View
220
Download
0
Category
Preview:
Citation preview
______________________________
1/95
LA CYBERCRIMINALITÉ : UN FOCUS DANS LE MONDE DES
TÉLÉCOMS
Mémoire présenté et soutenu par Madame Emmanuelle Matignon
Sous la Direction de Monsieur William Gilles, Directeur du master Droit du numérique
Administrations - Entreprises de l'École de droit de la Sorbonne (Université Paris 1
Panthéon-Sorbonne), Directeur de Mémoire, Président du Jury et Madame Myriam
Quéméner, Magistrat et Directeur de Mémoire.
Membres du Jury : Monsieur William Gilles, Directeur du master Droit du numérique Administrations -
Entreprises de l'École de droit de la Sorbonne (Université Paris 1 Panthéon-Sorbonne),
Directeur de Mémoire, Président du Jury et Madame Myriam Quéméner, Magistrat et
Directeur de Mémoire.
Le 25 juin 2012
_____________________________________
Master Droit du numérique Administrations - Entreprises de l'École de droit de la
Sorbonne (Université Paris 1 Panthéon-Sorbonne)
Année universitaire 2011/2012
______________________________
2/95
REMERCIEMENTS
En préambule à ce mémoire qui concrétise mes études juridiques, je souhaitais adresser mes remerciements les plus sincères aux personnes qui m’ont apporté leur aide et qui ont contribué à l’élaboration de ce travail ainsi qu’à la réussite de cette formidable année universitaire.
Mes premiers remerciements iront à mes managers, Mesdames Élisabeth Duval, Valérie Bollée et Armelle Baron qui croient en moi depuis des années et qui m’ont incité à reprendre mes études. Tout au long de cette année, elles m’ont soutenue, coachée et encouragée.
Je tiens à remercier Monsieur Franck Rohard Directeur Juridique du groupe SFR, ainsi que la Direction des Ressources Humaines qui ont autorisé et soutenu cette aventure.
J’exprime ma plus profonde gratitude à Monsieur William Gilles et Madame Irène Bouhadana, mes directeurs de Master qui m’ont permis d’intégrer leur Master 2, et de découvrir une nouvelle facette du Droit au travers d’enseignements aussi variés qu’enrichissants.
Je tiens à remercier sincèrement Monsieur William Gilles et Madame Myriam Quémener qui, en tant que directeurs de mémoire, se sont montrés à l’écoute et très disponibles durant toute la réalisation de mon mémoire.
Mes remerciements s’adressent également à mes collègues de la Direction Juridique Contentieux de SFR, aux managers de la Direction Juridique qui m’ont relue, à Monsieur Nicolas Hellé, directeur des obligations légales de SFR, que j’ai pu interviewer, sans oublier, de nombreux collègues au sein des diverses directions de SFR pour leur compréhension et leurs nombreux encouragements.
Je tiens à remercier tout particulièrement mon amie Lucie Miguel qui m’a aidé pour la mise en forme de mon mémoire.
Enfin, j’adresse mes plus sincères remerciements et ma profonde gratitude à mes enfants, mon conjoint, mes parents, ma famille et plus particulièrement ma tante Odile Viney, tous mes proches et amis, qui ont su me rassurer dans les moments de doute, me soulager au quotidien, et me soutenir au cours de cette année universitaire et dans la réalisation de mon mémoire.
Merci à tous ceux qui m’ont aidée à concrétiser ce travail…
______________________________
3/95
SOMMAIRE
REMERCIEMENTS
SOMMAIRE
INDEX
INTRODUCTION
PARTIE I : UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES
CHAPITRE 1 : DES MENACES CYBERCRIMINELLES INTERNES AUX ENTREPRISES DE COMMUNICATIONS
ÉLECTRONIQUES
Section 1 : Les fraudes liées aux systèmes d’information
Section 2 : Les fraudes liées à l’intégrité des données
PARTIE I : UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES
CHAPITRE II : DES MENACES CYBERCRIMINELLES EXTERNES AUX ENTREPRISES DE COMMUNICATIONS
ÉLECTRONIQUES
Section 1 : Les fraudes historiques ou indémodables
Section 2 : Les fraudes actuelles
Section 3 : Les fraudes complexes: l’exemple de la fraude aux numéros surtaxés
PARTIE II : UNE CYBERCRIMINALITÉ COMBATTUE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES
CHAPITRE I : LES OUTILS, CONTEMPORAINS, DE LUTTE CONTRE LA CYBERCRIMINALITÉ MIS À LA DISPOSITION
DES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES
Section 1 : Les sources de droit de lutte contre la cybercriminalité Section 2 : Un dispositif technique et organisationnel
PARTIE II : UNE CYBERCRIMINALITÉ COMBATTUE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES
CHAPITRE 2 : LES OUTILS, ENVISAGÉS ET ENVISAGEABLES, DE LUTTE CONTRE LA CYBERCRIMINALITÉ POUVANT
ÊTRE MIS À LA DISPOSITION DES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES
Section 1 : Les outils envisagés
Section 2 : Les outils envisageables
CONCLUSION
TABLE DES MATIÈRES
BIBLIOGRAPHIE/SITOGRAPHIE
LEXIQUE
______________________________
4/95
INDEX
A
Abonnés, 14, 29, 32, 35, 36, 72, 85 Abus de confiance, 9, 20, 23, 24, 35, 38, 40, 43, 47, 56, 57, 60, 66, 71, 73, 76, 104 Attaque, 10, 13, 14, 15, 19, 23, 31, 43, 44, 45, 46, 63, 72, 76, 103 Atteinte, 9, 14, 16, 19, 21, 22, 23, 24, 26, 35, 46, 47, 52, 61, 63, 103
B
Blocage, 48, 50, 55, 57, 58, 60, 61, 79, 84, 104
C
Clients, 7, 8, 11, 12, 14, 17, 29, 32, 35, 36, 48, 51, 55, 56, 57, 63, 72 Communications électroniques, 7, 10, 11, 12, 13, 19, 21, 27, 29, 31, 36, 38, 48, 49, 50, 51, 57, 62, 70, 71, 72, 73, 74, 81, 82, 105 Contrefaçon, 9, 35, 69, 70, 83 Convention, 38, 39, 40, 41, 44, 74 Courriel, 32, 33, 50, 57 Criminalité, 8, 9, 10, 11, 12, 13, 38, 40, 41, 42, 46, 47, 48, 60, 64, 66, 68, 73, 74, 75, 77, 82, 100 Cybercriminalité, 1, 8, 9, 10, 11, 12, 13, 28, 30, 31, 36, 38, 39, 40, 41, 42, 44, 45, 46, 47, 48, 51, 55, 63, 65, 69, 70, 71, 72, 73, 74, 75, 76, 77, 100, 103 Cybercriminel, 8, 9, 10, 23, 27, 41, 63, 72, 73, 75 Cyberespace, 10, 76, 103
D
Délinquance, 8, 9, 10, 11, 13, 14, 38, 39, 46, 48, 100, 103 Directive, 38, 39, 42, 43, 45, 46, 51, 60, 62, 63, 103, 105 Données personnelles, 9, 13, 14, 16, 17, 19, 21, 22, 23, 24, 25, 26, 29, 32, 33, 34, 35, 42, 44, 45, 46, 47, 49, 51, 52, 53, 56, 57, 61, 63, 64, 65, 69, 71, 72, 79, 80, 81, 82, 101, 103, 104
E
Escroquerie, 24, 35, 63, 70, 79
______________________________
5/95
F
Filtrage, 57, 61, 62, 79, 104 Fraude, 9, 17, 29, 31, 33, 35, 36, 41, 47, 53, 55, 56, 57, 63, 70, 74, 76, 83, 105
I
Infraction, 8, 9, 11, 14, 15, 19, 21, 24, 29, 30, 36, 39, 40, 41, 43, 44, 45, 46, 47, 49, 51, 53, 58, 59, 61, 64, 68, 75, 81, 103 Internautes, 7, 14, 22, 34, 56, 57, 61, 77, 79, 83, 104, 105 Internet, 7, 8, 9, 10, 11, 15, 17, 19, 22, 23, 24, 27, 31, 34, 39, 40, 42, 46, 48, 49, 50, 56, 58, 60, 61, 62, 64, 66, 72, 73, 76, 77, 79, 81, 82, 83, 100, 103, 104, 105, 106
L
Le monde des télécoms, 1, 9, 12, 22, 24, 32, 35, 40, 49, 63, 64, 72, 75, 77, 103 Loi, 19, 20, 23, 24, 29, 38, 43, 47, 48, 49, 50, 51, 52, 53, 58, 60, 61, 66, 71, 81, 82, 83, 92, 104
M
Menace, 10, 12, 13, 22, 23, 26, 27, 42, 53, 56, 63, 65, 72, 76
N
Nouvelles technologies, 8, 9, 11, 12, 13, 32, 38, 43, 46, 48, 62, 64, 68, 69, 73, 77, 80, 101 NTIC, 9
O
Opérateur, 7, 10, 11, 12, 13, 29, 31, 32, 33, 35, 36, 38, 45, 48, 50, 51, 52, 55, 56, 57, 58, 63, 70, 71, 72, 73, 74, 79, 80, 82, 84, 92, 105 Ordonnance, 20, 51, 52, 84, 105
P
Préjudice, 9, 21, 36, 45, 70, 74 Protection incrimination, 15, 17, 19, 23, 39, 40, 42, 43, 45, 49, 52, 53, 58, 61, 66, 72, 76, 82, 83, 104
R
Règlement, 105
______________________________
6/95
Répressif, 9, 29, 30, 32, 35, 46, 51, 52 Répression, 9, 33, 47, 53 Réseau, 7, 8, 11, 15, 22, 23, 24, 25, 29, 42, 44, 45, 50, 55, 58, 62, 64, 66, 69, 70, 73, 75, 103, 104, 105, 106
S
Sms, 7, 33, 55, 56 Spam, 32, 33, 55, 56, 103 STAD, 9, 14 Systèmes d’information, 7, 8, 9, 14, 19, 22, 29, 40, 43, 44, 45, 46, 47, 57, 62, 65, 73, 76, 81, 105
U
Utilisateur, 8, 11, 15, 19, 22, 33, 44, 50, 58, 65, 72, 77, 79, 103, 106
V
Ver, 22, 106 Virus, 21, 22, 23, 33, 44, 106
______________________________
7/95
INTRODUCTION
La numérisation de la société dans laquelle nous évoluons bouleverse notre quotidien, elle
touche tous les secteurs d’activités et crée ainsi un foisonnement de nouveaux usages.
Demain, tous les objets électroniques du quotidien seront connectés au réseau qu’ils
s’agissent des systèmes «mobiles» ou des accessoires domestiques.
Au cœur de cette évolution se place le secteur des télécommunications.
D’après l’Autorité de Régulation des Communications Électroniques et des Postes
(L’ARCEP) qui a publié le 2 février 2012 son observatoire trimestriel des communications
électroniques en France pour les mobiles1, à la fin de l‘année 2011 il y avait 68,5 millions de
clients de téléphonie mobile (soit plus que d’habitants en France, le nombre étant de 65,3
millions d’habitants), et sur l’année 2011 les français ont envoyé 147 milliards de sms.
Toujours, selon ce même observatoire, le nombre d’abonnements à un service de téléphonie
fixe était de 39,9 millions.
En tant que leader de la mesure d’audience d’internet, Comscore, entreprise internationale
d’étude de marché, a dévoilé en juin une analyse établissant que la France comptait
42 millions d’internautes, et ainsi qu’elle était l’un des premiers pays en Europe en nombre
d’internautes derrière l’Allemagne et la Fédération de Russie2.
Par ailleurs, l’observatoire des marchés des communications électroniques estime que le
revenu total des opérateurs de communications électroniques sur les marchés de gros et de
détail s’élève à 13,2 milliards d’euros au quatrième trimestre 20113.
Dans ce contexte les opérateurs de communications électroniques4 se sont fixés comme
ambition d’accompagner chaque client et chaque entreprise pour leur prodiguer le meilleur du
numérique. Ainsi, les offres de service en matière de télécommunications se sont
1 www.arcep.fr/index.php?id=36[Consulté le 2 juin 2012] 2 reyt.net/france-les-42-millions-dinternautes-surfent-28...en.../6736 [Consulté le 20 mai 2012] 3 www.arcep.fr/fileadmin/reprise/.../4-2011/obs-marches-t4-2011.pdf[Consulté le 20 mai 2012] 4 °Un opérateur de communications électroniques est défini dans le Code des postes et des communications électroniques (CPCE) à l’article L. 32, 15° comme "toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques" d’autre part. Cette définition met en lumière les deux types d'activité que peut exercer un opérateur de communications électroniques : l'exploitation d'un réseau de communications électroniques ouvert au public d'une part, la fourniture au public d'un service de communications électroniques d’autre part.
______________________________
8/95
considérablement étoffées au cours des dernières années autour de la téléphonie fixe et
mobile, de l’Internet, du Cloud computing, de la télévision par ADSL, accroissant de ce fait la
valeur disponible, bien évidemment, pour les clients, mais également pour les fraudeurs.
Le meilleur se développe, souvent accompagné du pire également!
En effet, ces dernières années, des usages déviants et frauduleux, voire criminels, ont pris de
plus en plus d’ampleur, à travers ce qu’il est désormais convenu d’appeler la cybercriminalité,
cette large notion regroupant « toutes les infractions pénales susceptibles de se commettre sur
ou au moyen d’un système informatique généralement connecté à un réseau5». Certains
cybercriminels fabriquent des logiciels malveillants, tandis que d’autres les utilisent afin de
perpétrer des actions criminelles. On observe aujourd’hui des « mafias » très structurées,
composées de plusieurs strates, la base étant constituée de codeurs programmeurs, et des «
script kiddies »6 qui sont de jeunes adolescents âgés de 12 à 13 ans. Enfin, comme dans tout
réseau organisé, viennent ensuite les organisations de blanchiment d´argent.
On citera également Madame Myriam Quémener, magistrat, qui définit la cybercriminalité
comme: «une notion polymorphe qui peut concerner les infractions classiques commises par
le biais des technologies, comme les nouvelles infractions, nées de l’essence même de
l’informatique7.»
Enfin, selon le rapport publié par l'Observatoire National de la Délinquance et des Réponses
Pénales (ONDRP) en 20118, qui consacre pour la première fois en France un dossier spécial à
la cybercriminalité, celle-ci correspondrait à des infractions très diverses pouvant être
regroupées en deux catégories :
- Les infractions liées aux formes de criminalité «traditionnelles» (qui ont pu évoluer
avec les technologies de l’information et de la communication (NTIC) telles que la
fraude en ligne, les escroqueries, la contrefaçon)
- Les infractions liées aux systèmes d’information et de traitement automatisé des
5 Définition de la Cybercriminalité qui a été donnée lors d’un colloque qui a eu lieu à Libreville au GABON le 30novembre 2011. infosgabon.com/? p=13956 6 Script kiddie ou encore lamer est un terme péjoratif d'origine anglo-saxonne désignant les néophytes qui, dépourvus des principales compétences en matière de gestion de la sécurité informatique, passent l'essentiel de leur temps à essayer d'infiltrer des systèmes, en utilisant des scripts ou programmes mis au point par d'autres. On pourrait traduire l'expression par «Gamin utilisateur de scripts», mais le terme «script kiddie» est le seul couramment utilisé (searchmidmarketsecurity.techtarget.com/definition/). 7 www.inhesj.fr/.../Cybercriminalite/081%20C6%20Quemener%20CR page 815.... [Consulté le 23 mai 2012] 8 www.inhesj.fr/.../ondrp/rapport.../ra2011/synthese_rapport_2011.pdf[Consulté le 13 mai 2012]
______________________________
9/95
données (STAD) (comme le déni de service et le piratage, infractions qui sont
apparues avec le développement des réseaux informatiques et de l’Internet).
Ainsi, la cybercriminalité englobe, à la fois des atteintes aux personnes (diffusion d’images
pédophiles, pédopornographiques, atteintes à la vie privée) et aux biens (piratage
informatique, fraude à la carte bancaire, escroqueries en tout genre…).
La cybercriminalité est devenue une délinquance qui correspond non seulement aux
infractions strictement informatiques mais qui vise aussi l’ensemble du champ pénal, allant
des escroqueries aux fraudes en passant par l’usurpation d’identité. Désormais, il existe des
liens étroits entre la criminalité dite classique et la criminalité dite informatique, sachant que
tous les cybercriminels appartiennent de plus en plus souvent à des réseaux internationaux
très organisés.
Dans son 7ème rapport l’ONDRP, évalue le préjudice subi par ce phénomène à 1,7 milliards
d’euros. Cet observatoire a recensé 33 905 infractions qualifiées de “délinquance astucieuse”
sur Internet dont 80 % étant des escroqueries ou des abus de confiance, les 20% restant
correspondant à des falsifications ou usages de cartes de crédit9.
Au niveau répressif, si les dispositions de notre Code pénal permettaient de sanctionner la
plupart des infractions dont la commission était facilitée par ou liée à l’utilisation des
technologies; Internet apparaissant le plus souvent comme un vecteur de multiplication des
infractions réalisées au moyen de la technologie en offrant aux délinquants des outils plus
discrets et surtout plus anonymes leur permettant de démultiplier leurs actions, certains
agissements restaient en dehors du champ de la répression ou tout du moins prêtaient à
discussion.
C’est dans ce contexte, que la France s’est dotée d’un dispositif spécial de répression de la
«délinquance informatique»10.
Par ailleurs, Internet, dans ses usages, a aboli les frontières nationales.
Selon la Commission européenne, la cybercriminalité toucherait «chaque jour plus d’un
million de personnes dans le monde» et coûterait annuellement « un total de 388 milliards de
dollars au niveau international11», ce qui la rend plus lucrative que le marché mondial du
cannabis, de la cocaïne et de l'héroïne confondus.
9 INHESJ/ONDRP-Rapport 2011 10 europa.eu › ... › Lutte contre la criminalité organisée 11 www.01net.com › Actualités › Sécurité[Consulté le 3 mai 2012]
______________________________
10/95
A contrario, les moyens d’investigation et la législation en place dans nos sociétés restent très
attachés à la territorialité. Les organisations criminelles et les fraudeurs ont donc rapidement
pris en compte les facteurs d’impunité associés à ces distorsions, notamment, avec le
problème des commissions rogatoires à l’étranger. En effet, en cas d’existence d’un accord
bilatéral entre les pays concernés (ex: la France avec les USA) une défense est possible, en
revanche des difficultés importantes surgissent en cas d’absence d’accord entre les États
concernés (ex: la Chine avec la France). La cybercriminalité se protège également derrière la
fugacité de ses actions: actes délictueux rapidement commis, éléments de preuve non
pérennes localisés à l’étranger.
Depuis ces 5 dernières années il y a de plus en plus d’attaques par voie électronique. Il s’agit
d’une nouvelle forme de criminalité et de délinquance qui se distingue des formes
traditionnelles en ce qu’elle se situe dans un espace virtuel que l’on dénomme «cyberespace».
Le cyberespace est quant à lui devenu un champ criminogène d’autant plus en expansion que
les supports informatiques se diversifient en devenant de plus en plus mobiles, et qu’ils
deviennent encore plus interactifs avec les réseaux sociaux.
Jusque-là les sites français étaient protégés du fait de la langue française qui constituait une
barrière, la langue anglaise étant plus répandue et sa grammaire plus facile. Mais, aujourd’hui
les cybercriminels recrutent des spécialistes de la langue française, et les faux sites sont plus
vrais que nature.
A la confluence de ces transformations et au regard des récentes évolutions technologiques
qui ont conduit, dans un contexte de convergence, tant à l'émergence de nouveaux acteurs que
de services de communication de plus en plus riches via l'internet et l'utilisation des réseaux
IP, les opérateurs de communications électroniques sont particulièrement touchés par la
cybercriminalité.
Ils vivent à la fois un durcissement de la menace, mais aussi un accroissement des impacts
potentiels. Ainsi, leur mobilisation dans la lutte contre la cybercriminalité devient de ce fait
incontournable, qu’il s’agisse de protéger leurs propres actifs et activités commerciales ou
encore la vie privée de leurs clients, car ils interviennent en tant que dépositaire
d’informations.
Cette orientation des divers opérateurs de communications électroniques fait écho aux
préoccupations étatiques visant à organiser une lutte efficace contre l’ensemble des infractions
______________________________
11/95
et agissements nuisibles commis au travers des réseaux informatiques et en particulier sur le
réseau Internet.
De l’aveu même du ministère de l’intérieur, la lutte contre la cybercriminalité se heurte
parfois à des obstacles en raison du caractère mondial des réseaux informatiques, de la
rapidité avec laquelle les infractions sont commises et de la difficulté à rassembler les
preuves12.
La publication récente des résultats de l’enquête mondiale de PwC 13« Global Economic
Crime Survey 2011 » met en lumière que « la cybercriminalité prend une place significative
dans le classement des principaux types de criminalité économique.»
S’appuyant sur des infrastructures et des services toujours plus interconnectés et faisant
largement appel à de nouvelles générations de technologies émergentes (réseaux intelligents,
Smartphones, tout IP …), le paysage technique mis en œuvre par l’opérateur se banalise
également et converge vers les standards de l’informatique. Les barrières de la spécificité et
de la spécialisation tombent progressivement, l’acte frauduleux devient accessible à un plus
grand nombre.
Les opérateurs de communications électroniques vivent à la fois un durcissement de la
menace, mais aussi un accroissement des impacts potentiels. C’est pourquoi il paraissait
opportun de faire un focus sur ce que représente la cybercriminalité dans le monde des
télécoms.
Ainsi, dans un premier temps, seront présentées les principales tentatives de fraudes, et les
fraudes dont les opérateurs, leurs clients ou les cybers acteurs sont menacés et/ou victimes
(Partie I).
Puis dans un second temps, seront détaillés les moyens utilisés et déployés par les opérateurs
de communications électroniques pour combattre la cybercriminalité, soit les outils de lutte
existants mais également les solutions envisageables, la lutte contre ces nouvelles formes de
criminalité étant au cœur des préoccupations des opérateurs de communications électroniques
(Partie II).
12 Ouvrage Cybercriminalité , cybermenaces, cyberfraudes (article SFR p 196) 13http://www.pwc.lu/en/fraud-prevention-detection/2011-global-economic-crime-survey.jhtml [Consulté le 20 avril 2012]
______________________________
12/95
PARTIE I :
UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES
OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES
CHAPITRE 1 : Des menaces cybercriminelles internes aux entreprises de
communications électroniques
D’après l'étude mondiale de PwC « Global Economic Crime Survey 2011»14 «le classement
d’un crime ou d’un incident en tant que cybercriminalité varie d’un individu ou d’une
entreprise à l’autre. Peu importe la catégorie dans laquelle on les affecte (i.e. crime
économique, espionnage, activisme), les cyber-attaques représentent 23% des incidents pour
les entreprises ayant déclaré avoir été victime de criminalité économique au cours de l’année
2011. Parmi les impacts de ces attaques, les entreprises considèrent que celui lié à leur
réputation est le plus important (40%) ; viennent ensuite : la perte (ou le vol) de données
personnelles (36%), la perte de propriété intellectuelle (incluant la perte de données
industrielles) à 35%, l’interruption de service pour 34%, la perte financière effective pour
31% et le risque réglementaire pour 22% ».
Ainsi, l’avènement des nouvelles technologies durant ces dernières années au sein de la
société internationale a induit le développement de nouvelles formes de délinquance dont les
conséquences doivent être largement prises en compte par les entreprises et notamment par les
opérateurs de communications électroniques. Si chacun s’accorde à percevoir le risque
externe comme le plus fréquent, en revanche ils prennent de plus en plus conscience de la
menace interne.
En effet, il ne faut pas sous-estimer la menace interne à l’entreprise. Leurs propres employés
peuvent donc constituer une réelle menace. En effet, l’utilisation accrue des réseaux sociaux,
même en dehors du cadre professionnel, représente une source d’information de choix pour
les criminels. Il n’est ainsi pas rare de constater que les formes les plus sophistiquées de «
14 http://www.pwc.lu/en/fraud-prevention-detection/2011-global-economic-crime-survey.jhtml[Consulté le 23 avril 2012]
______________________________
13/95
spear phishing »15 trouvent leurs informations sur ces mêmes réseaux sociaux.
Par ailleurs, cette frontière « interne-externe » est de moins en moins claire. Les employés
sont, en effet, de plus en plus nomades et utilisent des applications mobiles et parfois des
outils personnels (concepts de « bring your own »16) qu’il faut désormais intégrer dans la
stratégie de sécurité. Les fournisseurs et clients, pour leur part, interagissent avec l’entreprise
qui est de manière accrue au cœur des systèmes et processus. Très souvent, ce sont des
employés, des salariés qui, pour des raisons diverses et très variées, portent atteinte aux
systèmes d’information de leurs employeurs ou de leurs ex-employeurs.
Un grand nombre de ces attaques consistent en des atteintes aux systèmes d’information.
