La Cybercriminalité nouveaux enjeux de la protection des données

Le cyber-terrorisme

Parmi les menaces liées aux nouvelles technologies de l'information et de communication, une sorte de crime se démarque par sa dangerosité et sa complexité : le cyber-terrorisme. Parler de cyber-terrorisme est cependant assez délicat, puisqu'il s'agit d'une notion émergente, dont la conceptualisation est assez complexe^32(*). Cependant, nous verrons que les Etats prennent des mesures contre cette nouvelle menace, tant au niveau national qu'international.

Très récemment, une organisation ayant pour objet la lutte contre le cyber-terrorisme a vu le jour. Il s'agit de l'International Multilateral Partnership Against Cyber-Terrorism^33(*) (IMPACT), qui réunit vingt six Etats. Son président, Mohd Noor Amin, définit ainsi le cyber-terrorisme :

Cyber-terrorism means different things to different people. For us at IMPACT, cyber-terrorism refers to the use of computer networks to cause harm to countries or people or economies. It can be in banking, it can be in healthcare, it can be in aviation, it can even be in government: it straddles everything. (...) Clearly, cyber-terrorism are the upper-end of cyber threats- a national security concern to most governments^34(*).

Il souligne ainsi les difficultés de définition du concept de cyber-terrorisme. Pour Benoît Gagnon, le cyber-terrorisme peut se définir comme « une attaque préméditée et politiquement motivée contre l'information, les systèmes informatiques, les logiciels et les données, résultant ainsi en une violence contre des cibles non combattantes^35(*) ». Le cyber-terrorisme se caractérise également par la virtualité des attaques, à la différence d'attaquer physiquement des serveurs informatiques, avec des bombes par exemple, comme c'est le cas pour le « technoterrorisme»^36(*).

Il faut aussi différencier le cyber-terrorisme de l' « hacktivism », fusion entre les notions de hacking et d'activism, qui désigne l'utilisation du piratage informatique dans une fin politique^37(*). La frontière est alors très mince, se situant dans la mens rea de l'attaque informatique. Le cyber-terrorisme désignerait alors « la convergence entre le terrorisme traditionnel et les réseaux^38(*) ».

La réalité du cyber-terrorisme est vérifiable. En effet, depuis une dizaine d'années, les attaques contre les Etats se multiplient. Du 28 avril au 3 mai 2007, l'Estonie a été le premier pays à être le sujet d'une attaque cyber-terroriste de masse. De multiples attaques de déni de service distribué (DDOS) ont été coordonnées pour surcharger les serveurs informatiques, et ont neutralisé les sites Web des médias, privant l'accès à l'information. Le système de cartes de crédit est ensuite devenu défaillant, empêchant la population d'effectuer des achats. Finalement, les services financiers et le gouvernement ont été touchés, leurs réseaux informatiques étant paralysés. Il a été ensuite prouvé que ces attaques provenaient de plus d'un million d'ordinateurs situés partout dans le monde. Les autorités estoniennes ont suspecté la Russie d'avoir perpétré ces attaques, en réaction au déboulonnement d'un monument à la gloire de l'union soviétique. Cependant, les avis sont partagés. Pour l'IMPACT, ces attaques n'auraient été qu'un exercice d'échauffement de terroristes pour en tester l'efficacité^39(*).

Les Etats-Unis ont eux aussi été touchés en 2007. En effet, l'un des réseaux du Pentagone a été infiltré lors d'une attaque contre le ministère de la Défense, et des données auraient été volées^40(*). L'Etat chinois a été alors accusé d'avoir commandé ces attaques. De nombreuses autres attaques ont été perpétrées dans le monde, les autorités des pays victimes accusant d'autres Etats, comme la Chine ou la Russie.

Ce phénomène est aussi qualifié de « cyber guerre ». Cette criminalité informatique est en constante augmentation, et il semblerait que « les attaques informatiques visant la sécurité nationale des pays du monde entier, représenteront à partir de 2008 l'une des catégories de menaces les plus importantes ^41(*)».

Une cause de la réussite de ces attaques se trouve dans la trop grande dépendance des Etats dans les systèmes informatiques, et dans les technologies de l'information et de communication en général. En effet, d'après l'OTAN, 90 à 95% des attaques visant les systèmes d'information pourraient être évitées à l'aide d'outils informatiques et de bonnes pratiques^42(*). Cependant, pour Mikko Hypponen, le chef de la recherche de l'IMPACT, cela ne suffit pas :

We can try to fight the symptoms, we can try to educate the users, but if we really want to solve this problem, we have to find the criminals and get international cooperation between national police forces to get these predators put away^43(*).

Une prise de conscience des Etats peut aujourd'hui s'observer. En France, le livre blanc de la défense et de la sécurité nationale préconise « le passage d'une stratégie de défense passive à une stratégie de défense active^44(*) ». De plus, les Etats ont voulu coopérer dans cette matière, partant du constat qu'il est difficile de combattre seul ce type de menace, par manque de moyen, d'expérience, et parce que ces attaques se veulent mondiales.

