Usurpation d’identité : Les institutions prises d’assaut
L’usurpation d’identité est un problème de plus en plus répandu en France, affectant de nombreux citoyens et institutions publiques. Les cybercriminels exploitent les failles de sécurité pour cibler des organismes tels que la Banque de France, La Poste, les Impôts, France Travail (Pôle Emploi), la Sécurité Sociale, la CAF et l’URSSAF. Ces institutions, qui détiennent des données sensibles, sont souvent détournées pour mener des fraudes allant du vol d’identité à la falsification de documents.
Dans cet article, IDprotect passe en revue chacune de ces institutions française et vous explique quels cas spécifiques d’usurpation d’identité les affecte, quelles en sont les conséquences pour les usagers, et quels faits divers récents viennent illustrer ces cas.
Si vous pensez être victime d’une usurpation d’identité auprès de l’une de ces institutions, n’attendez pas pour contacter nos experts !
La Banque de France
La Banque de France, institution centrale du système bancaire français, a pour mission de garantir la stabilité des prix, de réguler les établissements de crédit et de gérer la monnaie. Mais elle possède également des prérogatives dans le domaine de la lutte contre la fraude et contre l’usurpation d’identité :
- Émission de recommandations claires : La Banque de France communique auprès des banques afin de préciser leurs obligations en matière de remboursement des victimes de phishing. Ces recommandations s’appuient sur le droit applicable et visent à garantir une application équitable des règles.
- Rappel des principes juridiques : La Banque de France rappelle régulièrement les principes juridiques qui régissent la responsabilité des banques en cas d’opérations de paiement non autorisées. Elle souligne ainsi que les banques doivent rembourser les victimes de phishing sauf si elles peuvent démontrer une négligence grave de la part du client, ce qui est difficile à prouver en pratique.
- Sensibilisation des consommateurs : La Banque de France mène des actions de sensibilisation auprès des consommateurs pour les informer des risques liés à l’usurpation d’identité et les inciter à adopter des comportements vigilants.
- Encadrement des pratiques bancaires : La Banque de France veille à ce que les banques mettent en œuvre des mesures de sécurité renforcées pour protéger les comptes de leurs clients. Elle encourage les banques à développer des systèmes d’authentification robustes et à améliorer la sécurité de leurs plateformes en ligne.
Mais la Banque de France, fer de lance de la lutte contre l’usurpation d’identité, n’est pas à l’abri de voir son image détournée par des escrocs.
En effet, ces derniers n’hésitent pas à usurper l’identité de l’institution pour mener leurs opérations frauduleuses. Par exemple, ils peuvent envoyer de faux emails ou SMS au nom de la Banque de France, incitant les destinataires à communiquer leurs coordonnées bancaires confidentielles sous prétexte de mises à jour de sécurité ou de problèmes techniques.
Les conséquences d’une telle usurpation peuvent être dramatiques pour les victimes, qui risquent de se faire dérober leurs fonds ou de voir leur identité bancaire compromise. Malheureusement, les cas où des victimes d’usurpation d’identité font les frais d’un fichage à la Banque de France sont monnaie courantes.
En juillet 2024 par exemple, un Toulousain s’est rendu compte de cette situation le concernant. Un escroc avait en effet utilisé ses données personnelles pour souscrire un crédit à la consommation sur un site de vente en ligne, sans même avoir besoin de ses coordonnées bancaires. Ce crédit impayé a entraîné un fichage à la Banque de France, empêchant ainsi le Toulousain d’obtenir un prêt immobilier.
Vérifier si vous êtes fiché auprès de la Banque de France peut être un bon moyen de vous rendre compte si vous êtes victime d’usurpation d’identité (contactez le numéro unique le 34 14).