Section 1 : Les fraudes liées aux systèmes d’information
1. Accès et maintien frauduleux dans les systèmes d’information
Le rapport de l’observatoire national de la délinquance et des réponses pénales de 2011,
recense, pour l’année 2011, 626 atteintes aux systèmes de traitement automatisé des données.
Il s’agit principalement d’accès frauduleux dans un système (par exemple: contournement ou
violation d’un dispositif de sécurité, insertion d’un fichier espion enregistrant les codes
d’accès des abonnés…) ou de maintiens frauduleux dans un STAD
(prolongation indue de l’accédant au-delà du temps autorisé, intervention dans le système afin
de visualiser ou réaliser une ou plusieurs opérations…). En outre, il faut préciser, toujours
selon ce rapport, que plus du tiers de ces atteintes est constitué par des accès avec altération
du fonctionnement, des modifications voire des suppressions de données. «Le fait d’accéder
ou de se maintenir, frauduleusement, dans tout ou partie d’un système automatisée de
données (S.T.A.D)», est une infraction prévue par l’article 323-1, al 1 du Code Pénal. Elle
vise tous les modes de pénétration irréguliers d'un système de traitement automatisé de
données, que l'accédant travaille déjà sur la machine mais sur un système, qu'il procède à
15 Hameçonnage qui, à l'aide de courriels trompeurs et personnalisés, cible de façon plus précise un groupe d'internautes donné, souvent les employés d'une grande société ou d'un organisme gouvernemental, afin de leur soutirer des renseignements confidentiels permettant ensuite de pénétrer les systèmes informatiques. www.oqlf.gouv.qc.ca/ressources/bibliotheque/.../8349460.html[Consulté le 17 mai 2012] 16 Pas encore connue de tous, une nouvelle tendance se dessine au sein même des entreprises, le Bring Your Own Device.(le BYOD), c’est la fusion des téléphones personnel et professionnel, ou comment se servir de son propre terminal pour un usage d’entreprise (www.solucominsight.fr/.../bring-your-own-device-quelle-frontiere-e... [Consulté le 5 mai 2012]).
______________________________
14/95
distance ou qu'il se branche sur une ligne de télécommunication17. En outre, le mobile de
l’accès frauduleux importe peu. On précisera qu’en l'absence de mise en place d'une
protection ou de manifestation de volonté, par les dirigeants d'une entreprise, de restreindre
l'accès au système informatisé de données, le délit de l'art. 323-1 du Code pénal n'est pas
constitué18. Ainsi, se rend coupable d'accès frauduleux dans un système de traitement
automatisé de données voire d'introduction frauduleuse de données dans ce même système, la
personne utilisant des codes d'accès confidentiels ne lui appartenant pas mais se faisant passer
pour leur titulaire légitime, pousse une société à lui fournir un accès au réseau Internet19.
L’infraction susvisée a pour vocation de sanctionner les cyberdélinquants qui cherchent à
prendre connaissance d’informations, confidentielles ou non, figurant dans des système de
données dont l’accès ou la présence leur est interdit. De ce fait, afin de qualifier l’infraction il
conviendra d’une part de faire la preuve du caractère frauduleux de l’accès, et d’autre part, du
caractère intentionnel de l’intrusion illicite.
Il conviendra donc d’analyser tour à tour l’élément matériel puis l’élément moral du délit.
1.1. L’élément matériel du délit
Le caractère protégé ou non du S.T.A.D n’est pas une condition requise à la qualification de
l’infraction selon l’article 323-1 du Code Pénal, toutefois il facilitera la démonstration du
caractère frauduleux de la «pénétration». La preuve de l’accès frauduleux pourra, par
exemple, résulter du contournement ou de la violation du système de sécurité mis en place par
l’entreprise afin d’éviter ce genre d’attaques. En revanche, la preuve du caractère frauduleux
de l’accès ne sera pas rapportée dans le cas où l’utilisateur est en situation normale, soit, s’il a
procédé à une consultation d’informations rendues accessibles au public. Cette position a
d’ailleurs été confirmée par la jurisprudence.
En effet, dans un arrêt du 30 octobre 2002, la Cour d’appel de Paris a considéré, qu’il «ne
peut être reproché à un internaute d’accéder aux données ou de se maintenir dans les parties
des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de
17 Paris, 14 janv. 1997: RSC 1998. 142, obs. Francillon 18 Paris, 8 déc. 1997: Gaz. Pal. 1998. 1, chron. Crim 19 TGI Paris, 16 déc. 1997: Gaz. Pal. 1998. 2. Somm. 433, note Ronjinsky.
______________________________
15/95
navigation, ces parties de site, qui ne font par définition l’objet d’aucune protection de la part
de l’exploitant du site ou de son prestataire de services, devant être réputées non
confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès20.». La Cour
d'appel a ainsi infirmé le jugement de première instance, précisant les éléments constitutifs du
délit d'accès et de maintien frauduleux dans un système de traitement automatisé de données.
L’internaute ne peut donc être condamné sur ce fondement lorsque l'accès et le maintien dans
le système de traitement automatisé était possible en accédant sur le site internet de la société
à l'aide d'un simple logiciel de navigation grand public et ce, même si les données auxquelles
il a ainsi pu avoir accès sont des données nominatives des clients de la société. Ainsi, les
juges n’ont pas souhaité sanctionner l’accédant de bonne foi, qui d’après eux, n’avait pas
accédé au S.T.A.D de manière frauduleuse. De même, les juridictions considèrent que dans
certains cas, l’accès n’est que le résultat d’une erreur: «Le fait pour un centre serveur de
s’approprier un code d’accès du kiosque télématique et d’y héberger un code clandestin n’est
pas constitutif des délits d’accès, de maintien dans un système d’information de données
informatisées et d’entrave. Cet accès a pu être le résultat d’une erreur de manipulation sur les
fichiers. Par conséquent, l’action est dépourvue de caractère intentionnel21. « Toutefois, dans
un arrêt rendu par la Cour d’appel de Paris le 9 septembre 200922, il a été jugé que l’accession
ou le maintien frauduleux dans un S.T.A.D pouvait constituer un trouble manifestement
illicite. A ceci près que, dans le cas d’espèce, l’accès aux données n’était pas limité par un
dispositif de protection mais par le fait que le responsable du système avait manifesté son
intention d’en restreindre l’accès aux seules personnes autorisées.
1.2. L’élément intentionnel du délit
Il est nécessaire de démontrer le caractère intentionnel de l’intrusion illégale. Lorsque l’accès
résulte d’une erreur, le simple fait de se maintenir dans le système pourra être constitutif
d’une fraude. En effet, une prolongation au-delà du temps autorisé, une intervention dans le
système afin de visualiser une ou plusieurs informations constituent des indices permettant de
20 CA Paris, 12e chambre, 30 oct.2002, Kitetoa c / Sté Tati, http://www.foruminternet.org/documents/jurisprudence [Consulté le 27 avril 2012] 21 CA Paris 3 e ch.4 déc. 1992 22 CA paris, 2e ch., 9 sept. 2009, http://www.legalis.net/jurisprudence-decision.php3?id_article=2738[Consulté le 27 avril 2012]
______________________________
16/95
participer à la démonstration du caractère intentionnel de la pénétration ou du maintien dans
le système par l’utilisateur. En outre, il faut rappeler que la loi incrimine non seulement le
maintien irrégulier de l’accédant qui y serait entré par inadvertance, mais également celui de
l’utilisateur qui y ayant régulièrement pénétré, s’y serait maintenu frauduleusement. En
application de l’article 323-1 du Code pénal, la suppression, la modification, l’altération des
données est punissable lorsqu’elles résultent d’un accès ou d’un maintien frauduleux dans le
système. Enfin, concernant la notion de maintien frauduleux dans un système, dans un arrêt
du 5 avril 1994, la Cour d'appel de Paris 23 a jugé que : « la loi incrimine également le
maintien dans un système de la part de celui qui y serait entré par inadvertance, ou de la part
de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement ». Par
conséquent, peu importe la méthode utilisée pour pénétrer le serveur. Ce qui compte, c’est
que le maintien existe et qu’il soit frauduleux, ce qui suppose la conscience pour les
contrevenants de l’irrégularité de leurs actes. Cependant, pour que soit démontré ce maintien,
il faut encore définir les contours de cette notion. Ainsi, le même Tribunal de Grande instance
de Paris, dans un jugement du 15 décembre 199924 a défini la notion de maintien comme «
l’action de faire durer ».
1.3. Les atteintes à l’intégrité des systèmes d’information
Selon l’article 323-2 du Code pénal est constitutif d’une infraction : « Le fait d’entraver ou de
fausser le fonctionnement d’un système de traitement automatisé de données». Ainsi la
destruction de fichiers, de programmes, de sauvegardes, le flaming qui est une technique
consistant à se livrer à des attaques via l’Internet en ayant la volonté de perturber le système
d’information de son interlocuteur et de susciter un encombrement de sa capacité mémoire,
sont autant d’actes d’entraves constitutifs de cette infraction. On mentionnera plus
particulièrement l’incrimination d’entrave d’un système de traitement automatisé de données
par saturation. Il s’agira par exemple de l’entrave au fonctionnement du système par l’envoi
massif de messages électroniques ayant pour conséquence de saturer la bande passante et les
boites de réception de tous les salariés. Toutes formes d’activité étant en conséquence
23
CA. Paris, 5 avril 1994, revue. Dalloz, 1994, p. 130. 24
Paris15décembre1999;D2000IR44;GazPal.2001.1.Somm.268, note Prat.)
______________________________
17/95
paralysées. A ce titre, nous citerons une affaire de février 2000 25au cours de laquelle des sites
Internet comme <Yahoo!>, <eBay>, <Amazon.com>, <Buy.com>, ou encore <CNN.com>,
ont été pris d’assaut. Ces attaques qualifiées de «déni de service» ou « denial of service», se
sont traduits par une saturation du site le rendant de ce fait inaccessible en submergeant de
connexions le serveur qui l’hébergeait. Concernant la célèbre affaire Yahoo, qui opposait
plusieurs associations antiracistes, dont la Ligue Contre Le Racisme et l'Antisémitisme
(Licra), aux sociétés Yahoo! Inc. et Yahoo France, s'est conclue en France le 20 novembre
2000 par une ordonnance de référé 26rendue par Monsieur Gomez Premier Vice-président du
Tribunal de grande instance de Paris. Celle-ci ordonnait à l'entreprise américaine de :
"prendre toutes les mesures de nature à dissuader et à rendre impossible toute consultation
sur Yahoo.com du service de ventes aux enchères d'objets nazis et de tout autre site ou service
qui constituent une apologie du nazisme ou une contestation des crimes nazis. "L'ordonnance
a été rendue sur la base d'un rapport portant sur les possibilités techniques de filtrer l'accès au
contenu litigieux pour le public français. Ce document qui a été rédigé par trois experts
techniques, François Wallon, Vinton Cerf et Ben Laurie, évoquait plusieurs mesures
d'identification de la nationalité des visiteurs dont le taux d'efficacité pouvait varier entre 70 et
90%27. Cependant, un an plus tard, dans son jugement déclaratoire du 7 novembre 200128, le
juge californien a pris le contre- pied de cette décision en lui déniant toute autorité sur le sol
américain. En effet, le juge américain a considéré que la décision française était incompatible
avec le premier amendement de la constitution des États -Unis qui garantit la liberté
d’expression29, ce dernier l’a donc déclarée inapplicable sur le territoire américain. Dans un
autre registre, la jurisprudence a reconnu que devait être condamné pour altération au
fonctionnement d'un système de traitement automatisé de données suite à un accès
frauduleux, le salarié qui, depuis son nouveau travail et à l'aide du matériel mis à sa
disposition, a intentionnellement saturé la bande passante de son ex-employeur en lui
envoyant une grande quantité de courriers électroniques et de gros fichiers dans l'intention de
25 www.juriscom.net/chr/2/fr20001024.htm[Consulté le 10 mai 2012] 26 www.juriscom.net/txt/jurisfr/cti/tgiparis20001120.htm[Consulté le 5 juin 2012] 27 www.foruminternet.org/spip.php?page=impression&id_article... [Consulté le 5 juin 2012] 28 droit.univ-lille2.fr/fileadmin/.../TIC_souverainete_ordre_public.pdf[Consulté le 6 juin 2012] 29 Premier amendement à la Constitution des États -Unis, 1791(traduction): «Le Congrès ne pourra faire aucune loi ayant pour objet l’établissement d’une religion ou interdisant son libre exercice, de limiter la liberté de parole ou de presse, ou le droit des citoyens de s’assembler pacifiquement et d’adresser des pétitions au gouvernement pour qu’il mette fin aux abus».
______________________________
18/95
lui causer un préjudice commercial; par ailleurs, bien que les actes frauduleux commis par le
prévenu l'ont été sur son lieu de travail et au moyen du micro-ordinateur fourni par son
employeur, celui-ci doit être mis hors de cause dès lors que le salarié a agi à l'insu de son
employeur, et que les actes qu'il a commis sont, sans contestation possible, étrangers au
périmètre de la mission confiée30. La qualification d’entrave est également retenue et
sanctionnée en présence d’un virus ou d’une bombe logique dont l’objet est de bloquer ou de
fausser le fonctionnement du S.T.A.D. En effet, un virus, même s’il se révèle peu nocif, peut
provoquer un préjudice dans la mesure où il occupe une partie de la mémoire du système et de
ce fait ralentit le fonctionnement de l’ordinateur. Toutefois, en raison du caractère large des
termes utilisés, dans un but de qualification de l’infraction d’entrave, certains agissements
doivent être écartés, notamment, les entraves résultants d’une grève, celles engendrées par une
suspension de fourniture de service ou enfin celles constituées par la rupture d’un contrat de
fourniture de prestations de services informatiques.
Section 2 : Les fraudes liées à l’intégrité des données
1. Les atteintes à l’intégrité des données engendrant un préjudice pour l’employeur
L’article 323-3 du Code pénal prévoit qu’est punissable : «Le fait d’introduire
frauduleusement des données dans un système de traitement automatisé ou de supprimer ou
de modifier frauduleusement les données qu’il contient».
L’acte délictueux consiste à «fausser» le système, c’est à dire à lui faire reproduire un résultat
différent de celui qui était attendu. A titre d’exemple, dans son arrêt rendu le 18 novembre
1992, la cour d’appel de Paris, a condamné un employé et ses complices pour avoir accédé à
et s’être maintenus dans un système dont ils avaient modifié les données après avoir faussé
son fonctionnement. Afin d’obtenir un nombre de points importants à un jeu télématique, ce
salarié avait utilisé les lignes de son employeur par le biais de radiotéléphones.
Il est à noter que les comportements précédemment évoqués sont majoritairement de source
interne à l’entreprise, ils émanent le plus souvent d’employés en exercice ou d’anciens
employés.
30 TGI Lyon, 20 févr. 2001: Gaz. Pal. 2001. 2. Sommaire. 1686, note A. Blanchot
______________________________
19/95
Les virus et les vers sont les deux exemples de logiciels malveillants les plus connus, mais il
en existe beaucoup d’autres comme les chevaux de Troie, qui prétendent être légitimes, mais
comportent des petits programmes nuisibles exécutés sans l'autorisation de l'utilisateur. On
trouve également les « portes dérobées » qui sont des chevaux de Troie particuliers qui
prennent le contrôle de l'ordinateur et permettent à quelqu'un de l'extérieur de le contrôler par
le biais d'Internet. Enfin, on citera les publiciels (adwares), logiciels gratuits, qui affichent,
pendant leur utilisation, des bannières de publicité. Comme le souligne Madame Christiane
Féral–Schuhl, Bâtonnier, « les virus constitueraient les atteintes les plus «usuelles» », ils
présenteraient donc une importante menace pour les internautes. Ils auraient, en effet, pour
conséquence de modifier ou de supprimer des données et ainsi de fausser le fonctionnement
du système. Toutefois, il n’existe aucune définition universellement acceptée du terme «virus
informatique». Les vers, quant à eux, se répandent automatiquement dans le courrier
électronique en profitant des failles des différents logiciels de messagerie, dès qu'ils ont
infecté un ordinateur, ils se propagent vers les adresses contenues dans tout le carnet
d'adresses. Par ailleurs, si certains de ces virus sont inoffensifs ou uniquement perturbateurs,
d’autres génèrent des dysfonctionnements fatals pour le système infecté.
C’est la mise en réseau des systèmes qui a permis l’explosion des menaces virales, ainsi, la
connexion à Internet suscite un risque important de contamination des systèmes. Ce fut
notamment le cas pour le ver «I love You» qui a connu un retentissement international. Ce
virus tirait son nom de la pièce jointe au courrier électronique qui le transportait, nommé
Love-Letter-for-you.txt.vbs.Il se faisait passer pour une lettre d'amour, notamment grâce à
l'icône des fichiers de son type rappelant celui d'une lettre.
Il s'est répandu en quatre jours sur plus de 3,1 millions de machines dans le monde. Les
Américains ont estimé la perte à 7 milliards de dollars pour les États-Unis.
Diverses mesures de sécurité ont été depuis prises par de nombreuses entreprises afin de
limiter l’accès à leurs données sensibles ou à leurs postes informatiques accessibles en réseau,
ces derniers étant plus facilement exposés aux attaques extérieures. Mais dans tous les cas de
figure, constituera une obligation, démonstration d’une atteinte volontaire.
Aujourd’hui on constate une prolifération inquiétante des outils malveillants que l’on peut
regrouper sous l’appellation «d’armes des cyber- attaquants». En effet, la 17ème édition du
rapport Symantec Internet Security Threat Report, qui a été publié le 3 mai dernier, révèle,
______________________________
20/95
cette année, une baisse du nombre des vulnérabilités de -20%, et parallèlement une montée en
flèche des attaques malveillantes à hauteur de +81%. En outre, celui-ci souligne que les
attaques sont ciblées, et qu’elles s’étendent aux entreprises de toutes tailles et à tous les
salariés. Ce rapport, fait également le constat de l’augmentation des failles de sécurité, qui se
définissent comme étant une « faiblesse du logiciel permettant l'exécution d'activités
malveillantes au sein du système d'exploitation ». Enfin, il met en exergue que les
cybercriminels se concentrent sur les menaces mobiles.
Il est opportun de préciser que sur Internet, les virus se transmettent plus rapidement et en
plus grande quantité. De plus, la décentralisation du réseau et son relatif anonymat permettent
une diffusion plus sournoise rendant pratiquement impossible l’identification de l’auteur de
l’attaque. De ce fait, les victimes de virus ne parviennent pas à être indemnisées, l’instigateur
du dommage étant introuvable et la responsabilité du FAI ne pouvant être engagée, ce dernier
étant étranger à l’installation du virus sur le PC.
2. Les moyens de protection de l’intégrité des données
2.1. La cryptologie
La cryptographie est la seule technique efficace disponible pour protéger une information
numérique en confidentialité et en intégrité. Elle est la seule discipline qui inclue les
principes, moyens et méthodes de transformation des données, et ce, dans le but de cacher
leur contenu, voire d’empêcher que leur modification ne passe inaperçue, et/ou de bloquer
leur utilisation non autorisée. D’une part, la loi sanctionne toute personne physique ou morale
qui n’aurait pas respecté les dispositions portant sur les règles de mise en œuvre,
d’acquisition, et de mise à disposition de moyens de cryptologie. L’article 35 de la loi du 21
juin 2004 pour la confiance en l’économique numérique plus connue sous l’acronyme LCEN,
prévoit des sanctions pénales spécifiques en cas de non respect des obligations de déclaration
posées par la loi, en cas d’exportation de moyens de cryptologie sans l’obtention
d’autorisation lorsque celle-ci est exigée, ou en cas de vente ou de location de moyens de
cryptologie ayant fait l’objet d’une interdiction administrative de mise en circulation. D’autre
______________________________
21/95
part, l’article 132-79 du Code Pénal prévoit une aggravation des peines pour les crimes et
délits pour lesquels un moyen de cryptologie a été utilisé31.
2.2. Le délit d’usurpation numérique
Les données partagées dans le monde des octets permettent de créer des identités
« numériques » susceptibles, par essence et au même titre que nos identités réelles, d’être
usurpées, notamment par le hameçonnage (phishing). Devant le recrudescence des pratiques
consistant à s’emparer d’un mot de passe, d’un nom de compte informatique, d’une adresse IP
dans le but de prendre et utiliser le nom d’un tiers pour son propre compte, a été instituée
l’infraction d’usurpation d’identité numérique relative à l’attribution et à la gestion des noms
de domaine de l’Internet avec le décret n° 2007-162 du 6 février 2007. Jusqu’en 2011,
l’usurpation d’identité numérique était sanctionnée par des textes à vocation générale
(escroquerie, abus de confiance, etc.) qui ne permettaient pas de prendre en compte toutes les
situations. Mais, cette infraction s’est vue généralisée avec la création du nouveau délit
d’usurpation d’identité par la loi n°2011-267 du 14 mars 2011 d'orientation et de
programmation pour la performance de la sécurité intérieure, dite LOPPSI 2. Ce texte a créé
un nouvel article dans le code pénal, au chapitre "Des atteintes à la personnalité", Section 1
"De l'atteinte à la vie privée" : Article 226-4-1 : "Le fait d'usurper l'identité d'un tiers ou de
faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de
troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa
considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende ».
Il s’agissait pour le législateur de combler un vide juridique en permettant de sanctionner
l’usage malveillant d’éléments d’identité d’un tiers sur un réseau de communication au public
en ligne. Il faut rappeler que cette infraction est punie des mêmes peines qu'elle soit commise
sur un réseau de communication au public en ligne ou non. Ce nouveau délit se caractérise par
deux éléments indissociables.
- D’une part, un élément matériel, qui réside dans le fait pour un cyberdélinquant
d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute
nature permettant de l’identifier sur un réseau de communication au public en ligne, et
31 Article 132-79 du code pénal : « … »
______________________________
22/95
qui vise directement et précisément les outils participatifs du web 2.0, lie les «réseaux
de communication au public en ligne».
- D’autre part, un élément intentionnel. Cet élément intentionnel caractérisé par exemple
par l’intention de troubler la tranquillité, porter atteinte à l’honneur ou à la
considération n’est cependant pas aisé à démontrer.
S’il ne faut pas sous-estimer la menace interne, il ne faut toutefois pas négliger la menace
extérieure à l’entreprise.
______________________________
23/95
PARTIE I :
UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES
OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES
Chapitre II : Des menaces cybercriminelles externes aux entreprises de
communications électroniques
La convergence des réseaux de télécommunications, de l’Internet (prenant appui sur la
communication IP (Internet protocole) et l’ingénierie informatique) est exploitée par les
cybercriminels afin de commettre leurs actes délictueux. Le développement de leurs activités
se concentre notamment autour de trois familles de fraudes: les fraudes historiques ou
indémodables (section 1), les fraudes actuelles (section 2) et les fraudes complexes (section
3).Seules les fraudes les plus significatives seront envisagées dans cette étude.
Source: Revue Cybercriminalité Cybermenaces &Cyberfraudes page 197
Développement des nouvelles
Fraudes
Les Fraudes historiques
Phreaking
Hacking
Les Fraudes actuelles
Phishing (hammeçonnage)
Spamming
Les Fraudes complexes
Numéros surtaxés
Réseaux convergence
(Protocole IP)
______________________________
24/95
Section 1 : Les fraudes historiques ou indémodables
1. Le Phreaking
Le phreaking est le piratage de systèmes de téléphonie filaire ou sans-fil. Ce terme provient
d’une contraction entre les termes anglais « phone », pour téléphone, et « freak », signifiant
marginal, ou personne appartenant à une contre-culture. Initialement, l'essentiel du phreaking
consistait à mettre en place des moyens pour contourner la facturation des usages
téléphoniques. Aujourd'hui, le phreaking est également utilisé pour établir des
communications anonymes ou écouter des conversations téléphoniques. L’exemple typique de
phreaking consiste à se brancher sur la ligne téléphonique d’un tiers afin de passer, au moyen
de sa ligne téléphonique, des communications à l’insu de celui-ci et lui faire supporter le coût
de ces communications. Il n’existe pas à proprement parler une infraction de «phreaking» en
France, mais, sur un plan répressif le phreaking pourra être appréhendé au travers de diverses
incriminations sur le fondement du Code Pénal32 ou sur celui de la loi Godfrain nº 88-19 du 5
janvier 1988, relative à la fraude informatique, qui complète le dispositif en incriminant le
maintien dans des systèmes de traitement automatisés de données, fait qui peut
potentiellement être constitué dans les agissements de phreaking. Les victimes directes du
phreaking sont les abonnés et clients de l’opérateur de téléphonie, qui voient apparaitre sur
leurs factures les coûts des communications qu’ils n’ont pas passées. L’opérateur, quant à lui,
est une victime indirecte, en raison de la difficulté de recouvrer les sommes dues auprès des
abonnés ou des clients.
32 Ainsi, sur le fondement de l’article 226-15 du Code pénal:« Est puni d'un an d'emprisonnement et de 45.000 euros d'amende le fait d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions Lorsqu’un acte de phreaking est commis sur un réseau sans fil, le Code pénal vient encore spécifiquement sanctionner le fait de perturber ou brouiller une installation radioélectrique, ou d'utiliser une fréquence, un équipement ou une installation radioélectrique dans des conditions non conformes.
