Solange Ghernaouti-Hélie, Docteur en Informatique de l'Université Paris VI. Professeure, elle assure les fonctions de Directrice de l'Institut d'Informatique et Organisation (INFORGE) et de Vice ' Doyenne de l'Ecole des HEC de l'Université de Lausanne. Elle est expert international pour des questions de sécurité et de criminalité des technologies de l'information, elle bénéficie d'une large expérience de conseil et d'expertise dans ces domaines. Ses recherches portent sur les dimensions criminelle, organisationnelle, économique, technologique et humaine de la maîtrise des risques technologiques et informationnels. Elle a contribué à créer, notamment avec l'Ecole des Sciences Criminelles Institut de Police Scientifique de l'Université de Lausanne, le DEA en Droit, Criminalité et Sécurité des Nouvelles Technologies, qu'elle a dirigé durant deux ans. Elle a également dirigé pendant de nombreuses années le diplôme postgrade en informatique et organisation de l'Ecole des HEC. S. Ghernaouti-Hélie est membre du conseil Scientifique International du Département de recherche sur les Menaces Criminelles Contemporaines de l'Université Panthéon-ASSAS- Paris II. Expert en sécurité et e-commerce pour WTO & International Trade Matters. Membre du comité de la société d'Etudes Economiques et Sociales. Membre ACM, IEEE, de l'International Telecommunication Society (ITS) et ReSeR. Elle a été membre du scientific Advisory Board du GMD (German National Research Center for Information Technology). Web : http://www.hec.unil.ch/sgh/
Sujet: La cybercriminalité - 08/06/2005
1- Pouvez vous nous définir la cybercriminalité ?
Pr S-G Helie: La cyber criminalité constitue le prolongement naturel de la criminalité classique. Non seulement Internet offre des conditions exceptionnelles pour de nouvelles entreprises et activités illicites, mais il autorise également la réalisation de fraudes ou délits habituels via l'outil informatique. Ainsi, en offrant des opportunités pour favoriser la recherche et la production de revenus, Internet accorde de nouvelles capacités au monde criminel. Une exploitation efficace des nouvelles technologies, permet aux criminels de réaliser des crimes économiques « classiques » tout en leur assurant la maximisation des bénéfices et en les exposant à un niveau de risque minimal. La cybercriminalité est l'ensemble des différents délits et infractions susceptibles d'être réalisés ou favorisés par l'usage des technologies Internet.
Pr S-G Helie: La cyber criminalité constitue le prolongement naturel de la criminalité classique. Non seulement Internet offre des conditions exceptionnelles pour de nouvelles entreprises et activités illicites, mais il autorise également la réalisation de fraudes ou délits habituels via l'outil informatique. Ainsi, en offrant des opportunités pour favoriser la recherche et la production de revenus, Internet accorde de nouvelles capacités au monde criminel. Une exploitation efficace des nouvelles technologies, permet aux criminels de réaliser des crimes économiques « classiques » tout en leur assurant la maximisation des bénéfices et en les exposant à un niveau de risque minimal. La cybercriminalité est l'ensemble des différents délits et infractions susceptibles d'être réalisés ou favorisés par l'usage des technologies Internet.
2- Des événements précis ont-ils contribué à l'évolution de la perception de la menace cybercriminelle?
Pr S-G Helie: Oui, notamment ceux largement rapportées par les médias durant l'année 2000. Outre le bug de l'an 2000 qui a fait prendre conscience de la fragilité des logiciels et de notre dépendance vis-à-vis de l'informatique, souvenons nous des attaques de déni de service contre des sites tels que Yahoo (10 février 2000) et du fameux virus « I love you » (du 4 mai 2000). Depuis, associé à la médiatisation d'infections virales (virus Code red juillet 2001 ou Nimda septembre 2001) ou de dénis de services (attaque des principaux serveurs DNS 21 octobre 2002) pour ne citer que quelques exemples, le grand public prend plus ou moins conscience de la réalité des menaces s'effectuant à travers le monde de l'internet. L'actualité reste riche de nouvelles de révélation de problèmes liés à l'informatique.
