Au mois de mars 2010, l’assemblée générale de l’association loi 1901 a repensé l’organisation interne, lui conférant ainsi « un nouveau souffle ». Une réforme statutaire a permis de confirmer l’implication active des autorités publiques au sein de l’association. Par ailleurs, il a été créé un Conseil Stratégique où collaborent pouvoirs publics (CNIL, Direction Générale de la Gendarmerie Nationale, OCLCTIC, BEFTI), associations (SNCD, AFA, UDA) et entreprises (CERT Lexsi, Microsoft, Orange, SFR) dans une parfaite équité, ainsi qu’un Conseil Opérationnel où interviennent les membres accompagnés de consultants experts. Les missions de ce dernier Conseil sont de l’ordre de la mise en œuvre opérationnelle sur les plans juridique et technique.

Signal Spam, au commencement…

C’est au cours du 3ème Comité Interministériel pour la Société de le l’Information (CISI) qui s’est déroulé en juillet 2003 que la Direction du Développement des Médias (DDM) s’est vue confier la mise en place d’actions visant à lutter contre le spam. Le déroulement de cette mission a conduit à la création en 2005 de l’association Signal Spam et du lancement de l’outil de signalement des spams ainsi que du site web www.signal-spam.fr en mai 2007.

Les principes fondateurs de Signal Spam

De manière à partager et exploiter à travers le monde les informations et retours d’expérience avec les acteurs de la lutte contre le spam, les déclarations de phishing, malware ou autres pourriels répondent à des standards internationaux. Signal Spam tend ainsi à déployer ses efforts au delà des frontières françaises.

Par ailleurs, pour que chaque signalement de spam ait une véritable portée et permette une action judiciaire et administrative, les « déclarants » sont identifiés grâce à une procédure d’inscription. L’identification garantit l’exploitation juridique des données transmises.

Comment signaler un spam ?

La déclaration de spam peut s’effectuer par tout utilisateur de l’email (particulier ou professionnel) soit via un formulaire en ligne disponible sur le site, soit directement depuis son client de messagerie (Outlook ou Thunderbird 2) grâce à l’installation rapide d’un plug-in.

Une fois les messages frauduleux déclarés, ils sont stockés dans une base de données exploitable aussi bien par les acteurs privés que publics. Ces informations sont toutefois rigoureusement protégées et leur partage se fait sous contrôle juridique selon les recommandations de la CNIL, membre actif de l’association.

En mai 2010, Signal Spam a annoncé le lancement de son application 1.5 permettant de réactiver son service de « Feedback Loop » (système de remontée d’information) destiné aux FAI, aux membres de Signal Spam, ainsi qu’aux prestataires de services email, membres du SNCD. Cette nouvelle version va participer à l’essor de nouveaux développements tels que l’intégration de flux de données spécifiques, à destination de CERT-Lexsi et eBay.

Reste à souhaiter que nombre d’entreprises évoluant dans l’écosystème de l’email s’investissent davantage auprès d’entité dédiée comme Signal Spam dans la lutte contre LE fléau de l’ère numérique, le SPAM.

Un regard sur le marché européen et les études des éditeurs et des cabinets d’analyse tels qu’IDC et Radicati montrent que le retard français pour les solutions d’archivage électronique peut être évalué à 2 ans.

Ainsi, l’archivage de documents électronique répond à deux objectifs principaux :
- elle porte sur des documents servant de pièces justificatives dans le cadre de contrôles administratifs (ex : fiscal ou social),
- elle permet la production d’actes juridiques valant preuve en cas de litige.

Les solutions d’archivage électronique en France et dans le monde

Le passage à l’outil collaboratif (particulièrement les messageries) des systèmes informatiques a changé la donne : 90% des originaux actuels sont produits électroniquement et 80% de la communication passe par l’électronique et l’informatique. On en oublie que les règles et règlements adaptés au papier s’appliquent également aux documents électroniques.

Un sondage simple auprès des grandes entreprises françaises montre que l’archivage électronique d’originaux électroniques en est très en retard sur le marché ou au mieux au stade de prévision budgétaire. Moins de 10 % des entreprises française ont actuellement un système d’archivage.

