Par Gérard Haas & Axelle Poujol
Depuis le début de l’année 2019, des milliers de signalements à propos d’une arnaque par mail ont été reçus par l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLTIC).
En France, depuis le début de l’année 2019, plusieurs milliers de personnes ont reçu un message similaire sur leur boîte mail, dont l’expéditeur est leur propre adresse : prétendument envoyé par un hacker (pirate informatique), ce dernier explique comment il a piraté la boite mail ou la webcam de l’utilisateur et qu’il détient des informations compromettantes et des données personnelles de ce dernier. Pour éviter une quelconque publication ou l’envoi à des contacts, le pirate demande le paiement d’une rançon allant de quelques centaines d’euros à plusieurs milliers en bitcoin sous 48h.
Ces tentatives d’arnaque par mail et de chantage aux données personnelles ont donné lieu à l’élaboration de diverses recommandations par les services de police sur le site cybermalveillance.gouv.fr[1]. Cette tentative d’arnaque en particulier est connue depuis l’été 2018 par l’OCLTIC.
La recrudescence des signalements concernant cette arnaque a conduit l’OCLTIC à communiquer sur le phénomène et à donner des consignes si l’on en est victime :
En cas de paiement, la Police recommande également de :
Cependant, si le paiement a eu lieu en bitcoins, ces conseils sont a priori sans effet : tout d’abord, dans une transaction en bitcoin, aucun intermédiaire n’intervient. La banque de l’utilisateur ne pourra donc rien faire pour annuler la transaction. De plus, chaque transaction effectuée dans cette crypto-monnaie est irréversible. Enfin, les transactions en bitcoins sont par principe anonymes[3]. Il apparaitra donc difficile de revenir sur la transaction et d’identifier la ou les personne()s, pour peu qu’elle(s) soi(en)t le destinataire direct du paiement, à l’origine de l’arnaque.
La recrudescence des attaques informatiques[4] par des technologies d’information et de communication diverses (mail, piratage de chatbots intelligents[5]), la diversité des arnaques consécutives à ces attaques (ransomhack[6], pishing[7]) et les conséquences importantes de celles-ci pour les données des utilisateurs et les entreprises conduisent ces dernières à devoir renforcer leur sécurité informatique et intégrer la gestion des cyber-risques[8].
L’entrée en vigueur du RGPD[9] les contraint par ailleurs à assurer de manière optimale la sécurité des données des utilisateurs[10]. Cette sécurité des données implique l’anticipation des risques et la mise en place d’un certain nombre de mesures et de procédures[11] destinées à protéger les données des utilisateurs et à empêcher des failles de sécurité ou des fuites pouvant conduire à ces arnaques massives par mail.
Nos solutions
Fort de son expertise en matière de protection des données, de mise en conformité RGPD et de cybersécurité, le cabinet HAAS Avocats accompagne depuis plus de 20 ans les entreprises et les particuliers sur ces sujets. Nous contacter
[1] https://www.cybermalveillance.gouv.fr/tous-nos-contenus/
[2] https://www.internet-signalement.gouv.fr/PortailWeb/planets/SignalerEtapeInformer!load.action
[3] https://www.latribune.fr/bourse/actualite/20141106trib60420dc99/les-avantages-et-inconvenients-du-bitcoin.html
[4] https://www.mag-securs.com/news/id/45146/sondage-opinionway-cesin-92-des-entreprises-ont-ete-attaquees-une-ou-plusieurs-fois.aspx
[5] http://info.haas-avocats.com/droit-digital/chatbots-intelligents-un-nouveau-cyber-risque-
[6] http://info.haas-avocats.com/droit-digital/cybercriminalit%C3%A9-le-ransomhack-nouvelle-forme-dattaque-cybercriminelle
[7] Pishing ou Hameçonnage : tentative de récupération frauduleuse de données personnelles afin d’usurper l’identité d’une personne en lui faisant croire qu’elle s’adresse à un tiers de confiance (administration, banque, etc).
[8] http://info.haas-avocats.com/droit-digital/cyber-s%C3%A9curit%C3%A9-la-communication-au-c%C5%93ur-de-la-gestion-du-risque-cyber
[9] Règlement européen sur la protection des données
[10] http://info.haas-avocats.com/droit-digital/s%C3%A9curit%C3%A9-des-donn%C3%A9es-le-bilan-6-mois-apr%C3%A8s-le-rgpd
[11] http://info.haas-avocats.com/droit-digital/5-raisons-de-mener-une-%C3%A9tude-dimpact-pia