LA CYBERCRIMINALITÉ - pantheonsorbonne.fr · INTRODUCTION La numérisation de la société dans...

95
______________________________ 1/95 LA CYBERCRIMINALITÉ : UN FOCUS DANS LE MONDE DES TÉLÉCOMS Mémoire présenté et soutenu par Madame Emmanuelle Matignon Sous la Direction de Monsieur William Gilles, Directeur du master Droit du numérique Administrations - Entreprises de l'École de droit de la Sorbonne (Université Paris 1 Panthéon-Sorbonne), Directeur de Mémoire, Président du Jury et Madame Myriam Quéméner, Magistrat et Directeur de Mémoire. Membres du Jury : Monsieur William Gilles, Directeur du master Droit du numérique Administrations - Entreprises de l'École de droit de la Sorbonne (Université Paris 1 Panthéon-Sorbonne), Directeur de Mémoire, Président du Jury et Madame Myriam Quéméner, Magistrat et Directeur de Mémoire. Le 25 juin 2012 _____________________________________ Master Droit du numérique Administrations - Entreprises de l'École de droit de la Sorbonne (Université Paris 1 Panthéon-Sorbonne) Année universitaire 2011/2012

Transcript of LA CYBERCRIMINALITÉ - pantheonsorbonne.fr · INTRODUCTION La numérisation de la société dans...

______________________________

1/95

LA CYBERCRIMINALITÉ : UN FOCUS DANS LE MONDE DES

TÉLÉCOMS

Mémoire présenté et soutenu par Madame Emmanuelle Matignon

Sous la Direction de Monsieur William Gilles, Directeur du master Droit du numérique

Administrations - Entreprises de l'École de droit de la Sorbonne (Université Paris 1

Panthéon-Sorbonne), Directeur de Mémoire, Président du Jury et Madame Myriam

Quéméner, Magistrat et Directeur de Mémoire.

Membres du Jury : Monsieur William Gilles, Directeur du master Droit du numérique Administrations -

Entreprises de l'École de droit de la Sorbonne (Université Paris 1 Panthéon-Sorbonne),

Directeur de Mémoire, Président du Jury et Madame Myriam Quéméner, Magistrat et

Directeur de Mémoire.

Le 25 juin 2012

_____________________________________

Master Droit du numérique Administrations - Entreprises de l'École de droit de la

Sorbonne (Université Paris 1 Panthéon-Sorbonne)

Année universitaire 2011/2012

______________________________

2/95

REMERCIEMENTS

En préambule à ce mémoire qui concrétise mes études juridiques, je souhaitais adresser mes remerciements les plus sincères aux personnes qui m’ont apporté leur aide et qui ont contribué à l’élaboration de ce travail ainsi qu’à la réussite de cette formidable année universitaire.

Mes premiers remerciements iront à mes managers, Mesdames Élisabeth Duval, Valérie Bollée et Armelle Baron qui croient en moi depuis des années et qui m’ont incité à reprendre mes études. Tout au long de cette année, elles m’ont soutenue, coachée et encouragée.

Je tiens à remercier Monsieur Franck Rohard Directeur Juridique du groupe SFR, ainsi que la Direction des Ressources Humaines qui ont autorisé et soutenu cette aventure.

J’exprime ma plus profonde gratitude à Monsieur William Gilles et Madame Irène Bouhadana, mes directeurs de Master qui m’ont permis d’intégrer leur Master 2, et de découvrir une nouvelle facette du Droit au travers d’enseignements aussi variés qu’enrichissants.

Je tiens à remercier sincèrement Monsieur William Gilles et Madame Myriam Quémener qui, en tant que directeurs de mémoire, se sont montrés à l’écoute et très disponibles durant toute la réalisation de mon mémoire.

Mes remerciements s’adressent également à mes collègues de la Direction Juridique Contentieux de SFR, aux managers de la Direction Juridique qui m’ont relue, à Monsieur Nicolas Hellé, directeur des obligations légales de SFR, que j’ai pu interviewer, sans oublier, de nombreux collègues au sein des diverses directions de SFR pour leur compréhension et leurs nombreux encouragements.