Sur une même période, 90 % des multinationales installées en Europe sont équipés d’une solution d’archivage (notamment en Grande Bretagne et en Allemagne) ; en France, le pourcentage est nul.

Les raisons du retard du marché français : des lois et réglementations non directives

D’après Pierre Bilderling, Si les lois concernant l’archivage électronique sont directives aux USA, en Grande Bretagne et en Allemagne, spécialement pour l’archivage des messageries, elles restent en France au stade de l’admission du document électronique comme document probant dans la somme juridique au même titre que les originaux sur papier.

Aucune loi n’indique que l’on doit archiver les documents électroniques, que ce soit ceux des messageries, des services de fichiers, des services de production ERP. On doit pourtant considérer que les règles et règlements d’archivage s’appliquant aux documents papiers s’appliquent aux documents électroniques.

Avantages et inconvénients d’un outil de gestion électronique:

Un outil de gestion électronique de documents, s’il est bien conçu, offre plusieurs avantages aussi bien sur le plan organisationnel que sur le plan du profit.

• D’après une étude menée par le groupe ooPartners solutions (www.oopartners.com), un outil de GED peut faire gagner jusqu’à 10 à 20% en efficacité de travail et 10% en efficience commerciale. Les temps de recherche et de diffusion de l’information sont de l’ordre des secondes.
• Une diminution des coûts se fait aussi sentir. D’après les mêmes sources l’espace de stockage coûte beaucoup moins cher en méthode électronique. Sur les coûts de classement les entreprises réalisent dans la plupart des cas 50% de gain. Les coûts de recherche sont divisés par deux voire trois s’il s’agit d’une recherche d’archives et les coûts de diffusion sont réduits de 80 à 90%.
• La centralisation des données constitue aussi une force pour un système de GED. En effet les informations sont stockées sur un serveur unique et les opérations se font via des requêtes écrites pas le concepteur. Ainsi le contrôle des accès devient facile rendant le système beaucoup plus fiable et plus sécurisé car il n y a qu’un seul serveur à administrer.

Par ailleurs, face à tous les apports de la GED pour le monde de l’entreprise, il n’en demeure pas moins que cette technologie émergente présente des failles:

• Vulnérabilité des périphériques de stockage: même si les données sont centralisées, elles sont quand même sur un support physique (disque dur, CD-ROM, disque optique, etc) qui requiert souvent un environnement propre avec un climat plus ou moins stable.

Pensez-y!

L’archivage de documents électroniques risque rapidement de devenir obligatoire en France, or si on s’en remet à ces quelques chiffres empruntés à différentes études (voir ci dessous), on observe que la croissance en taille des boîtes à lettres de messagerie électronique ont des conséquences en termes de coûts de stockage et de difficultés de gestion des volumes.

• jusqu’à 70% des informations utiles se trouveraient dans la messagerie électronique (source : Enterprise Storage Group)

• chaque utilisateur traite environ 10 MB de données par jour en 2004, pour atteindre 15,8 MB en 2008 (source : Radicati Group, Inc)

Il est donc nécessaire d’envisager un système d’archivage et de réfléchir aux contraintes liées à sa mise en place pour ne pas être pris au dépourvu, vous bénéficierez alors d’ un avantage sur vos concurrents aussi bien en terme légaux que technologiques.

Cette nouvelle offre évolutive intègre toutes les fonctionnalités requises pour garantir une parfaite intégrité des messages reçus et émis. Au travers de cette solution unifiée, Alinto souhaite offrir aux entreprises une alternative aux traditionnelles solutions de protection de messagerie souvent proposées de manière non intégrées à une tarification prohibitive. L’un des atouts importants de cette offre tient à son intégration transparente dans tous types d’architectures et environnements. Elle est déployable en mode SaaS ou en infogérance dédiée et est compatible avec tous les serveurs de Messagerie : Exchange, Notes, Zimbra…

Le caractère innovant d’Alinto Protect a été notamment reconnu par OSEO et a permis à Alinto de remporter le prix de l’innovation OSEO lors du Deloitte Technology FAST50.

