cavalerie: Une cavalerie est une escroquerie basée sur une course permanente entre la collecte de nouveaux fonds et des paiements visant à donner confiance. Une vitrine fictive sert à expliquer les gains auprès des bailleurs de fonds. L'exemple canonique est basé sur une fausse entreprise qui ouvre des comptes dans deux banques. Un premier emprunt est fait dans la première banque, l'argent sert à justifier auprès de la seconde banque la possibilité de faire un nouvel emprunt (plus gros), qui sert à payer le premier emprunt, etc. Le système s'écroule lorsque l'escroc n'obtient pas le n-ième prêt : il sait alors qu'il ne pourra pas rembourser le ou les prêts précédents qui lui restent et il est temps pour lui de prendre sa retraite, au soleil ou à l'ombre Une autre forme de cavalerie est basée sur les dates de valeur : une entreprise A demande à une entreprise B de lui faire un chèque d'un montant de 100, et lui fait également un chèque du même montant. Au jour d'encaissement de son chèque, l'entreprise A voit son compte crédité de 100. À cause des dates de valeur, le débit réel sur le compte de B ne sera fait que quelques jours après (2 ou 3 jours). De ce fait, de la «monnaie de singe» est créée (et créditée) sur les comptes de A et de B, qui devrait s'évaporer quelques jours plus tard, au moment du débit des comptes. Juste avant le jour du débit, l'entreprise A (qui a utilisé ou volé les 100 crédités) fait appel à une autre entreprise C pour faire la même chose, mais avec un montant supérieur (disons 200), puisqu'il faudra couvrir le chèque de 100 fait à B. Ce jeu continue, jusqu'à ce que 1
l'entreprise A ne trouve plus de complice acceptant la manigance. Le système s'effondre alors. Ce système peut même être amplifié avec les effets de commerce, payable qu'après 30, 60 ou même 90 jours. En crédit à la consommation, on parle de cavalerie lorsqu'un client prend un crédit à la consommation pour en rembourser un autre qu'il n'arrive plus à rembourser. En général, le nouveau crédit pris est plus cher que le premier, puisque plus facile à contracter (exemple : crédit revolving). Le client entre alors dans une spirale négative : le second crédit n'est pas mieux remboursé que le premier, et le client est alors tenté de poursuivre la cavalerie, en trouvant un nouveau crédit à la consommation pour éponger le second. Ce procédé peut entraîner la banqueroute du client (voir faillite civile). 2
Prisonnière espagnole: La prisonnière espagnole est un type d'escroquerie qui remonte à l'espagne du xvie siècle. Un seigneur recevait un message du type «Une princesse espagnole très riche et très belle est détenue par les Turcs, envoyez telle somme d'argent pour la libérer et elle viendra vous épouser». Remaniée, la technique est appliquée au xixe siècle sous le nom de lettre de Jérusalem, puis renouvelée au xxie siècle, où elle se retrouve notamment dans les courriels et les SMS (Fraude 4-1-9). Si les variantes sont très nombreuses, le concept de cette escroquerie est toujours de faire croire à la victime qu'elle recevra une énorme récompense à condition qu'elle accepte d'avancer une certaine somme d'argent. Un élément romantique y est ajouté afin de diminuer la vigilance de la victime potentielle. La Prisonnière espagnole (1996) est un film qui s'inspire de cette escroquerie. Cette technique est utilisée de façon très habile sur des sites de rencontre gratuits, dans le but de soutirer une somme coquette d'argent en un temps convenable. L'escroc, qui se fait passer pour une jeune et jolie femme envoie un message où il donne une adresse email privée. La victime, un homme lui répond et une correspondance privée s'engage. Au début la femme raconte sa vie, donne des éléments de sa vie, et raconte ses déceptions, et l'envie qu'elle a de rencontrer quelqu'un de bien. Elle envoie également quelques photos. L'homme victime répond et rentre alors dans une correspondance suivie. Il ne se doute de rien, parce que les mails sont très plausibles et l'escroc s'arrange parfois pour 3
