Mercredi dernier, l'OCDE (Organisation de Coopération et de Développement Economique) a publié un rapport très complet sur le vol d'identité en ligne, intitulé Online Identity Theft (pdf) . Parmi les cas de fraude, le vol d'identité est particulièrement en croissance, et ce rapport propose une synthèse de travail sur trois points : «définir ce qu'est le vol d'identité et d'étudier la façon dont il est commis» , «définir ce qui est fait pour lutter contre les principaux types de vol d'identité» et de «recommander des moyens pour que le vol d'identité soit abordé d'une manière efficace et globale» . Et tacle au passage quelques positions françaises.
L'OCDE déplore tout d'abord le manque de définition et de statut légal communs entre ses trente pays membres, ce qui, selon l'organisation, entrave la lutte contre cette fraude, et la coopération entre les pays. Après avoir parcouru en détail les principaux outils de vol d'identité (malware, phishing, etc.) et son impact sur les victimes, le quatrième chapitre est consacré aux efforts publics et privés dans la lutte contre l'usurpation d'identité. A commencer par le rôle du gouvernement.
A propos de la France, le rapport rappelle qu'en 2005, un sénateur avait fait une proposition de loi pour mieux encadrer et condamner l'usurpation d'identité. Michel Dreyfus-Schmidt proposait en effet de punir d'un an de prison de 15000 euros d'amende le fait «d'usurper sur tout réseau informatique de communication l'identité d'un particulier, d'une entreprise ou d'une autorité publique» . Mais, en 2006, Pascal Clément, le ministre de la Justice de l'époque, la rejetait finalement. Il jugeait cette initiative inutile, estimant que
l'arsenal existant, principalement l'article 434-23 du Code pénal , était suffisant. Petit tour de girouette, il y a tout juste une semaine, la ministre de l'Intérieur, Michèle Alliot-Marie, a justement annoncé qu'elle comptait prendre de nouvelles mesures, dans la future loi Lopsi, afin de mieux sanctionner l'usurpation d'identité. «Usurper l'identité d'autrui par courrier est interdit par la loi. Ce n'est pas le cas pour l'usurpation d'identité sur Internet. Et pourtant, la diffusion sur Internet est plus large que celle que peut connaître le courrier» , a t-elle ainsi déclaré, mardi 24 mars, à l'occasion du troisième forum international sur la cybercriminalité .
Le rapport tape également sur les doigts du gouvernement français en matière de contre-attaque légale contre le phishing. En effet, dans de nombreux pays, l'internaute victime de phishing ne peut qu'agir seul légalement contre son auteur. Aussi l'OCDE rappelle qu'en 2005, lors des discussions de la loi sur l'économie numérique (LCEN), l'association des fournisseurs d'accès Internet (AFA) avait proposé que les prestataires qui le souhaitent puissent agir en justice au nom de leurs abonnés. Cette demande avait alors été rejetée par les parlementaires français.
Autre sujet : l'adresse IP. Dans sa définition de l'identité d'un internaute, l'OCDE reconnaît le nom, le genre, lieu de naissance, etc. mais aussi «un identifiant et mot de passe, une page web, un blog, une adresse IP, une adresse mail, un numéro de compte bancaire ou un numéro PIN» . Pour l'organisation, le «spoofing», technique de hacking consistant à utiliser l'adresse IP d'une machine, est donc clairement considéré parmi les cas de vols d'identité.
Dans ses conclusions, si le rapport parle d'harmoniser davantage les législations et d'améliorer les coopérations, il met en avant le besoin de prévention et d'éducation. Quand on sait par exemple que les trois mots de passe les plus utilisés (1) sont dans l'ordre : «123456», «password» et «12345678», on se dit qu'il y a du travail.
(1) Perfect Passwords , Mark Burnett 2005
Sur le même sujet :
_ - Facebook, le meilleur ami du détective privé
_ - Internet, terrain de chasse favori des fraudeurs à la carte bancaire