Dossiers Sécurité: La cybercriminalité

    Dorénavant, les nouvelles technologies de traitement de l'information et des communications, sont à considérées comme cible et comme moyen d'expression de nouvelles formes de criminalité. Avec le crime informatique, l'ordinateur peut être la finalité d'un délit (vol de données, destruction, ...) mais peut également servir d'intermédiaire pour perpétrer des activités délictueuses (crime financier,'). La cybercriminalité fait référence aux activités criminelles qui s'effectuent, via les technologies et de l'Internet et à travers le cyberespace. La cybercriminalité constitue le prolongement naturel de la criminalité classique. Non seulement Internet offre des conditions exceptionnelles pour de nouvelles entreprises et activités illicites, mais il autorise également la réalisation de fraudes ou délits habituels via l'outil informatique. Ainsi, en offrant des opportunités pour favoriser la recherche et la production de revenus, Internet accorde de nouvelles capacités au monde criminel. Une exploitation efficace des nouvelles technologies, permet aux criminels de réaliser des crimes économiques « classiques » tout en leur assurant la maximisation des bénéfices et en les exposant à un niveau de risque minimal.

 

1- Définition de la cybercriminalité :

La cybercriminalité est l'ensemble des différents délits et infractions susceptibles d'être réalisés ou favorisés par l'usage des technologies Internet. Ainsi, la dimension réseau qu'introduit Internet dans le crime informatique, autorise, via la commission à distance d'un délit, une certaine ubiquité du criminel. Elle confère également à ce dernier le pouvoir de réaliser à grande échelle, et de manière automatisée, ses crimes. En effet, Internet rend accessible à tout internaute des informations relatives aux technologies, mais aussi, des outils d'exploitation de leurs failles. De ce fait, il favorise la diffusion de méthodes permettant la réalisation de délits. De plus, il permet de capitaliser et d'embarquer dans des logiciels, des savoirs-faire criminels. Les cybercriminels n'ont donc pas forcément besoin d'être des experts informatiques. Par antinomie, un perceur de coffres-forts acquiert son expertise par un apprentissage long et parfois périlleux. Il doit être physiquement présent sur les lieux de son crime et non pas confortablement installé à son ordinateur, dans un environnement familier et rassurant. Par ailleurs il est aisé de se procurer sur Internet des recettes de cyber-attaques. Ainsi, sont abordables, via Internet, des directives ou des boites à outils permettant de perpétrer toutes sortes de délits. La dématérialisation des transactions, les facilités de communication associées aux solutions de chiffrement, de stéganographie et d'anonymat, autorisent des liaisons entre criminels de différents pays sans contact physique, de manière flexible et sécurisée en toute impunité. Ainsi, ils peuvent s'organiser en équipes, planifier des actions illicites et les réaliser soit de manière classique, soit par le biais des nouvelles technologies. La couverture internationale du réseau Internet permet aux criminels d'agir au niveau mondial, à grande échelle et très rapidement.

2- Évolution de la perception de la menace cybercriminelle :

Outre le bug de l'an 2000 qui a fait prendre conscience de la fragilité des logiciels et de notre dépendance vis-à-vis de l'informatique, souvenons nous des attaques de déni de service contre des sites tels que Yahoo (10 février 2000) et du fameux virus « I love you » (du 4 mai 2000). Depuis, associé à la médiatisation d'infections virales (virus Code red juillet 2001 ou Nimda septembre 2001) ou de dénis de services (attaque des principaux serveurs DNS 21 octobre 2002) pour ne citer que quelques exemples, le grand public prend plus ou moins conscience de la réalité des menaces s'effectuant à travers le monde de l'internet. L'actualité reste riche de nouvelles de révélation de problèmes liés à l'informatique.

3- Cybercriminalité et cyberterrorisme ?

