Usurpation d’identité et faux : des méthodes d’escroquerie de plus en plus fréquentes
En bref :
Les données qu’une personne peut se procurer sur un individu, une entreprise ou une administration lui permettent d’usurper son identité et d’escroquer ou du moins de tenter d’escroquer d’autres personnes ou entreprises, en se faisant passer pour leurs clients ou fournisseurs, voire dirigeants. Le nombre d’escroquerie de ce type, utilisant l’usurpation d’une identité réelle, a augmenté ces derniers temps et les répercussions peuvent être très importantes.
Pour approfondir :
Depuis l’épidémie du Covid 19, les confinements à répétition et l’émergence du travail à distance, le nombre d’escroqueries est en nette progression et semble toucher aussi bien les particuliers que les professionnels.
Les méthodes de phishing, d’hameçonnage et de rançongiciel ont déjà fait l’objet de nombreux articles mais il existe aussi des manœuvres plus difficiles à identifier et qui consiste en l’usurpation de l’identité numérique d’une personne ainsi qu’en la création et l’usage de faux. L’escroc se fait ainsi passer pour une personne ou une entreprise réelle afin d’obtenir des biens ou des services.
L’usurpation d’identité
L’usurpation d’identité est le fait de s’approprier l’identité d’une personne ou d’une entreprise ou une ou plusieurs données permettant de les identifier[1].
S’agissant des personnes physiques, il peut s’agir des prénoms, nom, pseudonyme, surnom, identifiants, adresses emails, photo, etc. S’agissant des personnes morales, ce sera leur dénomination sociale, leur siège social, leur numéro SIRET, leur marque, etc.
Pour être qualifié d’usurpation d’identité, l’usage ou l’appropriation doit avoir pour objectif soit de troubler la tranquillité de celui dont l’identité est utilisée ou d’une autre personne, soit de porter atteinte à l’honneur ou à la considération de la victime (faux comptes sur les réseaux sociaux, faux sites, etc.), ce qui est par définition le cas quand l’identité usurpée est utilisée pour escroquer des tiers.
Le faux et usage de faux
Le faux est une altération frauduleuse de la vérité[2], par écrit ou sur tout autre support de l’expression, qui porte sur la substance même de celui-ci, que ce soit une altération du support (faux matériel) ou du contenu (faux intellectuel). Le support doit permettre d’établir la preuve d’un droit ou d’un fait et la création du faux doit être de nature à causer un préjudice à un tiers[3].
L’usage de faux quant à lui nécessite la preuve d’un acte positif d’utilisation du faux[4] et peut être poursuivi indépendamment de la création du faux[5] ou cumulativement[6].
Au service des escroqueries
Pour rappel, l’escroquerie est le fait d’utiliser un faux nom ou une fausse qualité, d’abuser de sa propre qualité ou d’employer des manœuvres frauduleuses pour tromper une personne et obtenir de sa part soit la remise de fonds, de valeurs ou de biens, soit le consentement à un acte opérant obligation ou décharge (une signature).
L’usurpation d’identité, le faux et l’usage de faux correspondent à des manœuvres frauduleuses.
En ce cas, l’escroc va utiliser l’identité d’une personne de confiance, d’une institution ou d’une entreprise réelle pour amener une autre personne, physique ou morale, à lui transmettre des biens, des données bancaires ou une somme d’argent.
Ainsi, les fraudeurs usurpent régulièrement l’identité d’un dirigeant pour demander aux salariés de celui-ci de verser des fonds à leur profit (fraude « au président ») ou peuvent se faire passer pour le dirigeant d’un fournisseur et demander à changer le RIB pour le paiement des factures, obtenant ainsi les paiements dus à celui-ci jusqu’à découverte de l’escroquerie (arnaques au « faux RIB »).
Ils peuvent enfin, et c’est la tendance actuelle, se faire passer pour le dirigeant d’une entreprise cliente et faire une commande de matériels en grand nombre auprès de la société victime de l’escroquerie qui ne se rendra compte de la supercherie que lorsqu’elle tentera d’obtenir paiement auprès de la société réelle, qui elle n’a jamais rien commandé.
La nouveauté, et la gravité augmentée, des nouvelles infractions constatées tiennent en ce que désormais les escrocs vont de plus en plus loin dans l’usurpation d’identité pour se faire passer pour un client ou un fournisseur réel et n’hésitent plus à utiliser leurs vrais documents d’identification qu’ils parviennent à se procurer : KBIS, voire statuts et autres documents disponibles en Open data, copie de carte d’identité etc… et à y ajouter de faux documents, faux sites, faux comptes sr les réseaux, fausses adresses email, etc pour accréditer l’identité ainsi usurpée.
Les moyens de prévention
La vigilance quotidienne est le meilleur moyen d’éviter les escroqueries sur internet, pour les entreprises comme les particuliers.
Lors d’une prise de contact par téléphone ou email, il convient de :
i) s’assurer de l’identité de l’interlocuteur et notamment d’effectuer quelques recherches. Les informations trouvées pourront permettre d’identifier des données incorrectes et notamment :
- - Un mauvais numéro de téléphone non attribué à la personne ou à l’entreprise ;
- - Une fausse adresse email créée avec un nom de domaine similaire à celui d’une entreprise ;
- - Une mauvaise adresse de livraison, etc.
ii) ne pas cliquer directement sur les liens mis à disposition dans l’email mais se rendre directement sur le site internet de l’entreprise ou de l’institution qui aurait envoyé l’email. Cela permet d’éviter les faux sites doublon sur lesquels la victime pourrait malencontreusement entrer des informations personnelles.
iii) vérifier les commandes, demandes, informations, auprès d’interlocuteurs autres que le « contact » ayant effectué la demande ;
iv) s’assurer que le virement de la somme a bien été effectué avant la livraison ou s’assurer, auprès du contact habituel, que le changement de RIB est réel ;
v) prévoir que tout paiement ou validation de virement au-dessus d’un certain montant se fera avec une double signature du dirigeant et du salarié s’occupant des fournisseurs.
Les moyens d’action
Après s’être assuré que l’email, le compte ou le site n’appartenait pas à un homonyme ou une entreprise dont la raison sociale serait similaire, il convient dans un premier temps de demander à la plateforme ou au site (réseaux sociaux, hébergeur, etc.) en question d’intervenir pour faire cesser l’usurpation d’identité.
Il est nécessaire de conserver toutes les preuves de l’usurpation d’identité (captures d’écran, email, site internet, documents, etc.) et de les faire constater par huissier.
Il est ensuite essentiel de déposer plainte.
Puis il est primordial de prévenir les établissements bancaires de l’usurpation d’identité, notamment lorsque les données bancaires ont été dérobées. Un bandeau d’information évoquant l’usurpation d’identité sur le vrai site de l’entreprise peut être efficace pour protéger les clients et fournisseurs.
[1] Article 226-4-1 du code pénal
[2] Article 441-1 du code pénal
[3] Cass, crim, 6 septembre 2011, n° 10-86.183
[4] Cass, crim, 4 novembre 2010, n° 09-88.187
[5] Cass, crim, 5 mars 1990, n° 88-87.590
[6] Cass, crim, 15 décembre 2021, n° 21-81.864
Un article rédigé par David Marais et Julie Guenand, du département Droit pénal pénal de l'entreprise, Compliance, RSE & Intelligence économique
