S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

La CAF victime d’une vague de phishing, la LOPPSI en question

Faire gaffe à la CAF

La Caisse d’Allocations Familiales est actuellement victime d’une vague d’attaques par phishing. Une excellente occasion de voir l'impact que pourra avoir la LOPPSI qui tente justement d'incriminer ce genre d'actes.

Un email prétexte une dette de 161,82 euros au profit de l’assuré pour inciter celui-ci à visiter un site contrefaisant. Là, l’internaute est invité à saisir ses coordonnées. Il peut d’ailleurs entrer n’importe quoi (« Babar » à la place du code postal ou du numéro d’allocataire…).

CAF phishing escroquerie arnaque mail

La page suivante a un traitement nettement plus intrusif puisqu’il est demandé toutes les coordonnées bancaires de l’assuré et spécialement le numéro de CB, la date de validité et le cryptogramme visuel du moyen de paiement, et ce, au prétexte de procéder au virement des 161,82 euros. La campagne est presque identique à celle initiée en octobre 2009, la somme proposée étant alors de plus de 300 euros à l'époque.

Réaction de la CAF

De son côté, la CAF explique sans mal « qu’il s’agit d’une escroquerie : l’émetteur de ce courriel n’est pas votre caisse d’Allocations familiales. Ce courriel est frauduleux ». Si vous avez communiqué les informations personnelles et bancaires à l’auteur du message, la Caisse recommande de prévenir « rapidement votre banque pour faire opposition si vous avez communiqué votre numéro de carte bancaire » puis « votre Caf pour qu’elle vous change votre code confidentiel pour l’accès à la rubrique « Mon Compte » du site Caf.fr. Votre CAF vous transmettra un nouveau code confidentiel ».

L'inadéquation de la LOPPSI

Cet exemple récent devrait inciter un peu plus les sénateurs à voter l'article 2 du projet de loi LOPPSI. Celui-ci vise justement à combattre ces actes de phishing (*). Mais ne nous y trompons pas. Si le texte en question vise à combattre ces actes de phishing le choix n'a pas été de cibler chirurgicalement ces actes. Les rédacteurs ont préféré opté pour l’artillerie vague, donc lourde et dangereuse.

En l’état actuel des choses, la LOPPSI punit de 1 an de prison et 15 000 euros, le fait de faire usage « de l’identité d’un tiers » mais également « de données de toute nature permettant de l’identifier » lorsque ces actes ont été faits « en vue de troubler la tranquillité de cette personne ou d’autrui », ou « de porter atteinte à son honneur ou à sa considération. » Pour le coup, il y a bien usage de l'identité de la CAF et un acte qui "trouble sa tranquillité".

Cependant, comme l'ont expliqué dans l’hémicycle les partisans de ce texte, cette rédaction va sanctionner outre le phishing, le simple fait de taguer une photo sur Facebook : il y a là encore usage d'une donnée permettant d'identifier un tiers (un nom appliqué sur une photo), et cela peut troubler sa tranquillité. On peut étendre encore plus loin la portée de ce texte si par exemple une vidéo identifiant un ministre rigolant sur les Auvergnats en surnombre venait à être bombardée sur le web : identification d’une personne et tranquillité troublée. 1 an de prison, 15 000 euros d'amende.

La LOPPSI permettra donc de réprimer les actes dont a été victime la CAF, comme ici, mais aussi bien d'autres comportements sur le web sans limite particulière.

(*) Exemple du député Jean Christophe Lagarde durant les débats LOPPSI : Je souhaite profiter de ce débat pour réaffirmer que l’Internet est certes un outil de grande liberté, mais aussi un outil dont certaines multinationales abusent, ce contre quoi les citoyens doivent être protégés, ainsi qu’un outil utilisé par les criminels pour démultiplier leur capacité à enfreindre la loi, à escroquer leurs concitoyens ou à usurper leur identité à des fins délictueuses. Il est donc logique que le législateur se penche sur ce sujet »
Marc Rees

Journaliste, rédacteur en chef

Publiée le 19/02/2010 à 09:29

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 84 commentaires

Avatar de 2show7 INpactien
2show7 Le vendredi 19 février 2010 à 16:56:03
Inscrit le vendredi 24 juillet 09 - 9696 commentaires
@ yeti62,

Je viens de remarquer que pour café, j'ai été 'grilled', mais je ne pouvais pas le voir puisque je n'avais pas appuyé sur F5 (en plus je suis souvent très lent à poster et malgré ça, des fautes passent parfois ) NO Windu, please

edit:

Edité par 2show7 le vendredi 19 février 2010 à 16:58
Avatar de windu.2b INpactien
windu.2b Le vendredi 19 février 2010 à 17:03:52
Inscrit le lundi 18 avril 05 - 34118 commentaires
@ yeti62,

