Cybercrime

Un cybercrime est une « infraction pénale susceptible de se commettre sur ou au moyen d’un système informatique généralement connecté à un réseau ».

Il s’agit donc d’une nouvelle forme de criminalité et de délinquance qui se distingue des formes traditionnelles en ce qu’elle se situe dans un espace virtuel, le « cyberespace ». Depuis quelques années la démocratisation de l’accès à l’informatique et la globalisation des réseaux ont été des facteurs de développement du cybercrime.

Types d'infractions

La cybercriminalité regroupe trois types d’infractions :

  • les infractions spécifiques aux technologies de l’information et de la communication : parmi ces infractions, on recense les atteintes aux systèmes de traitement automatisé de données, les traitements non autorisés de données personnelles (comme la cession illicite des informations personnelles), les infractions aux cartes bancaires, les chiffrements non autorisés ou non déclarés ou encore les interceptions ;
  • les infractions liées aux technologies de l’information et de la communication : cette catégorie regroupe la pédopornographie, l’incitation au terrorisme et à la haine raciale sur internet, les atteintes aux personnes privées et non aux personnages publics, les atteintes aux biens ;
  • les infractions facilitées par les technologies de l’information et de la communication, que sont les escroqueries en ligne (cyberarnaques), le blanchiment d'argent, la contrefaçon ou toute autre violation de propriété intellectuelle.

Dispositif législatif et conventionnel de lutte

Dispositif législatif et réglementaire français

En France la cybercriminalité est prise juridiquement en compte depuis la loi informatique et libertés (loi relative à l'informatique, aux fichiers et aux libertés du ).

Par ailleurs de nombreux textes réglementaires ont été adoptés. On peut citer pour exemple le décret du sur la conservation des données de trafic prévu par la loi relative à la sécurité quotidienne.

La lutte contre la cybercriminalité est en pleine évolution et elle fait l’objet de nombreuses réflexions en France. Par exemple le plan de lutte contre la cybercriminalité qui a été présenté en février 2008 contient des mesures visant à moderniser les méthodes d’investigation. Par ailleurs, la même année, au mois d’octobre a été présenté le plan du numérique 2012 qui contient des propositions relatives à la lutte contre le cybercrime.

Malgré cette évolution permanente le dispositif législatif français en matière de cybercriminalité est « éparpillé » dans divers textes. Il est donc peu aisé, autant pour les professionnels que pour les profanes, de connaître avec précision ce qui est aujourd’hui reconnu comme un acte cybercriminel par le droit français. Myriam Quéméner et Joël Ferry, dans Cybercriminalité Défi Mondial (2e édition) décrivent le dispositif législatif et réglementaire français comme un « ‘maquis’ quelque peu ésotérique ».

Convention sur la cybercriminalité du 23 novembre 2001

Le les pays membres du Conseil de l'Europe ainsi que les États-Unis, le Canada, le Japon et l'Afrique du Sud, ont adopté la convention sur la cybercriminalité, aboutissement d'un long processus de négociations (vingt-sept versions antérieures et quatre années de négociations officielles). Il s'agit d'une convention pénale à vocation internationale destinée à lutter contre le cybercrime. En 2007, seuls quatorze États avaient ratifié la convention sur les quarante-sept signataires.

Par ailleurs en 2003, a été ouvert à la signature le protocole additionnel à la convention sur la cybercriminalité, qui visait à élargir le champ d'application de la convention aux infractions de propagande raciste ou xénophobe commis via les réseaux internet. Ce protocole, non ratifié par les États-Unis, prévoit par ailleurs des mesures facilitant l'extradition et l'entraide judiciaire.

La France a ratifié ces deux textes par la loi no 2005-493 du autorisant l'approbation de la Convention du Conseil de l'Europe sur la cybercriminalité et du protocole additionnel à cette Convention[1].

La convention sur la cybercriminalité de 2001 poursuit trois objectifs déterminés :

  • L'harmonisation des législations des États signataires ;
  • La modernisation de ces législations, notamment en matière procédurale ;
  • L'amélioration de la coopération internationale en matière d'extradition et d'entraide répressive.

