Pourquoi les cybercriminels sont-ils toujours en avance sur la loi ?
Depuis un certain temps, nous recevons des échos de plus en plus réguliers de cyberattaques à grande échelle partout dans le monde. Ces attaques sont dues à la propagation de logiciels malveillants sur Internet ou à la mise en place de réseaux zombies. Mais tous les faits identifiés sont loin d’être une catégorie d’infractions uniformes. Les motifs, les moyens utilisés et l’origine des attaques sont souvent très différents et dirigés vers une grande variété de cibles.
A lire aussi : YggTorrent : Pourquoi la popularité de YggTorrent a-t-elle chuté ?
Sans entrer dans les détails du modus operandi des criminels, loin des considérations juridiques, il serait toutefois nécessaire d’observer ces différentes catégories de cyberattaques et de rechercher les solutions juridiques qui sont ou peuvent être mises en place. C’est l’occasion de faire le point sur les contours du droit dans le cyberespace.
As-tu dit la cybercriminalité ?
Lire également : Les tendances actuelles en matière de sécurité informatique : ce que vous devez savoir
Commençons par une définition : la cybercriminalité est un mot qui désigne tout acte illégal commis dans ce qu’on pourrait appeler cyberespace. Il concerne à la fois les logiciels espions, comme avoir récemment ciblé la société Sony, ainsi que tous les virus auxquels une armada anti-virus est offerte aux consommateurs tous les jours. Il peut également s’agir d’activités de cyberterrorisme, de vente de produits illégaux ou de transmission de fichiers pornographiques mettant en scène des enfants.
Le cyberespace serait donc un nouvel Occident pour les internautes aux intentions multiples et dans lequel, paradoxalement, les Etats tentent de légiférer, tandis que parfois aussi à l’origine de nombreuses infractions.
Ce nouveau monde est-il correctement réglementé ?
Tout d’abord, il n’existe pas de catégorie spécifique dans le droit français couvrant tous les actes cybercriminels. Il s’agit d’infractions très disparates et très différemment punissables pénalement. Il arrive aussi que l’utilisation d’un moyen de télécommunication peut aggraver la peine infligée au criminel.
Par exemple, dans le domaine du terrorisme, l’article 322-6 du Code pénal, introduit par la loi du 9 mars 2004 et visé à l’article 421-1 du même Code définissant les infractions terroristes, érige en infraction la diffusion de moyens techniques de fabrication d’engins de destruction. La peine est alors d’un an d’emprisonnement et une amende de 15000 euros, mais ces peines sont augmentées à trois ans et 45000 euros « lorsqu’ils sont utilisés pour la diffusion de processus, un réseau de télécommunication destiné à un public non spécifié ».
Au-delà des activités terroristes, les cybercriminels peuvent aussi se concentrer sur un service d’État, une entreprise ou des consommateurs. Loin d’être uniformes, leurs objectifs peuvent être politiques, ou financiers, notamment par le vol de données.
Ainsi, d’une manière générale, le paragraphe 1 de l’article 323 du Code pénal prévoit que les infractions aux systèmes automatisés de traitement de l’information (STAD) sont passibles d’une peine d’emprisonnement de deux ans et d’une amende de 30 000 euros. Dans le même sens, l’article 323-2 du même code érige en infraction les obstacles au fonctionnement des systèmes informatiques et l’article 323-3 interdit l’introduction frauduleuse de données dans un STAD. Il y a des peines de cinq ans d’emprisonnement et 75 000 euros d’amende, qu’il s’agisse de biens ou de personnes. Le régime sur ce point semble donc unifié autour de ses propres infractions. Enfin, le paragraphe 1 de l’article 323-3 prévoit un régime de sanctions pour la fourniture d’équipements, d’instruments et de programmes sans motif légitime aux fins de la commission des infractions prévues aux articles précédents, et les articles 323-4 et 323-4 1 prévoient les cas de participation collective et le crime organisé pour ces mêmes infractions en vue de commettre les infractions prévues à la articles. doublement de phrases.
Est-ce suffisant ?