Je viens de remarquer que pour café, j'ai été 'grilled', mais je ne pouvais pas le voir puisque je n'avais pas appuyé sur F5 (en plus je suis souvent très lent à poster et malgré ça, des fautes passent parfois ) NO Windu, please

edit:

Déstresse ! Y a pas d'fautes
Avatar de Patch INpactien
Patch Le vendredi 19 février 2010 à 17:06:19
Inscrit le vendredi 7 mai 04 - 27828 commentaires
Déstresse ! Y a pas d'fautes

[mode rien à voir]
je savais pas que la Corse était autant en avance sur la signalisation routière
[/mode rien à voir]
Avatar de windu.2b INpactien
windu.2b Le vendredi 19 février 2010 à 17:08:20
Inscrit le lundi 18 avril 05 - 34118 commentaires
[mode rien à voir]
je savais pas que la Corse était autant en avance sur la signalisation routière
[/mode rien à voir]

Avatar de 2show7 INpactien
2show7 Le vendredi 19 février 2010 à 17:11:59
Inscrit le vendredi 24 juillet 09 - 9696 commentaires
Déstresse ! Y a pas d'fautes


En ayant édité trois fois en tout, (du pot)
Avatar de paradise INpactien
paradise Le vendredi 19 février 2010 à 17:19:53
Inscrit le dimanche 10 avril 05 - 14117 commentaires
[mode rien à voir]
je savais pas que la Corse était autant en avance sur la signalisation routière
[/mode rien à voir]

C'est pareil en Crète, les panneaux sont criblés de balles (les autochtones sont tous armés, depuis la guerre et la résistance avec les Turcs).
Avatar de bibiwan14 INpactien
bibiwan14 Le vendredi 19 février 2010 à 20:53:08
Inscrit le lundi 27 décembre 04 - 517 commentaires
ca fait quelques semaines que je travaille dans un CNEDI (centre chargé de tous les dev de la caf) et en arrivant j'ai vite entendu parler du dossier... de manière très très rapide... et en fait, autour d'un café.

_"Il paraît qu'il y a eu du phishing sur la CAF"
_"Ah ! Et vous avez fait quoi contre ça?"
_"Rien"
_"Ah..."

Les communications par mail, on commence à peine à en faire. D'ailleurs pour tout ce qui concerne le Web, faut avouer qu'on en est qu'au tout début... Pour l'instant, uniquement des campagnes de mailing très sporadiques et qui parfois renvoient même sur une erreur 403 (massive failure ) on active petit à petit des simulations de prestations, et la signalisation de changement de situations ou trucs du genre.

En réalité, on bosse surtout pour les CAF elles mêmes,exemple type de projet : le RSA, sur lequel on a taffé pendant 7 mois, et qui représente à lui seul 72 années/homme en terme de durée de projet.
Avatar de mifranc INpactien
mifranc Le vendredi 19 février 2010 à 21:24:17
Inscrit le lundi 25 septembre 06 - 453 commentaires

Moi je pense qu'il faut déjà être un sacré pigeon pour croire en ce mail tellement il a été bâclé (traduction approximative, reste de caractère cyrillique...).


bien sur .... quand on sait ecrire correctement le francais....et quel pourcentage de français cela représente 20-30% qui parviennenet à rédiger un texte de 5 lignes sans 10 fautes d'orthographe...
Avatar de boosk INpactien
boosk Le samedi 20 février 2010 à 00:38:51
Inscrit le vendredi 26 mai 06 - 35 commentaires

Et tu voudrais que la CAF fasse quoi ?
J'espère que tu as compris que ce message ne vient pas de chez eux, et que le site contrefait n'est pas chez eux mais plutôt en Russie ou ailleurs.


Et bien au moins prévenir les personnes inscrites, là on en parle en février 2010 pour un problème qui est connu depuis novembre 2009 voir même avant par leur service.
Avatar de Jonathan Livingston INpactien
Jonathan Livingston Le samedi 20 février 2010 à 02:08:05
Inscrit le mardi 22 juillet 08 - 609 commentaires

Et bien au moins prévenir les personnes inscrites, là on en parle en février 2010 pour un problème qui est connu depuis novembre 2009 voir même avant par leur service.


1. La CAF n'a pas forcément les adresses e-mail de ses allocataires, puisqu'elle utilise plutôt le courrier postal, plus sûr. Encore une fois : rien n'a été piraté à la CAF, c'est du phising classique, avec des botnets et des adresses récupérées sur des PC mal protégés. D'ailleurs le titre de la news est erroné : la CAF n'est en rien victime de ce phishing, elle est simplement utilisée comme prétexte.

2. Si quelqu'un est assez stupide pour cliquer sur le lien du phishing, comment comprendrait-il un second message, en apparence de la même origine (cette fois ce serait vrai, mais comment le saurait-il ?) lui disant de ne pas tenir compte du message précédent (qu'il n'a peut-être pas reçu puisque, pour la dernière fois, la CAF n'a aucun moyen de savoir qui a été touché).
;