y mettre quelques réponses à des questions posées. Progressivement, la femme semble tomber amoureuse, et expose des idées de mariage, disant à l'homme que celui-ci est l'homme de sa vie, elle veut absolument le rencontrer. Elle a l'impression qu'ils sont faits l'un pour l'autre. L'homme y croit, et arrive le moment de la rencontre. Mais au dernier moment, un problème énorme se présente, et la femme demande de l'argent pour résoudre le problème. L'homme célibataire, déjà presque amoureux à distance, et voulant absolument rencontrer la personne, hésite, puis finit par envoyer de l'argent. Une fois l'argent envoyé, plus aucune nouvelle. L'escroc a réussi son coup. Une variante de la précédente escroquerie consiste à faire croire au "pigeon" qu'une jeune et belle femme russe est traquée par la mafia qui l'a enlevée et battue (la femme porte des traces de violence physique) dans le but de la prostituer ; de surcroît les "proxénètes" menacent la famille de la jeune femme restée au pays de représailles sanglantes en cas d'indocilité de celle-ci. Pour plus de crédibilité de l'histoire, l'homme victime de l'escroquerie sera en contact physique avec les mafieux, qui le menaceront et le mettront à l'amende pour qu'il puisse "racheter la liberté" de la jeune femme (le "pigeon" ne doutera pas de l'existence des mafieux). La menace pesant sur la famille de la jeune femme le dissuadera d'avoir recours à la police. Après le paiement la jeune femme disparaîtra. Cette variation sur un thème présente des avantages pour les escrocs par rapport à la version précédente. La victime étant mise en présence des protagonistes, elle ne pourra pas ignorer leur existence ; les relations effectives (notamment preuves 4
électroniques) entre la victime de l'escroquerie et les escrocs ne pourront être établies ; la transaction étant réglée en espèces, sa traçabilité sera quasi-nulle (le fisc pourrait également s'intéresser à l'origine de ces fonds) ; la peur des mafieux incitera la victime à la prudence (le doute sur la qualité mafieuse des escrocs n'étant pas effacé). L'anglicisme romance scam est aussi employé. Ces arnaques reposent sur la création de liens affectifs forts qui sortent de toute logique habituelle et font appel à des émotions intenses. Ces émotions sont suscitées en ayant recours à des photos attractives, des profils de rêve sur des sites de rencontre, des lettres flatteuses, etc. La stratégie consiste principalement à obtenir de la victime qu'elle tombe amoureuse et ait envie d'être avec l'arnaqueur. La promesse d'un mariage est courante. 5
Vente pyramidale: La vente pyramidale (ou selon la pyramide de Ponzi) est une forme d'escroquerie dans laquelle le profit ne provient pas vraiment d'une activité de vente comme annoncé, mais surtout du recrutement de nouveaux membres. Le terme «pyramidale» identifie le fait que seuls les initiateurs du système (au sommet) profitent en spoliant les membres de base. Ce système se camoufle fréquemment derrière les termes de «marketing multi-niveaux» ou «commercialisation à paliers multiples» (en anglais multi-level marketing ou «MLM»), bien que des différences fondamentales existent, qui permettent à certains pays d'interdire la vente pyramidale alors que la vente multiniveaux reste permise (notamment en France grâce au statut de VDI3). Le système de vente pyramidale peut être decélé par une disproportion entre la valeur réelle d'un bien à vendre («paquet») ou l'opacité qui entoure ce paquet, et l'argent procuré par le système de filleuls. Internet connaît ses propres versions de systèmes pyramidaux, notamment avec le fameux spam «MMF» (Make Money Fast). L'impossible progression géométrique d'une vente pyramidale classique :pour continuer à fonctionner, elle suppose en effet de faire appel à un nombre de personnes supérieure à la population mondiale (dès le palier 14, sachant que le palier 1 comporte 1 personne et dans le cas où chaque personne en recrute 6 autres) 6
Démarchage en cycle court (alias «one shot»): Technique expéditive qui permet de réaliser directement une vente, sans que le client n'ait le temps de lire en détails le ou les contrats, alors qu'il n'aurait pas toujours accepté l'offre si il avait eu le temps de lire lesdits contrats4. Le client ne signe pas un contrat de vente, mais une licence d'exploitation ou un contrat de location. Il n'est pas propriétaire de son produit (et ce n'est pas toujours prévu dans le contrat)5. Le commercial fait également signer au client un deuxième contrat de crédit-bail (autrement dit une location avec option d'achat), sur 24 à 60 mois 6. Celui-ci finance le produit (même virtuel tel une site marchand) par mensualité de 100 à 500 euros. Le contrat d'exploitation du produit est revendu sous 48 heures au leaser (organisme de crédit-bail), qui commence immédiatement à prélever le compte du client, qui n'en avait parfois jamais entendu parler7. 7