______________________________
25/95
2. Le Hacking
Le hacking regroupe un ensemble de techniques exploitant des failles et vulnérabilités d'un
élément ou d'un groupe d'éléments d’un système d’information.
Source: Revue Cybercriminalité Cybermenaces &Cyberfraudes page 198
Le hacking n'a pas nécessairement une connotation malveillante. Cependant, lorsqu'il est
utilisé avec un objectif de piratage, il correspond à l'utilisation de connaissances
informatiques à des fins illégales. Sur le plan répressif, le hacking, qu’il soit malveillant ou
non, pourra être appréhendé au travers de l’article 323-1 du Code pénal qui sanctionne le fait
d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement
automatisé ou encore le fait d'entraver ou de fausser le fonctionnement d'un système de
traitement automatisé. Ces agissements sont susceptibles d’être punis par une peine de 2 ans
d’emprisonnement et 30.000 € d’amende, peines qui peuvent être portées jusqu’à 5 ans
d'emprisonnement et de 75.000 euros d'amende dans certains cas33. On notera enfin que le
fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un
équipement, un instrument, un programme informatique ou toute donnée conçus ou
spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles
33 Articles 323-2 et 323-3 du Code pénal.
______________________________
26/95
323-1 à 323-3 du Code pénal est puni des peines prévues respectivement pour l'infraction elle-
même ou pour l'infraction la plus sévèrement réprimée34.
Exemple de hacking permettant une fraude au Phreaking : le Piratage d’IPBX
Source: Revue Cybercriminalité Cybermenaces &Cyberfraudes page 198
Légende du schéma ci-dessus:
1. Attaque informatique du fraudeur, via Internet pour prendre le contrôle distant de
l’IPBX de l’entreprise (serveur téléphonique et Internet de l’entreprise).
2. Utilisation de l’IPBX, pour détourner les appels téléphoniques aux profits du
fraudeur : pour appeler (au compte de l’entreprise) des opérateurs étrangers et des
numéros surtaxés. L’entreprise est utilisée comme une «cabine téléphonique».
3. SFR reverse aux opérateurs étrangers et aux éditeurs de numéros surtaxés leurs parts
du prix des communications passées et factures l’entreprise desdites communications.
4. Le fraudeur récupère de l’opérateur étranger ou/et l’éditeur 08ab une partie des
bénéfices de la fraude.
34
Article 323-3-1 du Code pénal
______________________________
27/95
Les victimes directes du hacking sont les abonnés et clients de l’opérateur, qui se voient
pirater leurs box, installations informatiques et téléphoniques d’entreprises. L’opérateur est
une victime indirecte, dans la mesure où le hacking de ses abonnés et clients permet aux
fraudeurs de commettre, par ricochet, d’autres agissements préjudiciables (par exemple, le
phreaking).
Ces fraudes sont encore bien présentes dans le monde des télécommunications.
Section 2 : Les fraudes actuelles
1. Le spamming
Le spamming est « l’envoi d'un même message électronique non-sollicité à un très grand
nombre de destinataires au risque de les importuner »35 Si les fraudes via des spams par
courriels sont largement connues et souvent associées à d’autres techniques de fraudes types
phishing, de nouvelles modalités de fraudes via le spam se déploient (le SPAM SMS et le
SPAM VOCAL). Sur le plan répressif, l’acte de spamming, qui aura pour conséquence de
saturer un serveur de mail, pourra notamment être qualifié comme le fait d'entraver ou de
fausser le fonctionnement d'un système de traitement automatisé de données. A ce titre, il
pourra être puni de 5 ans d'emprisonnement et de 75.000 euros d'amende. En outre, le
spamming, pour être réalisé, nécessite la collecte frauduleuse des données à caractère
personnel des destinataires: adresses mails, numéro de téléphone fixe ou mobile. Une telle
pratique est sanctionnée par l’article 226-18 du Code pénal par 5 ans de prison et 300.000 €
d’amende. Les victimes directes du spamming sont les abonnés et clients de l’opérateur, qui
se voient importunés ou escroqués. L’opérateur est une victime indirecte, subissant des effets
ponctuels de saturation et de détournement de ses ressources techniques.
1.1. Le spam courriel
Le courriel (e-mail) est le support le plus ancien et le plus développé du spam. Le spam
courriel est principalement utilisé à des fins publicitaires, d’hameçonnage ou de propagation
35 CGTN: JO 12 sept. 2000
______________________________
28/95
de virus. Plus précisément, le spam est une pratique consistant à envoyer en masse des e-mails
publicitaires à des personnes ne souhaitant pas les recevoir. Ces e-mails font fréquemment la
promotion illicite de produits pharmaceutiques, de sites pornographiques ou de sites de
jeux.…
1.2. Le Spam SMS
Le spammeur envoie un message SMS non-sollicité qui invite à appeler un numéro surtaxé
(08ab) ou à renvoyer un SMS surtaxé (SMS+). En réaction aux actions de prévention et de
répression systématiques de l’opérateur, les spammeurs indélicats ont fait évoluer les spams
en masquant les numéros à rappeler derrière des adresses URL et en envoyant des messages
trompeurs (proches des messages opérateur ou autres acteurs). Le spamming pourra ainsi être
assimilé à une entrave ou au fait de fausser le fonctionnement d'un système de traitement
automatisé de données.
A titre d’exemple, des utilisateurs peuvent recevoir sur leur mobile le spam suivant:«
Répondeur MMS: (1) nouveau message vidéo; a 15:37.\nCsqdq cliquez sur le lien pour
déclencher sa lecture: http://video-sms.com/5/632323224 \nAcces Gratuit».
1.3. Le Spam vocal
Le spam vocal (ou « ping call ») consiste à appeler un numéro fixe ou mobile depuis un
numéro surtaxé et à raccrocher au bout d’une ou deux sonneries, avant que l'appelé n'ait eu le
temps de décrocher. Lorsque l’appelant rappelle le numéro indiqué, qui se trouve être un
numéro surtaxé, il est alors facturé d'un coût forfaitaire par appel et d’un coût en fonction de
la durée de l'appel, sans contrepartie d’un service. Le spam vocal est une pratique frauduleuse
en pleine évolution, qui impose une veille active par les services de l’opérateur. Eu égard à
son très faible coût, le spam peut être utilisé à des fins commerciales (publicité) mais
également dans le cadre d’escroqueries nécessitant la collecte de données personnelles pour
usurper l’identité de l’internaute visé (phishing). En 2010, la CNIL a reçu 600 plaintes
relatives à la prospection commerciale pour non-respect du droit d’opposition ou du recueil
du consentement préalable des particuliers concernés36
36 www.inhesj.fr/.../ondrp/rapport.../ra2011/synthese_rapport_2011.pdf
______________________________
29/95
2. Le phishing ou hameçonnage
Le phishing, quant à lui, est une technique de fraude visant à obtenir des informations
confidentielles, telles que des mots de passe ou des numéros de cartes de crédit, au moyen de
messages ou de sites usurpant l'identité d'institutions financières ou d'entreprises
commerciales37connues et réputées. Le terme phishing est la contraction des termes anglais
«fishing» et «phreaking» désignant le piratage d’une ligne téléphonique. On précisera que le
terme «hameçonnage» est le terme français pour désigner le phishing. Cette technique peut
prendre plusieurs formes: site web, mails et SMS, appels vocaux… et avoirs des objectifs
multiples. Ainsi, alors que l’hameçonneur recherche souvent des données personnelles sur
Internet (mots de passe, information bancaire, coordonnées), les hameçonnages télécom
incitent plutôt à appeler des numéros surtaxés.
2.1. Le mode opératoire des phishers
Ils envoient des courriels en très grand nombre, à l’aide d’automates informatiques. Les
adresses des victimes sont généralement collectées illégalement ou forgées à partir de données
d’annuaires publics ou de portails sociaux. Les emails reprennent les logos et les typographies
officiels de l’entreprise phishée et demandent à l’internaute de cliquer sur un lien hypertexte
inclus dans le message. L’adresse URL du lien dans l’email est «travaillée» afin de paraître la
plus authentique possible. Les courriels amènent les internautes sur un site frauduleux imitant
parfaitement le site web phishé. Ce site frauduleux est très souvent hébergé de manière
illégale sur un serveur préalablement piraté par l’attaquant. Le site frauduleux présente des
pages web incitant la victime à saisir des données personnelles et confidentielles.
37 Définition de la Commission générale de terminologie et de néologie, JO 12 février 2006
______________________________
30/95
Exemples de phishing
2.2.1 Phishing sur Internet
Source de l’image: reflets.info
2.2.2 Le phishing SMS
«Info: Le titulaire du 06XXXXXXXX Gagne le Cheque No 1111 Composez le
0899XXXXXX pour le retirer. Jeu sous Contrôle d'Huissier\sdfsttp://stopsms.mobi».
Les victimes directes du phishing sont les abonnés et clients de l’opérateur, dont les
données personnelles seront utilisées par les fraudeurs. L’opérateur est une victime directe
lorsque le fraudeur usurpe son identité, afin de commettre ses agissements. Afin de
collecter les adresses mails, des robots sont programmés pour récupérer les données
apparaissant sur des forums. Ces emails reprennent les logos et typographies officiels de
l’entreprise Phishée et demandent à l’internaute de cliquer sur un lien URL hypertexte
inclus dans le message. L’adresse URL du lien dans l’email est « travaillée» afin de
paraître la plus authentique possible.
Par exemple: <a href=« http://www.azefdvdf.net »>http://www.sfr.com</a>
______________________________
31/95
www.azefdvdf.net constituant la balise html créant un lien hypertext et permettant
d’accéder au site frauduleux.
http://www.sfr.com étant le lien vu par l’internaute et qui le trompe. Sur le plan répressif,
le phishing pourra, (comme un certain nombre d’autres fraudes télécoms) être qualifié et
poursuivi sur les fondements de l’escroquerie38, l’usurpation d’identité39, de l’atteinte à un
système de traitement automatisé de données40, de la contrefaçon de marque41, de l’abus
de confiance42, et de la collecte frauduleuse de données nominatives43.
Section 3 : Les fraudes complexes: l’exemple de la fraude aux numéros
surtaxés
Les numéros surtaxés sont proposés par des entreprises (Éditeurs) à leurs clients, afin de leur
fournir un service dit à valeur ajoutée (SVA) accessible par téléphone, et ce, moyennant le
paiement d’une surtaxe de communication. Les numéros surtaxés sont fournis, pour leur part,
aux éditeurs par un opérateur SVA. L’appelant (le client) paiera la surtaxe à son opérateur de
boucle locale (OBL) qui est celui auprès duquel il a souscrit son abonnement téléphonique ou
sa carte prépayée. L’OBL, ainsi qu’une chaîne d’opérateurs successifs, achemineront la
communication surtaxée et procéderont au reversement de la surtaxe jusqu’à l’éditeur. La
réglementation encadre l’activité des opérateurs en les soumettant à un principe d’accessibilité
et de reversement avec une faculté de suspendre un numéro surtaxé en cas de fraude.
En pratique, la fraude consiste à appeler en masse des numéros surtaxés en piratant une ligne
de l’appelant, générant ainsi un préjudice financier pour la victime (client ou opérateur), et un
revenu «in-shore» ou «off-shore» pour le fraudeur. Les appels sont passés à l’aide de
détournement de cartes SIM, piratage de box, ping call, détournement d’IPBX…
38 Articles 313-1 et suivants du Code pénal 39 Article 434-23 du Code pénal 40 Articles 323-1 et suivants du Code pénal 41 Article L. 713-1 et suivants du Code de la propriété intellectuelle 42 Articles 314-1 et suivants du Code pénal 43 Article L. 226-18 du code pénal
______________________________
32/95
Source: Revue Cybercriminalité Cybermenaces &Cyberfraudes page 201
La fraude aux numéros surtaxés n’est pas directement sanctionnée. Dans la plupart des cas,
elle fait suite à des infractions permettant de prendre le contrôle de terminaux de
communications (hacking…) et peut donc être poursuivie au visa de ces infractions. Les
victimes directes des fraudes aux numéros surtaxés sont les abonnés, clients et les opérateurs
eux-mêmes.
______________________________
33/95
PARTIE II :
UNE CYBERCRIMINALITÉ COMBATTUE PAR LES
OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES
Chapitre I : Les outils, contemporains, de lutte contre la cybercriminalité mis
à la disposition des opérateurs de communications électroniques
Section 1 : Les sources de droit de lutte contre la cybercriminalité
1. Les sources internationales : Un cadre en mutation
La communauté internationale a pris conscience des enjeux liés au développement des
technologies numériques, notamment au travers de la Convention du Conseil de l’Europe sur
la cybercriminalité 44(23 novembre 2001) et de son Protocole additionnel (7 novembre
2002)45 Les dispositions contenues dans ces 2 textes ont été intégrées dans le droit français. Il
en est de même de la directive européenne 2000/ 31 du 8 juin 2000, relative au commerce
électronique transposée en droit français par la loi pour la confiance dans l’économie
numérique du 21 juin 2004 (LCEN), et qui précise notamment la responsabilité des
hébergeurs. Il convient aussi d’ajouter les travaux effectués au sein du G8 et notamment dans
le sous groupe « haute technologie » du groupe de Lyon qui constitue un lieu informel de
réflexion et d’orientation des politiques de sécurité des États, d’EUROPOL ou du groupe de
travail sur la criminalité liée aux technologies d’informations d’INTERPOL.
1.1. La convention sur la cybercriminalité
Les États ont pris conscience de la nécessité d’une approche transfrontalière de la
cybercriminalité, notamment en raison de la dimension internationale de cette forme de
délinquance.
44 conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185 45 https://wcd.coe.int/ViewDoc.jsp?id=293309&Site=CM[Consulté le 1er mai 2012]
______________________________
34/95
1.1.1. Le texte fondateur
Dès 1996, le Conseil de l’Europe créait un comité d’experts chargé de rédiger un instrument
juridique contraignant en matière de cybercriminalité. Mais, la Convention de Budapest
(Hongrie) du Conseil de l’Europe sur la cybercriminalité n’a finalement vu le jour que le 25
mai 2001. Elle a été signée par la France et par plusieurs États, membres ou non du Conseil de
l’Europe, le 23 novembre 2001, et est entrée en vigueur après l’achèvement des procédures
de ratification le 1er juillet 2004. Elle ne s’applique donc que depuis 8 ans. En septembre
2011, la Convention de Budapest comptait trente deux ratifications et adhésions et soixante
signatures, certains pays signataires ne l’ayant pas encore ratifiée. Les États-Unis qui ont
signé et ratifié la Convention dès le 23 novembre 2001, ont adopté une démarche visant à
promouvoir celle-ci comme une norme générale de lutte contre la cybercriminalité. Cette
Convention est la première Convention pénale à vocation universelle adoptée pour lutter
contre la délinquance informatique. C’est le seul instrument juridique international en matière
de lutte contre la cybercriminalité qui sert de ligne directive à de nombreux pays. Elle vise à
réprimer les crimes commis au moyen et sur les réseaux informatiques. Ainsi, elle s’articule
autour de trois objectifs :
- L’harmonisation des législations nationales quant aux incriminations relevant de la
Convention
- L’adaptation des moyens procéduraux au support spécifique que constitue l’Internet
tout en veillant au respect et à la garantie des libertés individuelles
- conformément aux Conventions européennes d’entraide et d’extradition judiciaire, la
mise en place de moyens d’actions rapides et efficaces.
Premier texte international établi dans le cadre de la lutte contre ce fléau, la Convention a
pour principal objectif d’encourager les États parties à prendre des mesures en matière pénale
pour assurer une protection effective contre la cybercriminalité, notamment par l’adoption
d’une législation appropriée et le renforcement de la coopération entre États.
En l’espèce, il s’agissait donc de parvenir à adapter «le temps procédural au temps
numérique», pour reprendre une expression de Frédérique Chopin46, ceci dans une perspective
d’harmonisation des législations et malgré l’obstacle que peut constituer le principe de
46 Maître de conférences en droit privé et sciences criminelles à Aix, Marseille 2
______________________________
35/95
compétence territoriale des juridictions nationales. En effet, une infraction reconnue dans tel
pays ne le sera pas forcément dans tel autre.
1.1.2. L’apport du Protocole additionnel du 7 novembre 2002
Lors des rencontres et discussions préalables à la Convention dite «de Budapest», le comité
d'experts n'avait pas adopté les propositions des délégations allemande et française concernant
l ' incrimination des comportements racistes et xénophobes sur internet en raison de
l'opposition de diverses délégations, qui invoquaient le principe de la liberté d'expression
(Canada, États -Unis et Japon notamment). Aussi le Conseil de l'Europe suggéra-t-il dès 2001
l'élaboration d'un Protocole additionnel spécifique. La France a d’ailleurs eu un rôle moteur
dans son élaboration. Ce Protocole (adopté le 7 novembre 2002 par le Conseil de l'Europe et
ouvert à la signature à Strasbourg, le 28 janvier 2003, à l'occasion de la première session 2003
de l'Assemblée parlementaire du Conseil de l'Europe) est un complément essentiel à la
Convention de Budapest. Alors que les développements technologiques, économiques et
commerciaux rapprochent les peuples du monde entier, la discrimination raciale, la
xénophobie et d'autres formes d'intolérance continuent d'exister dans nos sociétés. La
mondialisation présente des risques pouvant conduire à l'exclusion et à l'accroissement des
inégalités, très souvent sur une base raciale et ethnique. En particulier, l'apparition de réseaux
de communication globale comme Internet offre à certaines personnes des moyens modernes
et puissants pour soutenir le racisme et la xénophobie et pour diffuser facilement et largement
des contenus exprimant de telles idées. Pour pouvoir mener des enquêtes et poursuivre les
personnes coupables de ces délits, la coopération internationale est essentielle. La Convention
sur la cybercriminalité a été élaborée pour permettre une entraide concernant les crimes
informatiques au sens large du terme, a été conçue de manière souple et moderne. Le
Protocole, quant à lui, poursuit deux objectifs: premièrement, harmoniser le droit pénal
matériel dans la lutte contre le racisme et la xénophobie sur l'Internet et deuxièmement,
améliorer la coopération internationale dans ce domaine. Une harmonisation de ce type
facilite la lutte contre cette criminalité aux niveaux national et international. Le fait de prévoir
des infractions correspondantes dans le droit interne peut prévenir l'abus des systèmes
informatiques à des fins racistes dans des pays qui n'ont pas une législation très bien définie
dans ce domaine. La coopération internationale (en particulier l'extradition et l'entraide
______________________________
36/95
judiciaire) se trouve facilitée47.
1.1.3. Le Projet d’une Convention universelle de la cybercriminalité
Le 13 avril 2011, lors du Douzième Congrès des Nations Unies pour la prévention du crime et
la justice pénale, les délégations se sont interrogées sur la pertinence d’un nouvel instrument
international pour lutter contre la cybercriminalité. Ainsi, une dizaine de pays ont partagé
leurs initiatives nationales et souligné la nécessité de renforcer l’assistance technique en
direction des pays en développement. Les intervenants ont exprimé des positions divergentes
sur la nécessité d’élaborer ou non un nouvel instrument international de lutte contre la
cybercriminalité, qui viendrait compléter la Convention de Budapest sur la criminalité
adoptée en 2001 par le Conseil de l’Europe. Pour le représentant de l’Espagne, qui parlait au
nom de l’Union européenne, le renforcement de l’arsenal juridique international de lutte
contre la cybercriminalité ne passe pas nécessairement par l’élaboration d’un autre
mécanisme. Il a en effet estimé que l’utilisation des dispositions de procédure de la
Convention de Budapest pour contrecarrer la fraude informatique, la pornographie impliquant
des enfants ainsi que des infractions liées à la sécurité des réseaux, dépendait d’abord de la
volonté politique des États. Le représentant de la République de Corée a, quant à lui, indiqué
que son pays se concentrait sur la prévention des actes cybercriminels : « D’un point de vue
politique, il faut mettre l’accent sur la nécessité de préserver les formidables avancées
sociales et économiques que représentent les nouveaux réseaux d’information», a-t-il estimé.
Il a cependant reconnu l’urgence de freiner le développement d’infractions qui permettent à
leurs auteurs de circuler sans entrave dans le temps et dans l’espace.
Toutefois même si les intérêts divergent, il est certain que la mise en place d’une
collaboration internationale et européenne est désormais indispensable pour pouvoir lutter
contre ce phénomène.
1.2. Les sources communautaires
Dans ce contexte, il convient de mentionner le soutien actif et incontestable de l’Union
européenne vis à vis de La Convention de Budapest. En effet, à l’occasion du sommet
européen, les chefs d État et de gouvernement ont adopté le 11 décembre le programme de
47 www.senat.fr › ... › Rapports › Rapports législatifs[Consulté le 7 mai 2012]
______________________________
37/95
Stockholm.48 Ce dernier a établit les priorités de l’Union européenne (UE) dans le domaine de
la justice, de la liberté et de la sécurité pour la période 2010-2014. Ce programme souligne le
rôle de la Convention en tant que norme générale que l’Union européenne souhaite
promouvoir afin de lutter contre la cybercriminalité. Il recommande l’élaboration d’une
stratégie de sécurité intérieure de l’UE en vue d’améliorer la protection des citoyens et la lutte
contre la criminalité organisée et le terrorisme. Dans un esprit de solidarité, la stratégie aura
pour objectif de renforcer la coopération policière et judiciaire en matière pénale, ainsi que la
coopération dans la gestion des frontières, la protection civile et la gestion des catastrophes.
La stratégie de sécurité intérieure sera constituée d’une approche proactive, horizontale et
transversale, avec des tâches clairement réparties entre l’UE et ses pays. Elle mettra l’accent
sur la lutte contre la criminalité transfrontalière, notamment sur la cybercriminalité49. Ainsi,
L'Union européenne a pris diverses initiatives pour lutter contre la cybercriminalité en
adoptant plusieurs directives.
1.2.1. Le texte fondateur
En octobre 1995 a été adoptée la directive 95/46/CE qui constitue le texte de référence, au
niveau européen, en matière de protection des données à caractère personnel. Celle-ci met en
place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection
de la vie privée des personnes et la libre circulation des données à caractère personnel au sein
de l'Union européenne. Pour ce faire, la directive fixe des limites strictes à la collecte et à
l'utilisation des données à caractère personnel et demande la création, dans chaque État
membre, d'un organisme national indépendant chargé de la protection de ces données. Tous
les États membres ont maintenant transposé la directive. Néanmoins, les actions entreprises au
sein de l'UE restent encore insuffisantes pour faire face aux menaces que représentent les
courriels, les espiogiciels et les logiciels malveillants. Internet étant un réseau mondial, la
Commission européenne souhaite développer le dialogue et la coopération avec les pays tiers
concernant la lutte contre ces menaces et les activités criminelles qui y sont associées.
48 www.europarl.europa.eu/.../stockholm_programme_council_conclusi[Consulté le 10 mai 2012] 49 europa.eu/legislation_summaries/human_rights/.../jl0034_fr.htm[Consulté le 10 mai 2012]
______________________________
38/95
1.2.2. Les textes récents
a. La directive 2011/92/UE
Le 13 décembre 2011, l'Union européenne a adopté la directive 2011/92/UE relative à
l'exploitation sexuelle des enfants en ligne et à la pédopornographie qui remplace la décision
cadre 2004/68/JAI du Conseil (Directive n° 2011/92/UE du 13 déc. 2011, JOUE 17 déc. L.
335/1)50. L’objectif de cette directive est d’aller au-delà de la décision cadre abrogée par une
approche plus globale de la lutte contre l’exploitation sexuelle des enfants en prenant en
compte l’engagement des poursuites, la protection des victimes et la prévention des
infractions. La majeure partie des dispositions de la directive a trait aux incriminations des
infractions (abus sexuels, exploitation sexuelle, pédopornographie…) et prévoit des peines
d’emprisonnement minimum ainsi que des circonstances aggravantes. La directive invite les
États membres à retenir la responsabilité pénale des personnes morales pour ces infractions, à
prévoir des délais de prescription larges et la possibilité pour les professionnels en contact
avec des enfants de passer outre le secret professionnel pour signaler des abus sur enfants.
