Memoire Online - La Cybercriminalité nouveaux enjeux de la protection des données

UNIVERSITE LAVAL
La cybercriminalité
Les nouveaux enjeux de la protection des données

Diane SERRES et Anna CLUZEAU
Lundi 15 décembre 2008

Le développement des nouvelles technologies de l'information et de la communication et la vulgarisation d'Internet ont provoqué des bouleversements majeurs, tant au niveau de la communication à l'échelle mondiale qu'au niveau du droit applicable. On voit émerger de nouveaux modes de communication, révolutionnés par cette possibilité de connecter le monde entier en permanence, et notamment de nouveaux modes d'échanges, comme le commerce en ligne, ou commerce électronique. Il est désormais possible de conclure une transaction à des milliers de kilomètres de distance de son interlocuteur et par un simple clic. Néanmoins, ce développement a aussi ses revers, et parmi eux on note l'apparition d'une nouvelle menace : la cybercriminalité.

La cybercriminalité est une notion polymorphe qui peut concerner les infractions classiques commises par le biais des nouvelles technologies, comme de nouvelles infractions, nées de l'essence même de ces nouvelles technologies.

Aujourd'hui, cette menace se fait de plus en plus insidieuse, les enjeux n'en sont plus les mêmes, et elle devient un risque majeur, en particulier pour des acteurs donc les réseaux sont susceptibles de contenir des informations monnayables, comme les entreprises ou les Etats, qui présentent l'avantage de fournir des blocs entiers d'informations potentielles, contrairement au piratage d'entités individuelles. En effet, de plus en plus, la cybercriminalité, à l'origine conçue comme une succession de défis à la sécurité des réseaux, qualifiée de proof-of-concept par de nombreux auteurs^1(*), se teinte d'une coloration mafieuse, donnant naissance à de véritables « marchés noirs » d'informations piratées, allant des atteintes à la propriété intellectuelle et artistique au vol d'identité, en passant par les fraudes à la carte bancaire. Ces informations se vendent de moins en moins cher, signe qu'elles sont de plus en plus faciles à voler, et à trouver, les pirates étant protégés d'une part par l'utilisation de pseudonymes et d'autre part par leur nombre croissant. On parle de véritables réseaux underground, développés en Europe de l'Est, mais aussi aux Etats-Unis, en Chine, et en Allemagne.

Underground economy servers are black market forums used by criminals and criminal organizations to advertise and trade stolen information and services, typically for use in identity theft. This information can include government-issued identification numbers such as Social Security numbers, credit cards, credit verification values, debit cards, personal identification numbers (PIN s), user accounts, email address lists, and bank accounts.^2(*)

Face à cette professionnalisation du vol de données, nous avons choisi de nous demander quels sont les nouveaux enjeux de la protection des données, notamment pour des structures comme les entreprises (I) ou les Etats (II).

Les entreprises, avec l'avènement du commerce électronique et les transactions effectuées en lignes, sont sujettes à de nombreux fléaux. Nous examinerons seulement deux menaces parmi la foule de risques qu'encourent les entreprises. En effet, le hameçonnage est tout d'abord une usurpation de l'entreprise qui peut en souffrir (A). Ensuite, l'entreprise est particulièrement touchée par le vol de ses données par le biais des nouvelles technologies de l'information et de communication (B).

Le hameçonnage, une forme d'usurpation d'identité d'entreprise

L'usurpation de l'identité d'une entreprise existe depuis longtemps déjà. En effet, la contrefaçon, ou l'usage d'un nom de domaine semblable à une entreprise sont des techniques qui portent atteinte à sa propriété intellectuelle. Cependant, l'internet et la multiplication des transactions en ligne a amené les cybercriminels à développer une nouvelle technique pour usurper l'identité de l'entreprise : le hameçonnage.

Le hameçonnage, traduit de l'anglais phishing, désigne métaphoriquement le procédé criminel de vol d'identité par courriel. Il s'agit d'« aller à la pêche de renseignements personnels dans un étang d'utilisateurs Internet sans méfiance^3(*)». Pour l'office québécois de la langue française, le hameçonnage peut être défini ainsi :

Envoi massif d'un faux courriel, apparemment authentique, utilisant l'identité d'une institution financière ou d'un site commercial connu, dans lequel on demande aux destinataires, sous différents prétextes, de mettre à jour leurs coordonnées bancaires ou personnelles, en cliquant sur un lien menant vers un faux site Web, copie conforme du site de l'institution ou de l'entreprise, où le pirate récupère ces informations, dans le but de les utiliser pour détourner des fonds à son avantage^4(*).

L'apparence d'authenticité est la difficulté qu'il faut soulever. En effet, il s'agit d'une véritable usurpation d'identité de l'entreprise ou de l'organisme qui a elle-même pour but l'usurpation de l'identité du destinataire.

Cependant, il faut distinguer le hameçonnage, qui désigne un moyen d'escroquerie par Internet de l'usurpation de l'identité de l'entreprise, ou brand spoofing. Le hameçonnage n'a pas pour finalité d'usurper l'identité de l'entreprise. Il s'agit d'un moyen pour escroquer les clients de cette dernière.