Présentation des principales fonctionnalités de la solution Alinto Protect :

Sécurité :

Alinto Protect permet de filtrer les messages entrants et sortants avec un traitement anti-virus et anti-spam. L’anti-spam combine 5 process technologiques : l’analyse de contenu via des algorithmes bayésiens, le scoring des messages, la gestion d’une Whitelist par l’administrateur ou encore l’identification des émetteurs au travers des bases ORDB et RBL (filtre “collaboratif”). De plus, la mise à jour continue des données combinée à une surveillance système 24/7/365 garantit un service anti-virus et anti-spam ultraperformant.

Mise en quarantaine :

Cette dernière permet une zone de rétention des emails qualifiés comme suspects. Via une interface Web, l’utilisateur supervise l’ensemble des expéditeurs bloqués et qualifie lui-même un message comme faux-négatif. Un rapport transmis directement par email à l’utilisateur récapitule les derniers messages stoppés. Débarrassés des emails indésirables, les serveurs de messagerie sont mieux exploités.

Plan de Continuation d’Activités :

Il garantit un service continu de messagerie et préserve l’utilisateur de panne de serveur ou autre désagrément empêchant l’accès à ses emails. En cas de difficulté, l’utilisateur bénéficie d’un webmail sécurisé. Le webmail Alinto Protect intègre les fonctions essentielles d’un client de messagerie (lire, répondre, transférer…).

L’archivage de messagerie :

Alinto Protect garantit la sauvegarde des flux d’emails entrants et sortants de l’entreprise. Il préserve des risques de suppression de données (erreur de manipulation, vol, incendie…) et conserve les informations liées à l’activité de l’entreprise (lettre commerciale, document comptable, déclaration juridique…). Il peut être appliqué à l’ensemble des messages électroniques automatiquement ou selon des critères sélectifs, pour se fondre aux méthodes de travail de l’utilisateur. Protégés dans un coffre-fort virtuel, les emails restent accessibles constamment pour la consultation.

La solution Alinto Protect est commercialisée avec une offre de services fournis par les équipes d’Alinto (support et surveillance) à partir d’un euro par mois et par compte.

A propos d’Alinto

Créé en janvier 2000, Alinto est l’un des principaux éditeurs et opérateurs européen de messagerie collaborative et de communications unifiées. Alinto gère plus 4 000 domaines de messagerie professionnelle et plus d’un million d’utilisateurs sur 5 pays.
Alinto s’appuie sur une équipe qui dispose d’une expertise dans la communication électronique depuis plus de quinze ans et conjugue une politique de recherche et développement soutenue avec un service client de haute qualité.

Site web www.alinto.com

Blog www.demainlemail.com

A l’heure de l’explosion des moyens de communication, ne pas se poser la légitime question de la valeur du patrimoine numérique apparaît impensable. Certains vecteurs de diffusion d’information apparaissent cependant plus stratégiques que d’autres. Courriels, SMS, messagerie électronique instantanée professionnelle sont autant de moyens complémentaires pour communiquer et échanger dans les entreprises. Mais tous ne sont pas aussi répandus et utilisés dans le cadre d’un échange rapide, informatif et rarement critique entre collaborateurs.

Le courriel, par exemple, se positionne comme un document stratégique qu’il est utile de sécuriser et de préserver. En effet, il est souvent un moyen privilégié pour envoyer des informations importantes ou encore initier des échanges à plusieurs. Ainsi, il est fréquemment conservé et s’inscrit dans les Top 3 des documents importants qui justifient d’un temps de vie relativement long. La messagerie est donc devenue le carrefour des échanges au sein de l’entreprise et de son environnement : fournisseurs, clients…

On notera également que l’évolution du cadre réglementaire et la valeur légale du courriel a largement contribué à positionner la messagerie électronique comme un canal de communication crédible et à valeur ajoutée. Par exemple, en cas de conflit, prouver sa bonne foi en présentant des échanges de mails est désormais possible. Industrialiser l’archivage des emails au sein de l’entreprise devrait donc devenir comme un projet stratégique.