Les lacunes sont progressivement comblées, mais demeurent. Un exemple clair peut être fourni par le vol de données qui ne correspond pas exactement à la définition du vol prévue à l’article 311-1 du Code pénal. En effet, le vol exige la soustraction frauduleuse de la chose d’autrui. Toutefois, dans le cas de la cybercriminalité, les données ne sont pas soustraites mais copiées. Pour y remédier, la Cour de cassation a dû constater des artifices tels que la requalification du vol de données par un employé en violation de confiance. Il convient toutefois de noter que la loi antiterroriste du 13 novembre 2014 complétant la loi Godrfain de 1988 a probablement mis fin à cette difficulté en modifiant l’article 323-3 du Code pénal et en interdisant, au-delà de la conclusion d’un STAD, l’introduction frauduleuse de données dans un traitement automatisé système, en raison de l’introduction de données dans un l’extraction, la détention, la reproduction, la transmission, la suppression ou la modification frauduleuse des données qui y sont contenues est passible d’une peine de cinq ans d’emprisonnement et d’une amende de 75 000 euros ». Cette disposition devrait constituer une nouvelle protection juridique contre le vol de données numériques. Les peines de 5 ans de prison et une amende de 75 000 euros ont été augmentées à 7 ans et 100 000 euros en cas de récupération de données personnelles dans un système d’information de l’État.
Peu à peu, l’arsenal juridique complète et devient plus complexe. Le droit et les administrations publiques doivent constamment s’adapter aux innovations technologiques.
Dans un rapport de février 2014, le député Marc Robert a également mis l’accent sur un certain nombre de lacunes juridiques en proposant de nombreuses mesures. En particulier, le rapport envisage la création de nouvelles infractions spécifiques (par exemple, contre les pourriels qui sont difficiles à lier aux infractions légales actuelles), mais aussi d’augmenter les peines pour les infractions à la STAD et le vol d’identité numérique. Le rapport préconise également la réintroduction de la suspension de l’accès en cas d’infractions impliquant des mineurs. Compétence, elle a proposé que la loi soit étendue à tout litige dans lequel la victime est de nationalité française même lorsque l’infraction a été constituée hors du territoire.
Enfin, le rapport propose la création d’un centre de cyberurgences connu sous le nom d’Équipe d’intervention d’urgence informatique (CERT) généralisé à l’échelle française pour soutenir les CERT professionnels.
Les contours flous entre cybercriminalité, cyberespionnage et cyberdéfense.
Au-delà de la cybercriminalité, nous devons nous attaquer aux cas de cyberespionnage et de cyberdéfense, dont les actions, bien qu’elles relèvent de la common law, sont à une plus grande échelle en ce sens qu’elles ne ciblent pas seulement les individus et les entreprises, mais peuvent également faire appel à la sécurité de l’État.
Ainsi, la loi de programmation militaire 2013 (LPM) impose désormais aux opérateurs d’importance vitale (OIV) de protéger pleinement leurs systèmes d’information et de se conformer aux règles fixées par décret du Premier Ministre en la matière. Ils sont également tenus d’informer l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) de toute forme d’agression dont ils pourraient être victimes. Enfin, en cas de guerre, les cyberattaques peuvent également être soumises au droit international humanitaire dans certains cas.
Quelles extensions venir en cas de cyberconflits hypothétiques ?
La nécessité de légiférer et d’adapter les structures pour atteindre la cyberrésilience est également pressante aux niveaux international et régional. De nombreux États commettent des agressions et sont agressés par d’autres ou par des groupes internationaux. L’Union européenne s’efforce également de préparer et de sensibiliser tous les États membres à ces menaces grâce à la création d’autorités chargées de coordonner la lutte. L’Union souhaite également harmoniser la cybersécurité européenne par le biais d’un nouveau projet de directive (NEI) encore en discussion entre la Commission, le Parlement et le Conseil. Toutefois, certains États et un lobby intense de grands groupes Internet ne souhaitent pas être forcés ou soumis à des procédures spéciales en cas de cyberattaques.
Ces initiatives sont toutefois nécessaires car le problème central de la réglementation sur Internet est que le cyberespace est déterritorialisé. Il n’existe pas de législation spécifique ou de droit international codifié de l’Internet. Sans être une zone d’exclusion légale, le cyberespace se voit donc chevaucher les législations nationales, dont les tentatives d’harmonisation régulière n’ont pas donné de résultats concluants à l’heure actuelle.