A ce jour, la définition du cyberterrorisme n'est pas claire. Le plus simple, serait sans doute de le considérer le cyberterrorisme comme du terrorisme appliqué au cyberespace. Or, dans son sens courant et d'après le dictionnaire, le terrorisme fait référence à l'emploi systématique de la violence pour atteindre un but politique. Nous sommes en droit de nous demander si l'arrêt éventuel de l'Internet ou d'une partie de l'Internet, suite à des actes de malveillance, serait susceptible de provoquer la terreur au sein de la communauté des internautes' de certains acteurs économiques particuliers' de la population' Ne s'agirait - il pas le plus souvent, et jusqu'à présent de terrorisme économique visant à porter préjudice aux organisations qui réalisent des activités au travers de l'Internet' Toutefois, la cybercriminalité, peut avoir une dimension terroriste, dans la mesure ou les systèmes attaqués sont impliqués dans des infrastructures critiques. En effet, les infrastructures essentielles au bon fonctionnement des activités d'un pays (énergie, eau, transports, logistique alimentaire, télécommunications, banque et finance, services médicaux, fonctions gouvernementale, etc.), voient leur vulnérabilité augmentée par un recours accru aux technologies Internet. Il faut souligner l'importance des systèmes de production et de distribution d'électricité car ils conditionnent le fonctionnement de la plupart des infrastructures. La prise de contrôle d'infrastructures critiques semble être un des objectifs du cyberterrorisme.


Pour déterminer si un acte cybercriminel relève du cyberterrorisme faudrait-il se référer Peut être aux revendications des cyber attaquants. Il faut être prudent quant à l'usage du terme "cyberterrorisme" qui s'est en fait répandu depuis le 11 septembre 2001. En effet, souvenons - nous que les premiers dénis de services distribués (DDOS) largement médiatisés furent le fait d'un adolescent de 15 ans (Mafia Boy) le 10 février 2000. Identifié et appréhendé plusieurs mois plus tard, bien qu'il n'ait pas rendu publique sa motivation, tout laisse à penser qu'elle n'était pas politique. Est-ce que cette même attaque perpétrée après le 11 septembre 2001, n'aurait pas été aussi qualifiée de cyberterroriste' Aussi, en l'absence d'éléments concrets, sans revendication ni auteur présumé d'une attaque, il est difficile de qualifier une attaque de cyberterroriste. Il est souvent difficile de distinguer en fonction de la cible uniquement, les motivations d'un attaquant, s'agit-il d'une personne, d'un groupe de personnes (délinquant, terroriste, mercenaire, militant, escroc, immature, etc.) ' Le type d'agression informatique ne suffit pas à définir avec certitude la motivation ou les objectifs d'un malveillant. Ceci constitue une des difficultés de la lutte contre le crime informatique car il est nécessaire de disposer d'informations complémentaires pour caractériser l'intention criminelle.
Bien que le cyberterrorisme semble être un concept qui recouvre une réalité assez floue dans le répertoire des nouvelles menaces, il en n'est pas moins pertinent et recouvre hélas une certaine réalité. La sécurité intérieure d'un pays est aujourd'hui confrontée à des formes d'expression de menaces criminelles liées à l'existence des technologies de l'information. Les technologies de l'Internet sont au c'ur de la guerre de l'information (inforguerre infowar) dont les enjeux sont avant tout d'ordre économique et les impacts importants pour le bon déroulement des activités. Internet permet non seulement la manipulation de l'information mais est aussi un outil privilégié pour répondre des rumeurs ou toute forme d'intoxication ou de campagne de déstabilisation. De même, sont facilitées les activités d'espionnage et de renseignement puisqu'il est devenu aisé d'intercepter des informations transférées sur Internet. Que cela soit au travers des processus de déstabilisation économique, par la mise en péril d'infrastructure critiques, par la propagation d'idéologies ou par de la manipulation d'information, le cyberterrorisme constitue une nouvelle forme de menaces qui sont à considérer de manière très sérieuse. Au delà des systèmes informatiques et du monde virtuel que symbolise l'Internet, la vie peut être menacée en portant indirectement préjudice à l'intégrité des personnes.


Remarquons également que les terroristes ont largement adoptés les facilités de communication offertes par l'Internet pour s'organiser, communiquer, échanger, rechercher des fonds, préparer des actions, etc. c'est peut être cette dimension de l'Internet qui doit être prise en compte lorsque l'on évoque le cyber terrorisme.

