Qu’est-ce que le piratage téléphonique ?

Le piratage téléphonique, qu’il s’agisse du piratage de votre standard téléphonique (IPBX / PABX) ou de votre répondeur, consiste à prendre le contrôle de votre installation en vue de générer des appels téléphoniques.

Le plus souvent, le pirate génère des appels vers des numéros surtaxés ou des appels internationaux à votre préjudice. Le pirate revend le trafic ainsi détourné ou encaisse directement ou indirectement le prix de l’appel surtaxé.

En quelques heures, le préjudice généré peut être considérable et il n’est pas rare que les victimes reçoivent de leur opérateur des factures de plusieurs dizaines de milliers d’euros. Certaines sociétés se sont ainsi retrouvées du jour au lendemain en cessation de paiement.

Comment se protéger du piratage téléphonique ?

La première chose à faire est de sécuriser correctement votre installation téléphonique à l’aide de votre prestataire. Il vous préconisera les bonnes pratiques, le bon matériel et le bon paramétrage de votre installation.

La seconde chose à faire est très certainement de demander à votre opérateur de limiter les encours (montant maximum facturable) sur les numéros internationaux (ou certaines destinations) ainsi que sur certains types de numéros (notamment les numéros surtaxés). L’opérateur bloquera alors automatiquement les appels lorsque vous aurez consommé le montant que vous avez défini avec ce dernier.

Que faire si vous êtes victimes d’un piratage de votre installation téléphonique ?

Il convient de réagir le plus rapidement possible en informant votre installateur téléphonique et votre opérateur pour que les mesures correctives et curatives soient prises.

Le dépôt de plainte est la deuxième chose à faire. Il y a très peu de chance pour que votre plainte débouche sur une enquête et encore moins sur l’identification du pirate mais ce dépôt de plainte est fortement conseillé. Dans l’hypothèse d’un contentieux avec votre installateur téléphonique ou votre opérateur téléphonique il pourrait vous être reproché de ne pas avoir effectué cette démarche. Dès ce stade il est recommande de prendre attache avec un avocat en droit de l’informatique ou d’un avocat en cybercriminalité. De fait, il ne s’agit pas lors du dépôt de plainte de vous livrer à des déclarations qui seront ensuite utilisées contre vous dans l’hypothèse d’un procès avec votre installateur, votre opérateur ou votre assureur.

Il convient ensuite de déclarer immédiatement ce sinistre à votre assureur (certaines polices d’assurances couvrent ce risque particulier). Généralement un justificatif de votre plainte sera alors demandé.

Pour les sinistres lourds (factures de plusieurs milliers d’euros), vous pouvez envisager d’engager la responsabilité de votre opérateur téléphonique ou de votre installateur téléphonique. Ces derniers sont tenus à des obligations d’informations, d’alertes, et de sécurité imposées par la réglementation du code des postes et télécommunication qui ne sont pas toujours respectées.

Notre cabinet à par exemple réussi à engager la responsabilité d’un opérateur téléphonique (voir affaire ci-dessous) et à le faire condamner à prendre en charge 95 % du coût des appels piratés faisant ainsi passer la facture du client de 29.655,21 euros à 1473 euros.

Que faire si votre responsabilité est engagée par un client ?

Généralement pour les opérateurs téléphoniques et les installateurs la problématique du piratage doit être gérée très en amont, notamment lors de la phase contractuelle via des clauses encadrant leur responsabilité. Attention cependant, du fait de modifications législatives intervenues en 2012 beaucoup de conditions générales de ventes ou de prestation de services ne sont plus à jour et vous exposent directement si votre responsabilité est engagée. Très peu de professionnels sont informés que plusieurs dispositions du code de la consommation sont intégralement applicables en la matières même si le client est un professionnel. Dans un dossier (voir ci-dessous) nous avons rendu inopposable toutes les clauses exonératives de responsabilité figurant dans le contrat de l’opérateur. 

piratageDe même, le message d’alerte (voir ci-contre) communiqué par certains syndicats ou organismes professionnels d’installateurs ou d’opérateurs a été jugé comme ne remplissant pas les exigences légales en matières d’information du client. Si vous reproduisez ce message sur vos factures vous êtes directement exposés.

Il convient donc de prendre conseil auprès d’un avocat spécialisé dans le droit de l’informatique pour mettre à jour vos contrats et informer correctement vos clients sur les risques de piratages téléphoniques, piratages de standards ou d’autocommutateurs ou encore piratage de répondeurs téléphoniques.

Si votre client est victime, vous êtes tenus à un devoir d’alerte et de conseils et le mieux est de procéder par écrit. Ici encore l’assistance d’un avocat en droit de l’informatique peut être précieux pour éviter que votre responsabilité ne soit engagée. Il a été jugée qu’une information incomplète ou tardive engage directement votre responsabilité. De même, il a été jugé qu’une information délivrée à la mauvaise personne équivaut à une absence d’information du client.

Enfin dans l’hypothèse d’un contentieux, il est utile et fortement recommandé d’être assisté par un avocat connaissant bien les dispositions du code des postes et télécommunication et la jurisprudence applicable.

Jurisprudence piratage téléphonique : un dossier traité par notre cabinet


reseau3Début septembre 2014 notre client,  recevait un courrier électronique émanant de son opérateur l’informant qu’il désactivait le trunck SIP pour « suspicion de piratage » suite à un nombre anormal d’appels vers des destinations exotiques. Notre client, sans le savoir, venait d’être victime d’un piratage de son standard téléphonique.

Face à cet acte de cybercriminalité, immédiatement le client déposait plainte et prenait les mesures correctives nécessaires sur son installation et procédait à la limitations des encours sur les appels internationaux auprès de ce même opérateur.