Notons qu’en l’absence d’une véritable cyberguerre, nous sommes au début des immenses conflits juridiques que sont jouées dans le cyberespace. Les conflits, dont l’ampleur augmentera, car les possibilités d’infraction sont nombreuses et les moyens mis en œuvre par les différents acteurs importants. Comme toujours, face à la nécessité de nouvelles réglementations, nous devons, bien sûr, assurer le respect des droits fondamentaux des contrevenants et des tiers. Un impératif très difficile à tenir, dans un espace dématérialisé et souvent loin pour la plupart des citoyens.
Charles Ohglusser
Le terme « malware » est un nom générique qui regroupe les virus et les vers, les bombes logiques (code informatique simple), les chevaux de Troie (portes dérobées configurées par un virus ou une bombe logique, permettant d’entrer dans un ordinateur pour déposer un virus, ou le transformer en un « zombie »), un enregistreur de clés (dont le but est de contrôler et d’enregistrer les caractères tapés sur ordinateur), ou un logiciel malveillant intégré (logiciel qui accepte des commandes clandestines dans un système d’exploitation).
Un réseau zombie est un réseau d’ordinateurs infectés par des logiciels malveillants dont le contrôle est partiellement pris par un pirate pendant une certaine période de temps. L’utilisateur ne réalise pas l’infection, mais son ordinateur sera activé en même temps que plusieurs autres (parfois des centaines de milliers) pour diriger une attaque sur une cible spécifique, augmentant l’intensité de l’infection.
Selon Richard A. Clarke et Robert K.Knake, « tous les réseaux informatiques mondiaux et tout ce qu’ils se connectent et contrôlent. Il ne s’agit pas seulement d’Internet. Internet est un réseau ouvert de réseaux. De tout réseau connecté à Internet, vous devriez être en mesure de communiquer avec n’importe quel ordinateur connecté à l’un des réseaux de l’Internet. Le cyberespace comprend donc Internet, mais aussi une foule d’autres réseaux informatiques qui ne sont pas censés être directement accessibles depuis Internet » source : Richard A. Clarke et Robert K.Knake, Cyber war, Harper Collins publishers, 2010. Traduction Bertrant Boyer Cyberstratégie l’art de la guerre numérique, p. 54, Nuvis, 2012.
Pour ce faire, voir l’article de Paul Grisot : Hacking Sony : La cybercriminalité a-t-elle pris un pas ? publié le 10 décembre 2014 dans le Courrier International.
Lien vers l’article : http://www.courrierinternational.com/article/2014/12/08/piratage-de-sony-le-cybercrime-a-t-il-franchi-une-etape
Bien sûr, la cybercriminalité sur Internet est la plupart du temps cachée. Une grande partie du web n’est pas référencée dans les moteurs de recherche classiques. C’est ce qu’on appelle Dark Web ; grâce à un serveur VPN permettant à l’utilisateur de se cacher derrière d’autres ordinateurs en cascade, il est intraçable. Connaissant les adresses des sites utilisés, il est alors possible de trouver toutes sortes de produits parfaitement interdits sans passer par un moteur de recherche classique. Certains réseaux informatiques qui se chevauchent comme TOR permettent de naviguer sur le Dark Web de façon anonyme en paralysant l’analyse du trafic et en fournissant ou en achetant des marchandises illicites tout en restant difficiles à identifier.
Les États sont souvent soupçonné d’être la source de certains virus. L’un des exemples les plus frappants du potentiel des cyberarmes serait le virus Stuxnet, qui a éliminé des centaines de centrifugeuses utilisées pour l’enrichissement de l’uranium en Iran en 2010. Le ver était si complexe que seul un État (et probablement les États-Unis) aurait eu les moyens de créer un tel programme. Voir ceci par Martin Untersinger Stuxnet : comment les États-Unis et Israël ont piraté l’énergie nucléaire iranienne, publié dans la rue 89 le 4 juin 2012.
