L’hameçonnage par l’usage de fausses publicités
Les fausses publicités liées à des cryptomonnaies s’inscrivent dans une stratégie d’hameçonnage. L’hameçonnage (ou le phishing) désigne une man½uvre par laquelle des personnes cherchent à duper un internaute pour l’inciter à communiquer des données personnelles ou bancaires en prétendant être un tiers de confiance[1]. Concrètement, un cybercriminel démarche (souvent par appels) des personnes en se présentant comme un professionnel travaillant dans une structure d’achat / de vente d’actifs numériques. Après des échanges instaurant la confiance, l’escroc convainc sa proie d’investir dans un site qui, en réalité, lui permet soutirer de l’argent. La cible ne reverra plus la couleur de la somme investie[2].
L’arnaqueur a souvent recours à des encarts publicitaires sur Google ou contenus sponsorisés pour être bien référencé. Les annonces publicitaires imitent de marques de portefeuille de cryptomonnaies populaires et légales, comme Phantom et Metamask. L’idée est d’attirer les utilisateurs sur de faux sites, en apparence similaires à des vraies plateformes de trading, pour qu’ils s’y connectent. Cela permettra ensuite de dérober leurs informations personnelles et bancaires une fois que les internautes auront entré leur identifiant personnel et mot de passe confidentiel dans la base de données de l’escroc. Le cybercriminel n’aura plus qu’à utiliser les clés privées transmises pour vider le portefeuille de cryptomonnaies de la victime. Selon Check Point Research, entreprise de cybersécurité, 500 000 euros auraient été dépouillés de cette manière sur le week-end du 30-31 octobre 2021[3].
Les sanctions encourues par l’auteur de l’hameçonnage sous forme de fausse publicité
Sur le terrain du droit pénal, l’hameçonnage de cryptomonnaie sous forme de fausse publicité est sanctionné sur différents fondements.
- Le fondement principal constitue le délit d’escroquerie. Cette infraction se caractérise matériellement par le fait de tromper une personne « […] soit par l’usage d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de man½uvres frauduleuses ... » en la poussant à remettre une somme d’argent à son préjudice[4]. L’auteur d’une escroquerie encourt une peine de cinq ans d’emprisonnement et de 375 000 euros d’amende[5].
- Le fondement principal constitue le délit de vol. Le vol se caractérise matériellement par la soustraction frauduleuse de la chose d’autrui, sans son consentement et à son insu[6]. La chose d’autrui objet du vol peut être un bien matériel comme immatériel. Le vol est puni de trois ans d’emprisonnement et de 45 000 euros d’amende.
Par ailleurs, si le prestataire de services d’actifs numériques n’a pas obtenu d’agrément de l’AMF, il ne peut exercer des activités de proposition d’achat / de vente de cryptomonnaies, sous peine d’être inscrit sur la liste noire de l’AMF. La violation de cette interdiction est sanctionnée par les mêmes peines que celles prévues pour le délit d’escroquerie[7].
Sur le terrain du droit civil, la société à l’origine de l’escroquerie qui a siphonné le portefeuille de la victime n’a pas respecté son obligation contractuelle. Or, l’inexécution d’une obligation contractuelle donne lieu à plusieurs sanctions mentionnées à l’article 1217 du Code civil. Parmi elles, l’annulation du contrat et la restitution des sommes versées volées. La victime aura de surcroît la possibilité de demander des dommages et intérêts en réparation de son préjudice.
Dans l’éventualité où la poursuite des personnes à l’origine des pratiques illégales s’avère compliquée, il faudra s’appuyer sur l’article L 561-6 du Code monétaire et financier qui impose aux banques françaises un devoir de vigilance au bénéfice de leurs clients. Dans le cadre d’escroqueries sur des cryptomonnaies, la responsabilité des banques pourra être engagée dans les situations suivantes. Premièrement, si des anormalités relatives au destinataire du virement avaient pu être décelées car la société figurait sur la liste noire de l’AMF. Deuxièmement, lorsque la transaction est suspicieuse (comptes situés à l’étranger, montants disproportionnés …)[8].
Les solutions juridiques à l’hameçonnage
En prévention, il faut être vigilant quand l’adresse URL du contenu sponsorisé ne contient ni d’icône de cadenas ni la mention « https » indiquant que le site web est sécurisé.
En tant que victime d’un hameçonnage de cryptomonnaie, une première étape consiste à ouvrir une phase de règlement à l’amiable. À cette fin, il convient d’envoyer une lettre de mise en demeure à l’annonceur à l’origine de l’arnaque, lui demandant la restitution des sommes subtilisées dans le portefeuille de cryptoactifs.
En cas d’échec de la tentative de conciliation, il faudra envisager une action civile devant le tribunal judiciaire en vue d’obtenir la résolution du contrat et la restitution de l’argent volé dans le portefeuille d’actifs numériques. De surcroît, la victime pourra demander des dédommagements en réparation du préjudice subi. De façon alternative, la victime a la possibilité d’obtenir des dommages et intérêts en déposant une plainte devant le procureur de la République puis en se constituant partie civile.
Dans l’hypothèse où les poursuites contre l’annonceur s’avèrent infructueuses, la responsabilité civile des banques françaises des victimes pourra être engagée si elles ont manqué à leur devoir de vigilance. Sous réserve de tenter au préalable un règlement du litige à l’amiable, la victime saisira le juge civil pour demander le remboursement des sommes pillées ainsi que des dommages et intérêts en réparation des préjudices matériels et moraux.
[3] Anaëlle Lucina, 20 minutes, « Les possesseurs de cryptomonnaies sont victimes de nouvelles stratégies de hameçonnage »
[5] Idem.
[7] L’article L. 572-26 du Code monétaire et financier prévoit des peines identiques que celles associées au délit d’escroquerie à l’article 313-1 du Code pénal.
[8] Pour verdict, « Arnaques aux cryptomonnaies : les victimes peuvent agir », 31 janvier 2020,
Dossier complet répondant à mes questions