Quelques jours plus tard l’opérateur lui adressait néanmoins une facture d’un montant de 29 733,11 euros correspondant à plus de 240h de consommations téléphoniques soit l’équivalent de 16 années de facture téléphonique (le client payait en moyenne 150 euros par mois). De fait, durant 3 jours, le système de téléphonie de notre client, ainsi piraté, lançait, en simultané vers des numéros surtaxés se situant dans des destinations exotiques (Iles Caiman – Niger etc.), des appels téléphoniques de quelques secondes et ce en continu.

Notre client refuse de payer et change d’opérateur. Ce dernier l’assigne alors en référé devant le tribunal de commerce en présentant l’affaire comme un simple dossier de non-paiement de factures.

Notre client nous choisi comme avocat en droit de l’informatique et nous élevons immédiatement devant le juge des référés une contestation sérieuse en arguant qu’il ne s’agit nullement d’un simple problème de facture impayées mais d’un litige entre un opérateur téléphonique et son client suite à des actes de piratage téléphonique.

D’autant qu’à l’occasion de ce référé, notre client découvre que l’opérateur téléphonique avait détecté le piratage téléphonique plusieurs jours avant que notre client n’en soit informé.

Le juge des référés déboute l’opérateur et l’invite à se pourvoir devant le tribunal de commerce.

L’opérateur assigne alors notre client devant le tribunal de commerce et nous développons alors une argumentation nouvelle (car jusqu’a présent la jurisprudence était plutôt en faveur des opérateurs) issues de dispositions récentes du code des postes et communications électroniques.

Le tribunal de commerce ne suit pas cette nouvelle argumentation et dit que l’opérateur n’est pas responsable dès lors que notre client n’a pas procédé à la sécurisation de son réseau.

Nous décidons de faire appel et la Cour d’appel réforme le jugement du tribunal de commerce et condamne l’opérateur téléphonique à prendre en charge 95 % du coût du piratage.

C’est à ce niveau que se situe l’innovation jurisprudentielle.

Le code de la consommation est applicable.

Première innovation, alors que nous étions dans un litige entre professionnels où normalement le code de consommation n’est pas applicable, la Cour d’appel a suivi notre argumentation selon laquelle en matière de piratage téléphonique plusieurs dispositions du code de la consommation sont applicables même si la victime est un professionnel.

Dans cette affaire, où les conditions générales de vente de l’opérateur étaient écrites en petits caractères, l’application du code de la consommation a entraîné l’inopposabilité de l’ensemble des clauses d’irresponsabilité dont se prévalait l’opérateur. Ce dernier avait en effet inséré dans son contrat une clause prévoyant « que sa responsabilité ne saurait être directement ou indirectement recherchée à quelque titre ou quelque cause que ce soit pour les dommages résultant d’accès illicite » au réseau téléphonique du client. Il avait en outre indiqué dans son contrat de téléphonie que « la sécurisation informatique des équipements VOIP du client incombe au client qui en assume l’entière responsabilité, à ce titre, la responsabilité de l’opérateur ne pourra en aucun cas être recherchée ».

L’opérateur est tenu à un devoir d’alerte lorsque le piratage est identifié …


La Cour d’appel a retenu que dès lors que l’opérateur identifie, en raison de la fréquence, de la durée et de la destination des appels qu’elle enregistre sur l’installation de sa cliente, une situation anormale au regard de la facturation habituelle du client, l’opérateur est tenu d’en informer le client.

La Cour d’appel retient que c’est à l’opérateur de faire la preuve de cette information a été délivrée à la bonne personne.

L’opérateur est tenu à un d’information avant que le piratage ne débute …


piratageLa Cour d’appel a retenu également qu’au regard du code des postes et télécommunication l’opérateur est tenu à un devoir d’information sur les risques de piratage. L’intérêt de la décision est que le message figurant sur les factures suivant « IMPORTANT : la recrudescence des actes de piratage des standards téléphoniques nous oblige à vous demander d’en sécuriser le fonctionnement. Merci de contacter votre installateur à cette fin. En aucun cas l’opérateur  ne pourra être tenue pour responsable de dommages financiers afférents” a été jugé comme insuffisant.

En cela, la décision ouvre de nouvelles possibilités de défense pour les victimes piratages, car il s’agit du message type fournit par plusieurs syndicats d’installateurs/opérateurs téléphoniques. Or la Cour indique que si ce type de message  informe bien les clients des risques particuliers et importants de violation de la sécurité de leur réseau, il ne répond pas aux exigences légales qui impose non seulement cette information mais aussi celle portant sur les moyens éventuels d’y remédier et leur coût.

L’opérateur téléphonique peut être responsable de la perte d’une chance pour le client de se protéger.

La Cour d’appel a jugé que dès lors qu’il est établi que l’opérateur téléphonique a failli à son obligation d’information sur les risques encourus par son client ainsi qu’a son devoir d’alerte sur l’existence d’un piratage de son installation téléphonique, alors il a fait « perdre à son client une chance, d’une part de sécuriser son installation dès sa mise en service, et  d’autre part de bloquer les appels vers l’international ou de les limiter dès que le piratage a commencé ».

Le client a donc été condamné au paiement de la facture à hauteur de 29.655,21 euros, l’opérateur a été condamné à payer au client la somme de 28.181,95 euros à titre de dommages et intérêts ainsi qu’a 7000 euros au titre des frais de justice engagé par le client pour ses frais d’avocat.

Par le biais de la compensation, le client conserva à sa charge seulement 5 % du montant de la facture résultant du piratage de son installation téléphonique …