L'Union Internationale des Télécommunications a lancé en 2007 le programme mondial cybersécurité, appelé Global Cybersecurity Agenda (GCA), pour définir un cadre mondial pour accroitre la confiance et la sécurité dans la société de l'information^45(*). Ce programme comporte plusieurs lignes directrices. Il vise à élaborer une loi type en matière de cybercriminalité, des protocoles, normes de sécurité et mécanismes d'accréditation de logiciels et de matériel, un système générique et universel d'identité numérique. Il a aussi pour but de renforcer les capacités humaines et institutionnelles, et de créer une coopération et coordination au niveau international^46(*).

L'IMPACT a été créé dans le cadre de ce programme. Cette organisation est désormais le siège du GCA, et s'articule autour de quatre piliers : le centre d'intervention, le centre pour la politique et la coopération internationale, le centre pour la formation et le renforcement des compétences, et le centre d'assurance sécurité et de recherche^47(*). Concernant le centre d'intervention, il a pour but de coordonner les ressources mondiales pour constituer un système d'alerte en temps réel. La mise en commun des ressources sera effectuée grâce au système ESCAPE^48(*), constituant une base de données mondiale.

Nous pouvons alors soulever plusieurs difficultés qui pourraient naître d'un tel système. Tout d'abord, mettre des ressources en commun pour constituer une base de données mondiale contenant des informations sensibles pourrait s'avérer dangereux en cas de piratage de cet outil. Le système informatique mondial serait alors paralysé. Ensuite, une coopération internationale implique une grande confiance entre les Etats. Or, nous l'avons vu, concernant le cyberterrorisme, les Etats s'accusent de commanditer les attaques. Certains pays sont d'ailleurs reconnus comme hébergeant des cybercriminels^49(*).

D'après nous, une telle coopération internationale contre le cyberterrorisme est nécessaire. En effet, les cyberterroristes peuvent se situer partout dans le monde, les attaques peuvent provenir de plusieurs endroits à la fois, ce qui rend le cyber-terrorisme si dangereux et difficilement contrôlable pour les Etats^50(*). Dans un contexte de fort développement de ce type de criminalité, les Etats ont intérêt à définir des politiques et des moyens d'action communs.

Conclusion

Les entreprises sont très vulnérables face au vol de données, spécialement les données clients. Enjeu de sécurisation des serveurs est capital. On s'aperçoit que le même phénomène est applicable aux Etats. Les législations restent insuffisantes, et peu réactives. Le trafic de données volées n'est pas sanctionné en soi alors que ce phénomène entraine des coûts et un préjudice très importants mais incalculables en raison de la volatilité des données. En effet, les entreprises de commerce en ligne vivent par la confiance que leur accordent leurs clients sur Internet c'est-à-dire que porter à la connaissance de tous que leur site a été la cible de vol d'informations revient à avouer publiquement une vulnérabilité et un danger pour les données personnelles des clients.

A cause de l'immatérialisme des infractions, il est difficile d'identifier la commission des infractions et de retracer les auteurs. Le préjudice en est d'autant plus important puisque les infractions

Cependant, les Etats prennent de nombreuses initiatives pour combattre cette nouvelle forme de criminalité, en unissant leurs forces au sein d'organisations internationales, afin de réunir les expériences et les compétences. Les entreprises et les consommateurs en ligne seront les premiers bénéficiaires de ces avancées.

Finalement, il reste toujours à trouver un équilibre entre la sensibilisation des utilisateurs aux dangers qu'ils encourent et la protection par des moyens techniques des réseaux.

Bibliographie

Les adresses internet sont à jour au 13 décembre 2008

Monographies

FILOL, E., RICHARD, P., Cybercriminalité Enquête sur les mafias qui envahissent le web, Dunod, Paris, 2006.

GAGNON B., et DAVID C-P., Repenser le terrorisme Concept acteurs et réponses, Les Presses de l'Université Laval, 2007.

PARISI, F., GRADY, M.F., The law and economics of cybersecurity, New York, Cambridge University Press, 2006.

QUEMENER, M., et FERRY, J., Cybercriminalité: Défi mondial et réponses, Economica, Paris, 2007.

Rapports

DENFENSE ET SECURITE NATIONALE FRANCAISE, « Le Livre blanc », Odile Jacob La documentation française, 2008, en ligne : < >

IMPACT,  « Welcome to the coalition », publication de l'IMPACT, en ligne: < >

MAC AFEE, « Rapport de criminologie virtuelle, Criminalité : la nouvelle vague », 2007, en ligne : < >

OCDE, « Lignes directrices de l'OCDE régissant la sécurité des systèmes et réseaux d'information: Vers une culture de la sécurité », Recommandation du Conseil de l'OCDE, Juillet 2002, en ligne:

SECURITE PUBLIQUE CANADA, «  Rapport sur l'hameçonnage », octobre 2006, en ligne: < >

SERVICE CANADIEN DES RENSEIGNEMENTS CRIMINELS, Dossier spécial sur le vol d'identité, « Rapport 2008 sur la criminalité organisée », pp.32-42, en ligne :