Internet: Les escroqueries sur internet sont très nombreuses et variées. L'hameçonnage (phishing) : certains pourriels (spam) sur internet incitant à collaborer à des transferts d'argent ou communiquer ses données bancaires sous prétexte de vérification en se faisant passer pour une banque ou une société ayant pignon sur rue (hameçonnage) ou acheter d'obscurs titres cotés en bourse afin de faire monter leur cours au profit d'un escroc qui pourra les vendre au prix fort (agiotage ou bouilloire). Escroquerie par petites annonces En demandant l'envoi d'argent par mandat cash urgent par exemple Sur les sites de rencontre (arnaque nigériane) 8
En téléphonie mobile: De nouvelles formes d'escroquerie sont apparues concernant les téléphones mobiles, avec en particulier le spam par SMS, consistant à inciter par SMS à rappeler un numéro surtaxé (en 0899), ou encore le «ping call», un appel d'une seule sonnerie ne laissant pas le temps de décrocher, que rappellent environ 20% des destinataires8 qui n'ont pas conscience qu'il s'agit en fait d'un numéro surtaxé9. 9
CARAMBOUILLE Escroquerie consistant à revendre au plus vite une marchandise qu'on n'a pas payée Escroquerie, vol qui consiste à livrer des marchandises de toutes espèces et ne payer que première traite (banqueroute frauduleuse) L'achat à crédit ( sous un faux nom dans le roman) de marchandises que l'on liquide ensuite très rapidement. Dans la description qu'en fait l'auteur, la facilité avec laquelle on peut emprunter une fausse identité à partir de l'acte de naissance d'un individu décédé, est assez surprenante et permise (entre autres) par la séparation des deux registres, celui des naissances et celui des décès. Une carambouille, est, familièrement, un type d'escroquerie qui consiste, pour un individu, à vendre un bien mobilier ou immobilier qui ne lui appartient pas. Par exemple, un individu vend au comptant une marchandise achetée à crédit puis s évanouit dans la nature sans la payer le jour de l échéance. 10
Usurpation d'identité Description L usurpation d identité débute toujours par la collecte de renseignements personnels sur la victime. Les renseignements personnels peuvent être le nom, le numéro de téléphone, la date de naissance, la filiation, l adresse, le numéro d assurance sociale, le numéro de carte de crédit, le mot de passe de carte de crédit ou de débit ou toute autre information permettant d identifier la personne. La victime de l'usurpation d'identité reste vivante, et possède donc la faculté de défendre ses droits. Les usurpateurs utilisent ensuite ces informations pour effectuer une ou plusieurs transactions en simulant l identité de la personne fraudée. Par exemple, un fraudeur peut : - ouvrir un compte bancaire et contracter des crédits dont il n'aura pas à assumer le remboursement, - ouvrir des lignes téléphoniques et ne jamais payer les communications, - retirer de l argent du compte en banque de sa victime, - épouser une personne, avoir des enfants sans en assumer les responsabilités - toucher des indemnités en lieu et place du titulaire réel (retraite, allocations sociales, etc) - dissimuler sa responsabilité pénale - ne pas assumer les actes de la vie courante en se dé-responsabilisant - etc. Le coût de la criminalité identitaire est tres important pour un état. En france il a été estimé en 2010 à 20 milliards d'euros lors d'une enquete de l'inspection générale de l'administration. Rien que la fraude à l'unedic, le montant du préjudice atteint au minimum 4 milliards d'euros (rapport du député Dominique Tian). Le préfet Michel Bergue, directeur 11
