Du silence du droit pénal congolais face à la cybercriminalité

SECTION II : LA CYBERCRIMINALITE

Définition

Cette notion n'a pas de définition légale en droit congolais, Elle est considérée comme des infractions commises au moyen d'internet^20(*). La cybercriminalité comme étant l'ensemble de pratiques infractionnelles qui sont régulièrement commises par les utilisateurs appelés internautes parmi eux on trouve les crackers^21(*) et les hackers^22(*)

§1. Analyse des aspects spécifiques et originaux de la fraude liée a l'informatique^23(*)

Le développement des nouvelles technologies rend plus complexe les traitements judiciaire des infractions de toute nature. Cela est dû principalement au fait que les instruments juridiques à la disposition des pays pour y faire face sont divers et ont été touchés par ce phénomène de façon différente. Certains faits pouvant être commis hors du territoire national ou s'inscrivant dans un contexte plus large de criminalité organisée rendent parfois l'indentification des auteurs difficile^24(*). Il n'en reste pas moins que la fraude liée à l'informatique présente les mêmes caractéristiques technologiques et est liée aux mêmes questions fondamentales. Il est évident que la condition première de l'existence de la fraude liée à l'informatique est l'apparition des technologies de l'information et des communications et de leur diffusion dans tous les secteurs de l'activité économique, mais également la création de nouvelles valeurs économiques susceptibles d'être commercialisées.

Les enjeux liés à l'internet sont multiples car ce dernier doit prendre en compte en même temps la protection des droits fondamentaux et des libertés individuelles et prendre en compte la responsabilité des intermédiaires techniques, leurs compétences et leurs lois applicables au regard du droit international. La question de propriété et plus particulièrement du droit d'auteur, de droit à l'information, de droit à la vie privée est apparu dès le début de la presse.

Dès lors la première question est de savoir si l'introduction de l'informatique transforme les domaines où elle est utilisée au point que des règles juridiques nouvelles ou même un droit nouveau soit nécessaire. La deuxième question est de savoir quelles sont les questions de droit précises soulevées par l'introduction de telles technologies, n'ont pas été ou ne peuvent pas être résolues par des règles existantes. La troisième question est de savoir, une fois que telles lacunes ont été identifiées, les intérêts de quelles parties en cause protégés en priorité et quelles seront les conséquences sociales de ces choix à l'avenir.

Ces trois grandes questions sous-tendent toutes les discussions autour de l'analyse des spécificités de la fraude liée à l'informatique, mais nous n'essaierons pas d'y apporter des réponses, nous nous bornerons à relever les traits communs au phénomène de la fraude liée à l'informatique.

1. UN MILIEU TECHNOLOGIQUE ET SOCIOLOGIQUE COMMUN

Le délinquant « informatique » utilise une connaissance et ses compétences à manier une technologie nouvelle. Dès lors, se pose le problème d'un nouveau type de délinquant qui s'apparente au vu de son statut social au délinquant à col blanc. L'une des conséquences de l'apparition de cette technologie a été l'émergence de services fondés sur l'information. Dès lors, le développement de cette industrie est tributaire de la protection qui sera accordée à l'information qui en est sa matière première. L'information, base et objet de transactions commerciales, devient dès lors une valeur économique. Comme les conséquences de ce phonème n'ont pas encore fait l'objet d'une analyse globale, les règles et le choix de la protection (pénale ou civile) à accorder sont incertaines. La question de la criminalisation d'une telle protection a été abordée, comme on l'a vu pour beaucoup de pays. Le souci de ne pas procéder à une surcriminalisation a été partagé par la plus part des pays, pour le moment des incertitudes demeurent sur la définition du champ à criminaliser, d'autant plus que les raisons avancées pour ce faire peuvent être différentes (politique pour développer une industrie naissante ou politique pour protéger des valeurs économiques nouvelles).

2. L'APPARITION DE NOUVELLES VALEURS ECONOMIQUES

Il est clair que l'information tend de plus en plus à être considérée comme une valeur économique et marchande. Dès lors se pose la question de savoir qui a le droit de détenir cette valeur économique et quelle est l'étendue de ce droit, si, du moins, il existe.

