La CAF victime d’une vague de phishing, la LOPPSI en question
Faire gaffe à la CAF
La Caisse d’Allocations Familiales est actuellement victime d’une vague d’attaques par phishing. Une excellente occasion de voir l'impact que pourra avoir la LOPPSI qui tente justement d'incriminer ce genre d'actes.
Un email prétexte une dette de 161,82 euros au profit de l’assuré pour inciter celui-ci à visiter un site...La Caisse d’Allocations Familiales est actuellement victime d’une vague d’attaques par phishing. Une excellente occasion de voir l'impact que pourra avoir la LOPPSI qui tente justement d'incriminer ce genre d'actes.
Un email prétexte une dette de 161,82 euros au profit de l’assuré pour inciter celui-ci à visiter un site contrefaisant. Là, l’internaute est invité à saisir ses coordonnées. Il peut d’ailleurs entrer n’importe quoi (« Babar » à la place du code postal ou du numéro d’allocataire…).
La page suivante a un traitement nettement plus intrusif puisqu’il est demandé toutes les coordonnées bancaires de l’assuré et spécialement le numéro de CB, la date de validité et le cryptogramme visuel du moyen de paiement, et ce, au prétexte de procéder au virement des 161,82 euros. La campagne est presque identique à celle initiée en octobre 2009, la somme proposée étant alors de plus de 300 euros à l'époque.
Réaction de la CAF
De son côté, la CAF explique sans mal « qu’il s’agit d’une escroquerie : l’émetteur de ce courriel n’est pas votre caisse d’Allocations familiales. Ce courriel est frauduleux ». Si vous avez communiqué les informations personnelles et bancaires à l’auteur du message, la Caisse recommande de prévenir « rapidement votre banque pour faire opposition si vous avez communiqué votre numéro de carte bancaire » puis « votre Caf pour qu’elle vous change votre code confidentiel pour l’accès à la rubrique « Mon Compte » du site Caf.fr. Votre CAF vous transmettra un nouveau code confidentiel ».
L'inadéquation de la LOPPSI
Cet exemple récent devrait inciter un peu plus les sénateurs à voter l'article 2 du projet de loi LOPPSI. Celui-ci vise justement à combattre ces actes de phishing (*). Mais ne nous y trompons pas. Si le texte en question vise à combattre ces actes de phishing le choix n'a pas été de cibler chirurgicalement ces actes. Les rédacteurs ont préféré opté pour l’artillerie vague, donc lourde et dangereuse.
En l’état actuel des choses, la LOPPSI punit de 1 an de prison et 15 000 euros, le fait de faire usage « de l’identité d’un tiers » mais également « de données de toute nature permettant de l’identifier » lorsque ces actes ont été faits « en vue de troubler la tranquillité de cette personne ou d’autrui », ou « de porter atteinte à son honneur ou à sa considération. » Pour le coup, il y a bien usage de l'identité de la CAF et un acte qui "trouble sa tranquillité".
Cependant, comme l'ont expliqué dans l’hémicycle les partisans de ce texte, cette rédaction va sanctionner outre le phishing, le simple fait de taguer une photo sur Facebook : il y a là encore usage d'une donnée permettant d'identifier un tiers (un nom appliqué sur une photo), et cela peut troubler sa tranquillité. On peut étendre encore plus loin la portée de ce texte si par exemple une vidéo identifiant un ministre rigolant sur les Auvergnats en surnombre venait à être bombardée sur le web : identification d’une personne et tranquillité troublée. 1 an de prison, 15 000 euros d'amende.
La LOPPSI permettra donc de réprimer les actes dont a été victime la CAF, comme ici, mais aussi bien d'autres comportements sur le web sans limite particulière.
(*) Exemple du député Jean Christophe Lagarde durant les débats LOPPSI : Je souhaite profiter de ce débat pour réaffirmer que l’Internet est certes un outil de grande liberté, mais aussi un outil dont certaines multinationales abusent, ce contre quoi les citoyens doivent être protégés, ainsi qu’un outil utilisé par les criminels pour démultiplier leur capacité à enfreindre la loi, à escroquer leurs concitoyens ou à usurper leur identité à des fins délictueuses. Il est donc logique que le législateur se penche sur ce sujet »
Un email prétexte une dette de 161,82 euros au profit de l’assuré pour inciter celui-ci à visiter un site contrefaisant. Là, l’internaute est invité à saisir ses coordonnées. Il peut d’ailleurs entrer n’importe quoi (« Babar » à la place du code postal ou du numéro d’allocataire…).
