L’usurpation sur internet : qu’est-ce que c’est et comment l’éviter ?

››

Être alerté des nouveautés

Être alerté des nouveautés

Abonnez-vous à notre newsletter mensuelle pour recevoir nos derniers contenus et l’agenda des prochains événements à ne pas manquer

Abonnez-vous à la newsletter

Qu’est-ce que l’usurpation d’identité sur internet ?

L’usurpation d’identité consiste à voler l’identité d’une personne sur internet, en général pour réaliser des actions frauduleuses. Par exemple, un pirate peut, avec vos données personnelles, ouvrir un compte en ligne sur divers services, souscrire à des services financiers, créer de faux papiers d’identité qui seront associés à de fausses cartes bancaires, ou encore louer une voiture avec votre permis (et c’est vous qui recevrez les contraventions) ! Les données personnelles sont souvent obtenues suite au vol ou à la perte d’un portefeuille, mais également par des campagnes de phishing (techniques d’approche par SMS ou e-mail pour soutirer des données personnelles) qui se sont intensifiées ces dernières années.

Le délit d’usurpation de l’identité numérique, créé en 2011 par la loi sur l’usurpation d’identité numérique, dite LOPPSI 2, est une infraction pénalement répréhensible. Elle est passible d’un an d’emprisonnement et 15 000 euros d’amende. Les peines peuvent être aggravées selon les circonstances, notamment si l’usurpation a entraîné des conséquences graves pour la victime (perte financière significative, dommage moral important). 

Toutefois, identifier les coupables peut s’avérer complexe, car les cybercriminels utilisent des techniques avancées pour masquer leur identité réelle et leur localisation. Parfois, ils agissent depuis l’étranger, ce qui rend les enquêtes plus difficiles à aboutir. D’où l’importance d’agir de façon préventive contre le phénomène.

Comment éviter l’usurpation d’identité sur internet ?

Comme souvent en cybersécurité, la faille vient de l’utilisateur. Il faut donc commencer par protéger vos outils numériques personnels, avec par exemple des mots de passe complexes, et éviter les pratiques peu sécurisées connues.

Utiliser un mot de passe sécurisé

Votre mot de passe, c’est la première ligne de défense de vos données personnelles et de votre identité en ligne. Pour être efficace, un mot de passe doit comporter douze caractères ou plus, et inclure une combinaison de différents types de caractères, tels qu’au moins un nombre, une majuscule, ainsi qu’un signe de ponctuation ou un caractère spécial. Le plus important est bien sûr celui de votre messagerie, porte d’entrée pour réinitialiser quasiment tous vos comptes en ligne.

Pensez à utiliser des mots de passe différents pour chacun de vos comptes en ligne. Recourir au même mot de passe pour plusieurs services augmente le risque qu’un individu malveillant, ayant obtenu ce mot de passe, puisse accéder à plusieurs de vos comptes personnels ou professionnels. Pour éviter d’avoir à vous souvenir de tous vos mots de passe, vous pouvez utiliser un gestionnaire de mots de passe. Cet outil sécurisé génère, stocke et remplit automatiquement vos mots de passe pour vous, tout en assurant leur sécurité.

Par ailleurs, l’activation de la double authentification (aussi appelée vérification en deux étapes) renforce significativement la sécurité de vos comptes. Le principe est simple, chaque connexion exige deux preuves d’identité distinctes : quelque chose que vous connaissez (votre mot de passe) et quelque chose que vous possédez (cela prend souvent la forme d’un code temporaire envoyé à votre téléphone). Elle offre ainsi une couche de protection supplémentaire.

Éviter les usages à risques

Il faut également éviter les usages à risques comme des achats en ligne sur des sites non sécurisés qui n’utilisent pas de certificat de sécurité. Privilégiez uniquement ceux qui ont un « S » après le « HTTP ». Le « S », pour Sécurité, et le picto cadenas, qui s’affiche à côté d’une adresse web HTTPS, indiquent qu’un site est digne de confiance, car il utilise des certificats SSL (protocole web sécurisé) cryptant les données échangées.

