S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

La CAF victime d’une vague de phishing, la LOPPSI en question

Faire gaffe à la CAF

La Caisse d’Allocations Familiales est actuellement victime d’une vague d’attaques par phishing. Une excellente occasion de voir l'impact que pourra avoir la LOPPSI qui tente justement d'incriminer ce genre d'actes.

Un email prétexte une dette de 161,82 euros au profit de l’assuré pour inciter celui-ci à visiter un site contrefaisant. Là, l’internaute est invité à saisir ses coordonnées. Il peut d’ailleurs entrer n’importe quoi (« Babar » à la place du code postal ou du numéro d’allocataire…).

CAF phishing escroquerie arnaque mail

La page suivante a un traitement nettement plus intrusif puisqu’il est demandé toutes les coordonnées bancaires de l’assuré et spécialement le numéro de CB, la date de validité et le cryptogramme visuel du moyen de paiement, et ce, au prétexte de procéder au virement des 161,82 euros. La campagne est presque identique à celle initiée en octobre 2009, la somme proposée étant alors de plus de 300 euros à l'époque.

Réaction de la CAF

De son côté, la CAF explique sans mal « qu’il s’agit d’une escroquerie : l’émetteur de ce courriel n’est pas votre caisse d’Allocations familiales. Ce courriel est frauduleux ». Si vous avez communiqué les informations personnelles et bancaires à l’auteur du message, la Caisse recommande de prévenir « rapidement votre banque pour faire opposition si vous avez communiqué votre numéro de carte bancaire » puis « votre Caf pour qu’elle vous change votre code confidentiel pour l’accès à la rubrique « Mon Compte » du site Caf.fr. Votre CAF vous transmettra un nouveau code confidentiel ».

L'inadéquation de la LOPPSI

Cet exemple récent devrait inciter un peu plus les sénateurs à voter l'article 2 du projet de loi LOPPSI. Celui-ci vise justement à combattre ces actes de phishing (*). Mais ne nous y trompons pas. Si le texte en question vise à combattre ces actes de phishing le choix n'a pas été de cibler chirurgicalement ces actes. Les rédacteurs ont préféré opté pour l’artillerie vague, donc lourde et dangereuse.

En l’état actuel des choses, la LOPPSI punit de 1 an de prison et 15 000 euros, le fait de faire usage « de l’identité d’un tiers » mais également « de données de toute nature permettant de l’identifier » lorsque ces actes ont été faits « en vue de troubler la tranquillité de cette personne ou d’autrui », ou « de porter atteinte à son honneur ou à sa considération. » Pour le coup, il y a bien usage de l'identité de la CAF et un acte qui "trouble sa tranquillité".

Cependant, comme l'ont expliqué dans l’hémicycle les partisans de ce texte, cette rédaction va sanctionner outre le phishing, le simple fait de taguer une photo sur Facebook : il y a là encore usage d'une donnée permettant d'identifier un tiers (un nom appliqué sur une photo), et cela peut troubler sa tranquillité. On peut étendre encore plus loin la portée de ce texte si par exemple une vidéo identifiant un ministre rigolant sur les Auvergnats en surnombre venait à être bombardée sur le web : identification d’une personne et tranquillité troublée. 1 an de prison, 15 000 euros d'amende.

La LOPPSI permettra donc de réprimer les actes dont a été victime la CAF, comme ici, mais aussi bien d'autres comportements sur le web sans limite particulière.

(*) Exemple du député Jean Christophe Lagarde durant les débats LOPPSI : Je souhaite profiter de ce débat pour réaffirmer que l’Internet est certes un outil de grande liberté, mais aussi un outil dont certaines multinationales abusent, ce contre quoi les citoyens doivent être protégés, ainsi qu’un outil utilisé par les criminels pour démultiplier leur capacité à enfreindre la loi, à escroquer leurs concitoyens ou à usurper leur identité à des fins délictueuses. Il est donc logique que le législateur se penche sur ce sujet »
Marc Rees

Journaliste, rédacteur en chef

Publiée le 19/02/2010 à 09:29

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 84 commentaires

Avatar de boosk INpactien
boosk Le vendredi 19 février 2010 à 11:47:11
Inscrit le vendredi 26 mai 06 - 35 commentaires



Edité par boosk le vendredi 19 février 2010 à 11:47
Avatar de yeti62 INpactien
yeti62 Le vendredi 19 février 2010 à 11:48:17
Inscrit le mercredi 15 juillet 09 - 7438 commentaires

+1.