Je tiens à remercier tout particulièrement mon amie Lucie Miguel qui m’a aidé pour la mise en forme de mon mémoire.

Enfin, j’adresse mes plus sincères remerciements et ma profonde gratitude à mes enfants, mon conjoint, mes parents, ma famille et plus particulièrement ma tante Odile Viney, tous mes proches et amis, qui ont su me rassurer dans les moments de doute, me soulager au quotidien, et me soutenir au cours de cette année universitaire et dans la réalisation de mon mémoire.

Merci à tous ceux qui m’ont aidée à concrétiser ce travail…

______________________________

3/95

SOMMAIRE

REMERCIEMENTS

SOMMAIRE

INDEX

INTRODUCTION

PARTIE I : UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES

CHAPITRE 1 : DES MENACES CYBERCRIMINELLES INTERNES AUX ENTREPRISES DE COMMUNICATIONS

ÉLECTRONIQUES

Section 1 : Les fraudes liées aux systèmes d’information

Section 2 : Les fraudes liées à l’intégrité des données

PARTIE I : UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES

CHAPITRE II : DES MENACES CYBERCRIMINELLES EXTERNES AUX ENTREPRISES DE COMMUNICATIONS

ÉLECTRONIQUES

Section 1 : Les fraudes historiques ou indémodables

Section 2 : Les fraudes actuelles

Section 3 : Les fraudes complexes: l’exemple de la fraude aux numéros surtaxés

PARTIE II : UNE CYBERCRIMINALITÉ COMBATTUE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES

CHAPITRE I : LES OUTILS, CONTEMPORAINS, DE LUTTE CONTRE LA CYBERCRIMINALITÉ MIS À LA DISPOSITION

DES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES

Section 1 : Les sources de droit de lutte contre la cybercriminalité Section 2 : Un dispositif technique et organisationnel

PARTIE II : UNE CYBERCRIMINALITÉ COMBATTUE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES

CHAPITRE 2 : LES OUTILS, ENVISAGÉS ET ENVISAGEABLES, DE LUTTE CONTRE LA CYBERCRIMINALITÉ POUVANT

ÊTRE MIS À LA DISPOSITION DES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES

Section 1 : Les outils envisagés

Section 2 : Les outils envisageables

CONCLUSION

TABLE DES MATIÈRES

BIBLIOGRAPHIE/SITOGRAPHIE

LEXIQUE

______________________________

4/95

INDEX

A

Abonnés, 14, 29, 32, 35, 36, 72, 85 Abus de confiance, 9, 20, 23, 24, 35, 38, 40, 43, 47, 56, 57, 60, 66, 71, 73, 76, 104 Attaque, 10, 13, 14, 15, 19, 23, 31, 43, 44, 45, 46, 63, 72, 76, 103 Atteinte, 9, 14, 16, 19, 21, 22, 23, 24, 26, 35, 46, 47, 52, 61, 63, 103

B

Blocage, 48, 50, 55, 57, 58, 60, 61, 79, 84, 104

C

Clients, 7, 8, 11, 12, 14, 17, 29, 32, 35, 36, 48, 51, 55, 56, 57, 63, 72 Communications électroniques, 7, 10, 11, 12, 13, 19, 21, 27, 29, 31, 36, 38, 48, 49, 50, 51, 57, 62, 70, 71, 72, 73, 74, 81, 82, 105 Contrefaçon, 9, 35, 69, 70, 83 Convention, 38, 39, 40, 41, 44, 74 Courriel, 32, 33, 50, 57 Criminalité, 8, 9, 10, 11, 12, 13, 38, 40, 41, 42, 46, 47, 48, 60, 64, 66, 68, 73, 74, 75, 77, 82, 100 Cybercriminalité, 1, 8, 9, 10, 11, 12, 13, 28, 30, 31, 36, 38, 39, 40, 41, 42, 44, 45, 46, 47, 48, 51, 55, 63, 65, 69, 70, 71, 72, 73, 74, 75, 76, 77, 100, 103 Cybercriminel, 8, 9, 10, 23, 27, 41, 63, 72, 73, 75 Cyberespace, 10, 76, 103