Le premier axe est l'harmonisation des législations nationales en ce qui concerne la définition des infractions répertoriées par la Convention. Il s'agit donc d'incriminer quatre séries d'infractions qui sont :

  1. Les infractions informatiques : falsification et fraude informatique ;
  2. Les infractions de contenu : la pornographie enfantine. Le protocole additionnel inclut la propagation via Internet d'idées racistes et xénophobes ;
  3. Les infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes : le partage non autorisé via Internet des œuvres protégées ;
  4. Les infractions contre la confidentialité, l'intégrité et la disponibilité des données et systèmes : accès illégal, interception illégale, atteinte à l'intégrité des données ou des systèmes.

Ensuite, le deuxième axe, d'ordre procédural, définit les moyens d'enquêtes et de poursuites pénales les mieux adaptés à la mondialisation du réseau internet. La Convention prévoit des règles pour garantir les droits des individus, mais aussi pour faciliter la conduite d'enquête. En ce sens, on peut citer, entre autres, les règles régissant la conservation des données stockées, la conservation et la divulgation rapide des données relatives au trafic, la perquisition des systèmes informatiques, la saisie de données informatiques, la collecte en temps réel des données relatives au trafic et l'interception de données relatives au contenu.

Enfin, le troisième axe concerne la mise en place d'un système rapide et efficace de coopération internationale. À côté des formes traditionnelles de coopération pénale internationale, prévues notamment par les Conventions européennes d'extradition et d'entraide judiciaire, la Convention sur la cybercriminalité prévoit des formes d'entraide correspondant aux pouvoirs définis préalablement par la Convention. Ces conditions sont exigées afin que les autorités judiciaires et les services de police d'un État membre puissent agir pour le compte d'un autre État dans la recherche de preuves électroniques, sans toutefois mener d'enquêtes ni de perquisitions transfrontalières. En outre, toute donnée obtenue devrait être rapidement communiqué à l'État intéressé.

Sans doute, ce texte international  constitue un complément indispensable aux lois nationales pour contenir le phénomène de cette nouvelle criminalité « caméléon » dont on ne connaît pas encore - du moins avec certitude  toutes « les couleurs » et les menaces[2].

Par ailleurs, le le Conseil de l'Union européenne a adopté la décision cadre 2005/222/JAI du Conseil « relative aux attaques visant les systèmes d'information », qui va permettre une harmonisation des règles pénales concernant les principales activités criminelles visant les systèmes d'information, l'atteinte à l'intégrité d'un système et l'atteinte à l'intégrité des données.

Après les attaques de 2017 d’ampleur internationale (NotPetya et WannaCry notamment) le cyber risque est le second risque le plus craint par les entreprises du monde entier[3],[4].

Acteurs

Cyber délinquants ou cyber criminels, et, victimes

60 % des cyberattaques dans le monde en 2011 proviennent des États-Unis[5].

En réponse à la cyber présumée espionnant sur des opposants aux meilleurs intérêts de l'Iran par le gouvernement iranien en 2010 et 2011, Les États-Unis ont aidé les Émirats arabes unis à la fin de 2011 avec la création de l'autorité nationale de la sécurité électronique (NESA) qui est l'équivalente des ÉAU à la NSA américaine[6].

Project Raven

Project Raven était une initiative confidentielle visant à aider les ÉAU visionnez d'autres gouvernements, militants et activistes des droits de l'homme. Son équipe comprenait d'anciens agents de renseignement américains, qui ont appliqué leur formation au piratage téléphonique et ordinateurs appartenant aux victimes du Projet Raven. L'opération était basée dans un manoir converti à Abou Dabi surnommé «la villa»[7].

CyberPoint fourni Projet Raven avec des entrepreneurs formés aux États-Unis d'environ 2014 à 2016. La réputation de Cyberpoint en tant que société de cybersécurité défensive a été terni en 2016 après que les nouvelles ont éclaté que la société avait travaillé avec l'équipe de piratage des groupes de logiciels espions italiens[8].

