La liberté fiscale sur Internet

Section 2. la localisation de l'activité sur le réseau

Les ordinateurs et les personnes qui les utilisent laissent une trace lors de chaque connexion à Internet. Leur connexion au réseau est enregistrée pour chaque opération effectuée. L'anonymat n'est pas possible, sauf à employer de très lourds moyens techniques pour dissimuler sa connexion.

1. L'identification de l'ordinateur

L'adresse IP (pour Internet Protocol) est le moyen d'identification des ordinateurs connectés à Internet. C'est une série de quatre groupes de trois chiffres compris entre 0 et 255 (1 octet) séparés par des points^9(*). Le système actuel, dit v4 est progressivement remplacé par l'IP v6, qui permet un plus grand nombre d'adresses. Pour émettre et recevoir des données, c'est cette adresse qui est utilisée. Le système attribue une adresse IP à chaque ordinateur lors de sa connexion à Internet.

Il y a une répartition géographique des domaines d'adresses IP. En effet, sur l'Internet, l'organisme IANA (Internet Assigned Numbers/Naming Authority) est chargé de la distribution des adresses IP au niveau mondial. Cet organisme distribue les adresses IP aux fournisseurs d'accès à Internet.

En ce qui concerne un poste faisant partie d'un réseau d'entreprise, on retrouve les mêmes principes de traçabilité par l'adresse IP. Cependant, l'ensemble du réseau informatique de l'entreprise n'apparaît sur Internet que comme un ordinateur unique, et donc une adresse IP unique. C'est le serveur central de la société qui affecte des sous-adresses IP à chaque poste informatique du réseau de l'entreprise.

Différents services proposent la localisation d'une adresse IP. Ils peuvent être utilisés par exemple pour identifier le pays où un serveur est implanté ou pour localiser l'expéditeur d'un e-mail.

Pour localiser un site, les programmes proposant la fonctionnalité traceroute permettent de suivre le trajet effectué par les données sur Internet. On peut par exemple trouver ce service à l'adresse http://support.icx.fr/reseaux/outils.php On peut grâce à cette fonctionnalité, à partir d'une adresse Web ou d'une adresse IP, déterminer la localisation géographique du serveur avec une certaine précision.

L'outil "Norton Internet Security" de la société Symantec contient une fonction dénommée "Visual Tracking", permettant d'afficher graphiquement l'origine supposée d'une attaque. Cet outil développé par la société Visualware est accessible en ligne par l'URL:

"http://visualtracking.symantec.com/vt_main.asp?langid=fr&go=AAA.BBB.CCC.DDD", où le dernier paramètre représente l'adresse IP recherchée. L'interface graphique est plus agréable. De plus, ce système automatise la recherche de toutes les informations relatives à cette adresse. En cliquant sur « détails », on obtient le nom du fournisseur d'accès à Internet.

La société Geobytes propose quand à elle une gamme d'outils basés sur une méthode de localisation géographique entièrement différente. Des indications géographiques sont fournies directement pas des internautes, puis corrélées avec leurs adresses IP. D'après la société Geobytes, cette technique permettrait de localiser 98 % des adresses. Le pays serait correct dans 97 % des cas, et la ville à 50 Km près dans 75 % des cas. Une version gratuite de l'outil "IP Address Locator" est disponible en ligne : http://www.geobytes.com/IpLocator.htm Les résultats sont d'une extrême précision. L'outil fournit un ensemble d'informations géographiques : pays, région, ville, latitude, longitude, villes les plus proches, carte du pays... Le pourcentage de certitude sur les résultats est également affiché.

2. L'identification de l'utilisateur

En France, il existe deux moyens d'identifier une personne. Le premier découle du caractère nominatif des abonnements à Internet. Le second n'est disponible que pour les personnes ayant acheté un nom de domaine.

a. L'enregistrement des adresses IP

En France, les particuliers ont en général accès à Internet en souscrivant un contrat d'abonnement avec un fournisseur d'accès à Internet, dit « FAI ». Ceux-ci ont l'obligation de conserver certaines informations de connexion, dont l'historique des adresses IP attribuées à chaque connexion. Cette obligation découle de la loi n°2004-575 du 21 juin 2004 sur la confiance dans l'économie numérique. Celle-ci a été modifiée par la loi n° 2006-64 du 23 janvier 2006, relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers.