D

Délinquance, 8, 9, 10, 11, 13, 14, 38, 39, 46, 48, 100, 103 Directive, 38, 39, 42, 43, 45, 46, 51, 60, 62, 63, 103, 105 Données personnelles, 9, 13, 14, 16, 17, 19, 21, 22, 23, 24, 25, 26, 29, 32, 33, 34, 35, 42, 44, 45, 46, 47, 49, 51, 52, 53, 56, 57, 61, 63, 64, 65, 69, 71, 72, 79, 80, 81, 82, 101, 103, 104

E

Escroquerie, 24, 35, 63, 70, 79

______________________________

5/95

F

Filtrage, 57, 61, 62, 79, 104 Fraude, 9, 17, 29, 31, 33, 35, 36, 41, 47, 53, 55, 56, 57, 63, 70, 74, 76, 83, 105

I

Infraction, 8, 9, 11, 14, 15, 19, 21, 24, 29, 30, 36, 39, 40, 41, 43, 44, 45, 46, 47, 49, 51, 53, 58, 59, 61, 64, 68, 75, 81, 103 Internautes, 7, 14, 22, 34, 56, 57, 61, 77, 79, 83, 104, 105 Internet, 7, 8, 9, 10, 11, 15, 17, 19, 22, 23, 24, 27, 31, 34, 39, 40, 42, 46, 48, 49, 50, 56, 58, 60, 61, 62, 64, 66, 72, 73, 76, 77, 79, 81, 82, 83, 100, 103, 104, 105, 106

L

Le monde des télécoms, 1, 9, 12, 22, 24, 32, 35, 40, 49, 63, 64, 72, 75, 77, 103 Loi, 19, 20, 23, 24, 29, 38, 43, 47, 48, 49, 50, 51, 52, 53, 58, 60, 61, 66, 71, 81, 82, 83, 92, 104

M

Menace, 10, 12, 13, 22, 23, 26, 27, 42, 53, 56, 63, 65, 72, 76

N

Nouvelles technologies, 8, 9, 11, 12, 13, 32, 38, 43, 46, 48, 62, 64, 68, 69, 73, 77, 80, 101 NTIC, 9

O

Opérateur, 7, 10, 11, 12, 13, 29, 31, 32, 33, 35, 36, 38, 45, 48, 50, 51, 52, 55, 56, 57, 58, 63, 70, 71, 72, 73, 74, 79, 80, 82, 84, 92, 105 Ordonnance, 20, 51, 52, 84, 105

P

Préjudice, 9, 21, 36, 45, 70, 74 Protection incrimination, 15, 17, 19, 23, 39, 40, 42, 43, 45, 49, 52, 53, 58, 61, 66, 72, 76, 82, 83, 104

R

Règlement, 105

______________________________

6/95

Répressif, 9, 29, 30, 32, 35, 46, 51, 52 Répression, 9, 33, 47, 53 Réseau, 7, 8, 11, 15, 22, 23, 24, 25, 29, 42, 44, 45, 50, 55, 58, 62, 64, 66, 69, 70, 73, 75, 103, 104, 105, 106

S

Sms, 7, 33, 55, 56 Spam, 32, 33, 55, 56, 103 STAD, 9, 14 Systèmes d’information, 7, 8, 9, 14, 19, 22, 29, 40, 43, 44, 45, 46, 47, 57, 62, 65, 73, 76, 81, 105

U

Utilisateur, 8, 11, 15, 19, 22, 33, 44, 50, 58, 65, 72, 77, 79, 103, 106

V

Ver, 22, 106 Virus, 21, 22, 23, 33, 44, 106

______________________________

7/95

INTRODUCTION

La numérisation de la société dans laquelle nous évoluons bouleverse notre quotidien, elle

touche tous les secteurs d’activités et crée ainsi un foisonnement de nouveaux usages.

Demain, tous les objets électroniques du quotidien seront connectés au réseau qu’ils

s’agissent des systèmes «mobiles» ou des accessoires domestiques.

Au cœur de cette évolution se place le secteur des télécommunications.