Liens utiles:
- Agir face à l’usurpation d’identité
- La banque de France attire l’attention sur de récents messages usurpant son identité
La Poste
Les risques d’usurpation d’identité liés à La Poste, comme pour toute institution gérant un grand volume de données personnelles, sont réels et peuvent avoir des conséquences importantes pour les clients :
- Accès à des informations sensibles : La Poste détient de nombreuses informations personnelles sur ses clients (adresse, numéro de téléphone, coordonnées bancaires, etc.). Ces données peuvent être utilisées par des fraudeurs pour ouvrir des comptes à leur nom, souscrire des crédits ou effectuer des achats frauduleux.
- Usurpation d’identité pour des opérations postales : Les escrocs peuvent utiliser votre identité pour envoyer des colis à des adresses frauduleuses, commettre des vols ou des escroqueries postales.
- Phishing et hameçonnage : La Poste est une cible privilégiée pour les phishings, notamment par email ou SMS. Ces messages frauduleux peuvent vous inciter à cliquer sur des liens malveillants ou à communiquer vos identifiants de connexion.
- Fraude aux colis : Des escrocs peuvent se faire passer pour des livreurs de La Poste pour accéder à votre domicile et voler vos biens.
Le 4 juin dernier, deux hommes ont d’ailleurs été condamnés pour escroquerie après s’être fait passer pour des postiers. Les victimes, principalement des personnes âgées vivant en Seine-et-Marne, ont subi des vols de plusieurs centaines d’euros après avoir été manipulées pour entrer leurs codes bancaires. Les escrocs se présentaient comme des livreurs, demandant des frais de livraison par carte bancaire et utilisant des méthodes coercitives pour obtenir les informations sensibles des victimes. L’un des fraudeurs, âgé de 24 ans, a été condamné à quatre ans de prison, tandis que son complice de 19 ans a écopé de 12 mois avec sursis.
Liens utiles :
- Comment reconnaître une usurpation d’identité ?
- L’Identité Numérique La Poste protège-t-elle de l’usurpation d’identité ?
Les Impôts et le Trésor Public
L’usurpation d’identité dans le contexte des impôts en France est une problématique sérieuse qui peut avoir de lourdes conséquences pour les victimes. Parmi les cas les plus fréquents, on retrouve :
- Déclaration d’impôts frauduleuse : Un tiers peut utiliser votre identité pour effectuer une déclaration d’impôts, souvent dans le but d’obtenir un remboursement d’impôt indû.
- Création d’une entreprise fictive : L’usurpateur peut créer une entreprise à votre nom et déclarer des revenus fictifs pour bénéficier d’aides ou de crédits d’impôt.
- Modification de vos coordonnées bancaires : L’escroc peut modifier les coordonnées bancaires associées à votre déclaration d’impôts pour recevoir directement le remboursement.
Les conséquences d’une usurpation d’identité fiscale peuvent être lourdes et durables.
Non seulement vous risquez de vous retrouver redevable d’impôts indus suite à une déclaration frauduleuse établie en votre nom, mais vous pouvez également faire l’objet de contrôles fiscaux approfondis et inattendus. De plus, cette situation peut entacher votre solvabilité et rendre difficile l’obtention de crédits. Dans les cas les plus graves, vous pourriez même faire face à des poursuites judiciaires pour fraude fiscale, mettant ainsi en péril votre réputation et votre liberté.
Malheureusement, encore une fois ici, ce ne sont pas les faits divers qui manquent pour illustrer les méfaits de l’usurpation d’identité lorsque les impôts sont impliqués.
Pour Nicolas, un jeune homme de 27 ans, tout a commencé lorsque le Trésor public l’a informé qu’il devait régler une somme considérable d’amendes pour des excès de vitesse qu’il n’avait jamais commis. Au total, 17 contraventions pour des infractions commises à bord de véhicules luxueux, alors que Nicolas ne possède qu’une modeste Renault Twingo. Les enquêteurs ont rapidement compris que le permis de conduire de Nicolas avait été vendu ou échangé sur internet, permettant ainsi à un individu mal intentionné d’utiliser son identité à des fins frauduleuses. Le jeune homme s’est retrouvé pris dans un engrenage administratif complexe, devant prouver son innocence et faire effacer les infractions qui lui étaient indûment imputées.