Par exemple, l’archivage des courriels permettra de démontrer qu’une entreprise a bien reçu telle ou telle instruction du client. Archiver les courriels d’une société est aussi un moyen de se conformer strictement aux obligations réglementaires en vigueur dans les différents secteurs d’activité. Au-delà des éléments réglementaires et juridiques, l’archivage de mails peut permettre de ne pas créer de rupture d’exploitation. En effet, imaginons l’embarras d’un collaborateur qui viendrait à perdre les données de sa messagerie électronique qu’il n’aurait pas sauvegardées ni archivées…

A titre d’exemple, la législation allemande – la GDPdU – impose désormais la conservation pendant 10 ans dès lors qu’il s’agit d’échanges relatifs à l’activité économique de la société.

Archiver son patrimoine numérique et notamment ses emails est donc une priorité pour les entreprises. Ces dernières semblent aujourd’hui prendre conscience de la nécessité de déployer des solutions leur permettant d’archiver automatiquement l’intégralité des messageries de leurs collaborateurs. Ces chantiers d’envergure, historiquement cantonnés dans les sphères des DSI des grands groupes, semblent désormais occuper une place de choix dans les investissements informatiques des PME.

On notera que cela s’explique largement par l’évangélisation faite par les éditeurs de technologies permettant de sauvegarder les mails mais également par le travail réalisé par la communauté juridique sur la valeur de l’archivage numérique. Enfin, l’un des éléments expliquant la forte croissance des processus d’archivage dans l’entreprise s’explique par l’intégration des prestations d’archivage dans les offres des spécialistes en externalisation et en hébergement qui proposent ces services dans les packages commercialisés à leurs clients.

Le courriel a donc une valeur importante pour les entreprises. Ces dernières commencent à prendre la mesure de ce constat et à assurer leur patrimoine numérique en archivant le contenu de leur messagerie. Il ne leur restera qu’à déployer les outils pour organiser et facilement retrouver les informations.

Cet article n’a pas seulement pour but de relater l’évènement qui a eu lieu en début du mois de février 2009, mais de présenter également les responsabilités d’un employeur et de ses salariés quand à l’usage des outils informatiques communicants.

.

Rappel des faits
Une jeune femme a récemment été licenciée de son entreprise pour avoir répondu à ses mails personnels dans le cadre de son travail. L’usage qu’elle effectuait de sa messagerie a été jugé abusif par son employeur.
En effet, celle-ci aurait envoyé 156 mails personnels en deux mois, soit environ quatre par jour. Elle passe alors aux Prud’hommes, et ce dernier donne raison à l’employeur. Selon ces deux parties, le temps passé par la jeune femme à écrire des messages personnels empiétait bel et bien sur le temps imparti au travail. Le juge a estimé qu’on pouvait reprocher à la salariée “la fréquence et l’importance en volume de telles communications.”

La jeune femme a tenté de se défendre en expliquant qu’elle envoyait ses messages durant son temps de pause du midi en mangeant, en invoquant également une atteinte à la confidentialité de sa vie privée et a jugé ce licenciement comme abusif. Elle a insisté sur le fait qu’elle « avait besoin de dialoguer avec sa mère après le décès de son compagnon » et a demandé 26 000 euros de dommages et intérêts. Cependant le conseil des Prud’hommes ne revint pas sur sa décision, et la faveur fut donné à l’employeur. La raison de cette décision réside dans le fait que:

• l’entreprise reconnait n’avoir jamais ouvert les mails de la plaignante mais être tombée dessus lors d’une investigation de virus informatiques diffusés dans les mails,
• la confidentialité de sa vie privée a donc été préservée ,
• la fréquence des mails envoyés est trop importante.

La jeune femme a alors fait appel par le biais de son avocat qui estime que l’utilisation de sa messagerie n’est en aucun cas abusive, dans le sens où il n’existe pas de « quota de courriels personnels ».

Question : l’usage de sa messagerie personnelle au travail est il toléré ? Quand peut-on parler sérieusement d’abus ?

Au vue de ce jugement qui peut surprendre, on peut sincèrement se poser ces deux questions. On peut même également les étendre à l’usage des différents outils informatique sur son lieu de travail. (Internet, Messagerie, messagerie instantanée, animation de Blogs personnels, etc…) Aussi, il est bon de revenir un instant sur la législation.