Dans les sociétés occidentales, l'information soulève deux problèmes délicats. Le premier est celui de concevoir de nouveaux dispositifs juridiques, économiques et sociaux qui permettent la création et l'utilisation effective et rentable d'informations et de technologies nouvelles. Le deuxième problème tient à la difficulté pour une société libérale de protéger ses valeurs politiques et humaines fondamentales contre des applications peu judicieuses de ces connaissances nouvelles. L'un des problèmes fondamentaux qui se pose à cet égard et de savoir s'il convient de traiter l'information comme un bien susceptible de faire l'objet d'une appropriation ou comme une ressource pour la collectivité.

Le seul exemple commun où l'on a tenté de rendre compatibles les solutions à ces deux problèmes, c'est le domaine de la protection de la vie privée et des données personnelles. Il ne semble guère possible d'étendre ces solutions au cas de l'acquisition frauduleuse d'une information. Il faut noter que c'est autour de la qualification de vol, que s'est posé le problème de savoir si l'information pouvait être un bien. Bien que la description de l'incrimination de vol soit différente d'un pays à un autre, il nous semble intéressant de reproduire les réflexions canadiennes sur ce point : l'acquisition, ou la divulgation sans autorisation de représentations d'information est un type d'abus couramment dénommé « vol d'information » mais il s'agit là d'une appellation mal appropriée. Si des informations peuvent être acquises sans autorisation, on peut se poser la question de savoir si juridiquement les informations peuvent être volées, et il est douteux que de tels actes puissent jamais entrer dans les définitions traditionnelles du « vol ».

L'article 79 du code pénal congolais Livre II définit l'infraction de vol dans les termes suivants : « Quiconque a soustrait frauduleusement une chose qui ne lui appartient pas est coupable de vol ». En droit congolais la chose doit être mobilière et ça devra être à l'insu du propriétaire.

§2. Les atteintes au système informatique

La cybercriminalité est une notion polymorphe qui peut concerner les infractions classiques commises par le biais des nouvelles technologies, comme de nouvelles infractions, nées de l'essence même de ces nouvelles technologies.

Aujourd'hui, cette menace se fait de plus en plus insidieuse, les enjeux n'en sont plus les mêmes, et elle devient un risque majeur, en particulier pour des acteurs donc les réseaux sont susceptibles de contenir des informations monnayables, comme les entreprises ou les Etats, qui présentent l'avantage de fournir des blocs entiers d'informations potentielles, contrairement au piratage d'entités individuelles. En effet, de plus en plus, la cybercriminalité, à l'origine conçue comme une succession de défis à la sécurité des réseaux, qualifiée de proof-of-concept par de nombreux auteurs^25(*) se teinte d'une coloration mafieuse, donnant naissance à de véritables « marchés noirs » d'informations piratées, allant des atteintes à la propriété intellectuelle et artistique au vol d'identité, en passant par les fraudes à la carte bancaire. Face à cette professionnalisation du vol de données, nous avons choisi d'analyser les atteintes que subissent les structures comme les entreprises (I) ou les Etats (II).

A. menaces contre Les entreprises

Les entreprises, avec l'avènement du commerce électronique et les transactions effectuées en lignes, sont sujettes à de nombreux fléaux. Nous examinerons seulement deux menaces parmi la foule de risques qu'encourent les entreprises. En effet, le hameçonnage est tout d'abord une usurpation de l'entreprise qui peut en souffrir (A). Ensuite, l'entreprise est particulièrement touchée par le vol de ses données par le biais des nouvelles technologies de l'information et de communication (B).

1. Le hameçonnage, une forme d'usurpation d'identité

L'usurpation de l'identité d'une entreprise existe depuis longtemps déjà. En effet, la contrefaçon, ou l'usage d'un nom de domaine semblable à une entreprise sont des techniques qui portent atteinte à sa propriété intellectuelle. Cependant, l'internet et la multiplication des transactions en ligne a amené les cybercriminels à développer une nouvelle technique pour usurper l'identité de l'entreprise : le hameçonnage.

Le hameçonnage, traduit de l'anglais phishing, désigne métaphoriquement le procédé criminel de vol d'identité par courriel. Il s'agit d'« aller à la pêche de renseignements personnels dans un étang d'utilisateurs Internet sans méfiance^26(*) ». Pour l'office québécois de la langue française, le hameçonnage peut être défini ainsi :

Envoi massif d'un faux courriel, apparemment authentique, utilisant l'identité d'une institution financière ou d'un site commercial connu, dans lequel on demande aux destinataires, sous différents prétextes, de mettre à jour leurs coordonnées bancaires ou personnelles, en cliquant sur un lien menant vers un faux site Web, copie conforme du site de l'institution ou de l'entreprise, où le pirate récupère ces informations, dans le but de les utiliser pour détourner des fonds à son avantage. L'apparence d'authenticité est la difficulté qu'il faut soulever. En effet, il s'agit d'une véritable usurpation d'identité de l'entreprise ou de l'organisme qui a elle-même pour but l'usurpation de l'identité du destinataire.