Le 24 octobre 2016, l'article de The Intercept a révélé la surveillance de l'obscurité aux ÉAU, le chef des finances de DarkMatter, Samer Khalife, a transféré des citoyens américains de DarkMatter vers une nouvelle société appelée Systèmes de connexion et des équipes de Tiger ont été formées par DarkMatter pour contrer les allégations de l'article de The Intercept[9].

Le FBI étudie les DarkMatter pour des crimes tels que l'espionnage numérique, la complicité de la mort de Jamal Khashoggi et la détention de dissidents d'outre-mer[10]. Le FBI Est également enquêté sur d'anciens employés américains de DarkMatter pour des cybercrimes possibles[11].

Le 14 septembre 2021, trois anciens officiers de renseignements américains, Marc Baiier, Ryan Adams et Daniel Gericke, recrutés par les ÉAU pour mener des cyberopérations sophistiquées admis au piratage des infractions et à la violation des règles d'exportation américaines interdisant le transfert de technologie militaire à d'autres gouvernements. En outre, ils ont convenu de remettre plus de 1,7 million de dollars et leurs autorisations de sécurité américaine en échange d'une restriction de leur travail futur et de «coopérer pleinement» avec des enquêteurs[12],[13],[14].

Organes français de lutte

La cybercriminalité est reconnue par beaucoup d'experts comme étant la nouvelle forme de criminalité du XXIe siècle. Dès lors pour la contrôler, la France a mis en place de nombreux organes de lutte. Voici quelques exemples de cyber-investigation :

Dès 1998, a été créé, au sein de la gendarmerie, le département de lutte contre la cybercriminalité au sein du service technique de recherches judiciaires et de documentation (STRJD, devenu SCRC). Celle cellule a évolué et est devenue la Division de lutte contre la cybercriminalité (DLCC) composée du Département coordination et appuis numériques (DCAN), du Département investigations sur Internet (D2I), du Département prévention et suivi des phénomènes sur Internet (DPSPI) et du Département répression des atteintes aux mineurs sur Internet (DRAMI) qui intègre le Centre national d'analyse des images de pédopornographie (CNAIP). Devenue un centre de lutte contre les criminalités numériques (C3N) en 2015, cette unité rejoint en 2021 le nouveau commandement de la gendarmerie dans le cyberespace (ComCyberGend).

Le a été créé l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), au sein de la direction centrale de la police judiciaire au Ministère de l'Intérieur. Elle regroupe notamment en son sein la plate-forme de signalement des contenus illicites sur internet. Cette même année, en complément de l'action de l'OCLCTIC, a été mise en place, la direction de la Surveillance du territoire (DST), qui est compétente pour diligenter des enquêtes judiciaires relatives à des actes de piratage sur les systèmes informatiques des établissements à régime restrictif ou des données classifiées de défense.

Par ailleurs, en 2006 a été créé l'OCRVP, office central pour la répression des violences aux personnes, dont la mission est la coordination, sur le plan national, de la lutte contre les infractions violentes à l'encontre des personnes, notamment concernant la pédopornographie sur internet.

Enfin, la police nationale dispose de services spéciaux comme le SITT service de l'informatique et des traces technologiques. Les directions inter régionales et régionales de police judiciaire disposent d'ICC (Investigateurs en CyberCriminalité) anciennement dénommés ESCI (Enquêteurs Spécialisés en Criminalité Informatique). Il existe, en outre, différentes brigades spécialisées, telle la Brigade d'enquêtes sur les fraudes aux technologies de l'information (BEFTI).

Le , le magistrat Marc Robert remet son rapport à Bernard Cazeneuve, Axelle Lemaire, Arnaud Montebourg et Christiane Taubira, pour mettre en place des mesures juridiques et techniques visant à freiner les risques liés à la cybersécurité et améliorer la protection des internautes[15]. Marc Robert prône la création d'un Centre d'Alerte, l'ouverture d'un 17 de l'internet, la mise en place d'une Délégation interministérielle à la lutte contre la cybercriminalité placée sous la responsabilité directe du Premier ministre, etc..