Les entreprises souffrent de ce type de procédé. En effet, l'usurpation a lieu à deux niveaux. Tout d'abord, il y a usurpation de la marque de l'entreprise, puisque le but du hameçonnage est de créer l'illusion de cette entreprise. Ensuite, il y a usurpation de l'interface du site web de l'entreprise, puisque pour amener les destinataires à croire dans l'identité de l'entreprise, l'apparence du site web sera recréée comme appât. Cette usurpation d'interface peut même aller jusqu'à la copie identique de l'adresse internet. En effet, par des outils techniques, la barre d'adresse du navigateur internet contenant l'adresse du faux site est recouverte par l'adresse réelle du site web^5(*). L'usurpation devient alors totale.

La plupart des entreprises touchées par le hameçonnage sont les institutions financières^6(*). En effet, les escrocs convoitent particulièrement les informations bancaires, afin de détourner des fonds.

Face à ces constatations, l'entreprise subi un préjudice. En effet, ses clients vont subir un vol de renseignements personnels. Leur confiance dans l'entreprise ne peut qu'en sortir amoindrie. Il se peut que le client veuille même engager la responsabilité de l'entreprise dont l'identité a été usurpée. Le droit aujourd'hui est assez mal équipé pour vaincre le fléau du vol d'identité d'entreprise. En effet, de telles actions pourraient être attaquées pour usurpation de marque^7(*). Une action pourrait également être intentée en matière de propriété intellectuelle, si les escrocs ont utilisé le même nom de domaine ou un nom approchant. Cependant, ces actions ne semblent pas satisfaisantes. L'entreprise peut donc voir sa réputation entachée, mais elle peut aussi subir des pertes financières.

En effet, le législateur a l'intention de modifier le Code criminel pour y inclure le hameçonnage. Le premier projet de loi qui a été proposé était le projet C-299 déposé en mai 2006. Il avait pour objet l' « obtention de renseignements indicateurs par fraude ou par faux semblant »^8(*). Cette notion de faux semblant désigne directement le hameçonnage. Il s'agit en effet du fait d'obtenir des renseignements en se faisant passer pour quelqu'un d'habilité à le faire. Un autre projet de loi est destiné remplacer le projet C-299. Il s'agit du projet de loi C-27 intitulé « Vol d'identité et inconduites connexes »^9(*). L'article 10 du projet crée une nouvelle infraction : le « Vol d'identité et fraude à l'identité »^10(*). Le faux semblant est associé au vol d'identité^11(*). Auparavant l'infraction de faux semblant de l'article 362 du Code criminel ne pouvait être qu'associée avec le vol^12(*). Le vol d'identité n'étant pas reconnu, le faux semblant ne pouvait pas être appliqué pour le hameçonnage. Avec le projet de loi, le hameçonnage pourra être ainsi incriminé.

Ce projet de loi s'inscrit dans un mouvement législatif international visant l'adaptation du droit aux nouveaux crimes commis par le biais des nouvelles technologies de l'information et de communication. Le législateur a enfin pris conscience que ce type de crime doit être combattu spécifiquement.

Les entreprises agissent également de leur côté. En effet, un groupe de travail international réunit de nombreuses entreprises, dont des banques ou des organismes de sécurité, pour trouver des solutions au hameçonnage. Il s'agit de l'Anti Phishing Work Group. Cet organisme émet des recommandations sur la façon dont les entreprises doivent informer leur clientèle des dangers encourus. Il propose aussi la mise en place de mesures de sécurité internes, comme par exemple un système d'authentification à deux facteurs, ou l'utilisation systématique du protocole HTTPS. Ce système consiste en l'authentification du client par deux étapes : une première identification lors de la connexion et une seconde lorsqu'une transaction en ligne est effectuée. Pour Mac Afee, ce système pourrait faire significativement reculer le nombre de tentative de hameçonnage d'ici 2009^13(*). En effet, le rapport de Mac Afee sur la cybercriminalité souligne que le Brésil possède l'un des systèmes bancaires en ligne le plus sûr au monde puisque la plupart des banques utilisent ces mesures de sécurité^14(*).

Il apparaît évident que la confiance des consommateurs en ligne pourrait s'affaiblir si aucune mesure n'est prise. Cette perte de confiance pourrait s'expliquer par « la sensibilisation du grand public à la cybercriminalité, à l'usurpation d'identité, et à la violation de la vie privée^15(*) ». Il est certain que les utilisateurs doivent prendre des précautions lorsqu'ils effectuent des paiements en ligne ou lorsqu'ils communiquent des données. Cependant, ils ne peuvent pas être seuls responsables de leur sécurité. Les entreprises comme les Etats doivent prendre des mesures, en investissant d'une part dans des outils de sécurisation de leurs sites, et en légiférant pour pouvoir pénaliser les acteurs de cette nouvelle forme de criminalité.

* 1 Eric FILLIOL, Philippe RICHARD, Cybercriminalité - Enquête sur les mafias qui envahissent le Web, Paris, Dunod, 2006

* 2 SYMANTEC, Symantec Global Internet Threat Report, Trends for July-December 2007, volume XIII, avril 2008

* 4 Office québécois de la langue française, bibliothèque virtuelle, définition du mot hameçonnage, en ligne : < >

* 5 Mag Securs, « Le brand spoofing a augmenté de 500% depuis janvier 2004 », juin 2004, en ligne : < >

* 7 Loi sur les marques de commerce, L.R.C., 1985, c. T-13, art. 50 (3) et art. 58.

* 13 MacAfee, « Rapport de criminologie virtuelle, Criminalité : la nouvelle vague », 2007, p.5, en ligne : < >