7 questions-réponses sur les certificats SSL et leur niveau de sécurité

Pour vous prémunir, apprenez à identifier les tentatives de phishing. Par exemple, si vous recevez un e-mail semblant de votre banque, vous alertant d’une activité suspecte sur votre compte et vous demandant de confirmer vos données bancaires, via un lien fourni, ne cliquez pas ! Les banques passent rarement par e-mail pour ce genre de procédures. Si vous avez un doute, appelez tout de suite votre banque pour demander confirmation. Autre exemple, si vous recevez un message sur les réseaux sociaux semblant provenir de l’Assurance maladie qui vous incite à fournir des informations personnelles, en prétextant la nécessité de mettre à jour votre dossier, méfiez-vous. Là encore, l’Assurance maladie ne communique jamais sur les réseaux sociaux pour obtenir ce type d’informations.

Soyez vigilant dès que vous recevez des messages sollicitant vos informations personnelles. Gardez à l’esprit que derrière chaque message, il peut y avoir des individus cherchant à exploiter votre confiance à des fins malveillantes. Ne cédez pas à la peur et à la pression, car les escrocs vous demandent souvent des informations ou des paiements soi-disant urgents. 

Attention également aux connexions au Wifi public, accessibles sans mot de passe et ouvertes à tous. Ces réseaux non sécurisés facilitent l’interception des données personnelles, telles que les informations bancaires, et peuvent permettre aux cybercriminels de déployer des logiciels malveillants sur votre appareil. De plus, l’impossibilité de vérifier l’identité du propriétaire du réseau augmente le risque de connexion à des points d’accès malveillants. Pour réduire les risques, évitez les transactions sensibles sur ces réseaux.

Les autres recommandations de la plateforme Cybermalveillance.gouv.fr

1. Ne communiquez jamais d’informations personnelles sensibles ;
2. Marquez les copies des documents d’identité que vous transmettez ;
3. Ne donnez que le minimum d’informations personnelles indispensables ;
4. Faites attention à qui vous parlez sur internet ou par téléphone ;
5. Vérifiez les paramètres de confidentialité de vos informations personnelles dans les applications que vous utilisez ;
6. Vérifiez régulièrement vos relevés de compte bancaire ;
7. Conservez vos informations personnelles et bancaires ainsi que vos documents d’identité en lieu sûr ;
8. N’ouvrez pas les messages suspects et leurs pièces jointes, et ne cliquez jamais sur les liens ;
9. Mettez régulièrement à jour vos appareils et leurs logiciels ou applications.

Vous êtes victime d’une usurpation d’identité sur internet : que faire ?

Malgré toutes les précautions que vous avez prises, vous êtes victime d’une usurpation d’identité sur internet. Que faire et quels sont les recours à votre disposition ? Découvrez les démarches à suivre, étape par étape.

1. Dès que vous constatez que votre identité a été usurpée, recueillez tout élément qui le prouve : captures d’écrans, URL des pages concernées, justificatifs, etc.
2. Signalez l’usurpation auprès des sites ou des plateformes sur laquelle elle a eu lieu.
3. Déposez plainte au commissariat de police, à la brigade de gendarmerie ou encore par écrit au procureur de la République du tribunal judiciaire dont vous dépendez. L’association France Victimes peut vous accompagner dans cette démarche au 116 006 (appel et service gratuits). Pensez à bien conserver une copie de chaque plainte. Si vous en ressentez le besoin, faites appel à un avocat.
4. Prévenez immédiatement tous les établissements bancaires ou financiers dont vous dépendez. Si vos informations bancaires ont été dérobées, faites opposition le plus vite possible.
5. Faites annuler et renouveler vos pièces d’identité utilisées par les escrocs.
6. Préparez et envoyez une attestation sur l’honneur à tous les organismes qui vous mettent en cause, en joignant une copie de la plainte déposée.
7. Contactez la Banque de France pour signaler et vérifier que des crédits n’ont pas été souscrits ou si un compte bancaire n’a été ouvert avec votre identité. Pensez à consulter également le fichier central des chèques (FCC), celui des incidents de remboursement des crédits aux particuliers (FICP) et le fichier national des comptes bancaires et assimilés (FICOBA).