Organes européens de lutte

Les États ont rapidement compris que pour être plus efficace la lutte contre la cybercriminalité devait être européenne. Des compétences dans ce domaine ont alors été rapidement confiées à INTERPOL dont le rôle est la facilitation d’échange de renseignements afin de lutter efficacement contre toute forme de criminalité et notamment la criminalité informatique.

Europol est aussi compétent en ce qui concerne la facilitation d’échanges de renseignements entre polices nationales notamment en matière de cybercriminalité. L'Union européenne (UE) a établi un Centre européen de lutte contre la cybercriminalité au sein d'Europol[16] : EC3 (European Cybercrime Centre). L'EC3 est compétent pour soutenir les enquêtes des services spécialisés des États membres de l'UE dans des domaines tels que toutes fraudes en ligne en particulier la fraude à la carte de crédit, l'exploitation sexuelle des enfants en ligne (pédopornographie sur internet), les cyberattaques contre les systèmes d'infrastructures critiques de l'UE. L'EC3 apporte également un soutien en termes d'analyse criminelle stratégique aux États-membres notamment en produisant des analyses de la menace thématiques sur les dernières tendances en matière de cybercrime.

EUROJUST, organe de l’Union européenne, a pour compétence l’amélioration de l’efficacité des autorités compétentes des états membres dans la lutte contre la criminalité organisée transfrontalière, donc notamment la cybercriminalité transnationale.

Par ailleurs, a été créée en 2004 l’ENISA, agence européenne chargée de la sécurité des réseaux et de l’information, qui a diverses missions, dont notamment le recueil et l’analyse des données relatives aux incidents liés à la sécurité, ou encore le suivi de l’élaboration des normes pour les produits et services en matière de sécurité de réseaux et de l’information, mais aussi la promotion d’activités d’évaluation et de gestion des risques.

Enfin, il existe le programme européen Safer internet plus qui lutte contre les contenus illicites, le traitement des contenus non désirés et préjudiciables, et qui fait la promotion d’un environnement plus sûr.

Obstacles à la lutte et diffusion de la cybercriminalité

Malheureusement la lutte contre la cybercriminalité n’est pas aisée. Il existe plusieurs obstacles juridiques et non juridiques à cette lutte. En premier lieu, le caractère vaste des réseaux informatiques, mais aussi la rapidité de commission des infractions, la difficulté de rassembler des preuves, et enfin des méthodes d’investigation et de contrôle qui peuvent se révéler attentatoires aux droits fondamentaux, en particulier au droit à l’anonymat et à la liberté d’expression.

Au niveau juridique, ce qui pose aujourd’hui beaucoup de difficultés c’est le fait qu’un même comportement en France et à l’étranger n’est pas pareillement considéré. Il peut constituer une infraction dans un pays et pas dans l’autre. On peut citer pour exemple, la « promotion du cannabis », ou encore la « provocation pour surprendre les pédophiles ». Cela renvoie à un autre problème celui de la loi applicable. En effet, la cybercriminalité « bouleverse le principe classique de la territorialité de la loi pénale ». La loi française sera applicable dès lors qu’un élément constitutif de l’infraction a eu lieu en France (TGI de Paris 17e chambre, ). Ainsi, par exemple, la simple réception par l’utilisateur est un élément constitutif de l’infraction. Mais s’il n’y a pas d’élément constitutif de l’infraction en France, la loi française ne sera pas applicable.

Il faut alors lutter chaque jour contre les paradis juridiques « cyber paradis », pour une meilleure efficacité du droit relatif à la cyber criminalité.

Pour Jean-Loup Richet (Research Fellow à l'ESSEC ISIS), une autre difficulté dans la lutte contre la cybercriminalité est la rapide diffusion de nouvelles techniques de hacking, la réduction des coûts de l'activité criminelle et enfin la réduction des connaissances requises pour devenir un cybercriminel[17]. En effet, les barrières à l'entrée n'ont jamais été aussi réduites : les services offerts par les plateformes de cloud computing peuvent être détournés pour lancer des campagnes de spam à moindre coûts, cracker un mot de passe voire augmenter la puissance d'un botnet. Selon Jean-Loup Richet, plus besoin d'être un expert en informatique pour devenir un cybercriminel : les communautés de hackers black hat commercialisent des logiciels permettant à leurs utilisateurs de mener des cyber attaques sans aucune compétence technique (Crimeware-as-a-service)[18]. Les communautés en ligne de cybercriminels contribuent au développement du cybercrime, fournissant des astuces, techniques, outils clefs en main et proposant même dans certains cas du tutorat de débutants désireux de devenir des cybercriminels[19].