Le texte prévoit également des règles de compétence des États membres extensives. Plusieurs
mesures destinées à encadrer la procédure afin de protéger les enfants victimes sont
préconisées (limitation des auditions par des personnes spécialement formées, audience à
huis-clos…). On notera également que le texte organise la prévention de ces infractions en
préconisant, entre autre, une évaluation de la dangerosité des personnes condamnées. Cette
directive devra être transposée le 18 décembre 2013 au plus tard mais le droit français est déjà
globalement en conformité avec ce texte.
b. La proposition de Directive du 30 septembre 2010
Enfin on évoquera la proposition de Directive du Parlement Européen et du Conseil relative
aux attaques visant les systèmes d’information et abrogeant la décision cadre 2005/222/JAI du
Conseil51 de l’Europe a été déposée le 30 septembre 201052. Cette proposition intervient à la
suite de la décision cadre visant à renforcer la coopération entre les autorités judiciaires et les
autres autorités compétentes, notamment la police et les autres services spécialisés chargés de
l’application de la loi entre les États membres. La présente proposition tient compte des
50 eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2012... 51 www.senat.fr › Europe et International › Europe › Textes européens[Consulté le 11 mai 2012] 52 Proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d’information et abrogeant la décision-cadre 2005/222/JAI du Conseil [COM(2010)517final]
______________________________
39/95
nouvelles méthodes adoptées pour commettre des infractions informatiques, notamment le
recours aux «botnets»53 ou «réseaux zombies», procédés que ne visait pas la décision-cadre. Il
s’agit d’un groupe d’ordinateurs contaminés par des logiciels malveillants (les virus
informatiques). Un tel réseau d’ordinateurs compromis, les «zombies», peut être activé à
distance par une personne pour exécuter certaines actions, comme demander à des ordinateurs
d’attaquer des systèmes d’informations (cyber attaques). Les «zombies» peuvent être
contrôlés, fréquemment, à l’insu de leurs utilisateurs, par un autre ordinateur, appelé «centre
de commande et de contrôle». La ou les personnes qui gèrent ce centre sont souvent les
« cerveaux » de ces opérations et sont évidemment les auteurs de l’infraction. Il n’est pas aisé
de définir la taille des réseaux « zombies » mais les plus grands qui ont été observés à date
auraient constitué entre 40 000 et 100 000 connexions, et autant d’ordinateurs contaminés, par
période de 24 heures.
Sur un plan international, la convention du Conseil de l’Europe sur la cybercriminalité, signée
le 23 novembre 2001, a créé un cadre exhaustif et cohérent couvrant les différents aspects de
la cybercriminalité, elle est aujourd’hui considérée comme étant la norme internationale la
plus satisfaisante en la matière. Toutefois, bien que les dispositions de la décision cadre aient
été, dans l’ensemble, transposées par les États membres, le texte comporte plusieurs lacunes
imputables à l’évolution de la taille et du nombre d’infractions. Il ne tient pas non plus
suffisamment compte de la gravité des infractions et ne prévoit pas de sanction à leur mesure.
En conséquence, les objectifs de la proposition doivent nécessairement être réalisés au niveau
de l’Union européenne, car la cybercriminalité et les attaques visant les systèmes
d’information ont une dimension transfrontalière considérable. La proposition doit poursuivre
le rapprochement du droit pénal des États membres et de leurs règles de procédure. Ainsi,
cette proposition permettra alors d’empêcher les délinquants de s’installer dans des États
membres ayant une législation plus laxiste en la matière, technique appelée le «law
shopping». L’établissement de définitions communes permettra également d’échanger des
informations et de rassembler et comparer les données pertinentes. Au terme d’une analyse
des incidences économiques, sociales et sur les droits fondamentaux («analyse d’impact»),
53 www.altospam.com/actualite/2012/05/statistiques-sur-le-botnet/[Consulté le 11 mai 2012]
______________________________
40/95
deux options d’action ont été retenues conjointement :
- La première prévoit «l’élaboration d’un programme intensifiant les efforts de lutte
contre les attaques visant les systèmes d’information par des mesures non
législatives». Sont notamment visés des instruments non contraignants permettant une
coordination au niveau de l’Union, la mise en place d’un réseau de point de contact
public-privé régissant les experts en cybercriminalité et les forces de l’ordre et
l’élaboration d’un modèle européen d’accord sur le niveau de service pour la
coopération des services répressifs avec des opérateurs du secteur privé.
- La seconde concerne «la mise à jour sélective des dispositions de la décision cadre».
Il s’agit de l’introduction d’une législation spécifique ciblée pour prévenir les attaques
majeures, accompagnée de mesures non législatives en vue d’intensifier la coopération
transfrontalière. Il est à noter que l’adoption de la proposition entraînera l’abrogation de la
législation existante. En revanche, la Directive reprendra ses dispositions actuelles et inclura
de nouveaux éléments. En ce qui concerne le droit pénal matériel général, la directive
incrimine la production, la vente, l’acquisition en vue de l’utilisation, l’importation, la
distribution ou la mise à disposition par d’autres moyens de dispositifs/outils utilisés pour
commettre ses infractions. Elle prévoit des circonstances aggravantes telles que la grande
ampleur des attaques (sont ici visées les réseaux zombies ou dispositifs similaires) ou lorsque
ces dernières sont commises en dissimulant l’identité réelle de l’auteur, tout en causant un
préjudice au titulaire légitime de l’identité. La directive sera conforme aux principes de
légalité et de proportionnalité des infractions et sanctions pénales, et compatible avec la
législation existante sur la protection des données à caractère personnel. Cette Directive a créé
l’infraction «d’interception illégale», soit «l’interception intentionnelle, par des moyens
techniques, de transmissions non publiques de données informatiques vers un système
d’information ou à partir ou à l’intérieur d’un tel système, y compris d’émissions
électromagnétiques à partir d’un système d’information contenant des données
informatiques». Elle introduit des mesures pour améliorer la coopération européenne en
matière de justice pénale en consolidant la structure existante des points de contact (du G8 ou
du Conseil de l’Europe), disponibles 24 heures sur 24 et 7 jours sur 7. L’obligation de donner
suite à une demande d’assistance émise par les points de contact opérationnels dans un certain
______________________________
41/95
délai est alors proposée. Enfin, elle répond aux besoins d’établir des statistiques sur les
infractions informatiques en imposant aux États membres la mise en place d’un dispositif
approprié d’enregistrement, de production et de communication de statistiques sur les
infractions énumérées dans la décision-cadre existante et la nouvelle infraction
d’«interception illégale».
Dans les définitions des infractions pénales énumérées aux articles 3, 4 et 5 (accès illégal à
des systèmes d’information, atteinte à l’intégrité d’un système et atteinte à l’intégrité des
données), lors de la transposition en droit national n’ont été incriminés que les «cas qui ne
sont pas sans gravité». Cette disposition permet de ne pas inclure les cas qui seraient déjà
couverts par la définition de base, mais dont il est considéré qu’ils ne nuisent pas à l’intérêt
protégé. Il s’agit notamment des actes commis par des jeunes gens voulant prouver leur
savoir-faire en technologie de l’information. L’incitation, la complicité et la tentative sont
également visées. Les sanctions prises par les États membres devront être «effectives,
proportionnées et dissuasives», tant à l’égard des personnes physiques que des personnes
morales. En effet, leur responsabilité n’est pas exclue et nécessite de «prendre les mesures
nécessaires» pour sanctionner les personnes morales déclarées responsables.
Cette proposition devrait être adoptée en 201254.
2. Le dispositif législatif et réglementaire français: vers un arsenal répressif de plus
en plus spécifique
A partir des années 1980, la criminalité informatique en France n’a fait l’objet d’aucune
disposition législative visant à la réprimer. A l’époque, il s’agissait d’un phénomène marginal
et mal connu. Toutefois, cette nouvelle délinquance a conduit le législateur à mener une
réflexion sur l’utilisation des nouvelles technologies afin d’adapter la réponse pénale. Dans ce
contexte, de nombreux textes furent adoptés ces dernières années avec la volonté de créer un
«arsenal de la cyber sécurité»55.
La cybercriminalité est constituée par des délinquants le plus souvent des « geeks »qui
utilisent les systèmes et les réseaux informatiques, soit pour commettre des infractions
spécifiques à ces systèmes et réseaux informatiques, soit pour développer ou faciliter des
54 Proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information, COM (2010) 517 final, 30 septembre 2010 55 www.e-juristes.org/les-perspectives-penales-de-la-loppsi-2-en-matiere[Consulté le 6 juin 2012]
______________________________
42/95
infractions qui existaient avant l’arrivée de l’Internet. Il était donc indispensable de faire
évoluer l’arsenal répressif en vue de l’adapter aux nombreuses possibilités de commission
d’infractions offertes par Internet.
2.1. Les lois fondatrices du dispositif de lutte contre la cybercriminalité
2.1.1. La loi informatique et libertés de 1978
Depuis la loi Informatique et Libertés du 6 janvier 1978 qui a conduit à l’intégration dans le
Code pénal d’incriminations liées à la criminalité informatique (atteintes aux systèmes de
traitement informatisés de données, infractions en matière de fichiers ou de traitements
informatiques), les textes n’ont cessé d’évoluer.
2.1.2. La loi Godfrain
La première réforme importante est celle intervenue avec l’adoption de la loi du 5 janvier
1988 relative à la fraude informatique56, dite loi Godfrain, du nom de son initiateur. Elle a mis
en place des dispositions propres à la cybercriminalité qui ont été intégrées dans le nouveau
Code pénal( 7 nouveaux articles), entré en vigueur le 1er mars 1994.Ces clauses ont vocation à
sanctionner les atteintes aux systèmes de traitement automatisé de données(S.T.A.D), et plus
particulièrement le non-respect de la confidentialité, de l’intégrité et de la disponibilité des
données et systèmes informatiques. Ce type d’infractions est régi par les articles 323-1 à 323-
7 du Code Pénal dont les sanctions ont été par la suite aggravées par la Loi pour la confiance
dans l’Économie Numérique, qui, tout en conservant la rédaction des articles, a fortement
augmenté les peines liées à ces comportements. Cette loi visait à compléter le régime pénal
français afin de permettre la répression de certaines formes inédites de fraude telles que le vol
de temps machine, de données ou de logiciels. Ceux-ci ne constituant pas des «choses» mais
des biens immatériels qui n’emportent pas «soustraction» ou «dépossession» de leur
propriétaire. Cette volonté a été confirmée par la chambre criminelle de la Cour de cassation
en 200857 en qualifiant de vol « de contenu informationnel» le fait, pour un salarié d’avoir
copié des supports matériels le contenu de fichiers appartenant à son employeur.
56 Loi.n°88-19, 5 janv.1988, relative à la fraude informatique, JO 6 janv. p.231, dite loi Godfrain 57 Crim.4 mars 2008, n° 07-84.002, NP, D.2008, somm.2213, obs. Detraz ; CCE 2008, étude n° 25, note Huet.
______________________________
43/95
Depuis la loi dite Godfrain d’autres réformes importantes ont eu lieu avec l’adoption de
plusieurs textes.
2.2. Les réformes visant à renforcer le dispositif de lutte contre la
cybercriminalité
2.2.1. La loi relative à la sécurité quotidienne (LQS)
Il s’agit de la loi n° 2001-1062 du 15 novembre 2001, qui a été votée à peine deux mois après
les attentats du 11 septembre 2001. Ce texte oblige les fournisseurs d'accès à Internet (FAI), à
conserver pendant un an les informations sur les activités de leurs clients. Les informations
concernées sont relatives aux courriers électroniques et autres activités Internet. La loi
autorise les juges à recourir aux «moyens de l'État soumis au secret de la Défense nationale»
pour décrypter des informations chiffrées. Dans ce cas, les créateurs de logiciel de
cryptographie doivent fournir aux autorités les algorithmes de chiffrement.
2.2.2. La loi sur la sécurité intérieure
La loi n° 2003-239 pour la sécurité intérieure a été adoptée le 18 mars 2003. Cette loi crée de
nouveaux délits et donne des pouvoirs accrus aux policiers et gendarmes afin de réprimer les
"nouvelles formes de délinquance". Elle permet la fouille des coffres de véhicules dans
certaines circonstances, par les services de police, sous contrôle de l’autorité judiciaire, ainsi
que l’inscription de nouvelles informations dans les fichiers de recherche criminelle
notamment le fichier des empreintes génétiques (FNAEG), ainsi que le blocage des
téléphones portables volés via les opérateurs de téléphonie mobile.
2.2.3. La loi Perben II
Il s’agit de la loi n° 2004-204 du 9 mars 2004 portant adaptation de la justice aux évolutions
de la criminalité, créant un régime spécial pour ce qui est qualifié de crime organisé ou
délinquance organisée. Ce texte légalise les missions d'infiltration menées par le SIAT
(Service interministériel d'assistance technique). En effet, il prévoit la faculté d’infiltration
« pour un officier ou un agent de police judiciaire spécialement habilité dans des conditions
fixées par décret et agissant sous la responsabilité d’un officier de police judiciaire chargé de
coordonner l’opération ». Les informations tirées d'une telle mission peuvent désormais être
______________________________
44/95
incluses dans le dossier d'instruction. Elle introduit en droit français la notion de mandat
d'arrêt européen.
2.2.4. La loi pour la Confiance dans l’économie numérique
La loi n° 2004-575 du 21 juin 2004, plus connue sous le nom de LCEN, elle constitue un
renforcement de la loi Godfrain de 1988. En effet, La LCEN prévoit une nouvelle
incrimination dans le fait d’importer, de détenir, d’offrir, de céder ou de mettre à disposition
un équipement, un instrument, un programme informatique ou toute donnée conçus ou
spécialement adaptés pour commettre une ou plusieurs infractions prévues par les articles
323-1 à 323-3 du Code pénal, et ce, sans motifs légitimes. Elle a également clairement établi
un partage de responsabilité entre les hébergeurs (prestataire technique mettant à disposition
des facilités de stockage) et les éditeurs (responsable de la mise en ligne et de la mise en avant
des contenus). Cette distinction a permis l’épanouissement de nouveaux acteurs, et de leur
responsabilisation vis-à-vis du droit commun et du droit d’auteur. La LCEN forme
aujourd’hui un socle qu’il convient d’entretenir pour donner à l’écosystème des services de
l’Internet français les gages de sécurité favorables à l’investissement. Dorénavant, la
responsabilité des hébergeurs et des fournisseurs d'accès à Internet est encadrée. Ainsi, les
hébergeurs et les FAI n'ont pas une obligation de surveillance générale des contenus Internet,
mais ils doivent concourir activement à la lutte contre trois activités particulièrement
répréhensibles, que sont, les crimes contre l'humanité, l’incitation à la haine raciale et à la
pornographie enfantine. Ils ont notamment une obligation de dénonciation de toute activité de
ce type qui serait exercée au travers des services qu'ils rendent. Ces dispositions ne touchent
pas seulement les FAI mais toutes les entreprises, dans la mesure où la notion de " public "
semble devoir être entendue très largement. Les entreprises devront donc dénoncer les salariés
qui stockeraient ou échangeraient du contenu constitutif de crime contre l'humanité, haine
raciale ou pornographie enfantine. En outre, cette loi a modifié l’article 94 du Code de
procédure pénale relatif à l’inclusion des données informatiques dans la liste des pièces
susceptibles d’être saisies lors des perquisitions réalisées en flagrant délit ou au cours d’une
instruction.
______________________________
45/95
2.2.5. La loi relative aux communications électroniques et aux services de
communication audiovisuelle
Cette loi n° 2004- 669 du 9 juillet 2004 transpose un ensemble de directives européennes
communément dénommées « paquet télécoms ». Elle s’articule autour de trois principes
essentiels :
- La convergence entre les télécommunications et l’audiovisuel, qui sont regroupés sous
l’appellation de réseaux de communications électroniques.
- L’adaptation du cadre de régulation de ces réseaux de communication, l’ART
(Autorité de régulation des télécommunications) devenue l’ARCEP étant en charge
des questions de régulation économique et le CSA (Conseil supérieur de l’audiovisuel)
ayant désormais une compétence élargie à tous les modes de diffusion de la radio et de
la télévision (hertzien, câble, satellite, ADSL, Internet).
- Enfin, la mise en place d’un régime favorisant la concurrence (assouplissement ou
suppression des obligations pesant sur les opérateurs de communications
électroniques).
2.2.6. La Loi d’Orientation et de Programmation pour la Performance de la
Sécurité Intérieure 2
La loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance
de la sécurité intérieure plus connue sous la dénomination de LOPPSI 2 a, d’une part, institué
le délit d’usurpation d’identité numérique, cette disposition devrait permettre de lutter plus
efficacement contre les manœuvres, parfois canularesques, parfois plus malveillantes,
d'ouverture d'un compte sur un réseau social au nom d'une autre personne, ou encore l'envoi
d'un courriel en utilisant l'adresse d'envoi d'un tiers, sans parler des plus lourdes usurpations
de l'identité totale, avec utilisation de moyens de paiement piratés. Existant déjà dans certains
pays (le Royaume-Uni par exemple) ce délit manquait réellement à notre arsenal pénal et il
était jusque-là très difficile d'user d'autres armes pénales pour le faire condamner. D’autre
part, la LOPPSI 2 a modifié les articles L34-3 et L39-2 du Code des postes et des
communications électroniques58. Dans le cadre de la lutte contre le vol des mobiles, cette loi a
58 http://www.legifrance.com [Consulté le 20 avril 2012]
______________________________
46/95
simplifié le processus de blocage. Dorénavant, obligation est faite à l’opérateur d’effectuer le
blocage du mobile concerné (par le numéro IMEI), dans un délai de 4 jours à compter de la
réception, par lui-même, de la déclaration de vol. En revanche, l’opérateur a l’obligation
d’attendre le dépôt de plainte pour opérer le blocage du mobile ayant fait l’objet d’un vol. En
cas de non-respect de cette obligation il encourt une sanction pénale. Ce dispositif, existant
depuis 2003 a été amélioré par la LOPPSI 2. Il connaît toutefois ses limites. En effet il ne tient
pas compte du fait que les utilisateurs de portable ne déposent pas systématiquement plainte et
que le blocage ne fonctionne que sur le territoire français. Ainsi, si le téléphone est envoyé à
l’étranger il fonctionnera...
2.3. Les textes récents tendant vers un arsenal répressif spécifique à la
cybercriminalité
2.3.1. L’ordonnance relative aux communications électroniques
On s’attardera sur ce texte réglementaire du 24 août 2011 (J.0 26/08/2011) qui transpose la
directive européenne «Vie privée et communications électroniques» et qui crée une obligation
de notifier à la CNIL les failles de sécurité, obligation qui pèse aujourd’hui uniquement sur
les opérateurs de communications électroniques (nouvel article 34 bis dans la loi Informatique
et libertés). Cet article transpose l'obligation de notification des violations de données à
caractère personnel prévue par la directive 2002/58/CE modifiée dite "Paquet Télécom". Cette
obligation a été insérée dans la loi informatique et libertés bien qu'elle ne concerne pas toutes
les entreprises, mais seulement les fournisseurs de services de communications électroniques.
Les mesures d'application ont été précisées par le décret n°2012-436 du 30 mars 2012. En
outre, cette modification de l’article 34 bis à la loi du 6 janvier 1978, a tout naturellement
conduit la CNIL à inscrire la question relative à la notification des "violations de données à
caractère personnel" par les fournisseurs de services opérateurs de communications
électroniques à son programme des contrôles pour l’année 2012. L’infraction de violation de
données à caractère personnel ou faille de sécurité est caractérisée lorsqu’il y a violation de la
sécurité des données à caractère personnel transmises, stockées ou traitées. Cette violation
peut avoir lieu de façon accidentelle ou de manière intentionnelle. L’auteur peut être une
ressource interne (collaborateur), une ressource en sous-traitance ou un tiers sans lien avec
l’entreprise concernée. Ainsi on donnera quelques exemples caractéristiques comme la
______________________________
47/95
parution dans les annuaires papier et en ligne de coordonnées de clients inscrits sur liste
rouge, l’envoi par e-mail à un tiers d’informations personnelles (facture dématérialisée,
notification Hadopi…), la faille technique sur un portail WEB exploité par un «attaquant» et
donnant accès à des données clients. Dans un article publié sur son site le 28 mai 201259, la
CNIL cite quelques exemples qui seraient constitutifs d’une violation, tels que l’intrusion
dans la base de données de gestion d’un FAI, un email confidentiel destiné à un client d’un
FAI, diffusé par erreur à d’autres personnes, ou encore la perte d’un contrat papier d’un
nouveau client par un agent commercial d’un opérateur mobile dans une boutique.
Les opérateurs de communications électroniques doivent par conséquent, et en vertu de
l’article 34 de la loi informatique et libertés, prendre toutes les mesures nécessaires (de nature
technique ou opérationnelle) pour préserver la sécurité des données et, notamment, empêcher
qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. En cas
d’existence d’une faille, ils doivent notifier la faille à la CNIL sans délai. Ils doivent
également avertir sans délai l’abonné ou l’intéressé concerné par la faille en cas de violation
de ses données personnelles ou d’atteinte à sa vie privée c'est-à-dire en cas de situation
préjudiciable à la personne physique dont les données ont été révélées ou utilisées à tort (ex:
violation ayant entraîné le vol ou l’usurpation d’identité, l’atteinte à l’intégrité physique de la
personne, ou une humiliation grave ou une réputation entachée). Cette information de
l’abonné/ intéressé n’est pas nécessaire dans tous les cas si la CNIL a constaté que des
mesures de protection appropriées ont été mises en œuvre par l’opérateur concerné afin de
rendre les données, objet de la faille, incompréhensibles à toute personne non autorisée à y
avoir accès. Toutefois, la CNIL peut, après avoir examiné, la gravité de la violation, exiger de
l’opérateur une information de l’abonné/intéressé. En outre, obligation est faite aux opérateurs
de tenir un inventaire interne des failles de sécurité (effets, mesures prises) à conserver à la
disposition de la CNIL. Le système répressif mis en place par l’ordonnance du 24 août 2011
prévoit différentes sanctions dans certaines situation comme, en cas de défaut de notification
des failles à la CNIL (article 226-17-1 du Code pénal)60, en cas de défaut d’information de
l’abonné/ intéressé à la suite d’une faille61, en cas de non-respect de la mise en demeure de la
59 www.cnil.fr/...telecoms/.../la-notification-des-violations-de-donnees-a...[Consulté le 15 mai] 60 Sanctions pénales : 5 ans d’emprisonnement + 300 000 euros d’amende pour les personnes physiques/ 1500 000 euros pour la personne morale (art. 226-24, 131-38 du Code pénal) 61 Sanctions pénales : 5 ans d’emprisonnement + 300 000 euros d’amende/ 1500 000 euros pour la personne morale
______________________________
48/95
CNIL (article 47 de la loi I&L)62 ,en cas de défaut de sécurité des données (article 226-17 du
Code pénal)63.
2.3.2. La loi sur la protection de l’identité
Enfin, on notera un renforcement de la protection de l’identité avec l’adoption de la loi n°
2012-410 du 27 mars 201264. La finalité première de ce texte est de garantir une fiabilité
maximale aux passeports et aux cartes nationales d'identité (CNI), afin de lutter contre les
délits liés à l'usurpation d'identité et à la fraude documentaire. Par ailleurs, le texte prévoit les
conditions du contrôle des documents d'état civil fournis à l'appui d'une demande de
délivrance de CNI ou de passeport (article 4), ainsi que les modalités du contrôle d'identité à
partir du titre d'identité. Ensuite, le Code pénal est complété par l'article 965 afin d'aggraver la
répression pénale des infractions d'accès, d'introduction, de maintien frauduleux dans un
système de traitement automatisé de données à caractère personnel, d'entrave à son
fonctionnement ou de modification ou de suppression frauduleuse des données qu'il contient,
lorsque ces faits sont commis à l'encontre d'un système de traitement automatisé mis en œuvre
par l’État. Lorsque cette infraction a été commise dans ce cas, la peine est portée à 7 ans
d'emprisonnement et à 100.000 euros d'amende. Enfin, il sera fait mention de tout cas
d'usurpation d'identité dans les rectifications d'actes d'état civil. Le législateur a en effet prévu
à l'article 11 que "toute décision juridictionnelle rendue en raison de l'usurpation d'identité
dont une personne a fait l'objet et dont la mention sur les registres de l'état civil est ordonnée
doit énoncer ce motif dans son dispositif."
Section 2 : Un dispositif technique et organisationnel
Cependant, que la menace vienne de l’intérieur ou de l’extérieur, elle vise des éléments
critiques de l’entreprise : les données et informations sensibles. La quantité de données et 62 Sanction administrative pécuniaire de la CNIL : de 150 000 euros à 300 000 euros. 63 Sanctions pénales : 5 ans d’emprisonnement, 300 000 euros d’amende pour le dirigeant personne physique et 1.500 000 euros pour l’opérateur. 64 www.legifrance.gouv.fr/affichTexte.do?cidTexte...categorieLien... [Consulté le 6 juin 2012] 65 L’article 323-1 est complété par un alinéa ainsi rédigé : « Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à cinq ans d’emprisonnement et à 75 000 € d’amende. »
______________________________
49/95
d’informations générées par les entreprises étant gigantesque et exponentielle, elle peut donc
représenter un avantage compétitif pour ces dernières, mais uniquement si leur accès et leur
utilisation sont sécurisés. Une bonne connaissance de ces informations, de leur localisation,
des processus et des traitements clés, des personnes habilitées à y accéder, et surtout des
comportements « normaux », doit donc représenter des priorités pour les entreprises. Il n’y a
cependant pas de réponse « toute faite » ou de remède miracle en la matière.