Amina, une aide-soignante de 49 ans, s’est quant à elle retrouvée confrontée à une situation pire encore, suite à l’usurpation de son identité en 2016. Des individus malveillants ont utilisé ses informations personnelles pour créer une fausse identité et l’inscrire comme gérante d’une société de maçonnerie. Résultat : des dettes colossales auprès des impôts, s’élevant à 506 265 € pour l’année 2023, ainsi qu’auprès de l’URSSAF pour un montant de 6 958 € de leasing non réglés pour une Mercedes qu’elle n’a jamais utilisée. A nouveau, une longue et pénible bataille judiciaire s’en est suivie pour obtenir gain de cause.
Liens utiles :
- Courriels et appels téléphoniques frauduleux
- Attention aux arnaques !
- Sécurité informatique : soyez vigilants
La Sécurité Sociale (AMELI, CPAM…)
L’usurpation d’identité dans le domaine de la sécurité sociale est un problème de plus en plus fréquent. Les conséquences peuvent être lourdes pour les victimes, tant sur le plan financier que administratif. Parmi les cas les plus courants de fraude on recense :
- Faux arrêts de travail : Un tiers peut utiliser votre identité pour déclarer de faux arrêts de travail et percevoir des indemnités journalières auxquelles il n’a pas droit.
- Ouverture de droits indus : L’usurpateur peut ouvrir des droits à des prestations auxquelles vous n’avez pas droit (maternité, invalidité, etc.).
- Modification de vos coordonnées bancaires : L’escroc peut modifier les coordonnées bancaires associées à votre dossier afin de recevoir les remboursements directement.
- Utilisation frauduleuse de votre carte Vitale : Votre carte Vitale peut être utilisée pour obtenir des soins ou des médicaments à votre insu.
L’usurpation d’identité dans le domaine de la sécurité sociale peut engendrer de graves conséquences pour la victime. Non seulement vous risquez de ne pas être remboursé pour les soins que vous avez effectivement reçus, mais votre dossier peut également faire l’objet de contrôles rigoureux de la part de la CPAM, entraînant des retards dans les remboursements et de nombreuses démarches administratives. Dans les cas les plus extrêmes, vous pourriez même faire l’objet de poursuites judiciaires pour fraude sociale, mettant ainsi en péril votre réputation et votre situation financière.
En février 2024 une cyberattaque a compromis les données personnelles de plus de 33 millions de Français. Cette violation de données, qui a ciblé les sociétés Viamedis et Almerys, des acteurs clés dans le système de tiers payant de la santé, représente une menace sérieuse pour la sécurité des citoyens.
Les informations dérobées, telles que les noms, prénoms, numéros de Sécurité sociale et données liées aux mutuelles, sont extrêmement sensibles et peuvent être utilisées à des fins malveillantes. Les cybercriminels pourraient ainsi mettre en place des campagnes d’hameçonnage plus crédibles, usurper l’identité des victimes ou vendre ces données sur le dark web.
Si les banques et les organismes de santé ont assuré que les données bancaires et médicales n’étaient pas concernées, le risque d’usurpation d’identité demeure élevé. En effet, en combinant les informations volées avec d’autres données disponibles sur le dark web, les cybercriminels peuvent créer des profils détaillés de leurs victimes, facilitant ainsi leurs attaques.
La CNIL, l’autorité de protection des données personnelles, a ouvert une enquête pour déterminer les causes de cette cyberattaque et vérifier si les entreprises ont respecté leurs obligations en matière de sécurité des données.
France Travail (Pole Emploi)
France Travail est le service public qui accompagne les demandeurs d’emploi dans leurs démarches de recherche d’emploi et de formation professionnelle. Si vos identifiants France Travail sont compromis, un tiers pourrait :
- Créer un faux profil à votre nom : Pour postuler à des offres d’emploi, percevoir des indemnités ou commettre des fraudes.
- Modifier vos informations personnelles : Vos coordonnées, votre situation professionnelle, etc. pourraient être modifiées sans votre consentement.