D’après l’Autorité de Régulation des Communications Électroniques et des Postes

(L’ARCEP) qui a publié le 2 février 2012 son observatoire trimestriel des communications

électroniques en France pour les mobiles1, à la fin de l‘année 2011 il y avait 68,5 millions de

clients de téléphonie mobile (soit plus que d’habitants en France, le nombre étant de 65,3

millions d’habitants), et sur l’année 2011 les français ont envoyé 147 milliards de sms.

Toujours, selon ce même observatoire, le nombre d’abonnements à un service de téléphonie

fixe était de 39,9 millions.

En tant que leader de la mesure d’audience d’internet, Comscore, entreprise internationale

d’étude de marché, a dévoilé en juin une analyse établissant que la France comptait

42 millions d’internautes, et ainsi qu’elle était l’un des premiers pays en Europe en nombre

d’internautes derrière l’Allemagne et la Fédération de Russie2.

Par ailleurs, l’observatoire des marchés des communications électroniques estime que le

revenu total des opérateurs de communications électroniques sur les marchés de gros et de

détail s’élève à 13,2 milliards d’euros au quatrième trimestre 20113.

Dans ce contexte les opérateurs de communications électroniques4 se sont fixés comme

ambition d’accompagner chaque client et chaque entreprise pour leur prodiguer le meilleur du

numérique. Ainsi, les offres de service en matière de télécommunications se sont

1 www.arcep.fr/index.php?id=36[Consulté le 2 juin 2012] 2 reyt.net/france-les-42-millions-dinternautes-surfent-28...en.../6736 [Consulté le 20 mai 2012] 3 www.arcep.fr/fileadmin/reprise/.../4-2011/obs-marches-t4-2011.pdf[Consulté le 20 mai 2012] 4 °Un opérateur de communications électroniques est défini dans le Code des postes et des communications électroniques (CPCE) à l’article L. 32, 15° comme "toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques" d’autre part. Cette définition met en lumière les deux types d'activité que peut exercer un opérateur de communications électroniques : l'exploitation d'un réseau de communications électroniques ouvert au public d'une part, la fourniture au public d'un service de communications électroniques d’autre part.

______________________________

8/95

considérablement étoffées au cours des dernières années autour de la téléphonie fixe et

mobile, de l’Internet, du Cloud computing, de la télévision par ADSL, accroissant de ce fait la

valeur disponible, bien évidemment, pour les clients, mais également pour les fraudeurs.

Le meilleur se développe, souvent accompagné du pire également!

En effet, ces dernières années, des usages déviants et frauduleux, voire criminels, ont pris de

plus en plus d’ampleur, à travers ce qu’il est désormais convenu d’appeler la cybercriminalité,

cette large notion regroupant « toutes les infractions pénales susceptibles de se commettre sur

ou au moyen d’un système informatique généralement connecté à un réseau5». Certains

cybercriminels fabriquent des logiciels malveillants, tandis que d’autres les utilisent afin de

perpétrer des actions criminelles. On observe aujourd’hui des « mafias » très structurées,

composées de plusieurs strates, la base étant constituée de codeurs programmeurs, et des «

script kiddies »6 qui sont de jeunes adolescents âgés de 12 à 13 ans. Enfin, comme dans tout

réseau organisé, viennent ensuite les organisations de blanchiment d´argent.

On citera également Madame Myriam Quémener, magistrat, qui définit la cybercriminalité

comme: «une notion polymorphe qui peut concerner les infractions classiques commises par

le biais des technologies, comme les nouvelles infractions, nées de l’essence même de

l’informatique7.»

Enfin, selon le rapport publié par l'Observatoire National de la Délinquance et des Réponses

Pénales (ONDRP) en 20118, qui consacre pour la première fois en France un dossier spécial à

la cybercriminalité, celle-ci correspondrait à des infractions très diverses pouvant être

regroupées en deux catégories :

- Les infractions liées aux formes de criminalité «traditionnelles» (qui ont pu évoluer

avec les technologies de l’information et de la communication (NTIC) telles que la

fraude en ligne, les escroqueries, la contrefaçon)

- Les infractions liées aux systèmes d’information et de traitement automatisé des