En fait, la première règle du travail est : on n’utilise pas les outils de travail à des fins privées.
La seconde règle du travail est : on n’utilise pas les outils de travail à des fins privées.
(…)
On peut logiquement bannir du temps de travail les occupations telles que:

• modération de forums de discussions personnels,
• alimentation de photos sur son blog ou site communautaire,
• réponse aux mails personnels,
• consultation de sites internet non professionnels,
• téléchargement de fichiers
• etc…

Cependant, un seuil de tolérance peut être acceptée par l’employeur, considérant que tout employé peut garder un peu de sa vie privée au travail. On ne peut en effet mettre totalement de côté sa vie personnelle une fois assis sur sa chaise de bureau…Aussi, la cour de cassation a fixé une jurisprudence sur la notion de “vie privée électronique”.
Par son arrêt « Nikon » du 2 octobre 2001, la chambre sociale de la Cour de cassation avait jugé que « le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ». «Cela implique en particulier le secret des correspondances ; l’employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur ».

Dans l’affaire Nikon, le salarié avait utilisé l’outil informatique afin d’émettre des messages personnels, qu’il enregistrait globalement dans un dossier de son disque dur intitulé “Personnel“. Il obtint finalement gain de cause devant la Cour de cassation qui avait fondé sa décision sur les articles 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, l’article 9 du Code civil et l’article L. 120-2 du Code du travail.

Un arrêt de la Cour de cassation du 17 mai 2005 rappelle les faits suivants :
Un employeur ne peut « investiguer » dans les tiroirs du bureau d’un salarié puis accéder à ses fichiers et dossiers informatiques, en l’absence de celui-ci, sans qu’il y ait un risque ou évènement particulier.

Après plusieurs affaires de ce type où la raison fut donnée aux employés, la Cour de cassation affina les limites du droit des salariés.
Par un arrêt du 18 octobre 2006, la Cour de cassation fait désormais bénéficier les employeurs d’une présomption simple en affirmant que : « les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors sa présence ».

Du coup, la cryptologie d’informations stockées sur un ordinateur professionnel de la part d’un employé (afin de protéger ses données) peut être un acte considéré, lors d’un jugement, comme un procédé abusif condamnable. Tout matériel informatique mis à disposition de son personnel répond avant tout à ses besoins professionnels et doit être considéré comme tel. Aussi, il peut sembler logique qu’un employeur puisse accéder aux données informatiques professionnelles, hormis les fichiers et dossiers qui porteraient l’appellation “Personnel”.

Pour finir cet article, il est bon également de rappeler que toute entreprise qui se respecte se doit de présenter à son personnel une charte informatique, présentant les règles de bonne conduite relative à l’utilisation des outils informatiques. Il arrive quelquefois qu’une telle charte est inexistante ou obsolète. Sans cette charte, l’employeur pourra difficilement sanctionner des pratiques jugées condamnables, sauf en cas d’abus.

Selon la CNIL, “Une interdiction générale et absolue de toute utilisation d’internet à des fins autres que professionnelles ne paraît pas réaliste”. Elle recommande “un usage raisonnable, non susceptible d’amoindrir les conditions d’accès professionnel au réseau ne mettant pas en cause la productivité“.
Pour elle, “L’utilisation de la messagerie électronique professionnelle pour envoyer ou recevoir, dans des proportions raisonnables, un message à caractère personnel correspond à un usage généralement et socialement admis“.

Tout salarié entrant devant alors accepter et signer cette charte, les surprises n’étant alors plus possibles…

Liens :

LIMITES DE LA SPHÈRE DE VIE PRIVÉE ÉLECTRONIQUE DES SALARIÉS

Utilisation de la messagerie au travail : l’arrêt Nikon surpassé ?

Mise en place d’une charte Internet

Selon une étude Radicati Group de décembre 2007 réalisée sur un échantillon international d’entreprise, un salarié expédie en moyenne 38 emails et en réceptionne 93 par jour. Sur ces 93 courriers électroniques reçus, environ 18 contiennent une pièce jointe.

Si l’on se base sur 217 jours travaillés dans l’année, chaque collaborateur envoie environ 8 246 mails par an et en reçoit 20 181 (il s’agit bien entendu d’une moyenne – ces estimations n’excluent pas la part certaine de spam).