1. Un dispositif technique
1.1. Des mécanismes spéciaux mis en place pour une recherche d’efficacité
1.1.1. Contre le spamming
a. Le 33700 spam “sms”
Une information est présente sur le site institutionnel de l’opérateur, au travers duquel les
clients et le public sont informés du spamming mobile, de ses dangers, de sa prévention et du
comportement à adopter face à la fraude (http://www.sfr.fr/securite-sante/spam/).Un numéro
spécifique est à la disposition des victimes de spamming, soit: le «33700 spam sms». Ce
dispositif est géré par l’association SMS+, engagée dans la lutte contre le spam mobile
(signalement, blocage, actions en justice contre les spammeurs…) et qui regroupe tous les
opérateurs.
En pratique:
Source: Revue Cybercriminalité Cybermenaces & Cyberfraudes page 202
______________________________
50/95
L’opérateur intègre des protections à son infrastructure de réseau mobile avec un dispositif de
détection et de coupure automatique du trafic identifié «spam». Chaque soir, le 33700 envoie
un fichier de signalement à l’opérateur mobile relatif à un spam sms et comprenant les
données pertinentes. A partir de cette information, l’opérateur évalue les suites à donner à
l’encontre des contrevenants dans la mesure où ils seraient identifiés.
b. L’association signal spam
Les clients et le grand public sont informés, via le site institutionnel des opérateurs, des
dangers du spamming fixe, de sa prévention et du comportement à adopter face à la fraude
(http://www.sfr.fr/securite-sante/spam/). Ainsi a été créé «Signal spam» qui est une
association regroupant les opérateurs et les acteurs de l’Internet, contre le spam.
Avec le plan de développement de l’économie numérique France 2012, l’action de Signal
Spam dans la lutte contre les pourriels (spams) et les pratiques de phishing a été amplifiée et
mise en liaison avec le Conseil national du numérique, afin d’accroître la confiance des
internautes dans la société de l’information et de réduire les coûts supportés par les entreprises
du fait de ces pratiques.
c. L’application Anti-Spam de SFR
Cette application est disponible depuis le 6 avril 2012. Elle est gratuite, compatible Androïd et
Blackberry et tout opérateur. Cet outil permet de se protéger contre des spams vocaux et sms.
Il détecte et isole automatiquement les sms et appels frauduleux incitant à rappeler ou à
envoyer des messages à des numéros surtaxés. Cette application permet de signaler un spam
au 33700 en un clic et gratuitement. Enfin, elle permet au client de composer sa propre liste
noire pour bloquer les numéros qu’il juge indésirables.
1.1.2. Contre le phishing
a. Information des clients via le site institutionnel de l’opérateur
Les clients et le grand public sont informés, via le site institutionnel des opérateurs, de la
nature de la menace, des recommandations de préventions et des actions à entreprendre en cas
de transmission de données sensibles. A titre d’exemple on citera le site de SFR :
http://www.sfr.fr/developpement-durable/securite/phishing/index.html.
______________________________
51/95
b. Adhésion des opérateurs à «Phishing-initiative»
Afin d’aider leurs clients victimes dans la lutte contre le phishing, les opérateurs de
communications électroniques ont pris des dispositions d’accompagnement en adhérant à
«Phishing-initiative», qui est un dispositif français de mutualisation des signalements de
phishing et de blocage des sites illégaux. Le cas échéant, des poursuites peuvent être engagées
en France ou à l’étranger.
c. Une équipe dédiée au traitement du Phishing
Par exemple, la société SFR emploie une équipe dédiée au traitement du phishing qui analyse
les signalements (plusieurs dizaines de milliers pour 2010), qui met en permanence à jour les
systèmes de filtrage sur les messageries « sfr.fr». Elle prend contact avec les clients pour un
accompagnement méthodologique si ceux-ci indiquent avoir communiqué des données
sensibles. Enfin cette équipe spécialisée maintient un contact constant avec d’autres
dispositifs nationaux et internationaux de lutte contre le phishing.
d. Création d’une adresse mail spécifique par l’opérateur SFR
SFR a mis en place un dispositif de lutte contre la fraude par email dans lequel elle utilise la
technique du crowd sourcing 66. Ainsi, SFR demande aux internautes qui suspectent un
phishing sur un courriel, en premier de vérifier sur le blog de sécurité qu’il n’a pas déjà été
signalé au service clients, puis, sinon d’adresser le message à «emailsuspect@sfr.com».
1.1.3. Contre le hacking, phreaking et la fraude SVA
Des systèmes automatiques de détection et de coupure des usages potentiellement anormaux
sont progressivement déployés, sur les infrastructures des opérateurs. Ceux-ci sensibilisent et
informent les différents acteurs afin de rendre efficaces les actions engagées contre les
fraudeurs, et travaillent sur l’harmonisation et le durcissement des règles d’usage «anormal»
permettant d’abaisser les seuils d’alerte et de blocage. Les opérateurs ont, par ailleurs, engagé
des travaux visant à surveiller les volumes de trafics révélateurs d’utilisations abusives de
lignes mobiles à partir de l’étranger. Ils déploient progressivement sur leur infrastructure des
systèmes automatiques de détection et de coupure des usages potentiellement anormaux.
66 Définition: Fait de se nourrir de la communauté pour la création de valeur. www.paperblog.fr/2606049/le-lexique-du-community-manager [Consulté le 25 avril 2012]
______________________________
52/95
1.1.4. Contre le vol des mobiles
Engagés ensemble depuis 2003 dans la lutte contre le vol des mobiles, les opérateurs
membres de la Fédération Française des Télécoms et le ministère de l'Intérieur, de l'Outre-
mer, des Collectivités territoriales et de l'Immigration s'associent une nouvelle fois. Depuis
l’entrée en vigueur de la loi LOPPSI 2 le 16 mars 2011, la procédure à suivre en cas de vol de
son mobile est plus simple pour l’utilisateur et plus efficace pour les forces de l’ordre, car
dorénavant tous les dépôts de plainte sont automatiquement suivis du blocage du téléphone.
Aujourd’hui, il s’agit de sensibiliser les utilisateurs sur l’importance du blocage du téléphone
mobile en cas de vol, en plus du blocage de la ligne. En effet, bloquer son mobile rend le
téléphone inutilisable sur le réseau national, et donc le vol inutile. Le fait de bloquer son
téléphone constitue un geste citoyen permettant de décourager tous les potentiels voleurs.
Ainsi, en juin 2011, le ministère de l’intérieur, de l’outre-mer, des collectivités territoriales et
de l’immigration a annoncé le lancement du site www.mobilevole-mobilebloque.fr67.
1.1.5. Contre les formes de criminalités « traditionnelles » exercées via les réseaux
Traditionnellement, les opérateurs aident les acteurs de la lutte anti fraude à identifier les
criminels ou les infractions. Le législateur a également souhaité permettre que les opérateurs
et les moyens techniques dont ils disposent soient mis à contribution pour lutter contre
certains types d’infractions causé par le contenu véhiculé par Internet. Ainsi, en complément
des mesures pouvant être mises en œuvre par les acteurs de l’Internet que sont les hébergeurs,
les prestataires de messagerie, hébergeurs de noms de domaine, il existe un dispositif de
mesures visant spécifiquement ou accessoirement les opérateurs lorsqu’ils sont FAI.
Si au premier abord, ces mesures semblent attirantes, elles se révèlent délicates à manier et
peu efficaces. En effet, l’obligation de neutralité des FAI est le nécessaire équilibre entre la
protection des intérêts que dicte ces mesures, d’une part, et la protection des droits des tiers et
des libertés fondamentales d’autre part. Par ailleurs, l’agilité dont font preuve les criminels
pour contourner les obstacles techniques, et l’impunité des auteurs d’infractions que
consacrent ces mesures, sont autant de raisons pour amener à n’en pas privilégier
l’application ou du moins le développement.
67
Mobile volé, mobile bloquéwww.mobilevole-mobilebloque.fr/[Consulté le 8 mai 2012]
______________________________
53/95
a. Les sources
a.1. La LCEN
L’article 6-I-8 de la loi pour la confiance dans l’économie numérique plus connue sous
l’appellation de LCEN68, qui transpose la Directive e –commerce 2000 /31/EC69, prévoit une
obligation particulière de surveillance faite aux hébergeurs70et à défaut aux FAI. Cette
pratique ne présente pas de caractère novateur. En effet, il s’agit simplement d’une application
dans la sphère du Web 2.0, des pouvoirs du juge des référés ou des requêtes, en matière de
mesures conservatoires. Ce que la loi prévoit, la pratique l’aurait consacrée à sa place, car
sans nul doute, les tiers se seraient présentés instinctivement devant les juges pour obtenir ce
type de mesures.
a.2. L’article 61 de la loi du 12 mai 2010
L'article 61 de la loi n° 2010-476 du 12 mai 2010 relative à l’ouverture à la concurrence et à
la régulation du secteur des jeux d’argent et de hasard en ligne71 cible plus particulièrement la
criminalité liée aux sites illicites de jeux. Il prévoit que lorsque l'arrêt de l'accès à une offre de
pari ou de jeux d'argent et de hasard en ligne a été ordonné par le président du Tribunal de
Grande Instance de Paris, les fournisseurs d'accès à Internet et les hébergeurs de site doivent
procéder à cet arrêt. Le décret réglementaire prévoit l'utilisation par les FAI du blocage par
nom de domaine ("DNS, Domain name system") et l’indemnisation par L'Autorité de
Régulation des Jeux En Ligne (l’ARJEL).
a.3. L’article 4 de la LOPPSI 2
L’article 4 de la LOPPSI 2 72 permet d'imposer aux fournisseurs d'accès à Internet le blocage
de sites Web publiant du contenu pornographique mettant en scène des mineurs.
68 LOI n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique 69 Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique») 70 « L’autorité judiciaire peut prescrire en référé ou sur requête, (aux hébergeurs), toutes mesures propres à prévenir un dommage ou à faire cesse un dommage occasionné par le contenu d’un service de communication en ligne » 71 www.legifrance.gouv.fr/affichTexteArticle.do;...?idArticle=[Consulté le 20 avril 2012] 72 Loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure [Consulté le 20 avril 2012]
______________________________
54/95
a.4. L'article L. 336-2 du Code de la propriété intellectuelle
L'article L. 336-2 du Code de la Propriété Intellectuelle, inséré par loi n°2009-669 du 12 juin
2009 favorisant la diffusion et la protection de la création sur internet dite loi Hadopi, permet
aux ayants droit de réclamer toute mesure (dont le blocage) à l’égard de toute personne (y
compris les FAI et les hébergeurs) pour obtenir la cessation ou la prévention d’une atteinte à
leurs droits73.
b. Les formes
b.1. Le blocage
Il consiste à bloquer l’accès à un site Internet, soit en bloquant le nom de domaine (par DNS),
soit en bloquant l’accès au serveur d’hébergement (par l’adresse IP). Mais plusieurs
observations appellent à recourir avec modération à ce type de mesure. Tout d’abord, c’est
une mesure très large qui peut dans certains cas apparaître disproportionnée. En effet,
techniquement le blocage ne peut cibler une seule page d’un site, de sorte que sera bloqué tout
le site ou tout le serveur (qui peut accueillir plusieurs sites ou seulement une portion du site).
On prendra l’exemple du site d’une banque à l’étranger dont le serveur a été piraté sur une
page uniquement. Dans ce cas, le FAI bloquera la totalité du site car il n’y a pas d’autre
alternative technique. Ensuite, cette technique n’est pas efficace car elle peut être aisément
contournée (par les auteurs du site, les éditeurs du site ou par les internautes eux-mêmes).
Par exemple, il est tout à fait possible de contourner le dispositif en choisissant un autre DNS.
Puis, le blocage consacre l’impunité des auteurs et complices, et il ne met pas un terme à
l’infraction. Enfin, on peut tenter d’impliquer d’autres prestataires techniques plus proches
des auteurs qui peuvent cibler d’avantage ou remettre des données permettant d’identifier les
auteurs de l’infraction.
b.2. Le filtrage
Le filtrage est un ensemble de solutions techniques de limitation d'accès à Internet ayant
généralement pour objectifs, la protection des enfants contre des contenus inappropriés
______________________________
55/95
(contrôle parental), les restrictions d'un accès d'entreprise à un usage professionnel ou la
protection des libertés individuelles74.
Le filtrage peut théoriquement se mettre en place à différents niveaux soit, sur le réseau des
Fournisseurs d'Accès Internet (FAI), dans les moteurs de recherche, dans les équipements
d’accès des particuliers, entreprises et établissements publics. Le Conseil de l'Europe a publié
une recommandation validant "les systèmes de filtrage et les technologies de restriction
d'accès" pour Internet. Toutefois, la Cour de justice de l’Union européenne (CJUE) a exclu le
recours à cette mesure sur les réseaux des FAI.
Dans son arrêt du 24 novembre 2011 opposant la SABAM (société de gestion de droits
d’auteur belge) à la société contre Scarlet (FAI belge), la Cour de Justice de l'Union
Européenne a déclaré contraire au droit communautaire, et plus particulièrement à l’article 15
de la directive n° 200/31/CE sur le commerce électronique, le fait d’imposer à un FAI qu’il
surveille les communications électroniques ou son réseau pour bloquer les échanges de
contenus contrefaisants.75
L’arrêt rendu par la troisième chambre de la CJUE le 16 février 201276, dans une affaire
opposant l’hébergeur Netlog à la SABAM, confirme la solution adoptée quelques mois
auparavant à l’égard d’un fournisseur d’accès Internet, l’étendant cette fois à l’hébergeur.
Dans les deux cas il s’agissait de questions préjudicielles77, et Netlog et Scarlet Extended
étaient tous deux des intermédiaires techniques, mais de natures différentes.
La CJUE répond de manière identique pour les deux cas. Elle utilise exactement le même
raisonnement, et ce quasiment mot pour mot.
Dans son arrêt « SABAM II », la Cour rappelle donc que les directives européennes
permettent de demander aux intermédiaires techniques (donc aux hébergeurs) de mettre fin
74
Définition du filtrage selon Sylvain Joseph Conseiller TICE sur le bassin de Saint Quentin en Yvelines 75 Un juge d'un pays de l'Union européenne peut-il « ordonner à un fournisseur d'accès à Internet de mettre en place, de façon générale, à titre préventif, aux frais exclusifs de ce dernier et sans limitation dans le temps, un système de filtrage des communications électroniques », afin d'empêcher le piratage? Pour la Cour de justice de l'Union européenne (CJUE), c'est non : www.01net.com › Actualités › Droit et conso[Consulté le 27 avril 2012] 76 Sabam/ Netlog 77 Selon Serge Braudo :"Préjudiciel" est l'adjectif qui caractérise la priorité qui doit être donnée à l'examen d'une question de la solution de laquelle dépend la décision finale du tribunal. Il en est ainsi chaque fois qu'elle ne peut être tranchée que par une autre juridiction ayant une compétence exclusive pour juger de l'incident. Le tribunal qui est saisi doit alors surseoir à statuer jusqu'à ce qu'il soit jugé par la juridiction compétente. (Dictionnaire du droit privé)
______________________________
56/95
aux atteintes à la propriété intellectuelle et de les prévenir.
Elle ne manque pas de préciser que des limites sont prévues par ces mêmes directives et
notamment par l'article 15 de la directive 2000/31 qui interdit d'obliger un hébergeur à une
surveillance générale (l'article 15 est relatif aux intermédiaires techniques de manière
générale, la Cour l'applique donc aussi aux hébergeurs).
Or elle considère que le système qui obligerait Netlog à surveiller l'ensemble des fichiers
existants et à venir et à déterminer s'ils sont illégaux, et ce, de manière illimitée dans le temps
reviendrait à une surveillance générale78.
1.2. Une mobilisation responsable
Comme beaucoup d’entreprises aujourd’hui, les opérateurs sont une cible attractive pour les
cybercriminels de tout ordre, qui voient dans ces entreprises des détenteurs de données clients
et techniques exploitables. Au-delà de l’opérateur lui-même, les clients, particuliers et
professionnels, sont également visés par les cybercriminels, lors de l’utilisation de leurs
moyens de télécommunications fixes, mobiles, smartphones, netbook, tablette numérique …
Conscients de cet état de fait, les opérateurs ont la volonté de mettre en place des dispositifs
de détection et de prévention (audit, contrôle, programmes d’évaluation des risques de fraude)
et se sont dotés d’outils pour assurer un niveau élevé de sécurité. Ils investissent
financièrement dans la lutte contre la cybercriminalité, afin de protéger leurs clients et trouver
des solutions aux difficultés qui en découlent. Les menaces sont multiformes: intrusion
informatique, piratage ordinateur, de box, d’IPBX, escroquerie à la carte de crédit à la suite
d’un phishing, fuites d’informations, détournement de finalité, captation frauduleuse,
vandalisme… Les profils des fraudeurs sont divers, allant de jeunes hackers en mal de
notoriété au groupe organisé ou entité se créant par typologie d’attaques, afin de réunir les
compétences et expertises technologiquement les plus pointues. L’origine des attaques est, par
ailleurs, extrêmement complexe à établir, compte tenu de l’inexistence de frontières dans le
monde en ligne et d’une ingénierie informatique en perpétuel développement.
78http://www.google.fr/url?sa=t&rct=j&q=r%C3%A9f%C3%A9rence%20affaire%20sabam%20%2Fnetlog&source=web&cd=3&sqi=2&ved=0CGMQFjAC&url=http%3A%2F%2Fwww.scribd.com%2Fdoc%2F81924791%2F20120216-CJUE-Affaire-Sabam-contre-Netlog-Decision-de-la-CJUE-FR&ei=uny6T9SsOM6yhAfz-5TWCA&usg=AFQjCNFVuqs_aRSS6kydeYJOj6hwMK6i7A[Consulté le 27 avril 2012]
______________________________
57/95
2. Un dispositif organisationnel
2.1. La réponse organisationnelle des États
2.1.1. Au niveau International
L’International Criminal Police Organization (INTERPOL), a été créé en 1946 lors de la
conférence de Bruxelles. Elle ne dispose pas de pouvoirs supranationaux pour des missions
opérationnelles mais coordonne les polices des États membres qui fournissent ou demandent
des informations et des services. Afin d'aider les enquêteurs qui mènent des investigations sur
les infractions liées aux nouvelles technologies d'information et de communication, Interpol a
mis en œuvre un réseau de points de contacts dans les services de police des pays membres
qui fonctionne en permanence. Le siège de cette organisation se situe à Lyon en France, et
elle est composée de 190 membres, c’est la deuxième organisation internationale après
l’ONU.
2.1.2. Au niveau Européen
a. EUROPOL
L'Office européen de police (Europol), créé en juillet 1995, coordonne, soutient et rationalise
les activités des services enquêteurs des États de l'Union européenne. Il facilite les échanges
d'informations et a notamment mis en place un fichier d'analyse relatif à la pédophilie sur
Internet.
Il est important de préciser que si cet office a un rôle à jouer dans le monde numérique, il
existait déjà dans le monde matériel, ses fonctions ont juste été étendues au monde
immatériel. Le système d'information Schengen favorise également les échanges de
renseignements relatifs aux personnes et véhicules grâce à des bases de données.
b. EUROJUST
Eurojust79 est une unité de coopération destinée à améliorer la lutte contre toutes les formes
de criminalité. C'est un organisme intégré dans le traité de l'Union européenne par le Conseil
79
http://www.eurojust.europa.eu/ [Consulté le 15 mai 2012]
______________________________
58/95
européen de Nice (décembre 2000) qui permet d'améliorer la coopération entre les autorités
judiciaires des États membres et a notamment la possibilité, grâce au mandat d'arrêt européen,
d'obtenir rapidement l'extradition de criminels recherchés par un État membre de l'Union.
Eurojust est un organe de coopération judiciaire créé en 2002 par le Conseil de l’union
européenne pour aider à assurer la sécurité dans un espace de liberté, de sécurité et de justice.
Eurojust a été inaugurée en avril 2003. Cette unité a pour mission d’intervenir dans les
enquêtes et les poursuites contre la criminalité organisée ou transfrontalière pour assurer la
coordination entre les autorités compétentes des différents États membres ainsi que le suivi de
la mise en œuvre de l’entraide judiciaire internationale et l’exécution des demandes
d’extradition ou du mandat d’arrêt européen.
Cette structure développe des actions de lutte contre la cybercriminalité et il est important que
des échangent s’opèrent entre les parquets des tribunaux et Eurojust.
c. L’ENISA
En raison de l’omniprésence des réseaux de communication et des systèmes d’information, la
question de leur sécurité est devenue un sujet de préoccupation grandissant pour la société.
Afin de garantir aux utilisateurs le plus haut degré de sécurité, l’Union européenne (UE) s’est
dotée d’une Agence européenne chargée de la sécurité des réseaux et de l’information
(ENISA) qui a une fonction de conseil et de coordination des mesures prises par la
Commission et les pays de l’UE, et vise également à sécuriser leurs réseaux et systèmes
d’information. L'ENISA a été établie par l’Union européenne en 2004. Située en Crète, elle
fonctionne comme un centre d'expertise pour les États membres, les institutions de l'UE et les
entreprises. L’agence a pour mission de prêter assistance et fournir des conseils à la
Commission et aux États membres sur les questions liées à la sécurité des réseaux et de
l'information, de recueillir et analyser les données relatives aux incidents liés à la sécurité en
Europe et aux risques émergents. Elle promeut des activités d'évaluation et de gestion des
risques afin d'améliorer la capacité de faire face aux menaces pesant sur la sécurité de
l'information et renforce la coopération entre les différents acteurs du secteur de la sécurité de
l’information. Enfin, elle suit l'élaboration des normes pour les produits et services en matière
de sécurité des réseaux et de l'information. Cette agence, a publié récemment un rapport sur
______________________________
59/95
la cyber-intimidation et le « grooming » en ligne80 (processus par lequel un adulte met un
enfant en confiance afin d'en abuser sexuellement), avertissant que l'utilisation abusive des
données (extraction des données et profilage) nuit aux mineurs. Ce rapport identifie les
principaux risques émergents et propose 18 recommandations non techniques pour les
atténuer. L'une des recommandations clés est le renforcement des organismes d'application de
la loi des États-membres de l'UE. Les autres recommandations encouragent une protection
adaptée aux besoins des activités en ligne des jeunes. Les appareils numériques et Internet
jouent aujourd'hui un rôle significatif dans la vie des enfants et des adolescents qui utilisent
sans réserve les réseaux sociaux. Cet environnement est radicalement différent de celui qu'ont
connu leurs parents dans leur enfance. Le Groupe d'experts de l'ENISA travaille sur les
risques liés à internet affirme que les risques présents dans l'environnement en ligne d'un
enfant peuvent nuire à ses activités physiques et à ses aptitudes sociales.
Les rapports publiés par L’ENISA ont une grande importance pour la Commission
européenne qui s’appuie dessus, notamment concernant les « Botnets » et les failles de
sécurité.
d. Le CEPOL
Le Collège européen de police (CEPOL)81, se situe à Bramshill, au Royaume-Uni. Il s’agit
d’un réseau de coopération composé par les instituts nationaux de formation des hauts
responsables des services de police. Il vise à développer une approche commune des
principaux problèmes en matière de prévention et de lutte contre la criminalité, par le biais de
cours et séminaires destinés aux agents de police qualifiés. Les activités du CEPOL se
concentrent en premier lieu sur les hauts fonctionnaires de police, qui pourront bénéficier de
sessions de formation fondées sur des normes communes. . Le CEPOL élaborera également
des formations spécialisées pour les policiers de niveau intermédiaire et les policiers de
terrain, pour les formateurs eux-mêmes et pour les policiers jouant un rôle dans la criminalité
organisée ou dans la gestion non militaire de crises dans les pays tiers. Les autorités policières
des pays candidats à l'adhésion pourront également bénéficier de cours spécialisés. Par
ailleurs, la décision prévoit des échanges de personnel et une diffusion des meilleures
80 www.enisa.europa.eu/...enisa...rapport...18-recommandations.../view[Consulté le 28 avril 2012]
81 europa.eu › ... › Coopération policière et douanière
______________________________
60/95
pratiques, ainsi que la mise sur pied d'un réseau électronique, qui servira de support aux autres
tâches du CEPOL. Le collège est ouvert à la coopération avec les instituts de formation
policière des pays tiers. Il offre notamment ses infrastructures aux hauts responsables des
services de police des pays candidats, de l'Islande et de la Norvège, et étudiera la possibilité
de rendre accessibles ses facilités aux fonctionnaires des institutions et des autres organes de
l'Union européenne. Il existe un accord de coopération entre le CEPOL et INTERPOL82.
e. La CERT-EU
La CERT-EU (Computer Emergency Response pre-configuration Team – Européenne)83, est
une équipe d’intervention d’urgente qui a été créée en mars 2011. Un de ses objectifs clés est
de protéger efficacement les institutions européennes contre les cyber-attaques. L'équipe est
composée d'experts en sécurité informatique des principales institutions de l'UE (Commission
européenne, Secrétariat général du Conseil, du Parlement européen, Comité des régions,
Comité économique et social) et de l'ENISA. L'équipe de pré-configuration va
progressivement déployer ses services, en commençant par effectuer des annonces, des alertes
et de faire de la coordination de réponse aux incidents. A la fin des travaux préparatoires d'un
an par l'équipe, une évaluation sera faite conduisant à une décision sur les conditions de
création d'une équipe pleine échelle Computer Emergency Response pour les institutions de
l'UE.