de projet et de lutte contre la fraude documentaire, a déclaré le 24/03/2011 au cours d'une réunion du Réso-Club1 que 70 à 80% des usurpations d'identité étaient le fait d'étrangers et que le lien entre la criminalité identitaire et l'émigration n'était plus à démontrer. Le CREDOC2 a publié une étude en octobre 2009 revelant qu'il y avait 210.000 victimes par an en 2009 http://www.leparisien.fr/societe/usurpation-d- identite-un-risque-eleve-pour-les-francais-07-10- 2011-1642602.php (213.000 en 2010http://www. lefigaro.fr/actualite-france/2011/10/05/01016-20111005artfig00700-usurpation-d-identite-lesfrancais-inquiets.php) de la criminalité identitaire en France, sur la base d'un sondage statistique sur 2000 personnes. Par ailleurs, il y a eu 12.000 interpellations aux frontières en 2010 pour port de faux documents, et 80.000 procédures de recherche pour des "alias". Armand Riberolles, magistrat et inspecteur général de l'administration a dénombré pour l'état 2500 cas d'usurpation d'identité en 2010 aux mains de la justice française. L'estimation du CREDOC semble donc raisonnable. Précisons néanmoins que l'étude a été commandée et financée par la société Fellowes, un fournisseur américain d'équipements de bureau, qui offre dans son catalogue des broyeurs de papier. Infractions connexes Vol d'identité Le vol d'identité suppose un acte criminel connexe. La victime, décédée, n'est plus en mesure de recouvrer ses droits. Elle est généralement enterrée avec l'identité de quelqu'un d'autre. En cas de vol d'identité, on observe plusieurs types de cas : des 12
usurpateurs prennent la place de la victime ou le cadavre de la victime sert à confirmer le décès d'une personne qui souhaite disparaitre. Il ne faut donc pas confondre le vol d'identité et l'usurpation d'identité. Les cas sont rares mais ils existent : Jehanne d'arc versus Jeanne des Armoises, Louis XVII versus Carl Wilhelm Naundorff, la grande duchesse Anastasia Romanov versus Franziska Schanzkowska, le tsarevitch Alexis Romanov versus Michael Goleniewski. À ce jour le cas le plus spectaculaire non encore résolu concernerait Napoléon Bonaparte. Un historien français émet l'hypothèse que le corps présent dans le porphyre des Invalides serait en réalité celui de Jean-François Cippriani (fidèle serviteur de Napoléon décédé quelques jours plus tôt) et que Bonaparte se serait évadé de Sainte- Hélène pour finir sa vie aux Etats-Unis sous une fausse identité. Substitution d'identité la substitution d'identité est l'échange d'une identité avec une personne consentante, généralement en situation régulière sur un territoire. Il s'agit pour certains : d'être embauché sous une identité en règle (pas forcément réelle) au regard de l'administration, et de travailler à plusieurs sous cette identité de passer un examen à la place du titulaire de passer une visite médicale d'aptitude ou de réforme à la place du titulaire On estime que cela représente de 1 à 7% des embauches selon les secteurs. Les secteurs les plus touchés par cette infraction sont le nettoyage, la restauration, le BTP. Dans son livre ALIAS, Christophe Naudin, criminologue spécialisé dans les questions d'identité, distingue les substitutions post 13
mortem (revente des papiers d'un mort après disparition de son corps), des substitutions in vivo. Usage d'identité fictive[modifier] L'usage d'une identité fictive, c'est utiliser une identité qui n'existe pas, en principe. L'identité fictive est en voie de disparition, car elle est facile à détecter. Si elle a constitué 80% des cas dans les années 1980/1990, elle a été abandonnée par les réseaux criminels, étant facilement détectable. Attention : en anglais, usurpation d'identité se traduit par le terme «Identity theft» («vol d'identité» en traduction littérale). Ne pas confondre ces deux notions. Aspect juridique En France Article connexe : Droit en France. En France, l'usurpation d'identité avant 2011 est, dans certaines circonstances3, un délit pénal qui peut être sanctionné de 5 ans d'emprisonnement et de 75 000 euros d'amende comme le précise l'article 434-23 Légifrance du Code pénal4. L'usurpation d'identité s'oppose à : l'usage d'une identité fictive; la substitution d'identité au vol d'identité. Juridiquement, il ne faut pas mélanger l'usurpation d'identité avec l'usage de faux documents, ou celui d'une fausse qualité. Les incriminations sont différentes et peuvent se cumuler. La loi LOPPSI, du 14 mars 2011, crée deux infractions pénales concernant l'usurpation d'identité numérique : après l article 226-4 du code pénal, elle ajoute un article 226-4-1 ainsi rédigé : «- Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de 14