SYMANTEC ENTERPRISE SECURITY, « Symantec Global Internet Threat Report, Trends for July-December 2007, volume XIII », avril 2008, en ligne: < >

SYMANTEC ENTERPRISE SECURITY, « Symantec Report on the Underground Economy, July 2007 - June 2008 », novembre 2008, en ligne: < >

TREMBLAY, M., « Rapport 5: De la cybercriminalité au déploiement de la cybersécurité », Rapport évolutif: Analyse des impacts de la mondialisation sur la sécurité au Québec, Laboratoire d'étude sur les politiques publiques et la mondialisation, 2007, en ligne: < >

UNION INTERNATIONALE DES TELECOMMUNICATIONS , « Programme mondial cybersécurité de l'UIT : quoi de neuf ? », en ligne :< >

Articles

CHANDLER, J. A., «Security in cyberespace: combatting Distributed Denial Of Service Attacks», University of Ottawa Law & Technology Journal, 1, 23, 2003-2004: 233-261

DADOUR, F., «  La cybercriminalité », Droit du commerce électronique, Thémis, 2002, p. 683

GIROUX, A., « La cybercriminalité : ce qu'elle est et comment l'affronter », Journal du Barreau de Québec, Octobre 2008, pp. 8-9.

GRATTON, E., « La responsabilité des prestataires techniques Internet au Québec », Les lois de la société numérique: Responsables et responsabilités, Conférence organisée par le programme international de coopération scientifique, Montréal, 07 octobre 2004, Lex Electronica, vol.10, n°1, Hiver 2005

KELCI, S., « Vol, fraude et autres infractions semblables et Internet », Lex Electronica, vol.12 n°1, Printemps 2007

MATTHIOS, F.J., « La création d'un délit d'usurpation d'identité sur Internet », Gazette du Palais, 26 juillet 2008, n°208, p.6

SCHJOLBERG, S. et HUBBARD, A.M., « Harmonizing national legal approaches on cybercrime », International Telecommunication Union, WSIS Thematic meeting on Cybersecurity, Genève, 28 juin - 1^er juillet 2005, disponible en ligne : Background_Paper_Harmonizing_National_and_Legal_Approaches_on_Cybercrime.pdf sur le site

Législation, traités

Code civil du Québec, L.Q., 1991, c. 64.

Code Criminel, L.R, 1985, ch. C-46.

CONSEIL DE L'EUROPE , Convention sur la cybercriminalité, Budapest, 23 novembre 2001, et son rapport explicatif, disponibles en ligne: et

Directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et les services de communications électroniques, Journal Officiel, L 108, 24 avril 2002.

Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, Journal Officiel L 201, 31 juillet 2002.

Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE, Journal Officiel L 105, 13 avril 2006.

Directive européenne 95/46 CE sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données du 24 octobre 1995, Journal Officiel, L 281, 23 novembre 1995 p.0031 à 0050.

Loi concernant le cadre juridique des technologies de l'information, L.R.Q., ch. C-1.1.

Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la Loi 2004-801 du 6 août 2004, Journal Officiel de la République Française, 7 août 2004.

Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, Journal Officiel de la République Française, n° 143, 22 juin 2004 p. 11168

Loi sur les marques de commerce, L.R.C., 1 985, c. T-13

Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q. c . P-39.1

Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. c. A-2.1

Dictionnaire

OFFICE QUEBECOIS DE LA LANGUE FRANCAISE, bibliothèque virtuelle, en ligne : < >

Exemple d'annonce de numéros de carte VISA ou MASTERCARD à vendre

Annonce relevée le 13/12/2008, sur

* 32 Benoit GAGNON, « Les technologies de l'information et le terrorisme », Repenser le terrorisme Concept, acteurs réponses, Les presses de l'université Laval, 2007, p.259

* 33 Créée en mai 2008, Site internet de l'IMPACT

* 34 Interview of Mohd Noor Amin, Welcome to the coalition, publication de l'IMPACT, p.56, en ligne: < >

* 35 Benoit GAGNON, précité note 32, p.260

* 36 Id.

* 37 Magazine Wired, « Hacktivism and How It Go Here», en ligne:

* 38 Patrick CHAMBET, « Le cyber-terrorisme », en ligne : < >

* 39 IMPACT, Welcome to the coalition, précité note 35, p. 12-13.

* 40 Mac Afee, Rapport de criminologie virtuelle, précité note 13

* 41 Id. p.10

* 42 Id. p. 11

* 43 IMPACT, précité note 34, p.49

* 44 Livre blanc de la défense et de la sécurité nationale (France), 2008, p.53, en ligne : < >

* 45 Union internationale des télécommunications, « Programme mondial cybersécurité de l'UIT : quoi de neuf ? », en ligne :< >

* 46 Id.

* 47 IMPACT, précité note 34, p.29

* 48 Electronically Secure Collaborative Application Platform for Experts

* 49 MacAfee, précité note 13, p.32

* 50 Benoit GAGNON, précité note 32, p.263