Lien vers l’article : http://rue89.nouvelobs.com/2012/06/04/stuxnet-comment-les-etats-unis-et-israel-ont-pirate-le-nucleaire-iranien-232728
L’article punit « la diffusion par quelque moyen que ce soit, à l’exception des professionnels, de procédés permettant la fabrication de dispositifs de destruction fabriqués à partir de poudre ou de substances explosives, de matières nucléaires, biologiques ou chimiques, ou à partir de tout autre produit destiné à être utilisé à des fins domestiques, industrielles ou agricoles »
En outre, en ce qui concerne la excuses du terrorisme, l’article 24 de la loi du 29 juillet 1881, telle que modifiée par la loi antiterroriste du 9 septembre 1986, punit de cinq ans d’emprisonnement et d’une amende de 450 000 euros pour ceux qui ont directement provoqué, au cas où cette provocation n’aurait pas été suivie d’effets, à commettre des actes terroristes.
La loi du 21 juin 2004 a étendu cette disposition à la « communication au public par voie électronique ». À cette fin, voir le rapport du Comité d’experts sur le terrorisme du Conseil de l’Europe : Questionnaire sur le droit et la pratique au niveau national concernant l’utilisation du cyberespace à des fins terroristes, publié le 4 avril 2008.
Lien vers le rapport : http://www.coe.int/t/dlapil/codexter/Source/Working_Documents/2008/CODEXTER _2008_ 16 – reponse de France – cyberterrorisme.pdf
Pensons également que les cybercriminels peuvent s’opposer les uns aux autres. Cela a été le cas surtout après les attaques contre Charlie Hebdo, lorsque des pirates anonymes ont attaqué l’Etat islamique sites d’organisations terroristes. Voir l’article : Anonyme contre EI, du 26 septembre 2014, publié sur LaPresse.ca
Lien vers l’article : http://www.lapresse.ca/international/ailleurs-sur-le-web/201409/26/01-4803783-anonymous-contre-lei.php
La notion de STAD a été introduite par la loi dite « Godfrain » du 5 janvier 1988 (No 88-19). Un système automatisé de traitement des données peut être constitué d’un réseau (tel qu’un réseau de cartes bancaires), d’un ordinateur ou d’un téléphone ou de tout équipement permettant la transmission ou le stockage de données.
L’article 323, paragraphe 1, du Code pénal dispose en outre que « lorsque le résultat est soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et d’une amende de 45 000 euros ».
Article 323-2 : « Toute ingérence ou distorsion dans le fonctionnement d’un système automatisé de traitement de l’information est passible d’une peine d’emprisonnement de cinq ans et d’une amende de EUR 75000 ».
L’article 323-3 stipule à l’origine que : « l’introduction frauduleuse de données dans un système de traitement automatisé ou la suppression frauduleuse ou la modification des données qui y sont contenues est passible d’une peine de cinq ans d’emprisonnement et d’une amende de 75 000 euros ».
Pour plus de détails sur les infractions pénales complémentaires liées au système automatique de traitement des données (STAD), voir le billet du maître Anthony Bem sur l’intrusion et les violations de systèmes informatiques punissables par le droit pénal, daté du 10 septembre 2010, sur Legavox.fr :
Lien vers le ticket : http://www.legavox.fr/blog/maitre-anthony-bem/intrusion-atteintes-systemes-informatiques-sanctionnees-3158.htm#.VQwKldKG9in
Cass, crm, 22 Oct 2014, n°13-82630,
Jugement fondé sur l’article 314-1 du Code pénal, qui dispose que « L’abus de confiance est l’acte commis par une personne de détourner, au détriment d’autrui, des fonds, des valeurs ou des biens qui lui ont été remis et qu’il a accepté sous l’accusation de retourner, les représenter ou en faire un usage spécifique.