Cette obligation de conservation des données de connexion est étendue aux «personnes qui offrent à leurs clients, dans un cadre public, ou à des visiteurs une connexion en ligne, tels les hôtels, les compagnies aériennes... », et aux « fournisseurs d'accès à des réseaux de communications électroniques accessibles via une borne WIFI » que ce soit à titre payant ou non.

Le décret 2006-358 du 24 mars 2006 relatif à la « conservation des données relatives au trafic » est venu préciser l'étendue de l'obligation de conservation des données. Des arrêtés doivent venir compléter le décret. Différents régimes existent, selon le but poursuivi. Globalement, les données suivantes sont conservées :

· Les informations permettant d'identifier l'utilisateur ;

· Les données relatives aux équipements terminaux de communication utilisés ;

· Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;

· Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;

· Les données permettant d'identifier le ou les destinataires de la communication ;

· Les données permettant d'identifier l'origine et la localisation de la communication.

Or, comme cela a été vu plus haut, toute opération sur Internet provoque l'enregistrement de l'adresse IP de l'ordinateur. Par exemple, lors de toute commande de biens ou de services, ou de toute consultation de site, et même de l'envoi d'un e-mail, l'adresse IP est enregistrée.

Ainsi, pour les opérations Internet réalisées depuis la France, il est possible, à partir d'une adresse IP, de retrouver l'identité de la personne ayant souscrit l'abonnement à Internet, ou ayant eu accès à Internet. Cette possibilité est réservée aux services de Police et de Gendarmerie pour identifier les auteurs d'infractions sur Internet, ou à titre préventif.

Ainsi, l'anonymat sur Internet n'est qu'une fiction, à moins d'avoir recours à des systèmes de cryptage très sophistiqués.

b. Les conséquences de l'appropriation d'une adresse web

Les adresses web sont la propriété d'une personne physique ou morale. La base de données des adresses enregistrées whois.org contient les coordonnées de la personne ayant enregistré l'adresse. Le site www.allwhois.com est plus complet, car il permet les recherches pour toutes les adresses nationales et génériques.

La valeur économique des adresses incite la personne déposant une adresse à la déposer en son nom propre, avec la plus grande franchise. De plus, peu de gens savent que les données qu'ils communiquent sont destinées à être publiées. On retrouve de nombreux éléments dans la fiche. Ainsi, les coordonnées complètes de la personne enregistrant l'adresse, ainsi que celles de deux contacts administratif et technique sont disponibles. De plus, la fiche donne l'adresse IP du serveur, ce qui permet d'obtenir un indice supplémentaire sur la nationalité du site. L'annexe 2 présente une requête whois.

De ce fait, à partir de l'adresse d'un site Internet, on peut obtenir la nationalité réelle du site, ainsi que les coordonnées complètes de l'administrateur. Pour les adresses en .fr, l'identité est en principe vérifiée, et on peut donc à coup sûr remonter à l'administrateur réel du site.

Mais pour les adresses génériques, même si les informations ne sont pas vérifiées lors de l'enregistrement, leur exactitude est relativement grande, comme nous l'avons vu plus haut. Ainsi, par exemple, en faisant une recherche sur okmuniberunde.com, qui est une pharmacie en ligne, on découvre que l'adresse a été enregistrée par un résident chinois, nommé Dima Li, de Shanghai. Pourtant, sur le site, qui est en anglais, seule une boîte postale dans les îles vierges britanniques est donnée en guise de contact. Mais «En 2001, les faux médicaments ont été reconnus responsables de 192 000 morts en Chine. Le gouvernement chinois a fermé 1 300 usines et enquêté dans 480 000 cas, impliquant des produits d'une valeur estimée à 57 millions de dollars», affirment les auteurs d'un récent article de la revue médicale britannique The Lancet^10(*). Il est donc permis de supposer que les médicaments vendus sur ce site ne sont au mieux que des placebo.

* ⁹ exemple d'adresse IP: 212.27.42.27

* ¹⁰ The Lancet, Infectious Diseases(maladies infectieuses), 21 août 2006