Il est ainsi facile de s’imaginer le volume colossal de données qui s’accumulent. Mais que deviennent ces informations au fil du temps? Sont-elles bien stockées et surtout doivent-elles être conservées ? Si oui, quel en est l’intérêt ?

Archivage et sauvegarde : deux notions distinctes à ne pas confondre

Avant tout, il est indispensable de bien différencier l’archivage de la sauvegarde. Ces deux notions ont des finalités bien distinctes.

- La sauvegarde consiste à enregistrer de façon répétée et régulière les données d’exploitation afin de pouvoir restaurer le système rapidement en cas de défaillance.

- L’archivage quant à lui va stocker les données qui ne sont plus destinées à être modifiées. Il garantit ainsi de pouvoir retrouver les informations lorsque que se présente le besoin.

Enjeux de l’archivage

Avez -vous constaté que la tendance est au “zéro papier” ? Devis, bons de commande, factures, accords commerciaux, etc., nombre de procédures et d’échanges avec clients, fournisseurs et partenaires se font désormais au format électronique. La mémoire de l’entreprise tend ainsi à se virtualiser de plus en plus. D’où l’intérêt de s’interroger sur la nécessité de préservation du patrimoine informationnel de l’entreprise dont font partie bien évidemment les courriers électroniques.

Le flux d’emails engrange un volume croissant de données. Ainsi, Jean-Marc Rietsch, président de la fédération “Information Lifecycle Management cité dans le numéro 142 de CAD Magazine déclare que «certaines études prévoient la nécessité d’archiver plus de 7 000 petaoctets de courriels d’ici à 2010».

(NDLR : 7 000 pétaoctets = 7 000 000 000 gigaoctets)

Sachant que nombres d’emails sont souvent mal gérés et mal archivés, il semble intéressant de se pencher sur les enjeux de l’archivage.

Quels sont t-ils ?

- la conservation des emails qui intègrent une valeur juridique durant le délai légal

Toute entreprise est soumise à des obligations légales en matière de conservation de documents. A titre d’exemple, les factures ou justificatifs de TVA doivent être conserver au minimum dix ans. Ces obligations varient en fonction du secteur d’activité.

Selon le code civil (article 1316-1), “l’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier… ”. Il est précisé que pour être considéré comme preuve, l’écrit électronique doit permettre d’identifier l’auteur et doit être créé et stocké de manière à garantir son intégrité. Plus concrètement, certains formats comme “pdf” ou “jpeg” présentent l’avantage de ne pouvoir être dénaturés et répondent ainsi à cette obligation.

- l’organisation des informations conservées afin d’en facilité l’accès et la gestion

Mettre en place une politique d’archivage au sein de l’entreprise permet de retrouver facilement les informations archivées en cas de besoin. Cette procédure doit comporter certaines “règles” permettant d”éviter le tout-archivé et ainsi une surcharge inutile des archives. De plus, il est nécessaire de rester vigilant en matière de respect de la vie privée (mails et fichiers marqués comme “privés” ou “personnels”)

L’archivage doit porter bien évidemment aussi bien sur le trafic d’emails entrant que sortant. Il peut être géré en interne ou sous-traité à un prestataire.
Une fois en place, la politique d’archivage nécessite toutefois un suivi à différents niveaux :

- conformité avec l’évolution des règlementations et obligations légales;

- adaptation en fonction des besoins de l’entreprise et des utilisateurs de ses comptes de messagerie.

D’après une étude du groupe Serda, le marché de l’archivage aurait représenté en 2007 environ 184,6 millions d’euros. Malgré tout, seulement 56% des organisations interrogées auraient mis en place une politique globale d’archivage.

On se rend compte que l’archivage des courriers électroniques est encore peu répandu car souvent perçu et à juste titre par les entreprises comme complexe. Il demeure pourtant indispensable et démontre sur le long terme un choix pertinent et sécurisant.