Cependant, il faut distinguer le hameçonnage, qui désigne un moyen d'escroquerie par Internet de l'usurpation de l'identité de l'entreprise, ou brand spoofing. Le hameçonnage n'a pas pour finalité d'usurper l'identité de l'entreprise. Il s'agit d'un moyen pour escroquer les clients de cette dernière. Les entreprises souffrent de ce type de procédé. En effet, l'usurpation a lieu à deux niveaux. Tout d'abord, il y a usurpation de la marque de l'entreprise, puisque le but du hameçonnage est de créer l'illusion de cette entreprise. Ensuite, il y a usurpation de l'interface du site web de l'entreprise, puisque pour amener les destinataires à croire dans l'identité de l'entreprise, l'apparence du site web sera recréée comme appât. Cette usurpation d'interface peut même aller jusqu'à la copie identique de l'adresse internet. En effet, par des outils techniques, la barre d'adresse du navigateur internet contenant l'adresse du faux site est recouverte par l'adresse réelle du site web^27(*). L'usurpation devient alors totale. La plupart des entreprises touchées par le hameçonnage sont les institutions financières^28(*). Face à ces constatations, l'entreprise subi un préjudice. En effet, ses clients vont subir un vol de renseignements personnels. Leur confiance dans l'entreprise ne peut qu'en sortir amoindrie. Il se peut que le client veuille même engager la responsabilité de l'entreprise dont l'identité a été usurpée.

2. Vol d'informations sensibles^29(*)

Au-delà du risque constitué par l'usurpation de leur identité, les entreprises sont particulièrement vulnérables à travers leur interface Internet à plusieurs niveaux.

En effet, plusieurs de leurs données peuvent faire l'objet d'attaques, principalement dans une perspective de vol de ces données. Parmi les données les plus sensibles selon nous, se trouvent les données techniques relatives aux innovations de l'entreprise, et les données à caractère personnel de leurs clients, qui par exemple ont pu fournir leur numéro de carte bancaire lors d'une opération de commerce en ligne. Les motivations des attaquants sont diverses, puisque les attaques peuvent provenir de l'intérieur même de l'entreprise, comme de l'extérieur. Il convient ici d'identifier les localisations des données sensibles pour savoir comment et par quels chemins elles sont accessibles. Une entreprise de commerce en effet, au delà de son interface en ligne accessible sur le réseau Internet, va bien souvent disposer d'un réseau Intranet, réseau fermé interne à l'entreprise. En général les informations sensibles ne seront pas accessibles à tous mais seulement à un nombre restreint de personnes, principalement employés de l'entreprise, et elles seront donc à cet effet placées sur l'Intranet. Or, entre l'Intranet et l'Internet des communications sont possibles, des passerelles peuvent exister, ce qui représente un danger pour ces données.

D'abord, et dans une perspective « traditionnelle », le vol d'informations peut se faire par des voies internes, ainsi un employé de l'entreprise cible peut se voir contacté par les pirates pour délivrer ses informations de connexion à l'Intranet de l'entreprise, en échange d'argent le plus souvent. Un employé de cette même entreprise peut être lui-même le pirate, auquel cas il se servira de ses propres codes d'accès s'il a un niveau de responsabilité suffisant pour accéder aux informations sensibles stockées sur le réseau. On retrouve souvent cette configuration dans le cas d'employés licenciés, qui savent qu'ils vont quitter l'entreprise et nourrissent un certain ressentiment à son égard, ou d'anciens employés qui bien que n'appartenant plus à l'entreprise possèdent toujours leurs autorisations d'accès et en usent à mauvais escient. À son insu, un employé peut également être victime d'espionnage, si des logiciels malveillants sont installés sur son ordinateur personnel dont il se sert pour accéder au réseau interne de l'entreprise par exemple, ou il peut être piégé par des techniques telles que le hameçonnage précédemment décrit qui vont l'induire en erreur et l'amener à révéler ses informations d'accès. Le vol d'information peut également être commis de manière plus nouvelle, par des voies externes, principalement par le biais d'Internet. Ainsi, les pirates peuvent s'infiltrer par des portes laissées ouvertes dans le réseau, et accéder ainsi aux informations qu'ils recherchent. Ils peuvent également utiliser des logiciels malveillants qui vont leur permettre de répliquer les autorisations d'accès en falsifiant les certificats afin de passer au travers des différentes étapes de sécurisation, qui sont d'autant plus efficaces qu'elles sont nombreuses et variées.