l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 d'amende.» «- Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne.» Le Forum des droits sur l'internet n'est pas hostile à cette proposition mais relève l'imprécision de la rédaction proposée5. Lors du débat de la LOPPSI 2, Catherine Vautrin, vice-présidente de l'assemblée nationale avait présenté en octobre 2010 un amendement demandant la sanction d'une année de prison et de 15 000 euros d'amende pour toute personne reconnue coupable d'usurpation d'identité, par les biais les plus classiques ou par les moyens numériques. Le 17/12/2010, l'intervention de Christian Vanneste, député du Nord, a eu pour conséquence d'aggraver les sanctions à 2 ans d'emprisonnement et 20 000 euros d'amende6. Malheureusement, la modification de l'article 99 prévoyant la correction des mentions de l'état civil avec reprise de l'état initial du document avant l'usurpation n'a pas été adopté par les sénateurs, ce qui fait que l'amendement a été voté en 2010 sans cette partie essentielle selon mademoiselle Dalila Bouhezila, présidente de l'association des victimes d'usurpation d'identité. L'article 2 qui réprime l'usurpation d'identité est donc adopté modifié. La première modification est apportée par l'amendement n 37 : il prévoit d'étendre le délit d'usurpation d'identité et les peines prononcées aux tentatives d'escroquerie découlant de l'usurpation d'identité d'une entité, telle qu'une banque ou un opérateur de communications électroniques (pratique dite de «phishing ou 15
hameçonnage» sur Internet). Un autre amendement (122 rectifié8), présenté par Christian Vanneste (UMP, Nord), alourdit la répression de l'usurpation d'identité en punissant ce délit de deux ans d'emprisonnement et de 20 000 euros d'amende, contre un an et 15 000 euros auparavant. Il est adopté par les députés contre l'avis du rapporteur Éric Ciotti et du gouvernement. Techniques d'usurpation d identité usurpation de l'identité administrative Les principales techniques utilisées par les fraudeurs pour obtenir des renseignements personnels sont : Le vol : les porte-monnaie, les sacs à main, les portedocuments, les ordinateurs et le courrier résidentiel contiennent une grande quantité de renseignements personnels ; Le vol dans les boites aux lettres : permet d'obtenir des moyens de paiement (CB, chéquier), des relevés d'identités bancaires, des factures. Tout cela s'avère très utile aux usurpateurs pour obtenir des crédits. La fouille de poubelle : on peut y trouver des relevés bancaires, des relevés de carte de crédit, des factures, des propositions de cartes de crédit ; usurpation d'identité numérique[modifier] La voie numérique ou informatique est de loin la moins utilisée. Voir enquete CREDOC et CSA. La subtilisation de mots de passe : il est possible de voler un mot de passe en regardant par-dessus l épaule d un individu qui écrit son mot de passe sur un clavier, en installant une caméra dans un endroit stratégique ou en utilisant un enregistreur de frappe ; L'intrusion locale sur le navigateur : il est possible à un intrus de reprendre une session sur un site quand l'utilisateur a simplement fermé l'onglet où il opérait, 16
en utilisant l'historique du navigateur. L'intrus local peut alors accéder aux informations du profil, les modifier, les détourner etc. et usurper l'identité de l'utilisateur légitime. L'usurpateur peut librement effectuer des transactions au détriment de l'utilisateur légitime. L écoute électronique : des fraudeurs peuvent placer des appareils d écoute entre un terminal de validation de cartes de crédit et le réseau de communications pour capter les numéros de carte de crédit et les mots de passe des acheteurs ; L hameçonnage (ou phishing): il consiste à simuler des messages électroniques de compagnies légitimes qui demandent des informations personnelles au receveur ; évidemment, les réponses des répondeurs naïfs sont reçues par des fraudeurs qui utilisent ensuite ces informations pour frauder leurs victimes ; Les escroqueries par téléphone : des fraudeurs se font passer pour des fonctionnaires, des enquêteurs ou des employés de compagnies légitimes pour soutirer des renseignements personnels. Assurance contre les frais reliés à l usurpation d identité Canada Certaines compagnies d assurance offrent des assurances contre les pertes occasionnées par l usurpation d identité. Ces assurances coûtent habituellement entre 20 $ et 50 $ par année au Canada. Elles sont parfois incluses dans des assurances-habitation. Les pertes couvertes par ces assurances incluent habituellement : 17