A titre de rappel, le phishing ou hameçonnage en français, consiste à récupérer toutes informations personnelles dans un but malveillant. Cette technique est pratiquée via un e-mail ou un site web d’apparence “familière” et sure. Ce sont en réalité des e-mails ou sites falsifiés. A leurs demandes et pensant avoir à faire à des formulaires officiels en provenance de leur établissement bancaire, fournisseur d’accès ou bien encore site marchand dont ils sont clients, les victimes transmettent en toute confiance des renseignements confidentiels (mot de passe, numéro de carte de crédit, etc.).

Google a rapidement démenti cette information en précisant que Gmail ne présentait aucune faille de sécurité.

Ces dernières vagues de phishing portaient effectivement sur des sites dont l’adresse simulait une appartenance à Google (ex. : adwords.google.com.index.main.update .qwertycn.cn ) et visaient majoritairement les utilisateurs de la messagerie Gmail.

Cependant, Google ne peut être dans ce cas présent être tenu responsable des fraudes subis par ses utilisateurs. Hormis des campagnes d’informations et des actions de prévention, il n’en tient qu’aux destinataires de ces messages d’être moins crédules et beaucoup plus vigilants.

Google est aujourd’hui victime de sa notoriété et se voit substituer à des fins illicites les différentes marques qui lui sont associées.

Intéressons-nous plutôt aux véritables responsables : que risquent pénalement les auteurs de phishing ?

En France, l’usurpation d’identité ne représente pas en elle-même un délit pénal, excepté s’il y a utilisation de fausse identité dans un acte authentique ou un document administratif destiné à l’autorité publique. Ce sont ainsi les conséquences de l’usurpation d’identité qui sont sanctionnées et non l’usurpation d’identité elle-même. Si la France n’occupe pas le premier rang des pays les plus touchés par ce type de fraude (le rang est occupé par les États-Unis), l’hexagone est tout aussi victime de ces arnaques. Ce vide juridique doit donc être comblé au plus vite.

Ainsi, pour lutter contre ces fraudes, Jacqueline Panis, sénatrice, a présenté une proposition de loi visant à pénaliser l’usurpation d’identité numérique.

Selon une étude Gartner citée par la sénatrice, le nombre de victimes de phishing en 2007 représenterait 3,6 millions de personnes pour un coût total évalué à 3,2 milliards de dollars.

Dans cette même perspective, le site Zataz.com évoque la volonté par nos politiques de mettre en place une carte d’identité nationale électronique « sur la base d’un standard de signature électronique fortement sécurisé, pour atteindre, à terme, un objectif de 100 % de citoyens titulaires d’une carte nationale d’identité électronique », projet dévoilé dans le plan “France numérique 2012″ le 20 octobre 2008.

Alors que PC World parle de nouvelles attaques visant cette fois-ci les abonnés de Free, le seul mot d’ordre reste “vigilance” !

Typiquement, le contenu d’un scam fait souvent état d’une personne d’origine africaine, en grande difficulté à cause d’événements tragiques dans son cercle familiale voire, plus largement, dans son pays. Dans son mail, elle demande qu’une âme charitable lui verse quelques fonds afin de remplir des obligations juridiques qui lui donneront droit, par la suite, à une importante somme d’argent. En compensation, le pseudo auteur du scam promet de retourner une partie de son trésor à la personne qui l’aura aidée. Bien évidemment, le généreux donateur ne se voit jamais récompenser.

L’origine de ce type de courriers frauduleux remonterait à la deuxième moitié du siècle dernier. A cette époque, le phénomène se serait particulièrement développé au Nigeria, entraînant la rédaction d’un article dans le code pénale Nigérien spécifiquement écrit pour lutter contre ces fraudes, et référencé en tant que fraude 4-1-9. Le phénomène se développant à nouveau avec la montée d’Internet, les emails de ce type son généralement qualifiés de scam, ou de « fraudes 419 ». Avec Internet, les mails de scam n’ont plus seulement comme provenance le continent Africain, mais désormais aussi l’Asie et l’Europe de l’Est et sans doute beaucoup d’autres.

Si les échanges verbaux se font, dans la plupart des cas, uniquement via messagerie électronique, il est arrivé que certains auteurs de scam proposent à leurs victimes une rencontre dans le pays d’origine du scammeur, pour faciliter des transferts d’argent. Des rencontres qui se sont soldées par des enlèvements, avec demandes de rançon, et à la finalité souvent tragique pour la victime.