4- Mesures de lutte contre la cybercriminalité :

La cybercriminalité tire partie des caractéristiques suivantes:

  • de la dématérialisation des actions, services, transactions
  • des erreurs de conception, gestion, utilisation
  • de pannes et dysfonctionnements des systèmes
  • de la disponibilité d'outils d'attaque
  • de la dépendance aux technologies
  • de l'interdépendance des systèmes et infrastructures
  • de l'universalité des technologies
  • de l'accessibilité et de l'ouverture des systèmes

La prise de conscience de la fragilité du monde numérique et de la non maîtrise totale non seulement des technologies et infrastructures informatiques et télécom mais aussi des solutions de sécurité commercialisées, devrait nous faire poser la question fondamentale de notre dépendance vis-à-vis d'une technologie que nous ne maîtrisons pas ! Il est illusoire de penser que des solutions d'ordre technologiques ou juridiques viendront suppléer les erreurs de conception et de gestion de l'informatique et des télécoms, que cela soit au niveau stratégique, tactique ou opérationnel. Jusqu'où désirons nous être dépendant d'un fournisseur, d'un pays, d'un administrateur' La prise en otage des données par des solutions informatiques est une réalité, les données d'une organisation ne lui appartiennent plus, elles appartiennent aux systèmes informatiques qui les traitent, les sauvegardent, les communiquent, les restituent ! Combien d'entreprises ont à leur dépend, compris leur dépendance excessive vis-à-vis de d'un fournisseur ou d'un administrateur système ' Dans ce contexte, le premier élément de la maîtrise du risque cybercriminel passe avant tout par :

  • repenser notre relation aux nouvelles technologies et aux fournisseurs de produits;
  • l'exigence d'une garantie de sécurité;
  • la responsabilité des acteurs du monde informatique.

Avant de mettre en place des mesures classiques de sécurité par une démarche de prévention - protection - défense - réaction, protégeons les ressources sensibles ou critiques d'une organisation en repensant tout d'abord notre relation aux nouvelles technologies. De plus, exigeons :

  • des produits de qualité dont le niveau de sécurité puissent être contrôlable et vérifiable;
  • que la sécurité ne soit plus réalisée dans l'obscurité;
  • que la sécurité ne relève plus uniquement de la responsabilité des utilisateurs mais aussi des intermédiaires techniques;
  • qu'un minimum de sécurité soit intégré en mode natif dans les solutions technologiques.


Enjeux de société, enjeux économiques, enjeux politiques, enjeux humains, qu'elle soit dénommée sécurité de l'informatique et des télécoms, la sécurité informationnelle touche à la sécurité du patrimoine numérique et culturel des nations. Enjeux colossaux s'il se doit, la problématique soulevée est non seulement de première importance, elle est avant tout multi-forme et très complexe. La maîtrise du patrimoine numérique informationnel, la distribution de biens intangibles, la valorisation des contenus ou l'existence d'une fracture numérique par exemple, sont autant de problèmes d'ordre économique et social, dont la résolution ne pourra être réduite à la seule dimension technologique de la sécurité informatique. La réalisation de la société de l'information nécessite donc de disposer :

  • d'infrastructures informationnelles fiables et sécurisées (accessibilité, disponibilité, sûreté de fonctionnement, continuité des services);
  • de politiques d'assurance et d'un cadre légal adaptés;
  • d'outils efficaces de gestion du risque informationnel;
  • de procédures et moyens pour développer la confiance dans les applications et services offerts par les nouvelles technologies (transactions commerciales et financières, e-santé, e-gouvernement, e-vote, etc.).

Il est constaté, que la démarche sécuritaire est souvent limitée à la mise en place des mesures, de réduction des risques pour les valeurs informationnelles des organisations. Or, l'approche sécuritaire doit également réponde aux besoins de sécurité des individus, notamment pour ce qui concerne la protection de leur vie privée et du respect de leurs droits fondamentaux.


Enfin pour répondre plus spécifiquement à la question posée concernant les moyens de lutte contre ce fléau grandissant et transfrontalier qu'est la cybercriminalité insistons sur la nécessité de disposer d'un cadre légal harmonisé au niveau international et applicable et des moyens d'une véritable coopération internationale des instances de justice et police. Une maîtrise globale, centralisée et coordonnée de la criminalité informatique nécessite une réponse politique, économique, juridique et technologique homogène et adoptable par les différents acteurs de la chaîne numérique, co-partenaires de la sécurité. Au niveau stratégique, il faut assurer la prévention, le renseignement, le partage d'information, faire connaître les meilleures pratiques de gestion du risque et de la sécurité, la gestion des alertes, la coordination, l'harmonisation des systèmes légaux, l'assistance pour promouvoir la sûreté et la sécurité, la définition des coopérations éventuelles (Formelle / informelle, Multilatérale / bilatérale, Active / passive, dimensions Nationale / supra-nationale, etc.). Il également nécessaire d'éduquer, d'informer et former aux technologies de traitement de l'information et des communications et non uniquement à la sécurité et aux mesures de dissuasion. La sensibilisation aux problématiques de sécurité ne doit pas se limiter à la promotion d'une certaine culture de la sécurité et d'une cyber-éthique. En amont de la culture sécuritaire, il doit y avoir une culture de l'informatique. Il faut donner les moyens aux différents acteurs d'apprendre à gérer les risques technologique, opérationnel et informationnel qui les menacent en fonction de l'usage fait des nouvelles technologies. Services de justice et police mais aussi ceux de la protection civile, les pompiers, l'armée ou la Gendarmerie trouvent leur place tant au niveau tactique qu'opérationnel dans la lutte contre la criminalité informatique afin de protéger, poursuivre et réparer. Des centres de surveillance, de détection et d'information aux risques informatique et criminel doivent être opérationnels afin d'assurer la prévention nécessaire à la maîtrise de ces risques.

