Identification

Identification incorrect !

Vous avez oublié votre mot de passe ? Nous vous le renvoyons par e-mail.

Un e-mail va vous être envoyé !

E-mail non présent ou invalide !

Cybercriminalité : comment lutter ?

Juliette DE CLERMONT TONNERRE - publié le 24 avril 2015 - Droit

Cybercriminalité : comment lutter ?

de gauche à droite : Eric Caprioli, Corinne Thiérache, Anne Souvira, Agathe Lepage, Amélie Rodrigues et David Znaty - Régis Arnoult / Panthéon Assas

Le Centre d'études juridiques et économiques du multimédia (CEJEM) et le Master 2 Professionnel droit du multimédia et de l'information de l'Université Panthéon-Assas ont récemment été à l'initiative d'une conférence intitulée « Quels outils juridiques de lutte contre la cybercriminalité ? ».

Lrichesse des conférences organisées par le CEJEM n’est plus à démontrer. La qualité des interventions tient à la diversité des panélistes invités. Pour ce colloque, relatif à la lutte contre la cybercriminalité, sont intervenus à la fois avocats, magistrat, universitaire mais également commissaire divisionnaire et expert judiciaire. Certains ont ainsi apporté des réponses en droit ; d’autres ont livré un retour d’expérience.

Si la cybercriminalité sévit sur le terrain du virtuel, ses conséquences sont pourtant bien réelles. C’est ce qu’a mis en lumière Corinne Thiérache, avocat associé et modérateur du colloque. Avec un préjudice annuel estimé à 445 milliards de dollars sur l’économie mondiale (1) et 1,23 milliard de données volées en 2014 (2), les cyberattaques sont le mal du siècle. Les prédictions pour l’avenir ne sont pas beaucoup plus optimistes : le coût estimé de la cybercriminalité devrait être multiplié par six d’ici à 2020.

Les cyberattaques sont aussi la véritable bête noire des gouvernements et des entreprises, et l’actualité récente n’a pas manqué de nous le rappeler. Là, les jihadistes piratent la chaîne TV5Monde selon la méthode du « phishing ». Quelques jours plus tard, c’est la société France Télévisions qui se voit dérober une partie de sa base de données selon la même technique frauduleuse, semblerait-il. Face à la menace toujours croissante, la France tente d’agir tant bien que mal. À côté du projet de loi sur le renseignement, elle prévoirait, en outre un budget de 108 millions d’euros sur les trois prochaines années et la création d’un poste de « cyber-préfet » pour lutter contre la cybercriminalité.

Le professeur à l’université Panthéon-Assas, Agathe Lepage, est revenu sur le terme-même de cybercriminalité qui souffre de quelques confusions. Contrairement à ce que laisse supposer le mot, la cybercriminalité couvre essentiellement des infractions de nature délictuelle, et non criminelle. C’est pourquoi l’on peut préférer parfois l’expression de « cyberdélinquance ». Le ministère de l’Intérieur propose la définition suivante : « La cybercriminalité est le terme employé pour désigner l’ensemble des infractions pénales qui sont commises via les réseaux informatiques, notamment, sur le réseau internet. » Autant dire que le terme recouvre une large panoplie d’infractions connues et d’autres encore inconnues, celles commises contre les biens et celles commises contre les personnes.

Selon Agathe Lepage, internet, c’est « l’accès illimité et vertigineux à des contenus » ; ce peut être aussi le moyen de préparer la commission d’une infraction qui, elle, sera physique. C’est là le grand danger du web : il facilite les atteintes aux personnes commises derrière l’écran, mais pas uniquement. Et les plus vulnérables sont évidemment les mineurs. Le professeur a développé les deux sources principales de menace à leur encontre, sur le net :

Le contenu

On trouve d’une part des images de mineurs à caractère pédopornographique, décrits à l’article 227-23 du code pénal. Cette catégorie incrimine un très grand nombre d’actes. L’utilisation d’internet constitue pour certains d’entre eux une circonstance aggravante car « facilitatrice » (c’est le cas de la diffusion d’images, par exemple). L’article 227-23 mentionne aussi « le fait de consulter habituellement une telle image ». Or, on le sait : en droit, deux fois suffisent pour caractériser l’habitude. Si la consultation est réalisée, moyennant une somme d’argent, une seule fois suffit. Ainsi, le législateur se montre très répressif eu égard aux infractions développées à l’article 227-23, et ne cesse de l’être davantage encore. La détention d’images à caractère pédopornographique en est une preuve : autrefois comprise comme un simple recel d’images illicites, elle constitue désormais une infraction en soi. Cette intransigeance croissante se justifie par le lien démontré entre la détention de tels contenus et le passage à l’acte d’atteinte sexuelle sur mineur.