Selon la Revue française de criminologie et de droit pénal, la difficulté de la lutte contre la cybercriminalité réside également dans l’ambiguïté du cadre de régulation. Si le but d'une agression informatique est le système informatique de l'adversaire alors ce système peut-être assimilé à l'adversaire lui-même. La question est donc de savoir s'il faut établir un encadrement légal entre les machines et leurs propriétaires pour identifier ces actes criminels[20].

Conséquences économiques

Le coût de la cybercriminalité étant difficile à évaluer, des chiffres divers sont donnés.

Selon deux études menées par le FBI et IBM en 2006, la cybercriminalité coûterait 67 milliards de dollars par an, rien qu'aux États-Unis[21].

Selon le chef d'Interpol Khoo Boon Hui, 80 % de la cybercriminalité est liée en 2012 à des bandes organisées transfrontalières et représente un coût financier (750 milliards d'euros par an en Europe) plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne[22]. Selon le rapport du Center for Strategic and International Studies (CSIS) de l'éditeur en sécurité McAfee, les activités cybercriminelles coûteraient entre 375 et 575 milliards de dollars par an[23].

Le cybercrime et le piratage ont lourdement pesés sur les ventes du jeu The Witness, de Jonathan Blow, à sa sortie, au point que son créateur avoua que cela risquerait fortement de le limiter pour la création d'un nouveau jeu par la suite [24].

« Chaque année, plus de 26 millions de Français sont victimes de cybercrimes, dont 9,17 millions subissent une perte financière nette. Au-delà des particuliers, les entreprises françaises sont de plus en plus ciblées, pour un dommage de 8,7 millions d’euros » en 2019[25].

Dans la culture populaire

Littérature

Roman d'anticipation

Cinéma

Le hacking ou la cybercriminalité sont les sujets, principaux ou pas, de nombreux films, comme :