2.1.3. Au niveau français
a. L’OCLCTIC
L'Office central de lutte contre la criminalité liée aux technologies de l'information et de la
communication (OCLCTIC) a été créée par décret n° 2000- 405 du 15 mai 200084 et est
rattachée à la Direction de la police judiciaire. Pour remplir ses missions le service est
composé de 50 policiers et gendarmes. Il a une compétence nationale et travaille en
collaboration avec la Brigade d'enquête sur les fraudes aux technologies de l'information (qui
dépend de la Préfecture de police de Paris) avec la DST, les douanes et la Gendarmerie. Il est
important de préciser que l’OCLCTIC s’intéresse spécifiquement aux fraudes liées. Il a pour 82www.interpol.int/content/download/9289/68596/.../2/.../CEPOLfr.pdf[Consulté le 20 mai 2012] 83 www.enisa.europa.eu/act/cert/background/.../cert-[Consulté le 22 mai 2012] 84www.legifrance.gouv.fr/affichTexte.do?cidTexte...dateTexte... [Consulté le 1er juin 2012]
______________________________
61/95
fonction de participer à des enquêtes judiciaires et de coordonner l'action des services
répressifs compétents dans le domaine des infractions informatiques. Les métiers de cet office
sont composés de deux activités majeures soit, d’une part, une activité opérationnelle qui se
décompose en enquêtes judiciaires concernant les infractions liées à la haute technologie et en
Les travaux d'investigations techniques à l'occasion d'enquêtes judiciaires. Et d’autre part, une
activité stratégique avec quatre objectifs principaux que sont, la documentation
opérationnelle, la coopération internationale, la formation et la sensibilisation et enfin, la
veille technologique. Ses effectifs se composent de 60 fonctionnaires de police, 12 militaires
de la gendarmerie nationale, et un ingénieur des télécom. De plus, les enquêteurs de la Police
judiciaire et ceux de la Gendarmerie qui sont spécialisés en criminalité informatique lui
apportent leur soutien.
b. La BEFTI
La brigade d’enquêtes sur les fraudes aux technologies de l’information a été créée en février
1994, sa mission consiste à élucider les crimes et les délits informatiques. La BEFTI compte
aujourd’hui 30 policiers spécialisés dans les nouvelles technologies. Elle est composée de
trois groupes « enquêtes et initiative » et d’un groupe d’ « assistance ».Les investigations des
groupes d’enquêtes portent sur les crimes et délits informatiques tels que l’intrusion dans un
ordinateur ou un réseau ; la contrefaçon de logiciels ou de bases de données ; les
téléchargements illégaux ; le piratage de réseau téléphonique ; la défiguration de sites
sensibles ; la modification ou la suppression de données ; le défaut de sécurisation des
données personnelles, les collectes frauduleuses, illicites ou déloyales de données à caractère
personnel. Concernant la partie assistance, des investigateurs en cybercriminalité fournissent
une aide technique aux autres services enquêteurs de la police judiciaire de la préfecture de
police (analyses informatiques, lectures de données, constatations etc.).
c. La BFMP
La brigade des fraudes aux moyens de paiement se situe au 122, rue du Château-des-Rentiers
à Paris XIII, elle se compose de 56 fonctionnaires. La BFMP est une des sept brigades de la
sous-direction des affaires économiques et financières de la police judiciaire parisienne. Elle
est notamment chargée de lutter contre les escroqueries, les contrefaçons de chèques et de
cartes bancaires.
______________________________
62/95
d. L’IRCGN
Le département informatique et électronique de l’Institut de recherche criminelle de la
gendarmerie nationale 85(IRCGN) a été créé en 1990, et est situé à Rosny-Sous-Bois (93). Il
dépend du ministère de la Défense et a pour mission principale de collecter des œuvres
numériques afin de les rendre accessibles aux enquêteurs et aux magistrats. Ainsi, il effectue
des expertises, dans le cadre des enquêtes de police judiciaire menées par la gendarmerie, et
forme des techniciens. L'IRCGN est le seul laboratoire en France à intégrer des activités
médico-légales. Il possède également une composante opérationnelle regroupant l'Unité
nationale d'investigations criminelles (UNIC) et l'Unité gendarmerie d'identification de
victimes de catastrophe (UGIVC).
L’objectif poursuivi par tous ces organismes étant d’élaborer une organisation en réseau et un
renforcement de la lutte contre la cybercriminalité.
2.2. La réponse organisationnelle des opérateurs de communications
électroniques
2.2.1. Mise en place d’importants moyens d’investigation
D’importants moyens d’investigation, humains et informatiques, ont été mis en place par les
opérateurs de communications électroniques pour lutter contre la cybercriminalité. Ces
services ont pour rôle, en cas de fraude suspectée ou avérée, de reconstituer les schémas
opérationnels frauduleux, d’identifier les auteurs, d’évaluer les impacts financiers et de
collecter des preuves en vue d’éventuelles poursuites judiciaires. En effet, les opérateurs
entendent être force de proposition dans la qualification juridique des faits délictueux et la
définition de la meilleure stratégie en vue de déterminer la juridiction à saisir et la nature des
demandes à formuler. Face à des tentatives de fraudes ou fraudes avérées, ils se doivent
d’engager des procédures afin d’obtenir l’identité du ou des fraudeurs, et ce, dans le cadre de
la procédure judiciaire applicable. L’objectif est de faire cesser la fraude, puis d’obtenir la
condamnation des coupables ou responsables ainsi que l’indemnisation du préjudice subi. Les
qualifications pénales susceptibles d’être avancées sont multiples: l’escroquerie86, le faux et
85 www.defense.gouv.fr/sante/ressources/les-experts-de-l-ircgn[Consulté le 2 juin 2012]
86 Article 313-1 du Code pénal
______________________________
63/95
usage de faux87 la contrefaçon de marque88, l’intrusion dans un système de traitement
automatisé89, le vol d’information90, le recel d’information91, l’abus de confiance92, etc…
Les opérateurs tiennent également un rôle dans la phase d’investigation judiciaire, en
apportant leur assistance et leur expertise dans la récolte des moyens de preuve afin de
permettre aux instances judiciaires d’obtenir des mesures conservatoires. Depuis plusieurs
années, dans le cadre du traitement des réquisitions judiciaires (chez SFR environ 1000
réquisitions judiciaires traitées par jour par 40 opérationnels), ils sont amenés, selon le cadre
légal défini, à travailler étroitement avec les autorités de police ou de gendarmerie pour les
assister dans tout type d'enquêtes, y compris celles liées à de la cybercriminalité. Chaque
opérateur traite plusieurs milliers d’actes par semaine liés aux réquisitions judiciaires, ceci
afin de fournir aux autorités des informations sur l’identification de mobiles ou d'adresses IP,
de données de trafic, de données de géolocalisation selon des méthodes rigoureuses. Pour
répondre à ces demandes judiciaires et administratives, ces entreprises de télécommunications
se sont dotées de pôles dédiés au mobile, au fixe et aux opérations extérieures.
2.2.2. Création de l’association SVA +
Le 3 février 2012 a été créée l’association SVA +93 qui est un organisme d’autorégulation des
services téléphoniques à valeur ajoutée. Il s’agit d’une association loi 1901 qui rassemble des
associations et groupements d’opérateurs de communications électroniques. Elle regroupe la
Fédération Française des Télécoms, l’Association Française des Opérateurs de Réseaux et
Services de Télécommunications (l’AFORST), l’Association de la Portabilité des Numéros
Fixes (l’APNF), l’Association Française de la Relation Client (l’AFRC), le Groupement des
Éditeurs de Services en Ligne ( le Geste), et le Groupement Professionnel des Métiers de la
Sécurité Électronique (le GPMSE) dans une structure commune leur permettant de
coordonner la mise en place de règles déontologiques relatives aux services téléphoniques à
87 Article 441-1 du Code pénal 88 Article L.713-2 du Code de la propriété intellectuelle 89 Article 323-1 al 1 du Code pénal 90 Article 311-1 du Code pénal 91 Article 321-1 du Code pénal 92 Article 314-1 du Code pénal 93 Revue Juris Tendance Informatique et Télécom (JTIT) n° 123/2012.3 publiée par le cabinet Alain Bensoussan diffusée uniquement par voie électronique http:/www.alain-bensoussan.com/outils/abonnement-juristendance[Consulté le 13 mai 2012]
______________________________
64/95
valeur ajoutée (SVA), ceci afin de restaurer la confiance des consommateurs dans ce type de
service .
En effet, ces numéros qui commencent par 08 ou qui sont composés de quatre chiffres
représentent une grande variété d’usages quotidiens des consommateurs et des entreprises
(information, téléalarme, télésurveillance, micro-paiement), mais ils sont parfois utilisés de
façon abusive par des éditeurs peu scrupuleux : par exemple, des éditeurs envoient un SMS
indélicat invitant les consommateurs à rappeler un numéro d’un tarif élevé, commençant par
0899, et qui ne leur délivre aucun service. Tous ces acteurs poursuivent le but identique de
mettre en œuvre des solutions efficaces en vue d’une meilleure protection des consommateurs
contre l’utilisation abusive des numéros spéciaux.
2.2.3. Des actions de sensibilisation
Le site institutionnel de l’opérateur de communications électroniques présente une large
gamme d’informations et d’alertes sur les fraudes et agissements cybercriminels afin de
prévenir ses clients et abonnés des menaces éventuelles et de leur apporter des
recommandations de prévention. L’opérateur SFR a, d’ailleurs pour sa part, créé un blog
sécurité destiné à centraliser les informations à l’adresse http://blog-securite.sfr.fr. Ainsi, en
amont, chacun des opérateurs sensibilise ses clients sur la nécessité de protéger leurs
ordinateurs et leurs installations contre les attaques cybercriminelles. Il est, en effet,
indispensable de communiquer auprès des utilisateurs, afin de les alerter de la nécessité de
sécuriser leurs usages et de les informer des conséquences de la cybercriminalité. De même, à
titre d’exemple, on citera, à nouveau, l’opérateur SFR qui a pris la mesure de l’importance
que revêtent la sécurisation et la protection de ses clients et de ses services en inscrivant cette
démarche dans son projet d’entreprise. C’est pourquoi il organise, régulièrement, des
campagnes de sensibilisation de ses collaborateurs sur les exigences de sécurité et de
confidentialité des données personnelles. En effet, ce dernier porte une attention particulière à
la protection efficace des données sensibles et à la vie privée de ses clients. Toujours dans
cette perspective de sensibilisation de tous les acteurs du monde de l’Internet, lors de sa
connexion à son ordinateur, il est rappelé à chaque collaborateur certains principes et
notamment, celui selon lequel, «Tout accès non autorisé à ce système pourra faire l'objet de
poursuites conformément aux articles 323-1 et suivants du Code Pénal ». De ce fait, l'accès,
la modification, la diffusion et l'utilisation des informations traitées dans ce Système
______________________________
65/95
d'Information doivent s'exercer exclusivement dans le cadre de l'activité professionnelle de
chaque utilisateur, en fonction de son emploi et des objectifs qui lui sont assignés. On
prévient les utilisateurs que «des contrôles sont susceptibles d'être réalisés aux fins
notamment de préserver et sécuriser l'accès aux informations traitées et éviter tout abus».
2.2.4. Des actions de formation
Dans le cadre de la lutte contre la cybercriminalité, les opérateurs ont la volonté de renforcer
leur mobilisation en multipliant les initiatives de formation, ceci afin que chacun soit au fait
de ce phénomène en pleine croissance et puisse comprendre les problématiques posées par la
matière, dont l’évolution est rythmée par l’ingéniosité des cybercriminels. Des formations
sont donc dispensées aux parties prenantes de la lutte contre le cybercrime : autorités
policières, judiciaires, gouvernementales, acteurs privés. Les formations réalisées sont dictées
par la volonté de participer activement, en leur qualité d’opérateur, à l’évolution de la
législation pour faciliter la résolution des actes délictueux commis sur l’Internet. Des équipes,
au sein des entreprises de communications électroniques, composées d’experts contribuent à
traquer les nouvelles formes de criminalité, comme la cyberfraude, grâce à des outils
performants. Cette collaboration se traduit par la participation d'experts «nouvelles
technologies» dans le cadre de formations des «cyberpoliciers» et des «cybergendarmes»,
pour leur décrire les infrastructures des réseaux fixe et mobile, répondre à leurs questions sur
les composantes techniques autour de ces réseaux et systèmes d'information (la radio, le cœur
de réseau, le protocole IP, les offres ...). Il leur est présenté un panorama complet des outils
mis en place pour les assister dans leurs enquêtes. Ces formations permettent aussi à
l’opérateur de mieux cerner leurs attentes, dans le cadre de situations complexes, et de les
conseiller sur les pistes à explorer pour progresser dans leurs enquêtes. Elles permettent aux
acteurs judiciaires de mieux appréhender le litige et par la même de mieux défendre l’intérêt
public.
______________________________
66/95
PARTIE II : UNE CYBERCRIMINALITÉ COMBATTUE PAR LES
OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES
Chapitre 2 : Les outils, envisagés et envisageables, de lutte contre la
cybercriminalité pouvant être mis à la disposition des opérateurs de
communications électroniques
Tant sur le plan national qu’à l’échelon international, la cybercriminalité crée des préjudices
considérables aux administrations, aux particuliers et aux entreprises, ces dernières supportant
l’essentiel du préjudice économique. .
Section 1 : Les outils envisagés
1. L’initiative internationale
Au début de l’année 2011, l’organisation des nations unies (ONU) a initié des travaux qui
pourraient aboutir à l’élaboration d’un Convention universelle de la cybercriminalité. En effet,
le 13 avril 2011, lors du Douzième Congrès des Nations Unies pour la prévention du crime et
la justice pénale94, les délégations se sont interrogées sur la pertinence d’un nouvel instrument
international pour lutter contre la cybercriminalité. Ainsi, une dizaine de pays ont ainsi
partagé leurs initiatives nationales et souligné la nécessité de renforcer l’assistance technique
en direction des pays en développement. Les intervenants ont exprimé des positions
divergentes sur la nécessité d’élaborer ou non un nouvel instrument international de lutte
contre la cybercriminalité, qui viendrait compléter la Convention de Budapest sur la
criminalité adoptée en 2001 par le Conseil de l’Europe.
2. Les initiatives européennes
2.1. Lancement du projet européen 2CENTRE
Devant l’urgence d’apporter une réponse juridique et économique adaptée, le Conseil de
94 www.un.org/fr/conf/crimecongress2010/[Consulté le 5 mai 2012]
______________________________
67/95
l’Europe et celui de l’Union européenne ont décidé la mise en place d’un projet européen pour
la lutte contre la cybercriminalité dénommé 2CENTRE. Il s’agit d’un réseau de formation et
de recherche sur la criminalité informatique.
Fruit d’une élaboration conjointe entre des acteurs privés et des acteurs publics, et en lien
avec le European Cybercrime Training and Education Group ( ECTEG) d’Europol, le projet
2CENTRE est soutenu et financé par la Commission européenne, associé aux forces de
l’ordre des partenaires du monde académique et industriel intervenant dans le cadre d’un
réseau de centres d’excellence en formation et en recherche pour la lutte contre la
cybercriminalité. Le budget pour l’ensemble du projet étant de 4 millions d’euros.
L’Irlande et la France sont les deux premiers pays à intégrer ce réseau.
La partie française de ce projet a été lancée par l’Université de technologie de Troyes, et
l’Université Montpellier 1, la Police Nationale, Microsoft et Thales. (Cybercrime Centres of
Excellence Network for Training, Research and Education).
La Commission européenne a doté l’initiative française d’un budget total de 980 000 euros,
hors valorisation des jours consacrés au projet par la Police Nationale et la Gendarmerie
Nationale. Un soutien d’expertise et financier est également apporté par Microsoft ainsi
qu’une contribution financière de la société Orange. Le centre irlandais est quant à lui animé
par le University College Dublin.
Dans le cadre de ce projet, le consortium français a décidé de mettre l’accent sur différents
points tels que d’améliorer le dispositif et les outils de formation des personnels spécialisés de
la police ou de la gendarmerie, diffuser les bonnes pratiques de défense au sein des
entreprises, étudier les besoins de formation des entreprises ou des administrations.
Ainsi, la France s’inscrit dans l’ambition d’une réponse organisée et adaptée de lutte contre la
cybercriminalité, souhait qui était déjà présent dans le livre blanc sur la défense et la sécurité
nationale de 2008 et qui a été réaffirmé expressément lors du Conseil des Ministres du 25 mai
2011.
2.2. Un centre européen de lutte contre la cybercriminalité opérationnelle en janvier 2013
Le 28 mars 2012, la Commission européenne a annoncé la mise en place d'un Centre
européen de lutte contre la cybercriminalité pour contribuer à la protection des entreprises et
des citoyens européens contre ces menaces informatiques grandissantes.
______________________________
68/95
Le centre sera établi au cœur de l'Office européen de police, Europol, à La Haye (Pays-Bas).Il
se concentrera sur les activités illicites en ligne menées par des groupes criminels organisés,
et plus particulièrement sur celles qui génèrent des profits considérables, comme la fraude en
ligne. Les experts de l'Union européenne œuvreront également à la prévention des
cybercrimes concernant les opérations bancaires et réservations sur Internet, ce qui permettra
d'accroître la confiance des consommateurs en ligne. Le Centre européen de lutte contre la
cybercriminalité aura également pour objectif de protéger les profils sur les réseaux sociaux
en ligne contre le piratage et contribuera à la lutte contre l'usurpation d'identité sur Internet.
Ce centre, se focalisera sur les cybercrimes lourds de conséquences pour leurs victimes,
comme l'exploitation sexuelle des enfants sur Internet, et sur les attaques informatiques à
l'encontre d'infrastructures ou des systèmes d'information des différents pays de l'Union.
Enfin il aura pour mission de repérer les réseaux de criminels informatiques organisés ainsi
que les contrevenants les plus importants présents dans le cyberespace.
Il devra apporter un soutien opérationnel au cours d'enquêtes sur le terrain, au niveau tant de
l'analyse que de la création d'équipes communes d'enquête sur la cybercriminalité.
Afin d’exécuter ses missions et pour mieux soutenir les enquêteurs, procureurs et juges qui
s'occuperont d'affaires ayant trait à la cybercriminalité dans les États membres, le nouveau
centre rassemblera les informations provenant de sources libres, du secteur privé, des services
de police et du monde universitaire. Il servira également de base de connaissances pour les
services nationaux de police des États membres et mettra en commun les initiatives de
formation et le savoir faire en matière de cybercriminalité à l’échelon européen. Le centre
servira de plate-forme pour les enquêteurs européens sur la cybercriminalité, leur offrant la
possibilité de s'exprimer d'une même voix dans les discussions avec le secteur des
technologies de l'information, d'autres entreprises du secteur privé, la communauté des
chercheurs, les associations d'utilisateurs et les organisations de la société civile. En matière
de cybercriminalité il est destiné à devenir l’interlocuteur privilégié dans toutes les
discussions et relations avec d'autres partenaires internationaux en dehors des pays de l’Union
européenne.
Toutefois, même si la date d’entrée en vigueur de ce centre est prévue pour janvier 2013, il
faut préalablement et obligatoirement que l'autorité budgétaire d'Europol adopte la
proposition de la Commission.
______________________________
69/95
3. Les initiatives françaises
Il est à noter que les initiatives de l’État proviennent généralement du ministère de l’intérieur.
3.1. Les missions confiées à l’OCLCTIC
3.1.1. La gestion de deux plateformes de signalement
a. Pharos
Afin de lutter contre la cybercriminalité, par Arrêté du 16 juin 2009 le Ministère de l'Intérieur
annonce le lancement du portail Pharos (Plateforme d'harmonisation, d'analyse, de
recoupement et d'orientation des signalements), qui a pour objet de rassembler les
dénonciations des internautes portant sur des contenus illicites rencontrés sur le Web.
Ce site permettra donc de servir d’outil dans la lutte contre la pédophilie, le racisme, mais
aussi la criminalité financière (vols de numéros de compte, etc.), et tout autre type de
criminalité et permettra au mieux de préserver Internet en tant qu’espace « où chacun peut
communiquer, découvrir et s'épanouir. » Seront ainsi transmis des signalements de contenus
ou de comportements illicites auxquels les internautes seraient confrontés en naviguant sur la
Toile (site, blog, forum, chat, messagerie, etc.). Mais il est toutefois précisé que les contenus
que l'internaute considèreraient "simplement immoraux ou nuisibles" n'ont pas à être signalés.
b. « Info- escroquerie »
Il s’agit d’une plate-forme téléphonique d’information et de prévention sur les escroqueries
sur Internet. Elle est installée au sein de l’OCLCTIC depuis janvier 2009. Elle est destinée
aux victimes ou aux victimes potentielles d’escroqueries, qui peuvent par le biais d’un
numéro de téléphone dédié, recevoir des conseils en termes d’information et de prévention.
3.1.2. Le blocage des sites pédopornographiques
La LOPPSI 2 dans son article 4 met à la charge des fournisseurs d’accès à internet une
obligation d’empêcher l’accès des utilisateurs aux contenus illicites95. Si la législation
française permet actuellement au pouvoir judiciaire d’imposer à l’hébergeur la suppression
d’un contenu ou la fermeture d’un site à caractère pédopornographique, l’article 4 de la 95 www.pcinpact.com/.../51093-christian-aghroum-oclctic-blocage-ped... [Consulté le 4 mai 2012]
______________________________
70/95
LOPPSI 2 prévoit plus radicalement un blocage systématique et a priori de l’accès à de tels
contenus ou sites. Une sanction de 75 000 € serait prévue à l’encontre des FAI en cas de
manquement. Toutefois, chaque fournisseur aurait le libre choix quant aux moyens de
blocage.
En pratique, l’OCLCTIC transmettra aux FAI les données utiles par voie dématérialisée. Il est
prévu de renvoyer à un décret d’application la fixation des modalités d’application de ce
dispositif, notamment la définition des dispositifs techniques utilisés. Cela étant, le blocage
des sites pédopornographiques par les fournisseurs d’accès à Internet repose de manière
constante sur la mise à jour d’une « liste noire» d’adresses de sites illicites arrêtée par le
ministre de l’intérieur. Implantée sur les serveurs des FAI, cette liste doit empêcher les
internautes d’accéder aux sites répertoriés ou du moins, bloquer l’accès à ces sites à partir de
leurs adresses courantes. Cela impliquera une grande intervention des fournisseurs d’accès
Internet, qui devront installer sur leurs infrastructures un certain nombre de dispositifs
techniques de filtrage et de surveillance.
Ainsi, l’OCLCTIC qui est un organisme de l’État enverra tous les jours aux FAI une liste de
plusieurs centaines de sites à caractère pédopornographiques afin qu’ils soient bloqués. En
conséquence, Ceci va nécessiter pour les opérateurs la mise en place d’un véritable système
industriel.
3.2. L’État renforce les moyens d’investigations des services de police
3.2.1. L’État se dote d’une plateforme d’écoutes judiciaires (la PNIJ)
A partir de mi 2013, l’entreprise Thalès va lancer en France la plus vaste plateforme d’écoutes
judiciaires d’Europe.
Avec cette nouvelle plateforme, la Chancellerie cherche à moderniser un système largement
dépassé par les nouvelles technologies. Mais il s’agit surtout d’économiser plusieurs millions
d’euros par an, alors que les écoutes téléphoniques grèvent aujourd’hui une grosse partie du
budget de la Justice. En effet, le nombre des écoutes judiciaires a explosé ces dernières
années, passant de 6000 en 2002 à près de 32.000 en 2012. Un chiffre qui ne prend pas en
compte l’explosion du nombre des géolocalisations, environ 11.000 l’an dernier. A cela, il
faut encore ajouter toutes les autres réquisitions, identifications d’un numéro ou obtentions
des factures détaillées (soit les « fadettes »). En tout 5 millions de requêtes ont ainsi été
______________________________
71/95
envoyées aux opérateurs téléphoniques par le ministère de la justice au cours des douze
derniers mois. Officiellement, toutes les interceptions judiciaires sont rigoureusement
contrôlées par le code de procédure pénale. Pour «brancher» un suspect, policiers et
gendarmes doivent préalablement avoir l’aval du magistrat chargé de l’enquête. Ce n’est
qu’une fois la signature du juge obtenue que l’opérateur téléphonique peut être saisi par un
officier de police judiciaire. Ensuite, toutes les données recueillies sont gérées par un
prestataire privé sans véritable contrôle. A l’heure actuelle, une poignée de sociétés se
partagent ce juteux marché, estimé l’an dernier à 25 millions d’euros. Un système bien trop
cher aux yeux du Ministère de la Justice, mais également trop peu sécurisé. Le projet de
l’entreprise Thalès consiste en une gigantesque interface entre les enquêteurs et les opérateurs,
la nouvelle plateforme doit permettre de réduire la facture des interceptions de moitié tout en
facilitant le travail des limiers de la PJ. Demain, 60.000 officiers de police judiciaire auront
ainsi accès directement à cette boîte noire via les réseaux sécurisés de l’État. Une procédure
entièrement dématérialisée, ou les réquisitions seront signées électroniquement par le
magistrat et l’ensemble des interceptions stockées dans le serveur de Thalès. Les magistrats
pourront ensuite piocher dans ce vaste coffre fort numérique ultra-sécurisé. Avec cette
plateforme, les interceptions sur Internet deviennent un jeu d’enfants. Aujourd’hui, le web
occupe une place croissante dans les enquêtes, or les interceptions y sont encore très
marginales, notamment à cause de leur coût élevé. A partir de 2013, les officiers de police
judiciaire auront donc accès à l’intégralité des communications électroniques, fixe, mobiles et
Internet. Avec un changement de taille: la traçabilité des opérations, qui doit permettre de
remonter toute la chaîne en cas de réquisition suspecte. Toutefois, malgré ces nouvelles
prérogatives, la nouvelle plateforme est loin de faire l’unanimité au sein de la police96.