Pr S-G Helie: Oui, notamment ceux largement rapportées par les médias durant l'année 2000. Outre le bug de l'an 2000 qui a fait prendre conscience de la fragilité des logiciels et de notre dépendance vis-à-vis de l'informatique, souvenons nous des attaques de déni de service contre des sites tels que Yahoo (10 février 2000) et du fameux virus « I love you » (du 4 mai 2000). Depuis, associé à la médiatisation d'infections virales (virus Code red juillet 2001 ou Nimda septembre 2001) ou de dénis de services (attaque des principaux serveurs DNS 21 octobre 2002) pour ne citer que quelques exemples, le grand public prend plus ou moins conscience de la réalité des menaces s'effectuant à travers le monde de l'internet. L'actualité reste riche de nouvelles de révélation de problèmes liés à l'informatique.
3- Depuis quand voyez-vous émerger la crainte non seulement de la cybercriminalité, mais du cyberterrorisme ?
Pr S-G Helie: A ce jour, la définition du cyberterrorisme n'est pas claire. Le plus simple, serait sans doute de le considérer le cyberterrorisme comme du terrorisme appliqué au cyberespace. Or, dans son sens courant et d'après le dictionnaire, le terrorisme fait référence à l'emploi systématique de la violence pour atteindre un but politique. Nous sommes en droit de nous demander si l'arrêt éventuel de l'Internet ou d'une partie de l'Internet, suite à des actes de malveillance, serait susceptible de provoquer la terreur au sein de la communauté des internautes? de certains acteurs économiques particuliers? de la population? Ne s'agirait - il pas le plus souvent, et jusqu'à présent de terrorisme économique visant à porter préjudice aux organisations qui réalisent des activités au travers de l'Internet? Pour déterminer si un acte cyber criminel relève du cyberterrorisme faudrait-il se référer Peut être aux revendications des cyber attaquants. Il faut être prudent quant à l'usage du terme "cyberterrorisme" qui s'est en fait répandu depuis le 11 septembre 2001. En effet, souvenons - nous que les premiers dénis de services distribués (DDOS) largement médiatisés furent le fait d'un adolescent de 15 ans (Mafia Boy) le 10 février 2000. Identifié et appréhendé plusieurs mois plus tard, bien qu'il n'ait pas rendu publique sa motivation, tout laisse à penser qu'elle n'était pas politique. Est-ce que cette même attaque perpétrée après le 11 septembre 2001, n'aurait pas été aussi qualifiée de cyberterroriste? Aussi, en l'absence d'éléments concrets, sans revendication ni auteur présumé d'une attaque, il est difficile de qualifier une attaque de cyberterroriste. Il est souvent difficile de distinguer en fonction de la cible uniquement, les motivations d'un attaquant, s'agit-il d'une personne, d'un groupe de personnes (délinquant, terroriste, mercenaire, militant, escroc, immature, etc.) ?
Pr S-G Helie: A ce jour, la définition du cyberterrorisme n'est pas claire. Le plus simple, serait sans doute de le considérer le cyberterrorisme comme du terrorisme appliqué au cyberespace. Or, dans son sens courant et d'après le dictionnaire, le terrorisme fait référence à l'emploi systématique de la violence pour atteindre un but politique. Nous sommes en droit de nous demander si l'arrêt éventuel de l'Internet ou d'une partie de l'Internet, suite à des actes de malveillance, serait susceptible de provoquer la terreur au sein de la communauté des internautes? de certains acteurs économiques particuliers? de la population? Ne s'agirait - il pas le plus souvent, et jusqu'à présent de terrorisme économique visant à porter préjudice aux organisations qui réalisent des activités au travers de l'Internet? Pour déterminer si un acte cyber criminel relève du cyberterrorisme faudrait-il se référer Peut être aux revendications des cyber attaquants. Il faut être prudent quant à l'usage du terme "cyberterrorisme" qui s'est en fait répandu depuis le 11 septembre 2001. En effet, souvenons - nous que les premiers dénis de services distribués (DDOS) largement médiatisés furent le fait d'un adolescent de 15 ans (Mafia Boy) le 10 février 2000. Identifié et appréhendé plusieurs mois plus tard, bien qu'il n'ait pas rendu publique sa motivation, tout laisse à penser qu'elle n'était pas politique. Est-ce que cette même attaque perpétrée après le 11 septembre 2001, n'aurait pas été aussi qualifiée de cyberterroriste? Aussi, en l'absence d'éléments concrets, sans revendication ni auteur présumé d'une attaque, il est difficile de qualifier une attaque de cyberterroriste. Il est souvent difficile de distinguer en fonction de la cible uniquement, les motivations d'un attaquant, s'agit-il d'une personne, d'un groupe de personnes (délinquant, terroriste, mercenaire, militant, escroc, immature, etc.) ?