Le premier exemple nous vient des Etats-Unis où, pour une sombre histoire d’envois de menaces de mort par email envers Paul Myers, professeur d’université au blog polémique, la personne en charge du poste informatique depuis lequel aurait été envoyé ces menaces s’est vue licenciée par sa direction. L’histoire pourrait paraître anecdotique si ce n’est que Melanie Kroll, l’employée licenciée, affirme n’avoir jamais envoyé ces mails de menace à Paul Myers.

En réalité, il s’est avéré par la suite que le coupable était son compagnon, Chuck Kroll. Celui-ci a d’ailleurs rédigé une lettre dans laquelle il avoue sa culpabilité, s’excusant auprès du professeur en biologie et se déclarant consterné par la tournure prise par les événements.

L’explication fournie serait que Chuck, en utilisant l’ordinateur de sa femme, se serait servi du système de messagerie installé et paramétré, par défaut, avec le compte mail professionnel de Melanie.

Toujours est-il que pour la communauté des lecteurs du blog de Paul Myers, Melanie Kroll a payé bien cher la négligence d’avoir laissé à disposition sa boîte mail professionnelle. Cette communauté a même pris l’initiative de lancer une pétition en faveur du réengagement de Melanie Kroll chez son employeur.

Le deuxième exemple prend cette fois-ci pour cadre la France. L’affaire qui a occupé le tribunal de grande instance de Quimper, à la mi-juillet, avait pour origine un échange d’email entre un chef de service et l’un des agents de l’ancien directeur des services de la ville de Douarnenez, Gil Schmitt.

Ce qui rend l’affaire délicate tient au sujet du mail échangé. En effet, l’agent en question a dévoilé ses opinions en usant du système de réponse automatique à partir d’un mail professionnel…

D’où la difficulté du tribunal à définir si ce mail tient d’une correspondance privée ou s’il reste attaché à son caractère professionnel d’origine et, donc, consultable et utilisable par la hiérachie. Ce que n’avait justement pas manqué de faire Gil Schmitt, en incluant le contenu de ce mail dans un dossier disciplinaire visant son agent.

A l’issu du procès, le TGI de Quimper a finalement retenu la culpabilité de Gil Schmitt. Lequel a décidé de faire appel de cette décision.

Ces cas témoignent, qu’aujourd’hui encore, des efforts sont à fournir tant d’un côté que de l’autre pour éviter les erreurs ou les décisions hâtives.

D’un côté, nombre de salariés négligent ou ne connaissent tout bonnement pas les règles de sécurité élémentaires, propres à une utilisation correcte des nouvelles technologies. De l’autre, en l’absence d’un cadre législatif clairement défini, certaines entreprises se voient appliquer des règles particulièrement strictes, aux sanctions parfois exagérées.

Ajoutons à cela, un manque d’uniformisation de ces règles à l’international et l’on comprend vite que le domaine informatique se retrouve alors dans une jungle juridique qui mettra vraisemblablement encore du temps à se débroussailler.

Rappelons en effet qu’il y a tout juste un mois, le site s’enorgueillait d’avoir remporté une bataille juridique contre deux spammeurs dont l’issue fut pour eux la condamnation à l’amende la plus élevée jamais adressée contre des spammeurs, soit 234 millions de dollars (voir aussi notre article : Venir un jour à bout du spam… une utopie ? ).

La nouvelle victime de la “répression anti-spam” est en fait un récidiviste puisqu’il s’agit de Scott Richter, CEO de Media Breakaway, société anciennement connue sous le nom d’OptInRealBig et obligée, en 2006, à verser 7 millions de dollars à Microsoft (dans un arrangement à l’amiable plutôt que dans un procès où la société, déjà endettée, risquait une amende de 50M$), toujours pour des pratiques d’envois de spam illégaux.

Bien que Media Breakaway se félicite de n’avoir été condamnée à payer que 5% de la somme initialement requise par MySpace, la société a décidé de ne pas faire appel de la décision prise par le tribunal du Colorado.