L’abus de confiance est passible d’une peine d’emprisonnement de trois ans et d’une amende de 375 000 euros. »
Voir pour commentaire l’article d’Anthony Bern : Le détournement de fichiers par un employé en cas de charte informatique dans l’entreprise sur Legavox.fr, publié le 13 février 2015
Lien vers l’article : http://www.legavox.fr/blog/maitre-anthony-bem/delit-detournement-fichiers-salarie-charte-17009.htm#.VXGUH9LtlBc
Lien to Protect Internet Users Rapport présenté au ministère de la Justice :
http://www.justice.gouv.fr/include_htm/pub/rap_cybercriminalite.pdf
Équipe informatique d’intervention d’urgence : Ce centre aurait pour but de centraliser l’information sur les cyberattaques, afin de coordonner les interventions des opérateurs. Il existe actuellement un CERT-FR, tel qu’il est disponible dans de nombreux autres pays et des CERT professionnels pour les grandes entreprises. Cependant, le rapport indique qu’ « il n’y a pas de médecin généraliste sur les besoins du grand public ou du secteur des petites et moyennes entreprises en général. Il est donc recommandé la création d’une structure (associative a priori) jouant ce rôle ».
Importance vitale Les opérateurs, OIV, sont désignés comme tels par l’administration. Il s’agit d’une organisation, d’une entreprise ou d’une administration d’une importance vitale pour le bon fonctionnement du pays (sociétés de réseau, wagons, télécommunications, institutions gouvernementales, industries avancées, etc.). Ces opérateurs sont soumis à des obligations particulières d’information pour l’État.
Article L 332-6-1 du Code de la défense nationale.
L’Agence nationale pour la sécurité des systèmes d’information est rattachée au Secrétaire général à la défense et à la sécurité nationale et relève du Premier Ministre. La Loi de 2014 sur la programmation militaire a renforcé les pouvoirs de l’Agence en matière de renforcement des systèmes informatiques. Les services de l’État peuvent désormais posséder du matériel informatique ou des programmes pour commettre les infractions. interdites par les articles 323-1 à 323-3 du Code pénal (c’est-à-dire s’interdire dans les systèmes informatiques de modifier des données), à condition que l’objectif poursuivi soit conforme à la mission de l’ANSSI et que la victime de l’agression soit un OIV.
Voir à cet effet une communication du Comité international de la Croix-Rouge datée du 23 juin 2013 : Quelles sont les limites imposées par le droit de la guerre aux cyberattaques ?
Lien vers le communiqué de presse : https://www.icrc.org/fre/resources/documents/faq/130628-cyber-warfare-q-and-a-eng.htm
Il peut s’agir de groupes terroristes tels que DAESH ou Al-Qaida, mais aussi de « groupe de hacktivistes », comme les Anonymes ou le Chaos Computer Club.
Pour les réponses, voir en particulier le rapport de l’Assemblée parlementaire de l’OTAN 074 CDS 11 F — INFORMATION ET SÉCURITÉ NATIONALE.
Lien vers le rapport : http://www.nato-pa.int/default.asp?COM=2443&LNG=1
C’est le cas de l’ENISA (Agence européenne pour la sécurité et les réseaux) par le règlement 460/2004 de la Parlement européen et du Conseil. http://www.enisa.europa.eu/
Outre l’harmonisation et l’échange d’informations, les réponses de la police sont également coordonnées, notamment grâce au Centre européen de lutte contre la cybercriminalité EC3 d’Europol. https://www.europol.europa.eu/ec3
Suivez l’état d’avancement du projet : http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?lang=fr&reference=2013/0027(COD)
Son principal objectif est d’harmoniser les normes minimales de lutte contre la cybercriminalité, en particulier en ce qui concerne les « infrastructures critiques », ce qui équivaudrait à quelques nuances proches de nos IVs.
Voir cet article : Les États membres veulent conserver leur propre cybersécurité, daté du 1er juin 2015 sur le site EURactiv.fr
Lien vers l’article : http://www.euractiv.fr/sections/societe-de-linformation/les-etats-membres-veulent-garder-dans-leur-giron-la-cybersecurite
Voir à cet égard l’analyse de Bertrant Boyer Cyberstrategie l’art de la guerre digitale, p. 56, Nuvis, 2012.
Par exemple, le budget du gouvernement français en matière de cyberdéfense et le personnel du ministère de la Défense ne cessent de croître. Voir la brochure du ministère de la Défense sur le pacte de cyberdéfense publiée en 2014, ou l’article de Myriam Berber France : new deal for the Military Programming Law publié sur le site de la RFI le 21 mai 2015.
Lien vers l’article : http://www.rfi.fr/economie/20150520-nouvelle-donne-loi-programmation-militaire-france-defense-armee/