4- Quelles sont les mesures de lutte contre la cybercriminalité ?
Pr S-G Helie: La cyber criminalité tire partie des caractéristiques suivantes:
Pr S-G Helie: La cyber criminalité tire partie des caractéristiques suivantes:
- de la dématérialisation des actions, services, transactions
- des erreurs de conception, gestion, utilisation
- de pannes et dysfonctionnements des systèmes
- de la disponibilité d'outils d'attaque
- de la dépendance aux technologies
- de l'interdépendance des systèmes et infrastructures
- de l'universalité des technologies
- de l'accessibilité et de l'ouverture des systèmes
- repenser notre relation aux nouvelles technologies et aux fournisseurs de produits ;
- l'exigence d'une garantie de sécurité ;
- la responsabilité des acteurs du monde informatique.
- des produits de qualité dont le niveau de sécurité puissent être contrôlable et vérifiable ;
- que la sécurité ne soit plus réalisée dans l'obscurité ;
- que la sécurité ne relève plus uniquement de la responsabilité des utilisateurs mais aussi des intermédiaires techniques ;
- qu'un minimum de sécurité soit intégré en mode natif dans les solutions technologiques.
5- Ne pensez vous pas que toutes les mesures de lutte vont à l'encontre de la confidentialité des données personnelles ?
Pr S-G Helie: La lutte contre la cybercriminalité doit avoir comme objectif principal la protection des individus, des organisations et des Etats, en tenant compte des grands principes démocratiques. Il est évident que les outils de lutte contre la criminalité informatique peuvent potentiellement mettre à mal les droits de l'Homme et aller à l'encontre de la confidentialité des données personnelles. La sécuriser passe par la surveillance, le contrôle, le filtrage, ? des gardes fous doivent être mis en place pour éviter des abus de pouvoir, de situation dominante et toute sorte de dérives totalitaires et pour garantir le respects des droits fondamentaux, notamment celui du respect de l'intimité (numérique) et de la confidentialité des données personnelles. Remarquons que diverses législations nationales existent depuis déjà longtemps concernant la protection des données personnelles.
Pr S-G Helie: La lutte contre la cybercriminalité doit avoir comme objectif principal la protection des individus, des organisations et des Etats, en tenant compte des grands principes démocratiques. Il est évident que les outils de lutte contre la criminalité informatique peuvent potentiellement mettre à mal les droits de l'Homme et aller à l'encontre de la confidentialité des données personnelles. La sécuriser passe par la surveillance, le contrôle, le filtrage, ? des gardes fous doivent être mis en place pour éviter des abus de pouvoir, de situation dominante et toute sorte de dérives totalitaires et pour garantir le respects des droits fondamentaux, notamment celui du respect de l'intimité (numérique) et de la confidentialité des données personnelles. Remarquons que diverses législations nationales existent depuis déjà longtemps concernant la protection des données personnelles.
6- Quel peut être le rôle de l'Etat face à la cybercriminalité ?