- Souscrire à des services en votre nom : L’usurpateur pourrait souscrire à des formations ou à des services en ligne en utilisant votre identité.
Au début de l’année 2024, une cyberattaque d’une ampleur inédite a frappé France Travail, mettant en péril les données personnelles de près de 43 millions de personnes. Cette violation de données, l’une des plus importantes jamais enregistrées en France, a exposé des informations sensibles telles que les noms, prénoms, dates de naissance et numéros de sécurité sociale.
Les conséquences de cette cyberattaque sont multiples et inquiétantes. Les données dérobées peuvent être utilisées par des cybercriminels pour usurper l’identité des victimes, commettre des fraudes bancaires, souscrire des crédits à leur insu ou encore mener des campagnes de phishing sophistiquées.
Liens utiles :
La Caisse d’Allocations Familiales
L’usurpation d’identité est un fléau qui touche de nombreux organismes, et la CAF (Caisse d’Allocations Familiales) n’est malheureusement pas épargnée. Si vos informations personnelles sont détournées, un individu malveillant pourrait :
- Bénéficier indûment d’allocations familiales : L’usurpateur pourrait percevoir des aides sociales auxquelles il n’a pas droit en utilisant votre identité.
- Modifier vos informations personnelles : Vos coordonnées bancaires, votre adresse, ou le nombre d’enfants à charge pourraient être modifiés sans votre accord.
- Souscrire à des services en votre nom : L’usurpateur pourrait souscrire à des services liés à la CAF en utilisant vos identifiants.
Les conséquences d’une usurpation d’identité à la CAF pour la victime peuvent être multiples et particulièrement désagréables. Tout d’abord, la victime peut se retrouver à devoir rembourser des sommes indûment versées à un usurpateur, même si elle n’y est pour rien. Ensuite, elle risque de faire l’objet de contrôles renforcés de la part de la CAF, ce qui peut engendrer une perte de temps et un stress important. De plus, son identité peut être utilisée pour commettre d’autres fraudes, lui causant ainsi des problèmes juridiques et financiers supplémentaires.
C’est par exemple le cas de Guillaume, un commercial de 35 ans, qui a découvert en 2023 que 525 euros avaient été prélevés sur son compte par les impôts à tort, au titre d’un trop-perçu de RSA, alors qu’il n’est pas bénéficiaire de cette aide. Victime d’une usurpation d’identité, quelqu’un avait utilisé son nom pour percevoir des allocations dans plusieurs CAF. Malgré la suspension des comptes frauduleux par la CAF, l’argent a été prélevé sur le compte de Guillaume, entraînant des difficultés administratives pour récupérer les fonds. Ce n’est qu’après deux ans de démarches et de plaintes que son dossier a été résolu grâce à l’intervention des média.
En février 2024, près de 600 000 comptes de bénéficiaires de la Caisse des Allocations Familiales (Caf) ont été piratés par le groupe de hackers LulzSec. Bien que les hackers aient revendiqué le vol de données sur les réseaux sociaux en publiant des captures d’écran, la Caf assure que son site n’a pas subi de faille de sécurité. Les mots de passe des comptes auraient été obtenus par les hackers en dehors du site, et aucun accès aux coordonnées bancaires n’a été compromis. La Caf a temporairement fermé son site pour enquêter, a déposé plainte, et a signalé l’incident à la CNIL.
Liens utiles :
Vous êtes victime d’usurpation d’identité à la CAF ? Faites-vous accompagner par nos experts !
L’URSSAF
L’URSSAF, tout comme la CAF, est un organisme particulièrement visé par les usurpateurs d’identité. Les conséquences d’une usurpation d’identité à l’URSSAF peuvent être très lourdes pour la victime :
- Redevables indus : La victime peut se retrouver avec des dettes importantes auprès de l’URSSAF, dues à des cotisations sociales impayées par l’usurpateur. Ces dettes peuvent entraîner des poursuites judiciaires et des difficultés financières considérables.
- Contrôles renforcés : L’URSSAF peut mener des contrôles approfondis sur la situation professionnelle de la victime, ce qui peut être source de stress et de désagréments.