On trouve d’autre part la fabrication, le transport, la diffusion ou le commerce des messages répertoriés à l’article 227-24 du code pénal, lorsque ceux-ci sont susceptibles d’être perçus par un mineur : contenu à caractère violent ; contenu incitant au terrorisme ; contenu pornographique ; contenu portant gravement atteinte à la dignité humaine ; contenu incitant des mineurs à se livrer à des jeux les mettant physiquement en danger. Les deux derniers types d’infraction ont été ajoutés ultérieurement. Pour cette catégorie de contenus, les poursuites très peu nombreuses contrastent avec la forte répression menée à l’encontre des infractions 227-23.

• Le contact

La prise de contact avec le mineur représente l’autre grande menace drainée par le cybercriminel. Là encore, le fait que la prise de contact soit facilitée par l’utilisation d’internet peut constituer une circonstance aggravante.

L’avocat Éric Caprioli (Caprioli & associés), spécialisé dans la protection des données personnelles, a dressé la typologie des diverses fuites d’informations :

• La fuite critique massive : espionnage ciblé, vol organisé de supports…

• La fuite critique volontaire : détournement d’informations par un salarié, etc.

• La fuite involontaire : session non fermée, ouverture de mails ou de pièces jointes contenant un malware, etc.

Il est également venu présenter le cadre légal actuel de la protection des données à caractère personnel (DCP), celui qu’assure la loi du 6 janvier 1978 qui garantit effectivement la sécurisation des données personnelles ainsi que la notification aux opérateurs Télécom des violations DCP. Une proposition de règlement européen est également en cours de discussion. Elle prévoit notamment une sécurisation renforcée, une notification étendue à tous qu’avait déjà sollicitée la CNIL et des sanctions plus fortes. Le futur projet de loi sur le numérique voulu par la secrétaire d’État au Numérique, Axelle Lemaire, est par ailleurs promis pour la rentrée prochaine.

Quand on parle sécurisation des données et fuite d’informations, on en arrive souvent à la question des sanctions pénales. Comment les rendre effectives en matière de cybercriminalité, lorsque les délinquants sont cachés derrière les écrans et qu’internet cristallise la volatilité des données ? À cela, il faut ajouter la discussion concernant la responsabilité des personnes morales en l’absence de sécurisation du système. Celle-ci paraît souvent injuste. Peut-on toutefois considérer que l’on se dirige progressivement vers la reconnaissance du vol de données ? La loi sur le terrorisme du 13 novembre 2014 vient en tout cas sanctionner le fait « d’extraire, de détenir, de reproduire, de transmettre » des données (Art. 323 ?3 du Code pénal). Le 22 octobre 2014, la chambre criminelle de la cour de Cassation a, quant à elle, considéré que le détournement de données remises pour un usage déterminé est constitutif d’un abus de confiance.

Après la théorie, la pratique. Le commissaire divisionnaire, chargée de mission aux questions relatives à la cybercriminalité au cabinet du préfet de police de Paris, Anne Souvira, a témoigné, tout en livrant préalablement un message fort : « Derrière la cybercriminalité, on trouve des enfants martyrisés. C’est ce que j’aimerais que vous reteniez, au-delà du droit », a-t-elle souligné. Elle a ensuite tenu à rappeler les difficultés de l’enquête : suppression instantanée des données, vitesse de propagation et de diffusion des contenus, etc. Anne Souvira sait de quoi elle parle. Elle a aussi évoqué le tabou persistant au sujet de la géolocalisation, des écoutes téléphoniques, de la sonorisation des lieux qui ne cessent d’alimenter la polémique, ces moyens judiciaires qu’on tente toujours de limiter alors que les besoins de l’enquête imposent d’y avoir recours. « On a besoin de tous les moyens. Sinon, que va-t-on dire aux victimes ? » « N’oublions pas que pour perquisitionner une habitation, il faut l’accord de l’habitant ! (3) », s’agace le commissaire divisionnaire. Selon elle, il faut poursuivre le développement des outils. « Il y a ceux qui parlent de protection et ceux qui parlent de surveillance », finit-elle par regretter.

La parole a aussi été donnée au magistrat. Amélie Rodrigues, substitut du procureur et magistrat référent au bureau de l’entraide pénale internationale (DACG),  a expliqué la position prise par le juge face à la cybercriminalité. Le défi est à la fois la masse et la vitesse de développement des cyberattaques. Il tient aussi au fait que la cybercriminalité n’est définie dans aucun de nos codes français. On peut toutefois distinguer trois ensembles d’infractions compris dans la cybercriminalité : les fautes informatiques, les infractions de droit commun qui utilisent internet ; enfin les infractions de contenus.

