Accueil > AU FIL DU WEB

Usurpation d'identité : un identifiant peut en cacher un autre...
Par Olivier Demilly, Délégué Général adjoint, ChamberSign France.

20080730_13Se faire passer pour un autre sur internet est un jeu d'enfant... mais pas d'enfant de chœur ! A notre insu et sous notre nom, des individus sans scrupules sèment la zizanie dans notre entourage, ruinent notre réputation et vont jusqu'à vider notre compte en banque. Corroborant les derniers résultats d'une étude européenne[1] selon laquelle 70% des personnes interrogées reconnaissent s'inquiéter des risques d'usurpation d'identité en ligne, l'affaire Jérôme Kerviel a mis sur le devant de la scène une pratique aux conséquences alarmantes pour nos entreprises.

 

En début d'année, Le Figaro Economie ainsi que Le Monde Informatique[2] nous révélaient combien l'usurpation d'identité avait facilité la dissimulation des transactions frauduleuses du jeune trader de la Société Générale. Selon le rapport d'étape du Comité spécial du Conseil d'administration, Jérôme Kerviel s'est justifié sept fois auprès de ses contrôleurs au moyen de « vrais-faux emails ». Il aurait ainsi avoué sa manœuvre en expliquant : « J'ai réalisé un faux mail avec une fonction qui me permet de réutiliser l'en-tête d'un mail qui m'est adressé en changeant le contenu ».[3] L'ampleur de ce scandale national nous donne la mesure des failles persistant au sein de systèmes d'information que l'on aurait pu croire inviolables.

 

Sur internet, tout un chacun peut, le plus simplement du monde, « emprunter » l'adresse électronique d'autrui. Il suffit de taper « mail anonyme » dans un moteur de recherche pour accéder instantanément à des outils redoutablement efficaces[4]. Faites vous-même le test, vous serez édifiés ! Lors d'une démonstration, j'ai ainsi pu me faire faxer le bilan d'une société en me faisant passer pour un expert comptable... En d'autres termes, n'importe qui devient capable de produire devant un juge le contraire de n'importe quel email produit par la partie adverse, ce qui revient à lui ôter toute valeur juridique dans la pratique.

 

Un mail non signé électroniquement n'offre aucune sécurité juridique puisque qu'il ne constitue qu'une simple présomption de preuve devant les tribunaux. Pour se prémunir contre tout risque, la signature électronique est le seul outil offrant de réelles garanties tant aux expéditeurs qu'aux destinataires de messages électroniques. Le certificat électronique est l'outil d'authentification par excellence et le MINEFE a référencé les fournisseurs de certificats électroniques acceptés dans le cadre des télédéclarations, telles que TéléTV@.

 

 

 Le certificat électronique est l'outil qui sert à la fois à :

 

  • garantir l'identité de l'expéditeur
  • garantir l'intégrité du message
  • apporter la valeur probante d'un email[5]

 

A l'heure où les entreprises se préoccupent tant de sécurité informatique, il convient de rappeler que rien ne sert d'investir des millions d'euros dans des dispositifs sophistiqués, sans avoir pris la peine de sécuriser ce qui constitue la base de tout échange électronique ! Le certificat électronique est une carte d'identité électronique qui contient différentes séries d'informations : nom, prénom, service et fonction du titulaire, nom et numéro de SIREN de l'entreprise, signature électronique (validité, longueur des clefs...), nom de l'autorité émettrice et du tiers certificateur. Délivré sur carte à puce ou clé USB, il est infalsifiable et constitue l'un des piliers de la confiance dans les échanges électroniques, en épargnant à bon nombre d'entre nous bien des mauvaises surprises.

 

[1] Enquête YouGov, Verisign, mars 2008

[2] Le Monde Informatique, 21 février 2008

[3] Le Figaro Economie, 8 février 2008

[4] L'usurpation d'identité est passible de 5 ans d'emprisonnement et de 75.000€ d'amende.

[5] La loi française encadre la signature électronique en lui reconnaissant la même valeur juridique qu'à la signature manuscrite. Conf. art 1316-4 du Code civil créé par la Loi numéro 2000-230 du 13 mars 2000, art. 4, portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique.

 

 

À propos de ChamberSign France 

Association créée en 2000, ChamberSign France est l'autorité de certification des Chambres de Commerce et d'Industrie (CCI). Avec plus de 25 000 clients à ce jour et un taux de satisfaction de 96,4 % (source : enquête ChamberSign de juin 2008), ChamberSign est la première autorité de certification de proximité en France métropolitaine et outre-mer. Sa mission est de délivrer des certificats électroniques aux entreprises et collectivités qui souhaitent échanger sur Internet en toute sécurité. Le certificat est un véritable passeport électronique contenant différentes séries d'informations répondant à un triple objectif : authentifier une personne ou une organisation, garantir l'intégrité des données, et apporter une valeur juridique aux échanges en ligne. ChamberSign France est constitué de 120 CCI soit plus de 300 personnes pour accompagner entreprises et collectivités sur le terrain. http://www.chambersign.fr/

mercredi 30 juillet 2008
0 1 2 3 4 5
Nouveau commentaire :
Les commentaires

Le Chaperon Rouge serait d'accord avec vous pour l'identifiant: Méchant loup et pas Mère Grand, un trou dans la porte lui aurait pourtant suffi... Pour le reste: culture de management ET gouvernance d'entreprise défaillantes à proscrire avant tout.
Un document bien CACHE, trop peu diffusé, POUR 2006 (et AVANT...), ?retardé (par qui?)?, le communiqué SWX INCROYABLE du 2 mai 2008:
http://www.swx.com/media_releases/online/media_release_200805020729_fr.pdf
Pour le reste vous me semblez en réalité employer une citation tronquée du contexte général pour la beauté de la démonstration: J.K. (si bien noté en oct 2007) "aurait ainsi avoué sa man?uvre"? Dans quelles conditions? Le procès le montrera.
J. K. ne serait pas le seul pratiquant la 'méthode', sans doute le seul à avoir complètement dérapé au tout début janvier 08.
Par exemple Soc Gen a tergiversé tout 2007 pour ne pas répondre aux demandes allemandes. Le e-certificat/identifiant n'aurait sans doute DANS CE CAS rien changé, sauf APRES coup.
Partout on a tendance à changer la règle, surtout quand ça va mal.
La Dir Comm SG a choisi contre l'éthique de ?terroriser? J.K. mais ne trompe plus personne. Après 3 boucs-émissaires, le parquet en plus de la SG accable T.M. encore stagiaire à l'Ecole début août 2006
http://sistem.gemtech.fr/tele/rep1/catalogue_stages_3A_2005-2006.pdf
La loi et Soc Gen/JK: affaire digne des seuls Prud'homm, le(s) patron(s) de J.K. NE pouvai(en)t méconnaître CES pratiques, sauf peut-être à la toute fin.
Ce n'est pas J.K. qui avait choisi de méconnaître la 'sécurité' de signature électronique... infalsifiable pour le moment. JeanGuy78 .

Par JeanGuy78 le 30/07/2008 à 18:31
Inscrivez-vous ici pour recevoir gratuitement notre lettre