- Dommage à la réputation professionnelle : Une usurpation d’identité peut laisser des traces dans le fichier des entreprises et des établissements (FIFE), ce qui peut nuire à la réputation professionnelle de la victime.
- Difficultés à obtenir des prêts ou des crédits : Les dettes liées à l’usurpation peuvent rendre difficile l’obtention de financements.
En 2019, de nombreux habitants de la Sarthe ont récemment reçu de faux courriers de l’URSSAF. Ces courriers frauduleux demandent aux destinataires d’envoyer une copie de leur avis d’imposition par email, une pratique malheureusement monnaie courante à laquelle faire attention.
Les exemples de fraude à l’URSSAF ne manquent pas. C’est par exemple le cas de Jonathan, ancien gérant d’entreprise dans l’Eure. Un individu a en effet volé son identité pour créer une entreprise fantôme en Bretagne, entraînant la création d’un dossier frauduleux auprès de l’URSSAF, qui réclamait 40 000 euros à Jonathan. Malgré une plainte déposée et des preuves que l’entreprise n’existe pas réellement, les démarches pour résoudre la situation périclitent, laissant Jonathan dans une impasse financière et juridique.
Liens utiles :
France Connect
France Connect est le service gouvernemental qui permet aux citoyens de se connecter à différents services en ligne en utilisant un seul identifiant et mot de passe. Si cela simplifie les démarches administratives, la centralisation portée par France Connect en fait aussi une cible privilégiée pour les cybercriminels.
Si vos identifiants France Connect sont compromis, un tiers pourrait :
- Accéder à vos comptes administratifs : Impôts, Ameli, Pôle Emploi, etc. : avec un accès non autorisé à vos comptes administratifs, un fraudeur pourrait consulter, modifier ou utiliser vos informations personnelles sensibles.
- Impôts : Consulter vos déclarations de revenus, modifier vos informations fiscales, ou même consulter votre situation financière complète.
- Ameli (Assurance Maladie) : Accéder à vos dossiers de santé, consulter vos remboursements, ou même demander des remboursements frauduleux.
- Pôle Emploi : Consulter votre historique de recherche d’emploi, modifier vos informations personnelles, ou encore simuler une demande d’allocations.
- Souscrire à des services en votre nom : Abonnements, crédits…: Un accès non autorisé permettrait à un tiers de prendre des engagements financiers en votre nom.
- Abonnements : Souscrire à des services payants (comme des abonnements de streaming, magazines, etc.) sans votre consentement, pouvant entraîner des frais non autorisés sur vos comptes.
- Crédits : Demander des prêts ou des crédits en utilisant vos informations personnelles, ce qui pourrait nuire à votre solvabilité et entraîner des dettes que vous devrez rembourser.
- Commettre des fraudes : Un fraudeur pourrait utiliser vos informations France Connect pour des activités illégales telles que :
- Usurpation d’identité : Se faire passer pour vous dans divers contextes, ce qui pourrait inclure des activités comme des achats en ligne ou des inscriptions à des services.
- Dépôts de plaintes ou déclarations : Faire des déclarations ou des plaintes frauduleuses auprès d’organismes publics ou privés en utilisant votre identité.
- Ouverture de comptes bancaires ou d’autres services : Créer de nouveaux comptes bancaires ou souscrire à des services financiers en votre nom, ce qui peut entraîner des frais et des complications pour vous.
En 2022 un problème majeur d’usurpation d’identité lié à FranceConnect est ainsi survenu. En raison d’une campagne massive de phishing, les services d’authentification de FranceConnect ont été partiellement suspendus. Les fraudeurs ont usurpé l’identité des organismes comme l’Assurance maladie et les Impôts pour envoyer des SMS, appels et courriels frauduleux, visant à obtenir des identifiants personnels des utilisateurs. Cette situation a conduit à une suspension temporaire de l’utilisation de FranceConnect sur certains sites, comme l’Assurance maladie et les Impôts.
Liens utiles :