Télévision

Notes et références

  1. Un an après cette loi, les décrets permettant la publication de la Convention et du protocole sont adoptés le . Il s'agit du décret no 2006-580, Journal officiel, no 120, , p. 7568 et du décret no 2006-597, JO, no 122, , p. 7937.
  2. Abbas Jaber, Les infractions commises sur Internet, thèse de l'Université de Bourgogne, 2007, p. 64.
  3. Quels sont les risques les plus craints par les entreprises du monde entier ?, S2H, 2018, p. 64.
  4. Le 2e risque le plus redouté par les entreprises est le cyber-risque, CDC Arkhineo, 2018.
  5. François-Bernard Huyghe, « Le cyberespace, nouvel enjeu stratégique », émission Géopolitique, le débat sur Radio France internationale, 23 septembre 2012
  6. (en) « The UAE Is paying Ex-CIA officers to build a spy empire in the Gulf », sur Foreign Policy (consulté le )
  7. (en) « Ex-NSA operatives reveal how they helped spy on targets for the Arab monarchy — dissidents, rival leaders and journalists », sur Reuters (consulté le )
  8. (en) « Spies for Hire », sur The Intercept (consulté le )
  9. (en) « Team of American Hahckers and Emirati Spies Discussed Attacking The Intercept », sur The Intercept (consulté le )
  10. (en) « Information War Led to Khashoggi's Murder », sur Real Clear Politics (consulté le )
  11. (en) « A New Age of Warfare: How Internet Mercenaries Do Battle for Authoritarian Governments », sur The New York Times (consulté le )
  12. (en) « Ex-U.S. Intelligence Officers Admit to Hacking Crimes in Work for Emiratis », sur The New York Times (consulté le )
  13. (en) « UNITEDSTATESDISTRICT COURT FOR THE DISTRICT OF COLUMBIA », sur The New York Times (consulté le )
  14. « Trois ex-agents du renseignement américain inculpés de piratage pour le compte des Emirats », sur RTBF (consulté le )
  15. Nicolas Arpagian, Cybercriminalité : un rapport propose de créer le « police-secours » de l'internet, Le Journal du Net, .
  16. https://www.europol.europa.eu/ec3
  17. (en) Jean-Loup Richet, « How to Become a Black Hat Hacker? An Exploratory Study of Barriers to Entry Into Cybercrime », 17th AIM Symposium,
  18. (en) Jean-Loup Richet, « From Young Hackers to Crackers », International Journal of Technology and Human Interaction, no 9(1),
  19. (en) Jean-Loup Richet, « Adoption of deviant behavior and cybercrime ‘Know how’ diffusion », York Deviancy Conference,
  20. Philippe Baumard, « La cybercriminalité comportementale », Revue française de criminologie et de droit pénal, vol. 3, (lire en ligne).
  21. Yves Drothier, « Le cybercrime à l'origine d'une perte de 67 milliards de dollars aux États-Unis », sur Le Journal du Net, (consulté le ).
  22. « La cybercriminalité coûte plus cher que les trafics de cocaïne, héroïne et marijuana », sur Le Monde.fr, .
  23. Audrey Oeillet, « Le coût de la cybercriminalité évalué à plus de 400 milliards de dollars par an », sur clubic.com, .
  24. « Le créateur de « The Witness » en croisade contre le téléchargement illégal », sur lemonde.fr,
  25. Boris Manenti, « Parole de cyberflic : « Personne n’est à l’abri d’une cyberarnaque » », L'Obs,
  26. Élise Fontenaille, Unica, Paris, éditions Stock, 2006, 160 p., (ISBN 978-2234058507).
  27. Le Grand prix de la SF pour un roman choc, Fluctuat.net, .

Annexes

Bibliographie

  • Pierre Penalba et Abigaelle Penalba, Cyber crimes. Un flic 2.0 raconte, Albin Michel, , 288 p. (lire en ligne)
  • Myriam Quéméner et Jean-Paul Pinte, Cybersécurité des acteurs économiques : Risques, réponses stratégiques et juridiques, Hermes Science Publications, coll. « Cyberconflits et cybercriminalité », , 274 p. (ISBN 978-2-7462-3915-9)
  • Éric Freyssinet, La cybercriminalité en mouvement, Cachan, Hermes Science Publications, coll. « Management et informatique », , 240 p. (ISBN 978-2-7462-3288-4)
  • Myriam Quéméner et Christian Aghroum, Etablissements financiers & cyberfraudes, Paris, La Revue Banque, , 127 p. (ISBN 978-2-86325-563-6)
  • Myriam Quéméner et Yves Charpenel, Cybercriminalité : droit pénal appliqué, Paris, Economica, , 272 p. (ISBN 978-2-7178-5902-7)
  • Mohamed Chawki, Combattre la cybercriminalité, Perpignan, Editions de Saint-Amans, , 458 p. (ISBN 978-2-35941-002-0)
  • Myriam Quéméner et Joël Ferry, Cybercriminalité : Défi mondial et réponses - 2e édition, Perpignan, Economica, , 308 p. (ISBN 978-2-7178-5700-9)
  • Myriam Quéméner, Cybermenaces, Entreprises et Internautes, Paris, Economica, , 274 p. (ISBN 978-2-7178-5642-2)
  • Jean-Loup Richet, From Young Hackers to Crackers. International Journal of Technology and Human Interaction (IJTHI), 2013, 9(3), 53-62.
  • Les infractions commises sur Internet, Abbas JABER, Thèse, Université de Bourgogne, France, novembre 2007.
  • Le business de la cybercriminalité, Rodolphe Monnet et Franck Franchin, Hermès - Lavoisier, avril 2005.
  • Le droit penal à l’épreuve de la cybercriminalité, Mohamed Chawki, Thèse, Université Lyon III, France, septembre 2006.

Articles connexes

Liens externes

  • Portail du droit
  • Portail de la sécurité informatique
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.