La page suivante a un traitement nettement plus intrusif puisqu’il est demandé toutes les coordonnées bancaires de l’assuré et spécialement le numéro de CB, la date de validité et le cryptogramme visuel du moyen de paiement, et ce, au prétexte de procéder au virement des 161,82 euros. La campagne est presque identique à celle initiée en octobre 2009, la somme proposée étant alors de plus de 300 euros à l'époque.
Réaction de la CAF
De son côté, la CAF explique sans mal « qu’il s’agit d’une escroquerie : l’émetteur de ce courriel n’est pas votre caisse d’Allocations familiales. Ce courriel est frauduleux ». Si vous avez communiqué les informations personnelles et bancaires à l’auteur du message, la Caisse recommande de prévenir « rapidement votre banque pour faire opposition si vous avez communiqué votre numéro de carte bancaire » puis « votre Caf pour qu’elle vous change votre code confidentiel pour l’accès à la rubrique « Mon Compte » du site Caf.fr. Votre CAF vous transmettra un nouveau code confidentiel ».
L'inadéquation de la LOPPSI
Cet exemple récent devrait inciter un peu plus les sénateurs à voter l'article 2 du projet de loi LOPPSI. Celui-ci vise justement à combattre ces actes de phishing (*). Mais ne nous y trompons pas. Si le texte en question vise à combattre ces actes de phishing le choix n'a pas été de cibler chirurgicalement ces actes. Les rédacteurs ont préféré opté pour l’artillerie vague, donc lourde et dangereuse.
En l’état actuel des choses, la LOPPSI punit de 1 an de prison et 15 000 euros, le fait de faire usage « de l’identité d’un tiers » mais également « de données de toute nature permettant de l’identifier » lorsque ces actes ont été faits « en vue de troubler la tranquillité de cette personne ou d’autrui », ou « de porter atteinte à son honneur ou à sa considération. » Pour le coup, il y a bien usage de l'identité de la CAF et un acte qui "trouble sa tranquillité".
Cependant, comme l'ont expliqué dans l’hémicycle les partisans de ce texte, cette rédaction va sanctionner outre le phishing, le simple fait de taguer une photo sur Facebook : il y a là encore usage d'une donnée permettant d'identifier un tiers (un nom appliqué sur une photo), et cela peut troubler sa tranquillité. On peut étendre encore plus loin la portée de ce texte si par exemple une vidéo identifiant un ministre rigolant sur les Auvergnats en surnombre venait à être bombardée sur le web : identification d’une personne et tranquillité troublée. 1 an de prison, 15 000 euros d'amende.
La LOPPSI permettra donc de réprimer les actes dont a été victime la CAF, comme ici, mais aussi bien d'autres comportements sur le web sans limite particulière.
(*) Exemple du député Jean Christophe Lagarde durant les débats LOPPSI : Je souhaite profiter de ce débat pour réaffirmer que l’Internet est certes un outil de grande liberté, mais aussi un outil dont certaines multinationales abusent, ce contre quoi les citoyens doivent être protégés, ainsi qu’un outil utilisé par les criminels pour démultiplier leur capacité à enfreindre la loi, à escroquer leurs concitoyens ou à usurper leur identité à des fins délictueuses. Il est donc logique que le législateur se penche sur ce sujet »
Le 19 février 2010 à 09:29
(25 638
lectures)
Soutenez l'indépendance de PC INpact en devenant Premium
- Tout le contenu de PC INpact sans pub
- Et bien plus encore...
Il y a 84 commentaires
INpactien
huskie
Le vendredi 19 février 2010 à 12:47:17
#51
Inscrit
le mercredi 20 avril 05
-
29925
commentaires
ceux qui se sont fait avoir, ils avaient CAF ère attention
Ouais, n'empêche que c'est CAFkaien, c'te histoire. Mais CAFait la police????
INpactien
Au delà du fait qu'il fallait être con pour tomber dans le panneau de cette arnaque là en particulier, que se passe-t-il en cas d'arnaque plus crédible ?