3.2.2. Mise en place d’un nouveau fichier de police interconnecté
Le ministre de l’Intérieur sortant, Monsieur Claude Guéant, a fait publier les 6 et 8 mai 2012,
une série de décrets d’application de la LOPPSI 297. Ces décrets renforcent les moyens
d’investigation des services de police, en réorganisant notamment la mise en œuvre des
fichiers de police. Cela concerne la fusion du STIC (système de traitement des infractions
constatées) avec le JUDEX (système judiciaire de documentation et d’exploitation) d’une
96 www.synergie-officiers.com/.../COURRIER_GUEANT_30062011.pd... [Consulté le 28 avril 2012] 97 www.donneesprivees.com/.../le-projet-de-loi-dorientation-loppsi-2-a-.[Consulté le 28 avril 2012]
______________________________
72/95
part, et les fameux fichiers d’analyse sérielle d’autre part. La fusion de ces deux systèmes va
créer une base importante de fichiers de police totalement interconnectés, qui permettra des
recoupements beaucoup plus précis. Il sera composé de l’ensemble des procédures de délit et
de contraventions les plus graves, mais aussi du nom des auteurs des infractions et de leurs
victimes. Les données personnelles traitées, allant de l’état civil, aux données biométriques,
pourront être conservées jusqu’à 40 ans. Il peut être également fait mention, selon les
infractions, de données sensibles telles que l’appartenance syndicale, les opinions politiques
ou religieuses mais aussi l’origine raciale. Les agents habilités à consulter ces fichiers
pourront exploiter, comparer, et mettre en relation tous les éléments liés à une infraction. Cet
environnement de données sera consultable à partir d’un seul et même fichier, qui servira de
base pour lier les affaires entre elles. On le voit, l’état se dote donc d’un arsenal complet
mettant en place un système de surveillance globale des individus.
3.3. Création d’un référentiel des réquisitions en matière de communications
électroniques
Depuis 2001, le volume des réquisitions a explosé, et par conséquent il a été constaté une
importante augmentation des dépenses liées aux frais de justice. Ainsi, un travail
interministériel (Ministères de la Justice, de l’Intérieur et de la Défense) a été réalisé afin
de définir les différentes réquisitions susceptibles d’être adressées par les officiers de
police judiciaire aux opérateurs de communications électroniques. Cette réflexion
multipartite du plus grand intérêt pour combattre la criminalité a donné lieu à un
document, intitulé « Référentiel des réquisitions en matière de communications
électroniques ». Il a fait l’objet d’une diffusion sur le site intranet de la Chancellerie à la
rubrique « frais de justice »98. Ce référentiel s’applique à tous les opérateurs de
communications électroniques. Le « référentiel » mis en ligne renseigne sur l’éventail de
ces techniques de traque. Cela inclut l’historique détaillé des communications entrantes et
sortantes, l’identification d’un abonné à partir de son moyen de paiement ou du point de
vente d’une carte prépayée et même d’un appelant masqué derrière une tête de ligne, un
serveur, une adresse IP même masquée par un faisceau câblé. C’est un arrêté du 22 août
98 www.justice.gouv.fr[Consulté le 20 mai 2012]
______________________________
73/95
2006 99 pris en application de l’article R. 213-1 du code de procédure pénale qui a fixé la
tarification applicable ayant pour objet la production et la fourniture des données de
communication par les opérateurs de communications électroniques. Les tarifs y sont
donnés hors taxe. Toutefois, au vu de la volumétrie en constante évolution et de la volonté
de l’État de baisser le montant des dépenses publiques, un nouvel arrêté est prévu pour
2012, ce dernier revoyant les prix des prestations fournies par les opérateurs de
communications électroniques à la baisse.
3.4. L’État institue deux autorités administratives indépendantes
3.4.1. L’HADOPI
La Haute Autorité pour la Diffusion des Ouvres et la Protection des Droits sur Internet, est
l’organisme créé en vue de la mise en œuvre de la politique de riposte graduée contre les
téléchargements illégaux initiée par le législateur Français à travers la loi du 12 juin 2009
complétée par la loi du 28 octobre 2009.
Les chiffres publiés par cet organisme constituent une première évaluation d’une nouvelle
politique en matière de contrôle des téléchargements illégaux et plus largement en matière
de protection des droits d’auteurs. Le caractère exclusif des œuvres protégées par les
droits d’auteur s’estompe indubitablement suite à l’évolution numérique. Le
téléchargement sur Internet, le Peer to Peer et le Streaming sont autant d’entraves aux
droits intellectuels. Les anciennes législations ne permettent plus de contrôler de manière
effective ces droits (incertitude juridique quant à la qualification ou non de copie privée
pour une œuvre échangée entre internautes). De même, le contrôle de ces droits à l’aide de
mesures techniques de protection semble limité par l’évolution des connaissances et
l’habilité de certains acteurs doués en informatique. La loi Hadopi permet entre autre
d’instaurer une surveillance des flux de téléchargements, de permettre l’identification des
adresses IP responsables de ces téléchargements et de prévenir les titulaires de ces
adresses. Les internautes sont tous tenus de faire sécuriser leurs réseaux sous peine de
commettre une contravention de négligence caractérisée. « La contravention de
négligence caractérisée réprime une faute d’omission, le manquement à l’obligation de
sécuriser un accès à Internet, lorsque celle-ci a entraîné un résultat précis, l’utilisation de
99 www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo... [Consulté le 20 mai 2012]
______________________________
74/95
cet accès à des fins de contrefaçon ».
3.4.2. L’ ARJEL
L’Autorité de Régulation des Jeux en Ligne (ARJEL)100 est chargée de mettre en place
des moyens de régulation, d’information et de contrôle pour protéger les joueurs, prévenir
de l’addiction au jeu et lutter contre la fraude. Elle a été instituée par l’article 34 de la loi
n° 2010- 476 du 12 mai 2010 relative à l’ouverture à la concurrence et à la régulation du
secteur des jeux d’argent et de hasard en ligne. La loi du 12 mai 2010 relative à
« l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard
en ligne » a permis de libéraliser l’activité de jeux d’argent et de hasard en ligne. Les
autorités françaises ont adopté cette loi sous la pression de la Commission européenne qui
en 2006 avait condamné la France pour ses pratiques restrictives en matière de jeux
d’argent et de hasard, au nom du principe de la liberté d’établissement prévu par les traités
européens. En effet, pendant très longtemps le secteur des jeux d’argent et de hasard a été
le monopole d’un petit nombre d’opérateurs d’envergure nationale (PMU, Française des
jeux). Depuis la loi de 2010, le marché des jeux en ligne, qui couvrent les paris hippiques,
paris sportifs, et les jeux de cercles (poker), est ouvert à la concurrence. En créant cette
autorité, le gouvernement avait pour objectif de faire diminuer le nombre des sites (plus
de 20 000 sites de jeux d’argent en France) qui exerçaient en toute illégalité. Aujourd’hui
seuls 33 opérateurs sont autorisés. Toutefois ce nombre peut varier car de nouveaux sites
peuvent être agréés par l’ARJEL. On peut se demander ce qui se passe pour les milliers
d’autres qui sont désormais illégaux. Les FAI sont au cœur de ce dispositif car ils
reçoivent des assignations en référé venant de l’ARJEL qui demande le blocage d’un site
de jeu non autorisé. Le décret n°2010-482 du 13 mai 2010 régit les conditions de
délivrance de l’agrément par l’Autorité de régulation des jeux en ligne (ARJEL). Le délai
maximum d’instruction du dossier de demande d’agrément est fixé à 4 mois. L’ARJEL
accorde l’agrément pour une durée de 5 ans renouvelable. L’opérateur, une fois agrée,
continue d’être soumis au respect de certaines obligations. Ainsi, il doit impérativement
respecter le cahier des charges élaboré par l’ARJEL. Il doit aussi obtenir une double
certification auprès d’un organisme indépendant choisi parmi une liste préétablie.
100 www.arjel.fr/[Consulté le 20 avril 2012]
______________________________
75/95
Concernant le refus d’agrément, le décret précise qu’il devra être motivé. Quand l’ARJEL
détecte un site non autorisé, elle a pour obligation d’adresser un courrier recommandé
avec accusé de réception au site illicite dans lequel elle demande l’arrêt du site. En cas
d’absence de réponse, L’ARJEL assigne l’hébergeur, l’éditeur et les FAI. Dans ce cas, la
difficulté pour l’ARJEL réside dans le fait que l’hébergeur ou l’éditeur se trouvent à
l’étranger. Ainsi, s’il ne parvient pas à les «toucher», il assignera le FAI. Ce fut
notamment le cas dans l’affaire ARJEL contre FASTHOSTS INTERNET Limited et
autres101, où le Tribunal de Grande Instance de Paris dans son ordonnance de référé
rendue le 2 février 2012, a fait injonction à la société de droit britannique FASTHOSTS
INTERNET Limited de «mettre en œuvre les mesures propres à empêcher l’accès au site
de communication au public en ligne offrant des jeux d’argent et de hasard en ligne
accessible à l’adresse www.palaceofchance.com, sous astreinte provisoire de vingt jours
» et à l’expiration de ce délai, en cas de carence de la société FASTHOSTS INTERNET
Limited est fait injonction « aux sociétés Numéricâble, France Télécom, Orange France,
Société Française du Radiotéléphone- SFR, Free, Bouygues Télécom, Darty Télécom et
Auchan Télécom, dûment informées à l’expiration du délai imparti à la société
FASTHOSTS INTERNET Limited de sa carence à empêcher l’accès au site, de mettre en
œuvre , ou de faire mettre en œuvre à l’expiration d’un délai de dix jours, les mesures
appropriées de blocage par nom de domaine(DNS) pour empêcher leurs abonnés
d’accéder à partir du territoire français au service de communication au public en ligne
actuellement accessible à l’adresse www.palaceofchance.com». Enfin, en ce qui concerne
les sanctions, tout exercice illégal d’une activité de jeux d’argent et de hasard en ligne est
pénalement sanctionné. En matière de publicité, la loi du 12 mai 2010 prévoit également
que quiconque fait de la publicité par quelque moyen que ce soit en faveur d’un site de
paris ou de jeux d’argent non autorisé est puni d’une amende de 100 000 euros.
Section 2 : Les outils envisageables
1. Des préconisations d’ordre juridique et technique
1.1. Un dispositif légal commun de lutte contre la cybercriminalité 101 Tgi, Paris(référé), 2 février 2012, ARJEL/ FASTHOSTS INTERNET Ltd, rg n° 11/58985
______________________________
76/95
Si l’on regarde l’évolution des trente dernières années, la cybercriminalité prend une ampleur
accrue au fur et à mesure de l’acceptation des technologies dans la société. Il est nécessaire
d’adapter notre droit et de renforcer la coopération entre les États.
1.1.1. Révision du droit français
Aujourd’hui, aucun texte législatif ou règlementaire ne définit la notion de cybercriminalité,
ce qui a des effets néfastes car de ce fait certains magistrats ne cernent pas la réalité du
phénomène et n’en mesurent pas forcément les enjeux ni les préjudices réels qui en découlent.
Par ailleurs, les services d’enquête spécialisés n’ont qu’une vision approximative de ce
phénomène. Il faudrait donc introduire une définition de la cybercriminalité dans le Code
pénal102. Dans un souci d’harmonisation il faudrait également procéder à une simplification
des textes et à une réduction du nombre des infractions relatives à la cybercriminalité.
En effet, cette accumulation de textes en matière de cybercriminalité est constitutive d’un
point faible dans sa lutte. Il est à noter que l’on renvoie d’un texte à un autre ce qui engendre
des modifications partielles dans les divers codes. On renvoi, on déplace, on modifie. Il
apparaît donc urgent de reprendre un travail de codification des textes qui sont actuellement
sous-utilisés, car méconnus et inaccessibles.
Toutefois, les initiatives purement nationales, pour aussi nécessaires qu’elles fussent, ne
permettent pas à elles seules de lutter avec toute l’efficacité souhaitable. Une approche
strictement française ne peut constituer une réponse à un phénomène qui ne connaît pas les
frontières.
1.1.2. Renforcement de la coopération entre les pays
Les systèmes judiciaires, les cultures, les frontières physiques de chaque pays, créent autant
de barrières à un contrôle efficace de ces formes de criminalité. Il existe encore de gros
progrès à faire sur l’harmonisation des législations et leur implémentation effective. En effet,
la cybercriminalité se présente souvent sous une dimension internationale. On notera par
exemple que les contenus illicites transmis par courriel transitent souvent par plusieurs pays
avant d'atteindre le destinataire. Parfois, ils ne sont pas stockés dans le pays mais à l’étranger.
Il est donc essentiel que les États concernés par un cyberdélit collaborent étroitement aux 102 www.inhesj.fr/fichiers/ondrp/.../ra2011/synthese_rapport_2011.pdf [Consulté le 4 juin 2012]
______________________________
77/95
enquêtes diligentées, ce que les accords en vigueur en matière d'entraide judiciaire ne
favorisent pas, car ils reposent sur des procédures formelles et complexes, qui prennent
beaucoup de temps. En ce sens, il serait pertinent d’harmoniser les modes de preuve au niveau
international. En pratique, la mise en œuvre de l’article 227-2 3 du Code pénal est parfois
difficile notamment, quand la procédure a été initiée à l’étranger, où les règles d’admissibilité
de la preuve ne sont pas semblables à celles de la France.
Il est donc crucial de réviser les procédures afin de pouvoir rapidement réagir aux incidents et
répondre aux demandes de coopération internationale. Notamment, il est fondamental de créer
un outil procédural simplifié remplaçant la commission rogatoire internationale pour
poursuivre les actes à l’étranger. En effet, les avis sont unanimes pour dire que l’outil
procédural que constitue la commission rogatoire internationale est inadapté et trop lent au
regard de la rapidité nécessaire à par la récupération des preuves numériques.
Certains pays sont parfois considérés comme de véritables paradis numériques pour la
cybercriminalité. En conséquence, une harmonisation internationale est donc indispensable.
Ainsi, un Centre européen de lutte contre la cybercriminalité devrait voir le jour en 2013,
mais quid d’un centre internationale ?
De même, au plan international, on ne peut citer, comme seul instrument juridique
international en matière de lutte contre la cybercriminalité, que la Convention de Budapest.
Or cette dernière qui sert de ligne directrice à de nombreux pays, n’a été ratifiée que par 30
pays et signée par 15. Dans la mesure où Internet possède une couverture mondiale, la
communauté internationale devrait instituer un Traité du Cyberespace (United Nations
Cyberespace Treaty103) comme ce fut proposé lors du Forum de la Gouvernance de l’Internet
en 2009 puis au Salvador en avril 2010 à l’occasion du United Nations Congress on Crime
Prevention and Criminal Justice104. Depuis, cette proposition est discutée au sein de l’Est
West Institute105, dans le cadre d’un groupe de travail sur la lutte contre la cybercriminalité.
L’ONU a aussi initié en 2011 des travaux qui pourraient aboutir à l’élaboration d’une
Convention universelle, ce qui est indispensable pour combattre efficacement ce phénomène.
103 www.cybercrimelaw.net/.../SGH_CyberspaceTreat [Consulté le 31 mai 2012] 104 www.un.org/en/conf/crimecongress2010 [Consulté le 31 mai 2012] 105 www.ewi.info/ [Consulté le 31 mai 2012]
______________________________
78/95
Une structure de coordination manque actuellement au dispositif nécessaire à la lutte contre la
cybercriminalité. Il faut donc, développer des échanges entre tous les organismes de lutte
contre la cybercriminalité afin de définir des stratégies procédurales coordonnées, notamment,
avec Eurojust afin de définir des tactiques organisées en lien avec les services d’enquête
spécialisés et les offices spécialisées Interpol et Europol.
1.2. Un dispositif technique renforcé en matière de lutte contre la cybercriminalité
1.2.1. S’agissant des moyens d’investigation
Les officiers de police judiciaire peuvent saisir, lorsqu’ils sont utiles à la manifestation de la
vérité, tous les objets et documents ayant servi à l’infraction ou en constituant le résultat.
Ainsi, les supports informatiques comme les cd-roms, les clés USB, les téléphones mobiles
peuvent être mis sous scellés. Mais, actuellement les officiers de police judiciaire sont de plus
en plus confrontés à des difficultés liées au volume croissant des données numériques
impossibles à exploiter durant le temps de la garde à vue. Il serait donc pertinent de simplifier
la procédure de saisie et d’exploitation des données informatiques afin de tenir compte de la
réalité opérationnelle.
Le législateur a renforcé les moyens d’investigations particulièrement adaptés à l’univers
numérique, notamment, avec la technique de l’infiltration pour tout enquêteur découvrant des
agissements susceptibles de recevoir une qualification pénale sur Internet. Toutefois, la liste
des textes prévoyant le recours à cette procédure est limitée106. Il faudrait donc étendre la
procédure d’infiltration numérique à d’autres contentieux (fraudes importantes, escroquerie,
etc.…), ceci sous le contrôle d’un juge.
En outre, la saisie des données numériques doit être effectuée en présence de la personne.
Dans un souci de rapidité, il serait important de se dispenser de la présence de celle-ci (mise
en examen) lors de l’exploitation des scellés.
1.2.2. S’agissant de la plate-forme Pharos
106 Article 706-73 du Code de procédure pénale et aux délits d’association de malfaiteurs prévus par l’alinéa 2 de l’article 450-1 du code pénal.
______________________________
79/95
Cette plate-forme a pour objectif de recueillir et de traiter des signalements des contenus
illicites d’Internet. Elle permet une rationalisation du traitement des signalements. Toutefois,
afin d’optimiser son utilité, il serait pertinent d’instaurer une véritable traçabilité des
signalements. Soit, de leur transmission à la plate-forme jusqu’à leur traitement judiciaire,
ceci afin que la chaine pénale soit réellement efficace, soit pour qu’elle puisse être évaluée et
au besoin ajustée.
2. Des préconisations d’ordre organisationnel
2.1. Au niveau des acteurs judiciaires
2.1.1. Concernant les magistrats
Le corps judiciaire déploie des moyens importants afin de permettre aux magistrats
d’appréhender les aspects techniques des dossiers dans des conditions facilitées et pour leur
permettre de comprendre les modèles économiques de ces fraudes. À qui profite le crime ?
À titre d’exemple, des formations sont organisées sur ces sujets par l’École Nationale de la
Magistrature (ENM).
Malgré la prise de conscience et les efforts conséquents par les magistrats, nous constatons
que les cybercriminels font constamment évoluer les outils et techniques de fraude afin de
distancer les acteurs de la lutte contre la cybercriminalité et empêcher une répression efficace
de leurs comportements illégaux.
L’État et la magistrature ont entamé une réflexion sur les moyens à mettre en place pour lutter
efficacement contre la cybercriminalité. Ainsi on citera l’éventualité d’une réorganisation des
services de la justice dans le but d’opérer une distinction en fonction de la gravité de
l’infraction : en cas d’infractions mineures la saisine serait simplifiée. À également été
envisagé la mise en place d’un parquet national spécialisé dans les nouvelles technologies,
dont la substance même ferait appel à des concepts techniques.
______________________________
80/95
2.1.2. Concernant les services de police
La Police et la Gendarmerie Nationale ont mis au sein de leurs effectifs des services
spécialisés et entièrement dédiés à la lutte contre la cybercriminalité. Les Officiers de Police
Judiciaire sont formés et ont un niveau d’expertise technique élevé leur permettant
d’appréhender avec une grande lucidité les dossiers. Cette expertise leur permet également de
s’impliquer totalement dans les affaires qu’ils se voient confier et ainsi de mener leurs
enquêtes efficacement. Cette tendance de spécialisation et d’expertise a vocation à se
développer dans les prochaines années. Plusieurs pistes sont d’ailleurs à l’étude, notamment,
est envisagée une collaboration technique étroite avec les opérateurs de communications
électroniques. Il est aussi évoqué l’idée, dans certains cas limitativement énumérés, de réduite
les délais (mandats de perquisitions, délivrance de commissions rogatoires) et les augmenter
dans d’autres cas (garde à vue).
2.2. Au niveau des opérateurs de communications électroniques
Les entreprises sont confrontées à une situation complexe pour se protéger face à ces
nouveaux risques.
2.2.1. S’agissant des ressources humaines
Aujourd’hui, les opérateurs de communications électroniques utilisent des développeurs
dédiés au réseau pour les interceptions mais également des développeurs qui s’occupent du
développement des outils ou des systèmes d’information. Ce sont des ingénieurs de formation
et le plus souvent spécialisés dans les télécoms. Toutefois, le volume des réquisitions
judiciaires explose ce qui complexifie la tâche des opérateurs de communications
électroniques dans la lutte contre la cybercriminalité. Heureusement, certaines fois, mais
plutôt rarement, le système peut s’avérer vertueux au niveau de la fraude pour quelques
entreprises, ce qui leur permet d’élaborer un mécanisme de défense plus efficace (une société
fait appel aux compétences d’un pirate pour corriger les failles d’un de ses logiciel).
L’expertise développée et les moyens utilisés par les opérateurs de communications
électroniques leur permettent d’apporter une spécialisation dans l’analyse et la défense de ces
attaques. Les objectifs poursuivis par les opérateurs étant de pouvoir faire face aux menaces et
de rester au même niveau technique que les cybercriminels, afin de comprendre les chemins et
______________________________
81/95
les modèles des fraudes. La collaboration étroite entre tous les acteurs qui combattent la
cybercriminalité devoir pouvoir continuer à se développer.
Certains axes de réflexion peuvent être envisagés, toutefois, une étude de faisabilité doit être
préalablement effectuée, et ceci doit être fait dans le respect de la légalité. À titre d’exemple,
l’opérateur de communications électroniques peut dans le respect de la loi communiquer
certaines informations (la base des impayés gérée par le GIE Préventel).
2.2.2. S’agissant de la sécurité
Concernant la menace interne à l’entreprise, les solutions passent par la mise en place de
procédures internes de contrôles renforcées, gestion des droits d’accès, des mots de passe de
plus en plus compliqués, récupération des badges avec photo ou empreintes digitales ou des
codes au moment du départ des employés voire des prestataires à l’issue de leurs missions. Il
est indispensable d’installer des logiciels, des antivirus, des anti-spams…
Il est nécessaire d’intégrer la sécurité au cœur du métier de l’entreprise. En effet, La sécurité
n’est plus une problématique isolée. Poursuivant l’exemple donné par les administrations, les
opérateurs de télécommunications instaurent des politiques de sécurité des systèmes
d’information (PSSI) afin de garantir la protection des données dont ils sont propriétaires ou
qu’ils réutilisent. Les technologies et le volume des données constituent des enjeux majeurs
pour les opérateurs, il faut donc impérativement les protéger. Il existe un réel besoin d’une
« cyber-risk aware culture » au travers de l’entreprise. Ainsi, tous les acteurs, du plus haut
niveau de la société (le comité exécutif) jusqu’aux équipes opérationnelles sans oublier les
services clients, doivent être impliqués et sensibilisés aux enjeux de la cybercriminalité pour
leur entreprise et au rôle qu’ils peuvent et doivent incarner. Pour l’opérateur SFR, cette
préoccupation constitue une priorité.
Enfin, concernant les failles de sécurité, depuis l’ordonnance du 24 août 2011, une obligation
de notifier à la CNIL les failles de sécurité est faite aux opérateurs de communications
électroniques (nouvel article 34 bis dans la loi Informatique et Libertés). Les opérateurs de
communications électroniques, et particulièrement SFR, ont mis en place une procédure de
recueil de ce type de fraude. Ainsi, a été mis en place un service spécialisé qui qualifie
l’incident puis le remonte au service informatique. Les collaborateurs doivent également être
impliqués, ils peuvent et ont l’obligation d’informer directement et sans délai la Direction
Juridique ou celle des Fraudes par le biais d’un programme créé spécialement, et accessible
______________________________
82/95
depuis l’entreprise de l’opérateur. Une fiche d’historisation permet au collaborateur de
transmettre des informations en sa possession relatives à l’origine de la faille, sa source ou
toute autre information utile à la compréhension du dysfonctionnement (ex : quelles sont les
données impactées, l’origine de la faille). Il a été instauré un groupe de travail exclusivement
chargé de la gestion et du traitement des failles. Ce Comité failles de sécurité détermine le
plan ou les plans d’action à mettre en place, il définit les actions devant être prises par chaque
participant en lien avec un périmètre définit mais limité afin d’assurer une spécialisation et
une rapidité dans la réalisation des actions. Ce dernier est chargé de tenir l’inventaire interne
des failles demandé par la CNIL.