Ensuite, des pirates peuvent vouloir lancer des attaques pour voler des informations relatives à l'innovation, c'est ce qu'on qualifiera d'espionnage industriel. Comme l'espionnage industriel traditionnel, le but des pirates, qui vont se trouver à la solde d'un concurrent ou à la solde du plus offrant, est de voler l'innovation technique de la cible, en restant le plus discret possible afin de l'égaler sinon de le doubler. Des informations de la plus haute importance peuvent se trouver sur les serveurs du réseau de l'entreprise, et même si ces informations ne sont pas directement en ligne où ne l'ont été que pour une période brève, les pirates ont plusieurs moyens d'y accéder. Ils peuvent suivre les chemins qui ont été précédemment ouverts grâce aux caches ou grâce à la négligence humaine.

Enfin, les pirates peuvent vouloir s'attaquer aux données concernant la clientèle de l'entreprise cible. Les raisons du piratage de bases de données clients sont variables, il peut avoir pour but de récupérer des adresses de courriel pour procéder à des envois massifs de courriels, ou spams, ou de revendre aux concurrents ces bases de données. Il peut aussi avoir pour but de s'infiltrer plus facilement dans les ordinateurs de ces clients en utilisant leur relation avec l'entreprise comme prétexte à des courriels contenant des applications malveillantes qui permettront aux pirates de mettre en place des botnets. Un botnet est un réseau d'ordinateurs infectés par un virus malveillant, qui lorsqu'ils se réveillent, c'est-à-dire lorsqu'ils en reçoivent l'ordre, en général tous en même temps, deviennent des robots à la solde du virus, d'où leur nom d'ordinateurs zombies.

B. menaces contre les Etats

Le cyber-terrorisme

Parmi les menaces liées aux nouvelles technologies de l'information et de communication, une sorte de crime se démarque par sa dangerosité et sa complexité: le cyber-terrorisme. Parler de cyber-terrorisme est cependant assez délicat, puisqu'il s'agit d'une notion émergente, dont la conceptualisation est assez complexe^30(*). Pour Benoît Gagnon, le cyber-terrorisme peut se définir comme « une attaque préméditée et politiquement motivée contre l'information, les systèmes informatiques, les logiciels et les données, résultant ainsi en une violence contre des cibles non combattantes^31(*). Le cyber-terrorisme se caractérise également par la virtualité des attaques, à la différence d'attaquer physiquement des serveurs informatiques, avec des bombes par exemple, comme c'est le cas pour le « technoterrorisme ». Il faut aussi différencier le cyber-terrorisme de l' « hacktivism », fusion entre les notions de hacking et d'activism, qui désigne l'utilisation du piratage informatique dans une fin politique. La frontière est alors très mince, se situant dans la mens rea de l'attaque informatique. Le cyber-terrorisme désignerait alors « la convergence entre le terrorisme traditionnel et les réseaux^32(*).

* ²⁰ http://WWW.JW.org

* ²¹ Crackers : mot anglais qui correspond au terme pirate en français.

* ²² Fournisseurs ou simple usager particulièrement curieux

* ²³ OCDE, Op.Cit, pp26-31.

* ²⁴ KIRIZA MASHALI Arsène, op.cit. p5.

* ²⁵Diane SERRES et Anna CLUZEAU, op.cit, p2.

* ²⁶ Rapport sur le hameçonnage, octobre 2006, p3.

* ²⁷ Rapport sur le hameçonnage. Octobre 2003.p3.

* ²⁸idem, p7.

* ²⁹ Diane SERRES et Anna CLUZEAU, op.cit, p5-7.

* ³⁰ Benoit GAGNON, « Les technologies de l'information et le terrorisme », Repenser le terrorisme Concept, acteurs réponses, Les presses de l'université Laval, 2007, p.259.

* ³¹ Idem.p260.

* ³² Ibidem.