsbc.fr et bank@hsbc.fr, ce qui pourrait inspirer confiance. En fait, si on regarde les détails de l’en-tête, on constate que ces adresses emails sont toutes fausses (apparemment elles ricochent d’ici : cathoo.schedom-europe.net). C’est un cas classique de Phishing : l’auteur frauduleux de l’email se fait passer pour votre banque afin de vous soutirer vos codes d’accès à votre compte banquaire. Encore un exemple des dangers de l’usurpation d’identité sur le net…

Voici à quoi ces emails ressemblent :
Hsbc phishing 1 (grossier)
Hsbc phishing 2 (subtil)

J’ai cherché sur le site d’HSBC une alerte ou quelque chose qui prévienne les clients : le cas n°2 est mentionné, pas le 1er…

NB : Un truc pour savoir si vous vous faites avoir : lorsque vous êtes renvoyé sur le faux site d’HSBC, lisez bien l’url dans votre barre de navigation. Si ça ne commence pas par hsbc.fr, c’est frauduleux.

Abus d'homonymie : le cas Thierry Mendès France

J’avoue que ça ne m’amuse pas des masses, mais je ne me vois pas laisser les choses en l’état sans rien dire.
Commençons par le début. Si je publie ce billet aujourd’hui, c’est d’abord parce que le Canard Enchainé que j’apprécie beaucoup par ailleurs, n’a pas été pas été très correct avec ma famille.
Dans un papier du 14 novembre 07 mentionnant les impayés de loyers HLM du fils de Bernard Tapie, le Canard explique que dans ce logement de luxe (boulevard Richard-Wallace à Neuilly-sur-Seine), ne figurait pas que des Tapie mais aussi d’autres « huiles de la République » dixit le Canard : les Barre et… les Mendès France. (?!)

Que les choses soient claires, nous n’avons jamais habité là-bas ni jamais bénéficié d’aucun logement HLM VIP.

Stupéfait de voir notre nom associé à cette affaire, j’ai fait une rapide recherche. Et j’ai constaté qu’il y avait bien eu des Mendès France dans ce logement HLM de luxe. Le Canard n’avait pas entièrement tort. Mais il s’agissait en fait d’homonymes ! Et plus précisément de Thierry Mendès France qui y était domicilié, d’après la Société Générale de Presse, au moins en 1998.

Ce monsieur et sa famille n’ont rien en commun avec nous, si ce n’est un lointain ancêtre, Jean Mardoché Mendès France, né en 1688, il y a plus de trois siècles. Leur famille et la nôtre sont deux choses bien différentes. Comme souvent dans les cas d’homonymie.

J’ai passé l’info à l’auteur de l’article au Canard qui a constaté qu’il y avait bien erreur sur la personne, mais n’a pas encore « réussi » à placer le correctif dans son journal. C’est vraiment dommage, parce que c’est une atteinte à la mémoire de mon grand-père. Il aurait été blessé par cette accusation. Sans parler de l’image exécrable que ça donne de ma famille.

En attendant, je m’autorise à faire un rectificatif ici sur mon blog pour que les quelques lecteurs du Canard qui passeraient par ici ne croient pas un instant que la famille de PMF ait pu profiter de logements HLM de luxe (ça serait le comble quand même).

Pour l’histoire, Thierry Mendès France est connu de ma famille depuis… l’époque de mon grand père. J’ai sous les yeux, une vieille sommation de justice datant du 20 avril 1967 que PMF avait été contraint d’envoyer à Thierry MF, après qu’il se soit fait passer pour son fils dans différents lieux de fête, milieux d’affaires ou dans les médias (voir l’Aurore de 67). Depuis, Thierry Mendès France qui, soit dit en passant, se présenta sur une liste UMP dans le 3e arrondissement aux dernières municipales à Paris, joue un jeu trouble avec cette filiation fantasmé.

Précision : ils portent le nom qu’ils portent et c’est le leur. Aucun problème. La seule chose qui est inacceptable, c’est qu’ils fassent croire autour d’eux (ou croient de bonne foi) qu’ils descendent de l’ancien président du Conseil*.

Voilà. Ça va mieux en le disant.

* Les descendants directs de PMF en vie aujourd’hui, il n’y en a plus que trois : mon père Michel, ma soeur Margot et moi. Au moins c’est pas compliqué. 😉

MySpace, Facebook : attention danger

Rapide mise au point sur les dangers potentiels des deux plus gros réseaux sociaux:

Un sondage, effectué pour le compte de la campagne britannique Get Safe Online […], avance […] que 15% des utilisateurs de ces sites “n’utilisent aucune des possibilités pour rendre confidentielles leurs informations sur ces sites, et 24% des internautes utilisent le même mot de passe pour tous les sites“, que 27% des 18-24 ans ont posté des photos de tiers sans leur consentement, et que 34% des 18-24 ans, et 30% des 25-34 ans, “révèlent des informations susceptibles d’être utilisées à des fins criminelles“. (via Internet Actu)

À quoi s’ajoute le fait que 41 % des utilisateurs de Facebook sont prêts à révéler des informations personnelles sans contrôler d’où provient la demande… (êtes-vous l’ami de Freddi Staur ? 😉
En complément :
Le top 20 des mots de passe de MySpace ?
MySpace inaugure le social spamming ou comment se faire pleins d’amis qui n’existent pas
Pub spammeuse sur Facebook ?
Liaisons dangereuses sur Facebook

Pour aller plus loin : « La vie privée sacrifiée sur l’autel des réseaux sociaux » / Ecrans.fr

L'usurpation d'identité numérique nécessite une loi ?

WIP by EmyLorsque je lis les détails de cette affaire (une femme usurpant d’identité d’une collègue sur meetic), je me dis que la proposition de loi sur laquelle j’avais bossée l’an dernier est plus nécessaire que jamais.

D’abord et aussi étrange que cela puisse paraître, notre code pénal ne condamne pas l’usurpation d’identité sur le net en tant que telle (lire l’exposé des motifs de la proposition de loi). Le juge est donc contraint de recourir à des artifices détournés pour condamner l’e-usurpateur (ce qui n’est pas sain dans un État de droit). Ce fut le cas dans la récente affaire Meetic où l’e-usurpateur fut sanctionné pour « violences volontaires ayant entraîné une incapacité totale de travail supérieure à huit jours » et pas directement pour l’usurpation numérique dont il était à l’origine.

On se rappelle peut-être qu’il a fallu attendre des années pour que le viol soit qualifié comme tel devant les tribunaux (on en restait à l’agression physique). Eh bien c’est la même chose avec l’e-usurpation, on en reste à l’atteinte pécuniaire, aux chocs émotionnels induits ou à « l’intrusion dans un système de données ». La proposition de loi sur l’usurpation d’identité numérique offre ici une autre voix, plus juste à mon avis.

Enfin, le texte présente un principe de fond : Si on veut sécuriser l’identité numérique des citoyens, plutôt que de charger en biométrie, en videosurveillance ou tout autre contrôle a priori (par nature liberticide), pourquoi ne pas présenter une simple réponse de droit ? Je préfère de loin qu’on fasse confiance aux citoyens en édictant des interdits qu’on peut ou ne pas suivre, quitte à en payer le prix après (c’est ça aussi la démocratie), plutôt que de vivre dans une société ultrasécurisée.

Je remercie donc Marc Rees de PC inpact d’avoir « ressorti » cette proposition de loi. Une façon de rappeler que le texte, comme toute proposition de loi émanant de l’opposition, n’a pas encore eu le privilège de figurer dans l’agenda gouvernemental. Et on se demande bien pourquoi…