5- Lutte contre la cybercriminalité et droit à l'intimité numérique :

La lutte contre la cybercriminalité doit avoir comme objectif principal la protection des individus, des organisations et des États, en tenant compte des grands principes démocratiques. Il est évident que les outils de lutte contre la criminalité informatique peuvent potentiellement mettre à mal les droits de l'Homme et aller à l'encontre de la confidentialité des données personnelles. La sécuriser passe par la surveillance, le contrôle, le filtrage, ' des gardes fous doivent être mis en place pour éviter des abus de pouvoir, de situation dominante et toute sorte de dérives totalitaires et pour garantir le respects des droits fondamentaux, notamment celui du respect de l'intimité (numérique) et de la confidentialité des données personnelles. Remarquons que diverses législations nationales existent depuis déjà longtemps concernant la protection des données personnelles. Nous savons également que la sécurité est la résultante d'un compromis, de choix de privilégier un facteur aux détriments d'autres. Comme disait ma grand mère, « on ne fait pas d'omelette sans casser des 'ufs »' Toutefois, l'application des principes de précaution, de coopération, d'économie, de décentralisation et de séparation des pouvoirs en matière de sécurité informatique serait de peu d'utilité si elle ne desservait pas une politique de sécurité résultant d'une gestion efficace des besoins et des risques.
Soyons vigilants pour que le cyber espace ne profite pas uniquement au cybercriminels et ne deviennent pas une vaste galerie marchande, ni un lieu à risques, ni un espace policé à outrance, ni un lieu contrôlé par une entité super puissance. Replaçons l'Humain et les valeurs démocratiques au cœur du débat relatif aux nouvelles technologies, dotons nous de moyens pour être des cybercitoyens avertis et non pas des consommateurs vulnérables et dépendants. Il est de la responsabilité des États de définir une véritable politique de développement de la société de l'information en fonction de ses valeurs propres et de mettre à disposition les moyens nécessaires pour cette réalisation. Cela concerne également les moyens de protection et de lutte contre la cybercriminalité. Soyons maître de nos choix, il en va de la souveraineté des Nations !

6- Le rôle de l’État face à la cybercriminalité :

La maîtrise du risque informatique d'origine criminel nécessite un partenariat et une implication de tous les acteurs, pas seulement de l’État.
L'état possède des responsabilités importantes pour la réalisation d'une sûreté numérique. Ceci est particulièrement vrai pour la définition d'un cadre légal approprié, c'est ' à dire unifié et applicable. De plus, il doit non seulement favoriser et encourager la recherche et le développement en matière de sécurité mais aussi promouvoir une culture de la sécurité, imposer le respect d 'un minimum de normes de sécurité (la sécurité devrait être intégrée en natif dans les produits et services), tout en renforçant la lutte contre la criminalité. Par ailleurs, le marché tente de développer des mécanismes pour réduire, transférer ou partager le risque informationnel, le secteur privé ne peut résoudre seul, la question de maîtrise du risque criminel. Se pose alors la question du modèle financier sous-jacent à ces actions et à la réalisation du partenariat entre le secteur privé et public, pour des plans d'action aux niveaux national, européen et international. Peut être faudrait il insister sur la nécessité d'éduquer aux nouvelles technologies, de sensibiliser et de former à la maîtrise du risque informatique, dans ce contexte, le rôle de l’État est de première importance.

