Domaine n°6

Prévenir les risques liés à la cybercriminalité

Introduction 

Cet article intervient ici dans l’étude du domaine n°6 et vient expliciter la maîtrise des deux compétences qui y sont intégrées que sont : la maîtrise de la législation et de la jurisprudence en matière de cybercriminalité ainsi que la prévention des actes de cybercriminalité dans un contexte professionnel.

Définitions 

Pour commencer, il semble bien évidemment pertinent de bien expliciter ce que la notion de cybercriminalité signifie.
Il n’existe pas de définition légale du terme du fait du caractère vague et surtout large qu’il revêt ; il semble en effet désigner toutes les infractions pénales qui peuvent être commises sur ou au moyen d’un système informatique généralement connecté à un réseau.
La démocratisation de l’accès à l’informatique, la globalisation des réseaux, bref l’explosion du numérique ont été des facteurs de développement du cybercrime.

Les actes de cybercriminalité 

Les agissements pouvant être qualifiés de cybercriminels se sont multipliés cette dernière décennie et représentent un véritable fléau pour notre société, coûtant chaque année des milliards de dollars aux entreprises et aux particuliers.
Il serait pertinent selon de nombreux auteurs, de diviser ce type d’actes en deux grandes catégories :
une cybercriminalité liée à la propriété, se matérialisant par une atteinte aux biens. Le cybercriminel parvient dans ce type de cas à obtenir frauduleusement des données personnelles d’une personne (physique ou morale), généralement des données bancaires, afin d’en faire usage pour son propre profit. Ce type de cybercriminalité regroupe également tous les actes de commerce d’objets volés, d’atteinte à des droits de propriété intellectuelle.
Une cybercriminalité liée davantage à l’individu, à la personne. Ce type de criminalité se matérialise sous la forme d’atteintes en ligne à la vie privée, d’harcèlement, de distribution, trafic de contenus illicites…

Il existerait également une troisième catégorie plus rare de cybercriminalité : le cyberterrorisme, généralement effectué cette fois ci contre un Etat, gouvernement.

En réalité cette cybercriminalité trouve ses sources dans une soustraction frauduleuse de données personnelles ; de nombreuses techniques ont été développées au fil du temps par les pirates informatiques pour obtenir ces données. Il est possible de citer par exemple le phishing (hameçonnage), consistant alors à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels. L’installation de programmes malveillants sur l’ordinateur fait bien évidemment partie des techniques employées, tels que des virus, chevaux de troie, rootkits…

Cadre juridique 

Il y eût une prise de conscience nationale mais aussi internationale assez importante dès le début des années 2000, concernant les problématiques que pouvaient poser les infractions, crimes commis en ligne.
Une convention internationale sur la cybercriminalité a ainsi vu le jour le 23 novembre 2001, qui fut adopté par les pays membres du Conseil de l’Europe ainsi que les États-Unis, le Canada, le Japon et l’Afrique du Sud.
Cette convention poursuivait de nombreux objectifs dont celui de bien définir les infractions rentrant dans le champ de la notion de cybercrime. Une distinction a été faite entre de pures infractions informatiques regroupant les falsifications et fraudes et celles liées à un contenu qui serait d’ordre illicite. Il y eût à l’intérieur de cette convention une prise compte des atteintes en ligne aux droits de propriété intellectuelle ainsi que des infractions liées à la confidentialité, l’intégrité et la disponibilité des données et systèmes.
Cette convention avait également pour ambition de bien définir les moyens d’enquêtes et de poursuites pénales des infractions commises en ligne ainsi que de favoriser la coopération entre les états signataires.
De nombreuses lois nationales suivirent afin de transposer cette directive mais celle qui nous semble ici le plus pertinent à traiter est celle pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN), qui est venue modifier les articles 323-1 et suivant du Code pénal.
Cette loi fut en effet centrale afin de préciser le régime de responsabilité des acteurs du numérique, agissant en ligne, vis à vis des attaques pénalement qualifiées de cybercriminelles.
Les intermédiaires techniques sont en effet au centre de cette loi et regroupent à la fois les opérateurs de télécommunication, les fournisseurs d’accès à internet, les fournisseurs d’hébergement, les fournisseurs de contenu ainsi que les forums de discussion et moteurs de recherche.
Ces intermédiaires techniques, obéissant tous à des règles de responsabilité propres à chacun, joue un rôle déterminant dans la lutte contre la cybercriminalité. En effet, ce sont eux qui sont les plus à même de pouvoir détecter et réagir face à des agissements frauduleux en ligne par le biais de signalements auprès d’organismes compétents.