le remboursement des frais chargés frauduleusement aux cartes de crédit et de débit ; un service d assistance pour effectuer les diverses démarches administratives pour déclarer l usurpation d identité, rétablir son crédit, obtenir de nouvelles cartes de crédit et de débit, et obtenir d'autres documents au besoin ; le remboursement des frais encourus (incluant les pertes de salaire) pour effectuer les procédures décrites dans la section précédente ; une assistance juridique, au besoin. Une étude effectuée par le Centre pour la défense de l intérêt public (organisme canadien de défense des consommateurs) indique que ces assurances ont peu d avantages pour les raisons suivantes : les frais chargés frauduleusement aux cartes de crédit et de débit sont assumés par les compagnies émettrices des cartes dans les cas d usurpation d identité ; bien que l usurpation d identité entraîne des frustrations et des ennuis réels, les frais associés à ces vols sont habituellement minimes ; les remboursements de pertes de salaire sont plafonnés à un montant assez bas, de l ordre de 1 000 $ ; le manque de transparence des contrats de d assurance contre les frais reliés à l usurpation d identité. les conditions tres restrictives de prise en charge en fonction de l'infraction considérée (pas de prise en charge quand l'usurpation est le fait d'un membre de la famille proche ou éloigné, ce qui constitue déjà 80% des cas en Europe). comme pour tous les contrats d'assistance juridique, les négociations des compagnies d'assurance avec 18
des cabinets d'avocats sont minimalistes, donc le service rendu au client est évidemment minimal Le Centre ne recommande donc pas de prendre une telle assurance ni de donner une pondération importante à ce critère dans le choix d une assurance-habitation. Le Centre insiste toutefois énormément sur l'importance de la prévention pour se protéger des usurpations d'identité. De plus, dans les cas d usurpation d identité, votre institution financière vous fournira, habituellement sans frais, des conseils et de l assistance pour effectuer les démarches nécessaires. France En France, plusieurs groupes d'assurance essayent de lancer un produit lié à la protection contre l'usurpation d'identité : Gras savoye, Groupama, et Affinion International. 19
Hameçonnage Le hameçonnage, ou phishing, et rarement filoutage1, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance banque, administration, etc. afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. Elle peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques. les criminels informatiques utilisent généralement le hameçonnage pour voler de l'argent. Les cibles les plus courantes sont les services bancaires en ligne, les fournisseurs d'accès Internet et les sites de ventes aux enchères tels qu'ebay et Paypal. Les adeptes du hameçonnage envoient habituellement des courriels à un grand nombre de victimes potentielles. Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance et sont formulés de manière à alarmer le destinataire afin qu'il effectue une action en conséquence. Une approche souvent utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page Web qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page falsifiée, l'utilisateur est invité à saisir des 20
informations confidentielles qui sont alors enregistrées par le criminel. En 2007, ces criminels informatiques ont changé de technique, en utilisant un moyen de piratage appelé attaque de l'homme du milieu pour recueillir les informations confidentielles données par l'internaute sur le site visité. Il existe différentes variantes du hameçonnage. On notera le spear phishing et le in-session phishing qui sont respectivement le hameçonnage ciblé (notamment à l'aide des réseaux sociaux) et le hameçonnage de session (basé sur des pop-up pendant la navigation). 21