Le ministère de l’Intérieur met à votre disposition la plateforme Info Escroqueries au 0 805 805 817 (appel et service gratuits) pour vous aider et vous conseiller dans vos démarches.

Que faire en cas d’usurpation d’identité sur les réseaux sociaux ?

L’usurpation d’identité sur les réseaux sociaux est assez fréquente. En 2021, plus de 500 millions de données d’utilisateurs de Facebook ont été volées, avant d’être revendues sur le darknet. En 2023, c’est X (ex-Twitter) qui a subi le même sort, avec la publication des données personnelles de plus de 200 millions d’utilisateurs.

Si vous êtes confronté à une usurpation d’identité sur les réseaux sociaux, commencez par informer vos contacts de la situation afin qu’ils ne soient pas trompés par des messages frauduleux provenant du compte usurpé. Puis modifiez vos mots de passe sur tous vos comptes par précaution, au cas où les données volées seraient utilisées sur d’autres services. 

Autre point important : chaque plateforme sociale, comme Instagram, Snapchat, et Facebook, propose des actions spécifiques pour signaler les cas d’usurpation d’identité. Utilisez ces fonctionnalités pour alerter les administrateurs du réseau, vous permettez ainsi aux plateformes d’intervenir rapidement, et de récupérer votre compte usurpé.

Que vous soyez victime d’une usurpation d’identité sur les réseaux sociaux ou sur internet, voici les contacts utiles pour vous aider dans vos démarches : 

• Info escroquerie : 0 805 805 817 (gratuit) 
• France Victimes
• Cybermalveillance.gouv.fr

Foire aux questions

Comment porter plainte en ligne pour usurpation d’identité ?

En cas d’usurpation d’identité, les particuliers ont la possibilité de déposer une préplainte sur internet en utilisant le service de préplainte en ligne. Si vous êtes victime d’une escroquerie ou d’une arnaque en ligne, un dispositif spécifique nommé Thésée, est mis à votre disposition pour déposer plainte. Une fois votre préplainte enregistrée, vous serez contacté par le commissariat pour signer votre plainte sur place.

Pour les professionnels et les personnes morales, vous devez nécessairement vous déplacer au commissariat pour porter plainte.

Comment savoir si on est victime d’une usurpation d’identité ?

Voici les signes qui doivent vous alerter : 

• une activité suspecte sur vos comptes bancaires, 
• un prêt contracté à votre nom, 
• des amendes ou condamnations inattendues, 
• une activité anormale sur vos comptes réseaux sociaux, 
• des alertes de connexion inhabituelles.

Quelle peine pour l’usurpation d’identité numérique ?

En ligne ou non, l’usurpation d’identité est passible d’un an d’emprisonnement et de 15 000 euros d’amende. En plus de l’usurpation d’identité, en fonction des cas, les infractions suivantes peuvent être retenues : 

• Escroquerie : cinq ans d’emprisonnement et 375 000 euros d’amende.
• Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite : cinq ans d’emprisonnement et 300 000 euros d’amende.
• Contrefaçon et usage frauduleux de moyen de paiement : sept ans d’emprisonnement et 750 000 euros d’amende.
• Accès frauduleux à un système de traitement automatisé de données : jusqu’à cinq ans d’emprisonnement et 150 000 euros d’amende.
• Atteinte au secret des correspondances : un an d’emprisonnement et 45 000 euros d’amende.