Des règles claires ont ainsi été instaurées pour chaque intermédiaire, afin de savoir quand est ce que dernier se doit de signaler voir de supprimer un contenu en ligne.

Problématiques

Cependant, des problèmes se sont posés en pratique concernant la délimitation même de chaque catégorie d’intermédiaire technique.
Pour prendre un exemple, l’affaire Ebay de la chambre commerciale du 3 mai 2012 met en exergue une des problématiques de la qualification des intermédiaires techniques.
La notion de « rôle actif » est centrale dans le processus de qualification et c’est d’ailleurs ce critère qui fut retenu par la Cour de Justice de l’Union européenne depuis ses arrêts du 23 mars 2010 pour déterminer si un intermédiaire doit être considéré comme éditeur ou hébergeur du service. Dans ce dernier cas, il bénéficie du régime de responsabilité plus favorable prévu en France par la LCEN.
Dans le cas d’espèce, il avait été démontré qu’Ebay fournissait aux vendeurs des informations, desmoyens afin de leur permettre d’optimiser leur ventes, envoyait également des messages aux acheteurs afin de les inciter à acquérir certains biens mis en vente sur le site. Ainsi, Ebay avait exercé ce rôle dit actif dans son comportement, s’est vu alors refusé la qualification de simple hébergeur et s’est trouvé directement responsable des contenus illicites.

D’autres problématiques apparurent également concernant la territorialité des lois françaises et leur application à un site internet.
Pour prendre l’exemple de l’affaire Yahoo, le TGI de Paris a ordonné le 22 mai 2000 à Yahoo France « de prévenir tout internaute consultant Yahoo.fr, et ce, dès avant même qu’il fasse usage du lien lui permettant de poursuivre ses recherches sur Yahoo.com, que si le résultat de sa recherche, soit à partir d’une arborescence, soit à partir de mots clés l’amène à pointer sur des sites, des pages ou des forums dont le titre et/ou les contenus constituent une infraction à la loi française, – sites faisant l’apologie du nazisme en l’espèce – il doit interrompre la consultation du site concerné sauf à encourir les sanctions prévues par la législation française ou à répondre à des actions en justice initiées à son encontre ».
La jurisprudence semble ainsi transposer aux fournisseurs d’outils de recherche la solution applicable aux hébergeurs quant à la connaissance effective du caractère illicite ou préjudiciable des sites hébergés. Cependant, le principe fondamental de liberté d’expression souvent soulevé par les responsables de moteur de recherche les empêche de décider eux même de l’illicéité de tel ou tel site et d’ainsi le suspendre. Une intervention des autorités judiciaires compétentes est alors nécessaire.

La prévention des actes de cybercriminalité est ainsi devenu un enjeu majeur de ces dernières années. La France tout comme de nombreux pays dans le monde ont déjà été victimes d’acte cybercriminelles. Il est aisément compréhensible que certains secteurs sont assez sensibles et qu’un simple piratage pourrait avoir des conséquences nationales désastreuses. Conscients de cela, les gouvernements de tous les pays ont mis en place de nombreuses mesures afin de prévenir ce type d’agissements, en fournissant un investissement important dans la sécurité des différents systèmes informatiques gouvernementaux, en sensibilisant au mieux entreprises et particuliers aux habitudes à adopter pour minimiser les risques.
Les techniques de cryptage, de sécurisation accrue des paiements en ligne ainsi que le passage au protocole HTTPS basée sur l’utilisation d’un algorithme de chiffrement, et sur la reconnaissance de validité du certificat d’authentification du site visité, ont grandement permis de sécuriser les échanges en ligne.
Les entreprises, conscients et bien sûr parfois victimes de cyber attaques, ont également changé pour beaucoup leurs habitudes en sensibilisant leurs salariés aux mieux contre le piratage. En effet, l’une des plus grandes failles facilitant l’intrusion par des pirates reste l’humain lui même. Une simple ouverture malencontreuse d’emails frauduleux peut permettre d’ouvrir les portes aux cybercriminels. Pour exemple Bouygues Construction fut victime le 30 janvier dernier d’une extorsion via un ransomware, ce dernier étant un logiciel informatique malveillant, prenant en otage les données et qui ne seront généralement rendues qu’en échange d’une certaine somme d’argent (10 Millions ici dans notre cas d’espèce).

La cybercriminalité est encore bien d’actualité, et bien que la prise de conscience de ses risques a bien été généralisée, les moyens juridiques et pratiques ne semblent encore même aujourd’hui pas tout à fait opérationnels…

Pour davantage d’informations n’hésitez pas à consulter l’article de Martine Exposito de 2009 – Prévenir des actes de cybercriminalité dans un contexte professionnel.