Pr S-G Helie: La maîtrise du risque informatique d'origine criminel nécessite un partenariat et une implication de tous les acteurs, pas seulement de l'Etat. L'état possède des responsabilités importantes pour la réalisation d'une sûreté numérique. Ceci est particulièrement vrai pour la définition d'un cadre légal approprié, c'est à dire unifié et applicable. De plus, il doit non seulement favoriser et encourager la recherche et le développement en matière de sécurité mais aussi promouvoir une culture de la sécurité, imposer le respect d'un minimum de normes de sécurité (la sécurité devrait être intégrée en natif dans les produits et services), tout en renforçant la lutte contre la criminalité. Par ailleurs, le marché tente de développer des mécanismes pour réduire, transférer ou partager le risque informationnel, le secteur privé ne peut résoudre seul, la question de maîtrise du risque criminel.
Pr S-G Helie: La maîtrise du risque informatique d'origine criminel nécessite un partenariat et une implication de tous les acteurs, pas seulement de l'Etat. L'état possède des responsabilités importantes pour la réalisation d'une sûreté numérique. Ceci est particulièrement vrai pour la définition d'un cadre légal approprié, c'est à dire unifié et applicable. De plus, il doit non seulement favoriser et encourager la recherche et le développement en matière de sécurité mais aussi promouvoir une culture de la sécurité, imposer le respect d'un minimum de normes de sécurité (la sécurité devrait être intégrée en natif dans les produits et services), tout en renforçant la lutte contre la criminalité. Par ailleurs, le marché tente de développer des mécanismes pour réduire, transférer ou partager le risque informationnel, le secteur privé ne peut résoudre seul, la question de maîtrise du risque criminel.
7- La mise en application de loi doit dépasser les frontières d'un pays et prendre un cadre international. Existe-t-il un référentiel judiciaire standard auquel tous les pays doivent être soumis ?
Pr S-G Helie: De par sa nature et ses caractéristiques, Internet offre une couche d'isolation protectrice aux criminels. Ainsi par exemple, le fait de pouvoir localiser des serveurs dans des états faibles qui constituent des refuges à des opérations transnationales ainsi que le manque de régulation internationale et de contrôle, offrent des avantages largement exploités par la criminalité. Le criminel tire partie de l'aterritorialité de l'Internet, de l'inexistence dans certains états de lois réprimant le crime informatique et des juridictions multiples dont relève le réseau des réseaux. A l'instar des paradis fiscaux, il existe des paradis numériques où un malfaiteur peut agir ou héberger des serveurs et des contenus illicites en toute impunité. Une volonté réglementaire existe bien au niveau international de pouvoir maîtriser la cybercriminalité. Ce n'est pas forcément par absence de Lois, ou de principes directeurs (Cf « Lignes directrices de l'OCDE régissant la sécurité des systèmes et des réseaux - vers une culture de la sécurité - 2002 », mais ce sont la difficulté et la complexité du chantier à mettre en oeuvre et les moyens nécessaires pour atteindre les objectifs de lutte contre non seulement la cybercrimnalité mais aussi le crime organisé, qui font que l'Internet est exploité à des fins malveillantes.
Pr S-G Helie: De par sa nature et ses caractéristiques, Internet offre une couche d'isolation protectrice aux criminels. Ainsi par exemple, le fait de pouvoir localiser des serveurs dans des états faibles qui constituent des refuges à des opérations transnationales ainsi que le manque de régulation internationale et de contrôle, offrent des avantages largement exploités par la criminalité. Le criminel tire partie de l'aterritorialité de l'Internet, de l'inexistence dans certains états de lois réprimant le crime informatique et des juridictions multiples dont relève le réseau des réseaux. A l'instar des paradis fiscaux, il existe des paradis numériques où un malfaiteur peut agir ou héberger des serveurs et des contenus illicites en toute impunité. Une volonté réglementaire existe bien au niveau international de pouvoir maîtriser la cybercriminalité. Ce n'est pas forcément par absence de Lois, ou de principes directeurs (Cf « Lignes directrices de l'OCDE régissant la sécurité des systèmes et des réseaux - vers une culture de la sécurité - 2002 », mais ce sont la difficulté et la complexité du chantier à mettre en oeuvre et les moyens nécessaires pour atteindre les objectifs de lutte contre non seulement la cybercrimnalité mais aussi le crime organisé, qui font que l'Internet est exploité à des fins malveillantes.