Enregistreur de frappe En informatique, un enregistreur de frappe (en anglais, keylogger) est un équipement ou un logiciel qui espionne électroniquement l'utilisateur d'un ordinateur. Les enregistreurs de frappes peuvent êtres légitimes ou malveillants, la séparation entre les deux étant assez floue. Dans tous les cas, il peut enregistrer les touches saisies au clavier, réaliser des captures d'écran, lister les actions de l'utilisateur et les applications actives, puis transmettre régulièrement les informations obtenues à l'individu mal intentionné, via un réseau ou des ondes électromagnétiques. Les enregistreurs de frappes malveillants intègrent généralement des technologies de dissimulation de l'activité, afin d'empêcher la découverte manuelle ou par un logiciel antivirus de leurs activités. De par leurs caractéristiques, ils peuvent être catégorisés comme des chevaux de Troie ou des logiciels espions. Il existe diverses solutions pour prévenir et lutter contre ce type de menace. 22
Hacker Hacker est à l'origine un mot anglais signifiant «bricoleur», «bidouilleur», utilisé pour désigner en informatique les programmeurs astucieux et débrouillards. Plus généralement il désigne le possesseur d'une connaissance technique lui permettant de modifier un objet ou un mécanisme pour l'améliorer ou lui faire faire autre chose que ce qui était initialement prévu. Hacker a différentes significations dans plusieurs domaines et contextes, et est aussi le nom de différentes publications. Hacker est un mot très souvent mal utilisé. Dans sa signification relayée par les médias de masse, il se réfère aux Black Hats (Crackers ou autres pirates informatiques). Ce terme a cependant de multiples significations, et n'est que rarement péjoratif : Hacker (sécurité informatique), une personne maîtrisant les mécanismes de sécurité informatique. Il est chargé à la base de trouver et corriger les failles de réseaux en essayant de s'y introduire par effraction. Il y a donc une catégorie pour chaque hacker : Black Hat, un hacker qui pénètre par effraction dans des systèmes ou des réseaux dans un objectif souvent personnel. Celui-ci essaie à tout prix de récupérer ce qu'il veut, peu importe les dégâts pourvu que son action se déroule le plus rapidement possible. White Hat, un hacker qui pénètre des systèmes ou des réseaux dans l'objectif d'aider les propriétaires du système à mieux le sécuriser. Généralement celui-ci préfère demander au préalable une autorisation spéciale, mais d'autres préfèrent garder 23
l'anonymat ou se montrer via le nom d'une communauté publique ou anonyme spécialisée ou non dans le domaine de la sécurité informatique le plus souvent discret, comme entre autres: WHC (White Hats Community), Lyaron Corp (Réseau local uniquement), I-Project Devs & Multimedia (Publique sous le nom de Celestial Shadow). D'une manière générale, le White hat partage volontiers ses connaissances. Grey Hat, un hacker hybride entre les White Hat et Black Hat. On peut le définir comme un agent double : il peut aider (bénévolement, ou pas) à sécuriser divers réseaux, mais aussi à en exploiter d'autres... Autres termes liés ou non à la sécurité informatique : Script kiddie, qui est généralement perçu à tort par l'opinion générale comme étant un hacker, souvent jeune, pénétrant par effraction des systèmes généralement pour se vanter auprès de ses amis en utilisant des programmes écrits par d'autres, n'ayant pas les compétences pour développer ses propres outils. Pour les communautés underground, le script kiddie est très dénigré et n'est pas un hacker mais un lamer (l'exact contraire, soit un individu dénué de toute compétence en informatique). Hacker (université), un hacker universitaire, de nos jours lié généralement au logiciel libre ou au mouvement des logiciels libres ou «open source.» un hacker du mouvement d'amateur d'ordinateur personnel, mouvement originaire du Homebrew Computer Club. Un joueur de NetHack, et d'autres jeux Rogue-like. Honker, ou hacker rouge, un internaute chinois défendant la ligne officielle sur les forums en Chine. 24