______________________________
83/95
CONCLUSION
Comme, on a pu le constater tout au long de ce mémoire, les réseaux numériques sont
devenus une composante majeure sur laquelle repose la croissance de nos économies.
Pourtant l'utilisation des réseaux, tel l'Internet, présente des risques et des vulnérabilités
inhérentes à leur nature : ouverte et internationale.
Ainsi, depuis que l'Internet s'est démocratisé, il ne se passe pas une semaine sans que les
médias ne rapportent une affaire liée de près ou de loin à l'utilisation frauduleuse des TIC
(Technologies de l'Information et de la Communication). Comme cela a déjà été développé
précédemment, les activités criminelles liées aux technologies de l'information peuvent
prendre des formes très variées : atteintes aux systèmes d'information et/ou aux données
informatisées, attaques de serveur par saturation (spamming), violation du secret des
correspondances privées, violation des règles de protection des données personnelles,
espionnage industriel ou militaire, contrefaçon de droits de propriété intellectuelle (brevets,
marques, dessins, droits d'auteur, …), délits de presse (ex : diffamation), fraude fiscale, fraude
à la carte bancaire, blanchiment d'argent, réseaux de pédophiles, usurpation d'identité,
organisation de la prostitution… La liste des infractions est longue ; ces dernières touchant
autant les entreprises privées, les administrations que les particuliers.
En tant qu'espace de communication ouvert, l’Internet permet la diffusion de tout type
d'information sans aucune contrainte géographique. En effet, les responsables des attentats du
11 septembre 2001, qui étaient disséminés dans différents pays du monde, avaient eu recours
aux systèmes de messageries électroniques associés à l'usage de moyens de cryptologie et de
stéganographie (l’art de cacher des messages) pour assurer la confidentialité de leurs échanges
tendant à la préparation et à l'organisation de leurs attentats.
Par ailleurs, suivant la loi applicable dans le pays de destination de l'information, cette
dernière pourra être considérée comme licite ou illicite, parfois en fonction des principes
(variables) de liberté d'expression et de respect de la vie privée.
En France, comme dans les autres pays, l'Internet s'affranchit de toute contrainte territoriale.
Ainsi, le fait d'appréhender des comportements délictueux sur les réseaux se heurte à trois
types de contraintes : celle de l'anonymat qui peut être organisée sur les réseaux, celle de la
volatilité des informations numériques (possibilité de modifier et de supprimer des éléments
de preuve quasi instantanément) et celle des comportements délictuels qui revêtent souvent un
caractère transnational.
Face à ces réalités, une harmonisation internationale du droit et des procédures ainsi qu'une
______________________________
84/95
étroite coopération judiciaire entre les États, sont des conditions sine qua non pour être en
mesure de lutter efficacement contre des cybercriminels qui tendent à s'organiser et à agir au
niveau planétaire. Cette harmonisation est devenue une priorité majeure des États qui sont
entrés dans la société de l'information, spécialement les États membres du Conseil de
l'Europe, conformément aux bases qui ont été définies par le G8.
Ainsi, la révolution numérique et le développement de la communication en réseaux ont rendu
indispensable l'adaptation des outils législatifs, répressifs et de coopération internationale.
Par ailleurs, face à une cybercriminalité en expansion et en perpétuelle transformation, les
opérateurs de communications électroniques, au côté des acteurs nationaux, entendent avoir
une attitude responsable et active. Dans ce contexte et au-delà du préjudice subi (perte du
chiffre d’affaire, atteinte à l’image de marque …) les opérateurs de communications
électroniques se mobilisent pour apporter leur concours et proposer des solutions à la lutte
contre toutes les formes de fraudes.
Cette position défendue par les opérateurs de communications est en parfaite adéquation avec
les souhaits de l’État français. En effet, le 14 février 2008, Madame Michèle Alliot – Marie,
alors ministre de l’intérieur, de l’outre-mer, des collectivités territoriales préconisait déjà
qu’une « charte de bonnes pratiques améliorant la coopération avec les opérateurs de
communications électroniques » soit ainsi proposée afin permettre le blocage des sites illicites
et l'accélération de la transmission des informations aux services de Police et de Gendarmerie.
Et au-delà, ce sont l'ensemble des acteurs de la chaîne, les hébergeurs de site, les opérateurs,
les associations de consommateurs, qui seront également concernés.
Les opérateurs de communications électroniques ont déjà mis en place de nombreux moyens
humains, techniques et financiers pour lutter contre le fléau contemporain que constitue la
cybercriminalité. Toutefois, ce combat doit être partagé avec tous les acteurs impliqués, d’une
manière ou d’une autre dans ce « baroud ». Chacun pouvant apporter sa pierre à l’édifice, ceci
que ce soit le particulier, qu’il est important d’associer et de sensibiliser, que les
établissements privés et publics tant nationaux qu’internationaux, sans oublier le milieu
judiciaire ( magistrats, services de Police et Gendarmerie).
Enfin, pour reprendre une formule chère à l’opérateur de communications électroniques SFR :
« Faisons ensemble du numérique un monde plus sûr ».
______________________________
85/95
TABLE DES MATIÈRES
REMERCIEMENTS ...................................................................................................................................... 2
SOMMAIRE ................................................................................................................................................... 3
INDEX ............................................................................................................................................................ 4
INTRODUCTION .......................................................................................................................................... 7
PARTIE I : UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES ................................................................................................ 12
CHAPITRE 1 : DES MENACES CYBERCRIMINELLES INTERNES AUX ENTREPRISES DE COMMUNICATIONS
ÉLECTRONIQUES ................................................................................................................................................ 12
Section 1 : Les fraudes liées aux systèmes d’information ............................................................................ 13
1. Accès et maintien frauduleux dans les systèmes d’information ....................................................................... 13
1.1. L’élément matériel du délit ..................................................................................................................... 14
1.2. L’élément intentionnel du délit ............................................................................................................... 15
1.3. Les atteintes à l’intégrité des systèmes d’information ............................................................................ 16
Section 2 : Les fraudes liées à l’intégrité des données ................................................................................. 18
1. Les atteintes à l’intégrité des données engendrant un préjudice pour l’employeur ................................................ 18
2. Les moyens de protection de l’intégrité des données ....................................................................................... 20
2.1. La cryptologie......................................................................................................................................... 20
2.2. Le délit d’usurpation numérique ............................................................................................................. 21
PARTIE I : UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES ................................................................................................ 23
CHAPITRE II : DES MENACES CYBERCRIMINELLES EXTERNES AUX ENTREPRISES DE COMMUNICATIONS
ÉLECTRONIQUES ................................................................................................................................................ 23
Section 1 : Les fraudes historiques ou indémodables ................................................................................... 24
1. Le Phreaking .................................................................................................................................................... 24
2. Le Hacking ....................................................................................................................................................... 25
Section 2 : Les fraudes actuelles .................................................................................................................. 27
1. Le spamming .................................................................................................................................................... 27
1.1. Le spam courriel ..................................................................................................................................... 27
1.2. Le Spam SMS ......................................................................................................................................... 28
1.3. Le Spam vocal ........................................................................................................................................ 28
2. Le phishing ou hameçonnage ........................................................................................................................... 29
2.1. Le mode opératoire des phishers ............................................................................................................ 29
2.2. Exemples de phishing ............................................................................................................................. 30
2.2.1 Phishing sur Internet .......................................................................................................................... 30
2.2.2 Le phishing SMS ............................................................................................................................... 30
Section 3 : Les fraudes complexes: l’exemple de la fraude aux numéros surtaxés ...................................... 31
PARTIE II : UNE CYBERCRIMINALITÉ COMBATTUE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES ................................................................................................ 33
CHAPITRE I : LES OUTILS, CONTEMPORAINS, DE LUTTE CONTRE LA CYBERCRIMINALITÉ MIS À LA DISPOSITION
DES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES ................................................................................. 33
Section 1 : Les sources de droit de lutte contre la cybercriminalité ............................................................ 33
______________________________
86/95
1. Les sources internationales : Un cadre en mutation ......................................................................................... 33
1.1. La convention sur la cybercriminalité .................................................................................................... 33
1.1.1. Le texte fondateur .............................................................................................................................. 34
1.1.2. L’apport du Protocole additionnel du 7 novembre 2002 .................................................................... 35
1.1.3. Le Projet d’une Convention universelle de la cybercriminalité ......................................................... 36
1.2. Les sources communautaires .................................................................................................................. 36
1.2.1. Le texte fondateur .............................................................................................................................. 37
1.2.2. Les textes récents ............................................................................................................................... 38
a. La directive 2011/92/UE .................................................................................................................... 38
b. La proposition de Directive du 30 septembre 2010 ........................................................................... 38
2. Le dispositif législatif et réglementaire français: vers un arsenal répressif de plus en plus spécifique ............. 41
2.1. Les lois fondatrices du dispositif de lutte contre la cybercriminalité ...................................................... 42
2.1.1. La loi informatique et libertés de 1978 .............................................................................................. 42
2.1.2. La loi Godfrain .................................................................................................................................. 42
2.2. Les réformes visant à renforcer le dispositif de lutte contre la cybercriminalité..................................... 43
2.2.1. La loi relative à la sécurité quotidienne (LQS) .................................................................................. 43
2.2.2. La loi sur la sécurité intérieure........................................................................................................... 43
2.2.3. La loi Perben II .................................................................................................................................. 43
2.2.4. La loi pour la Confiance dans l’économie numérique ....................................................................... 44
2.2.5. La loi relative aux communications électroniques et aux services de communication audiovisuelle 45
2.2.6. La Loi d’Orientation et de Programmation pour la Performance de la Sécurité Intérieure 2 ............. 45
2.3. Les textes récents tendant vers un arsenal répressif spécifique à la cybercriminalité ............................. 46
2.3.1. L’ordonnance relative aux communications électroniques ................................................................ 46
2.3.2. La loi sur la protection de l’identité ................................................................................................... 48
Section 2 : Un dispositif technique et organisationnel ................................................................................. 48
1. Un dispositif technique .................................................................................................................................... 49
1.1. Des mécanismes spéciaux mis en place pour une recherche d’efficacité ............................................... 49
1.1.1. Contre le spamming ........................................................................................................................... 49
a. Le 33700 spam “sms” ........................................................................................................................ 49
b. L’association signal spam .................................................................................................................. 50
c. L’application Anti-Spam de SFR....................................................................................................... 50
1.1.2. Contre le phishing .............................................................................................................................. 50
a. Information des clients via le site institutionnel de l’opérateur.......................................................... 50
b. Adhésion des opérateurs à «Phishing-initiative» ............................................................................... 51
c. Une équipe dédiée au traitement du Phishing .................................................................................... 51
d. Création d’une adresse mail spécifique par l’opérateur SFR ............................................................. 51
1.1.3. Contre le hacking, phreaking et la fraude SVA ................................................................................. 51
1.1.4. Contre le vol des mobiles .................................................................................................................. 52
1.1.5. Contre les formes de criminalités « traditionnelles » exercées via les réseaux .................................. 52
a. Les sources ........................................................................................................................................ 53
a.1. La LCEN ......................................................................................................................................... 53
a.2. L’article 61 de la loi du 12 mai 2010 ............................................................................................... 53
a.3. L’article 4 de la LOPPSI 2 ............................................................................................................... 53
a.4. L'article L. 336-2 du Code de la propriété intellectuelle .................................................................. 54
b. Les formes ......................................................................................................................................... 54
b.1. Le blocage ....................................................................................................................................... 54
b.2. Le filtrage ........................................................................................................................................ 54
1.2. Une mobilisation responsable ................................................................................................................. 56
2. Un dispositif organisationnel ........................................................................................................................... 57
2.1. La réponse organisationnelle des États ................................................................................................... 57
2.1.1. Au niveau International ..................................................................................................................... 57
______________________________
87/95
2.1.2. Au niveau Européen .......................................................................................................................... 57
a. EUROPOL ......................................................................................................................................... 57
b. EUROJUST ....................................................................................................................................... 57
c. L’ENISA ........................................................................................................................................... 58
d. Le CEPOL ......................................................................................................................................... 59
e. La CERT-EU ..................................................................................................................................... 60
2.1.3. Au niveau français ............................................................................................................................. 60
a. L’OCLCTIC ...................................................................................................................................... 60
b. La BEFTI ........................................................................................................................................... 61
c. La BFMP ........................................................................................................................................... 61
d. L’IRCGN ........................................................................................................................................... 62
2.2. La réponse organisationnelle des opérateurs .......................................................................................... 62
2.2.1. Mise en place d’importants moyens d’investigation .......................................................................... 62
2.2.2. Création de l’association SVA + ....................................................................................................... 63
2.2.3. Des actions de sensibilisation ............................................................................................................ 64
2.2.4. Des actions de formation ................................................................................................................... 65
PARTIE II : UNE CYBERCRIMINALITÉ COMBATTUE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES ................................................................................................ 66
CHAPITRE 2 : LES OUTILS, ENVISAGÉS ET ENVISAGEABLES, DE LUTTE CONTRE LA CYBERCRIMINALITÉ POUVANT
ÊTRE MIS À LA DISPOSITION DES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES ..................................... 66
Section 1 : Les outils envisagés .................................................................................................................... 66
1. L’initiative internationale ................................................................................................................................. 66
2. Les initiatives européennes .............................................................................................................................. 66
2.1. Lancement du projet européen 2CENTRE ............................................................................................. 66
2.2. Un centre européen de lutte contre la cybercriminalité .......................................................................... 67
3. Les initiatives françaises .................................................................................................................................. 69
3.1. Les missions confiées à l’OCLCTIC ...................................................................................................... 69
3.1.1. La gestion de deux plateformes de signalement................................................................................. 69
a. Pharos ................................................................................................................................................ 69
b. « Info- escroquerie » .......................................................................................................................... 69
3.1.2. Le blocage des sites pédopornographiques ........................................................................................ 69
3.2. L’État renforce les moyens d’investigations des services de police ....................................................... 70
3.2.1. L’État se dote d’une plateforme d’écoutes judiciaires (la PNIJ) ........................................................ 70
3.2.2. Mise en place d’un nouveau fichier de police interconnecté ............................................................ 71
3.3. Création d’un référentiel des réquisitions en matière de communications électroniques ........................ 72
3.4. L’État institue deux autorités administratives indépendantes ................................................................. 73
3.4.1. L’HADOPI ........................................................................................................................................ 73
3.4.2. L’ ARJEL .......................................................................................................................................... 74
Section 2 : Les outils envisageables ............................................................................................................. 75
1. Des préconisations d’ordre juridique et technique ........................................................................................... 75
1.1. Un dispositif légal commun de lutte contre la cybercriminalité ............................................................. 75
1.1.1. Révision du droit français .................................................................................................................. 76
1.1.2. Renforcement de la coopération entre les pays ................................................................................. 76
1.2. Un dispositif technique renforcé en matière de lutte contre la cybercriminalité ..................................... 78
1.2.1. S’agissant des moyens d’investigation .............................................................................................. 78
1.2.2. S’agissant de la plate-forme Pharos ................................................................................................... 78
2. Des préconisations d’ordre organisationnel ..................................................................................................... 79
2.1. Au niveau des acteurs judiciaires ........................................................................................................... 79
2.1.1. Concernant les magistrats .................................................................................................................. 79
2.1.2. Concernant les services de police ...................................................................................................... 80
______________________________
88/95
2.2. Au niveau des opérateurs de communications électroniques .................................................................. 80
2.2.1. S’agissant des ressources humaines ................................................................................................... 80
2.2.2. S’agissant de la sécurité ..................................................................................................................... 81
CONCLUSION ............................................................................................................................................. 83
TABLE DES MATIÈRES ............................................................................................................................ 85
BIBLIOGRAPHIE/SITOGRAPHIE ............................................................................................................ 89
LEXIQUE ..................................................................................................................................................... 92
______________________________
89/95
BIBLIOGRAPHIE/SITOGRAPHIE
OUVRAGES :
- Rapport de l’Observatoire national de la délinquance et des réponses pénales2011, La criminalité en France, sous la direction de Monsieur Alain Bauer
- Revue Juris Tendance Informatique et Télécom (JTIT) n° 123/2012.3 publiée par le cabinet Alain Bensoussan diffusée uniquement par voie électronique
- Bouhadana I et Gilles W, Cybercriminalité, Cybermenaces &, Cyberfraudes, Edition IMODEV 2012
- Féral- Schuhl C, Cyberdroit : Le droit à l’épreuve de l’Internet, VI ème édition
SITES CONSULTÉS :
- Site de l’ARCEP : www.arcep.fr/
- Portail public du droit : www.legifrance.gouv.fr
- Site de l’ONDRP : www.inhesj.fr/.../ondrp/rapport.../ra2011/synthese_rapport_2011.pdf
- Site de l’HADOPI : www.hadopi.fr/
- Site de l’ARJEL : www.arjel.fr/
- Site Europa .eu : http://europa.eu/
- Site pwc : http://www.pwc.lu
- Site de l’office québécois de la langue française : www.oqlf.gouv.qc.ca
- Site de Solucominsight : www.solucominsight.fr/.../
- Site du forum des droits de l’Internet : http://www.foruminternet.org
- Site officiel du ministère de l’intérieur : www.interieur.gouv.fr/
- Site de la documentation française : www.ladocumentationfrancaise.fr
- Site Internet de la préfecture de police -BEFTI: - www.prefecturedepolice.interieur.gouv.fr
______________________________
90/95
- Site de Legalis : http://www.legalis.net
- Site de la revue en ligne du droit des technologies de l’information Juriscom : www.juriscom.net
- Site de la faculté de droit de l’université de Lilles 2 : droit.univ-lille2.fr/f
- Site la sécurité sur le net : securinet.free.fr
- Site de la federation Syntec: www.syntec.fr - Site du conseil de l’Europe :https://wcd.coe.int
- Portail du Sénat : www.senat.fr
- Site du logiciel et antivirus Altospam: www.altospam.com
- Site E-juristes : www.e-juristes.org - Site officiel SFR : www.sfr.fr - Site d’information participatif : www.paperblog.fr
- Site mobile volé, mobile bloqué: www.mobilevole-mobilebloque.fr/ - Site Interpol : www.interpol.int/ - Site officiel du ministère de la défense : www.defense.gouv.fr - Site du cabinet Alain Bensoussan avocats : http:/www.alain-bensoussan.com/ - Site des Nations Unies : www.un.org/fr - Site 2CENTRE : www.2centre.eu
- Site PC INpact : www.pcinpact.com/
- Site du syndicat du corps de commandement de la Police Nationale : www.synergie-
officiers.com/
- Site données personnelles et vie privée : www.donneesprivees.com/
- Portail du ministère de la Justice : www.justice.gouv.fr
- Site de l’ANSSI : www.ssi.gouv.fr/
- www.cybercrimelaw.net/.../SGH_CyberspaceTreat
______________________________
92/95
LEXIQUE
Botnets : Réseau d'ordinateurs zombies détournés à l'insu de leurs propriétaires. En plus de
servir à paralyser le trafic (attaque par déni de service), de moteur à la diffusion de spam, les
botnets peuvent également être utilisés pour commettre des délits comme le vol de données
bancaires et identitaires à grande échelle.
Cybercriminalité : notion regroupant « toutes les infractions pénales susceptibles de se
commettre sur ou au moyen d’un système informatique généralement connecté à un réseau. »
C’est la délinquance liée aux réseaux numériques. Elle est transversale et porte aussi bien sur
les piratages, les fraudes, les contrefaçons, les infractions dites de contenu comme la
pédopornographie ou le racisme. Tout le champ pénal est concerné.
Cheval de Troie : Un cheval de Troie (Trojan Horse en anglais) est un logiciel d’apparence
légitime, conçu pour exécuter des actions à l’insu de l'utilisateur.
Cyberespace : Lieu imaginaire appliqué métaphoriquement au réseau Internet. Le terme
anglais cyberspace a été créé par William Gibson dans son livre intitulé Neuromancer. Le
terme cyberespace est parfois utilisé dans le sens de monde « virtuel ».
Directive : Une directive est une décision de droit communautaire visant à favoriser
l'harmonisation des législations nationales des États membres de l'Union Européenne.
DNS : Domain Name System, est un service permettant de traduire un nom de domaine en
informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine
portant ce nom.
Faille de sécurité : Dans le domaine de la sécurité informatique, une vulnérabilité ou faille est
une faiblesse dans un système informatique, permettant à un attaquant de porter atteinte à
l'intégrité de ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité et
l'intégrité des données qu'il contient.
______________________________
93/95
FAI : signifie littéralement Fournisseur d'accès à Internet. On l'appelle aussi provider, mot
provenant de l'appellation anglaise ISP, qui signifie Internet Service Provider (traduction:
Fournisseur de services Internet). C'est un service (la plupart du temps payant) qui vous
permet de vous connecter à Internet...
Geek : {anglicisme} Passionné d'informatique.
IP : Internet Protocole est une famille de protocoles de communication de réseau informatique
conçus pour et utilisés par Internet.
Loi : Règle de droit écrite, de portée générale et impersonnelle. Elle s'applique à tous sans
exception et nul n'est censé l'ignorer. Elle est délibérée, rédigée, amendée et votée par le
Parlement (Assemblée nationale et Sénat) en termes identiques. Elle est promulguée (signée)
par le Président de la République et publiée au Journal officiel (JO).
Le blocage : Il consiste à bloquer l’accès à un site Internet, soit en bloquant le nom de
domaine (par DNS), soit en bloquant l’accès au serveur d’hébergement (par IP)
Le grooming : processus par lequel un adulte met un enfant en confiance afin d'en abuser
sexuellement, avertissant que l'utilisation abusive des données (extraction des données et
profilage) nuit aux mineurs.
Le streaming : Transfert de données multimédia en continu sur Internet, et qui permet donc la
lecture du média avant la fin du téléchargement.
Le filtrage : Le filtrage est un ensemble de solutions techniques de limitation d'accès à
Internet ayant généralement pour objectifs, la protection des enfants contre des contenus
inappropriés (contrôle parental), les restrictions d'un accès d'entreprise à un usage
professionnel ou la protection des libertés individuelles.
Peer to peer : Le peer-to-peer est un réseau d'échange et de partage de fichiers entre
internautes. Le principe du peer-to-peer (P2P) est de mettre directement en liaison un
internaute avec un autre internaute qui possède un fichier convoité.
______________________________
94/95
Le Phreaking : Le phreaking est le piratage de systèmes de téléphonie filaire ou sans-fil. Ce
terme provient d’une contraction entre les termes anglais « phone », pour téléphone, et
«freak», signifiant marginal, ou personne appartenant à une contre-culture.
Le Hacking : Le hacking regroupe un ensemble de techniques exploitant des failles et
vulnérabilités d'un élément ou d'un groupe d'éléments d’un système d’information.
Le Phishing : Le phishing est une technique de fraude visant à obtenir des informations
confidentielles, telles que des mots de passe ou des numéros de cartes de crédit, au moyen de
messages ou de sites usurpant l'identité d'institutions financières ou d'entreprises
commerciales connues et réputées.
Opérateur de communications électroniques : Selon la directive 2002/19/CE « Accès » du
7 mars 2002 , l’opérateur de communications électroniques se définit comme « une entreprise
qui fournit ou est autorisée à fournir un réseau de communications public ou une ressource
associée ».
Ordonnance : L'ordonnance est une décision prise par un juge. Le juge statue seul, dans
certains cas, dans son cabinet, donc hors de l'audience publique.
Règlement : un règlement est une disposition prise par certaines autorités administratives,
auxquelles la Constitution donne compétence pour émettre des règles normatives. Tels sont
les décrets du Président de la République (certains sont pris après avis du Conseil d'État et
portent le nom de Règlement d'Administration Publique) et les arrêtés pris par les ministres du
Gouvernement, les préfets, les sous-préfets et les maires des communes, dans la limites de
leurs attributions. En Droit communautaire, le Règlement constitue l'instrument juridique par
lequel se manifeste le pouvoir législatif de la Communauté.
Spamming : Le spamming est «l’envoi d'un même message électronique non sollicité à un
très grand nombre de destinataires au risque de les importuner»
Un hébergeur : Un hébergeur internet (ou hébergeur web) est une entité ayant pour vocation
de mettre à disposition des internautes des sites web conçus et gérés par des tiers.
______________________________
95/95
Un internaute : Un internaute est un utilisateur du réseau Internet.
Ver : un ver est un programme nocif et autonome qu'on peut retrouver sur le disque dur ou
dans le code exécutable contenu dans le secteur de démarrage du disque.
Virus : Un virus informatique est un programme, généralement de petite ou très petite taille,
doté des propriétés suivantes : infection ; multiplication ; possession d'une fonction nocive
(payload).
Recommended