Au final, c'est un très bon argument pour imposer LOPPSI, et un LOPPSI light n'attaquant que le phising pourrait être vu comme déployer toute une machinerie pour ne s'en servir qu'à moitié.
Au final, c'est un très bon argument pour imposer LOPPSI, et un LOPPSI light n'attaquant que le phising pourrait être vu comme déployer toute une machinerie pour ne s'en servir qu'à moitié.
INpactien
trash54
Le vendredi 19 février 2010 à 13:30:45
#53
Inscrit
le mardi 13 septembre 05
-
4821
commentaires
La CAF, faire quelque chose avec moins de 3 rappels et 6 mois de délai ? Tu rêves !
Ah si : des conneries... Là, ils sont très rapides...
les conneries ils arrivent même à les faire par anticipation
INpactien
Ouais, n'empêche que c'est CAFkaien, c'te histoire. Mais CAFait la police????
CAF toi, pov'c
INpactien
Jonathan Livingston
Le vendredi 19 février 2010 à 13:43:32
#55
Inscrit
le mardi 22 juillet 08
-
480
commentaires
Ce type de phishing à la Caf n'est pas nouveau, je les avais averti en novembre 2009 du problème pour en avoir reçu un à peine inscrit.
Au guichet on m'a répondu qu'il était au courant du problème depuis quelques semaines... après s'ils ne font rien pour l'empêcher... ou alors ils attendaient la lopsi pour les sauver
Au guichet on m'a répondu qu'il était au courant du problème depuis quelques semaines... après s'ils ne font rien pour l'empêcher... ou alors ils attendaient la lopsi pour les sauver
Et tu voudrais que la CAF fasse quoi ?
J'espère que tu as compris que ce message ne vient pas de chez eux, et que le site contrefait n'est pas chez eux mais plutôt en Russie ou ailleurs.
INpactien
yeti62
Le vendredi 19 février 2010 à 13:48:43
#56
Inscrit
le mercredi 15 juillet 09
-
7438
commentaires
INpactien
huskie
Le vendredi 19 février 2010 à 13:53:42
#57
Inscrit
le mercredi 20 avril 05
-
29925
commentaires
Sont cons quand même. 
Demander le numéro de CB des RéMIs qui sont interdits bancaires.
Demander le numéro de CB des RéMIs qui sont interdits bancaires.
INpactien
yeti62
Le vendredi 19 février 2010 à 13:57:31
#58
Inscrit
le mercredi 15 juillet 09
-
7438
commentaires
Sont cons quand même.
Demander le numéro de CB des RéMIs qui sont interdits bancaires.
Demander le numéro de CB des RéMIs qui sont interdits bancaires.
T'as oublié?
ça rapporte, de faire des gosses à la chaîne.
INpactien
cid_Dileezer_geek
Le vendredi 19 février 2010 à 14:30:57
#59
Inscrit
le lundi 16 mars 09
-
10312
commentaires
Ouais, n'empêche que c'est CAFkaien, c'te histoire. Mais CAFait la police????
Chuut, faut pas CAFter...(ripou inside)
INpactien
2show7
Le vendredi 19 février 2010 à 15:29:36
#60
Inscrit
le vendredi 24 juillet 09
-
7473
commentaires
Ca me donne le CAFard, et je CAFouille
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Insolite : un designer fâché par le diaporama hideux de PRISM
(42)
Leçon de présentation -
L'agent Ma-Config mis à jour pour se débarrasser de certains soucis
(14)
Fini les blocages avec certains antivirus -
Paul Thurrott affirme que Windows 8.1 sera disponible le 1er août
(12)
Un bêta test qui serait donc très court -
iTunes 11.0.4 remet à l'honneur les pochettes d'albums
(7)
Fini les demandes intempestives...
Comment profiter du nouveau Google Maps sans invitation
Les chats gouvernent Internet, cela passe donc par les cookies
-
Des GeForce GTX 770 à partir de 335,51 €
Valable jusqu'au 23 juin -
99,90 € pour un disque dur Toshiba de 3 To en S-ATA 6 Gb/s
Valable pendant 9 heures -
Une GeForce GTX 680 avec le jeu Metro Last Light pour 299,90 €
Valable jusqu'au 21 juin -
Un iPad 2 blanc de 16 Go pour 349 €
Valable jusqu'au 23 juin