Face au phénomène, l’instauration d’un magistrat référent, spécialiste des questions de cybercriminalité, s’est imposée dans diverses juridictions. Il est indispensable que celui-ci maîtrise toute la technicité du hacking car, face aux juges, les prévenus, eux, apparaissaient comme des spécialistes de la question. Trop de fois les magistrats, limités dans leur capacité à démontrer l’élément intentionnel de l’infraction, ont accordé la relaxe à l’encontre des cybercriminels, au bénéfice du doute. Si la répression se fait plus forte donc, il n’en reste pas moins que face au contentieux de masse que représente la cyber-délinquance, il est également devenu nécessaire de hiérarchiser la gravité des infractions commises et de définir des « degrés de poursuites ». À l’instar des autres intervenants, la jeune magistrate a finalement conclu : « On ne peut qu’espérer que ce sujet soit pleinement investi dans les tribunaux et que les auteurs de ces infractions soient effectivement punies. »

Qui mieux qu’un expert judiciaire près la cour de Cassation, pouvait conclure dès lors cette conférence ? David Znaty a livré un exposé savant et très concret de la « scène de crime » numérique et des moyens d’investigation techniques. Il a également cru pouvoir distinguer les « cibles stratégiques » des intrusions. Ce seraient en premier lieu les banques et les organisations de cartes de crédit. Mais par qui ? Les organisations terroristes, les « hacktivistes », la bande du crime organisé ou encore les États sont les principaux hackers. L’expert a également donné à voir la complexité du métier, notamment la nécessité absolue pour les experts de rester au fait de l’état de l’art. D’après David Znaty, l’expert doit étudier six mois par an pour conserver un niveau d’excellence, tant l’univers digital est complexe et les avancées numériques, rapides.

 


(1)  Étude McAfee juin 2014

(2) Rapport SafeNet et Gemalto de février 2014

(3) Sauf lorsque la peine encourue est supérieure à 5 années d’emprisonnement

 

Les affiches parisiennes
VENTES AUX ENCHERES

Vente au TGI de Paris
le 16 avril 2015 à 14 heures

à PARIS (75018) 41 Boulevard Ornano.

Un Studio

Mise à prix : 25.000 Euros.

Adjugé : 57.000 Euros.

Il vous reste 2 jours pour surenchérir.

Vente au TGI de Paris
le 16 avril 2015 à 14 heures

à PARIS (75010) 61 Rue du Faubourg Saint-Denis.

Deux Pièces (30,80 m²)

Mise à prix : 162.800 Euros.

Adjugé : 162.800 Euros.

Il vous reste 2 jours pour surenchérir.

Vente au TGI de Paris
le 16 avril 2015 à 14 heures

à PARIS (75015) 11 à 17 Rue de l'Amiral Roussin 10 à 18 Villa Croix Nivert.

Un Local Commercial ou Professionnel (119,49 m²) Un Parking

Mise à prix : 100.000 Euros.

Adjugé : 315.000 Euros.

Il vous reste 2 jours pour surenchérir.

Vente au TGI de Paris
le 16 avril 2015 à 14 heures

à PARIS (75015) 11 à 17 Rue de l'Amiral Roussin 10 à 18 Villa Croix Nivert.

Un Local Commercial ou Professionnel (35,30 m²)

Mise à prix : 20.000 Euros.

Adjugé : 95.000 Euros.

Il vous reste 2 jours pour surenchérir.

Vente au TGI de Paris
le 25 juin 2015 à 14 heures

à MONTGERON(91) 50 rue d'Yerres.

Un pavillon(82,47m²) Un garage

Mise à prix : 150.000 Euros

Vente au TGI de Nanterre
le 18 juin 2015 à 14h30

à CLICHY(92) 3 rue Curton.

Un logement Une cave

Mise à prix : 17.000 Euros

Vente au TGI de Nanterre
le 18 juin 2015 à 14h30

à BAGNEUX(92) 230-232 avenue Aristide Briand.

une boutique(42,13m²) Une cave(14,59m²) Un débarras(4,62m²)

Mise à prix : 60.000 Euros

Vente au TGI de Nanterre
le 18 juin 2015 à 14h30

à BAGNEUX(92) 6 rue Adèle.

Une maison d'habitation(76,83m²) Un jardin

Mise à prix : 60.000 Euros

ABONNEZ-VOUS EN LIGNE

Vous souhaitez vous abonner à l'un de nos journaux d'annonces légales. Choisissez la formule qui vous convient et :
Abonnez-vous en ligne

RECHERCHE