7- Réglementation internationale et Cybercriminalité :

De par sa nature et ses caractéristiques, Internet offre une couche d'isolation protectrice aux criminels. Ainsi par exemple, le fait de pouvoir localiser des serveurs dans des états faibles qui constituent des refuges à des opérations transnationales ainsi que le manque de régulation internationale et de contrôle, offrent des avantages largement exploités par la criminalité. Le criminel tire partie de l' aterritorialité de l'Internet, de l'inexistence dans certains états de lois réprimant le crime informatique et des juridictions multiples dont relève le réseau des réseaux. A l'instar des paradis fiscaux, il existe des paradis numériques où un malfaiteur peut agir ou héberger des serveurs et des contenus illicites en toute impunité.
La première réglementation internationale, contribuant à appréhender la dimension internationale de la cybercriminalité est la Convention sur la cybercriminalité ' Budapest 23 novembre 2001, adoptée sous l'égide du Conseil de l'Europe et entrée en vigueur en juillet 2004 (dès sa ratification par au moins 5 États (dont 3 doivent au moins être du Conseil de l'Europe). Cette convention aborde les points suivants :

  • Disposition de droit pénal matériel concernant:
    • Les infractions contre la confidentialité, l'intégrité et la disponibilité des données et systèmes informatiques
    • Les infractions informatiques
    • Les infractions liées aux atteintes à la propriété intellectuelle et aux droit connexes
  • Disposition de droit procédural concernant:
    • La conservation rapide des données informatiques, de données relatives au trafic et à sa divulgation rapide à l'autorité compétente
    • La conservation et la protection de l'intégrité des données pendant une durée aussi longue que nécessaire pour permettre aux autorités compétentes d'obtenir leur divulgation
    • L'injonction de produire
    • La perquisition et la saisie des données stockées
    • La collecte en temps réel des données
    • La protection adéquate des droits de l'homme et des libertés
    • Chaque Etat doit adopter des mesures législatives et autres qui se révèlent nécessaires pour ériger en infraction pénale, dans le respect de son droit interne
    • L'accès intentionnel et sans droit à tout ou partie d'un système
    • L'interception intentionnelle et sans droit de données lors de transmissions non publiques, à destination, en provenance ou à l'intérieur d'un système
    • Le fait intentionnel et sans droit d'endommager, d'effacer, de détériorer, d'altérer ou du supprimer des données
    • L'entrave grave intentionnelle et sans droit au fonctionnement d'un système
    • La production, la vente, l'obtention pour l'utilisation, l'importation, la diffusion ou d'autres formes de mise à disposition d'un dispositif conçu ou adapté pour réaliser une des infractions mentionnées
    • L'introduction, l'altération, l'effacement ou la suppression intentionnelle et sans droit de données, engendrant des données non authentiques, dans l'intention qu'elles soient prises en compte ou utilisées à des fins légales, comme si elles étaient authentiques
    • Le fait intentionnel et sans droit de causer un préjudice patrimonial à autrui par l'introduction, l'altération, l'effacement ou la suppression de données, toute forme d'atteinte au fonctionnement d'un système, dans l'intention frauduleuse ou délictueuse, d'obtenir sans droit un bénéfice économique pour soi-même ou pour autrui
    • La complicité en vue 'est érigée en infraction pénale ainsi que la tentative intentionnelle de '
    • Les États doivent établir leurs compétences à l'égard de toute infraction pénale lorsque cette dernière est commise
    • Sur son territoire
    • À bord d'un navire battant pavillon de cet État
    • Par un de ses ressortissants, si l'infraction est punissable pénalement là ou elle a été commise ou si l'infraction ne relève pas de la compétence territoriale d'aucun État
    • Règles concernant la coopération internationale en matière
    • D'extradition
    • D'entraide aux fins d'investigation
    • De procédures concernant les infractions pénales liées à des systèmes et données informatiques
    • De recueil de preuves sous forme électronique d'une infraction pénale
    • Création d'un réseau d'entraide
    • 24h/24, 7j/7
    • Point de contact national
    • Assistance immédiate pour les infractions


Une volonté réglementaire existe bien au niveau international de pouvoir maîtriser la cybercriminalité. Ce n'est pas forcément par absence de Lois, ou de principes directeurs (Cf « Lignes directrices de l'OCDE régissant la sécurité des systèmes et des réseaux - vers une culture de la sécurité - 2002 », mais ce sont la difficulté et la complexité du chantier à mettre en œuvre et les moyens nécessaires pour atteindre les objectifs de lutte contre non seulement la cybercriminalité mais aussi le crime organisé, qui font que l'Internet est exploité à des fins malveillantes.