Doublon?
Avatar de Chrisrc01 INpactien
Chrisrc01 Le vendredi 19 février 2010 à 11:48:56
Inscrit le samedi 4 octobre 08 - 1434 commentaires
Il y'a le sitehttp://www.impots.gouv.fr/portal/dgi/home?pageId=home&sfid=00 qui fais du phishing et de l'escroquerie mais là t'es obligé de donner
Avatar de CrazyCaro INpactienne
CrazyCaro Le vendredi 19 février 2010 à 11:49:24
Inscrite le lundi 14 mai 07 - 554 commentaires
@ boosk : Je ne suis pas sûre que la CAF ait son propre service informatique, je crois qu'ils font exclusivement appel à des sous-traitants...

Edité par CrazyCaro le vendredi 19 février 2010 à 11:49
Avatar de geekounet85 INpactien
geekounet85 Le vendredi 19 février 2010 à 11:50:47
Inscrit le mercredi 9 juin 04 - 8092 commentaires
Ce type de phishing à la Caf n'est pas nouveau, je les avais
averti en novembre 2009 du problème pour en avoir reçu un à peine inscrit.
Au guichet on m'a répondu qu'il était au courant du problème depuis quelques semaines... après s'ils ne font rien pour l'empêcher... ou alors ils attendaient la lopsi pour les sauver

1 - les clients/assurés préviennent le guichet.
2 - le guichet prévient son chef
3 - le chef prévient (éventuellement) son directeur
4 - le directeur fait une réunion
5 - le chef prévient le service informatique
6 - le service informatique dit que ce n'est pas de son ressort
7 - ça tourne un peu dans la CAF
8 - le service informatique prévient les autorités nationales
9 - les autorités tests des trucs
10 - le blocage est actif (éventuellement)



on en est au 2.

Edité par geekounet85 le vendredi 19 février 2010 à 11:51
Avatar de Chrisrc01 INpactien
Chrisrc01 Le vendredi 19 février 2010 à 11:50:49
Inscrit le samedi 4 octobre 08 - 1434 commentaires
@ boosk : Je ne suis pas sûre que la CAF ait son propre service informatique, je crois qu'ils font exclusivement appel à des sous-traitants...


openoffice.org pour la sécurité en effet
Avatar de trash54 INpactien
trash54 Le vendredi 19 février 2010 à 11:50:55
Inscrit le mardi 13 septembre 05 - 6214 commentaires
Je tente :
Bon, j'en ai un peu chié et je ne suis même pas sûr d'avoir bien retranscrit [strike]sa pensée[/strike] ses propos.
Mais ces derniers étant à la limite de l'incompréhensibilité, je pense qu'on ne m'en tiendra pas trop rigueur


j'ai cru aussi comprendre dans ses propos que c'était souvent le datacenter de OVH.COM

traduction compréhension non 100% certified
Avatar de boosk INpactien
boosk Le vendredi 19 février 2010 à 11:58:59
Inscrit le vendredi 26 mai 06 - 35 commentaires

yep désolé


@ Chrisrc01 :
oui c'est sur mais si les "sous traitants" font rien en étant au courant... ou si la caf ne leur fait pas le retour de l'info s'est pas près de s'arrêter.





Edité par boosk le vendredi 19 février 2010 à 12:03
Avatar de boosk INpactien
boosk Le vendredi 19 février 2010 à 12:02:37
Inscrit le vendredi 26 mai 06 - 35 commentaires
1 - les clients/assurés préviennent le guichet.
2 - le guichet prévient son chef
3 - le chef prévient (éventuellement) son directeur
4 - le directeur fait une réunion
5 - le chef prévient le service informatique
6 - le service informatique dit que ce n'est pas de son ressort
7 - ça tourne un peu dans la CAF
8 - le service informatique prévient les autorités nationales
9 - les autorités tests des trucs
10 - le blocage est actif (éventuellement)

on en est au 2.


Malheureusement
Avatar de Commentaire_supprime INpactien
Commentaire_supprime Le vendredi 19 février 2010 à 12:03:10
Inscrit le vendredi 31 octobre 08 - 27132 commentaires
Ce type de phishing à la Caf n'est pas nouveau, je les avais averti en novembre 2009 du problème pour en avoir reçu un à peine inscrit.
Au guichet on m'a répondu qu'il était au courant du problème depuis quelques semaines... après s'ils ne font rien pour l'empêcher...


La CAF, faire quelque chose avec moins de 3 rappels et 6 mois de délai ? Tu rêves !

Ah si : des conneries... Là, ils sont très rapides...


Edité par Commentaire_supprime le vendredi 19 février 2010 à 12:03
;