5 Définition de la Cybercriminalité qui a été donnée lors d’un colloque qui a eu lieu à Libreville au GABON le 30novembre 2011. infosgabon.com/? p=13956 6 Script kiddie ou encore lamer est un terme péjoratif d'origine anglo-saxonne désignant les néophytes qui, dépourvus des principales compétences en matière de gestion de la sécurité informatique, passent l'essentiel de leur temps à essayer d'infiltrer des systèmes, en utilisant des scripts ou programmes mis au point par d'autres. On pourrait traduire l'expression par «Gamin utilisateur de scripts», mais le terme «script kiddie» est le seul couramment utilisé (searchmidmarketsecurity.techtarget.com/definition/). 7 www.inhesj.fr/.../Cybercriminalite/081%20C6%20Quemener%20CR page 815.... [Consulté le 23 mai 2012] 8 www.inhesj.fr/.../ondrp/rapport.../ra2011/synthese_rapport_2011.pdf[Consulté le 13 mai 2012]

______________________________

9/95

données (STAD) (comme le déni de service et le piratage, infractions qui sont

apparues avec le développement des réseaux informatiques et de l’Internet).

Ainsi, la cybercriminalité englobe, à la fois des atteintes aux personnes (diffusion d’images

pédophiles, pédopornographiques, atteintes à la vie privée) et aux biens (piratage

informatique, fraude à la carte bancaire, escroqueries en tout genre…).

La cybercriminalité est devenue une délinquance qui correspond non seulement aux

infractions strictement informatiques mais qui vise aussi l’ensemble du champ pénal, allant

des escroqueries aux fraudes en passant par l’usurpation d’identité. Désormais, il existe des

liens étroits entre la criminalité dite classique et la criminalité dite informatique, sachant que

tous les cybercriminels appartiennent de plus en plus souvent à des réseaux internationaux

très organisés.

Dans son 7ème rapport l’ONDRP, évalue le préjudice subi par ce phénomène à 1,7 milliards

d’euros. Cet observatoire a recensé 33 905 infractions qualifiées de “délinquance astucieuse”

sur Internet dont 80 % étant des escroqueries ou des abus de confiance, les 20% restant

correspondant à des falsifications ou usages de cartes de crédit9.

Au niveau répressif, si les dispositions de notre Code pénal permettaient de sanctionner la

plupart des infractions dont la commission était facilitée par ou liée à l’utilisation des

technologies; Internet apparaissant le plus souvent comme un vecteur de multiplication des

infractions réalisées au moyen de la technologie en offrant aux délinquants des outils plus

discrets et surtout plus anonymes leur permettant de démultiplier leurs actions, certains

agissements restaient en dehors du champ de la répression ou tout du moins prêtaient à

discussion.

C’est dans ce contexte, que la France s’est dotée d’un dispositif spécial de répression de la

«délinquance informatique»10.

Par ailleurs, Internet, dans ses usages, a aboli les frontières nationales.

Selon la Commission européenne, la cybercriminalité toucherait «chaque jour plus d’un

million de personnes dans le monde» et coûterait annuellement « un total de 388 milliards de

dollars au niveau international11», ce qui la rend plus lucrative que le marché mondial du

cannabis, de la cocaïne et de l'héroïne confondus.

9 INHESJ/ONDRP-Rapport 2011 10 europa.eu › ... › Lutte contre la criminalité organisée 11 www.01net.com › Actualités › Sécurité[Consulté le 3 mai 2012]

______________________________

10/95

A contrario, les moyens d’investigation et la législation en place dans nos sociétés restent très

attachés à la territorialité. Les organisations criminelles et les fraudeurs ont donc rapidement

pris en compte les facteurs d’impunité associés à ces distorsions, notamment, avec le

problème des commissions rogatoires à l’étranger. En effet, en cas d’existence d’un accord

bilatéral entre les pays concernés (ex: la France avec les USA) une défense est possible, en

revanche des difficultés importantes surgissent en cas d’absence d’accord entre les États

concernés (ex: la Chine avec la France). La cybercriminalité se protège également derrière la

fugacité de ses actions: actes délictueux rapidement commis, éléments de preuve non

pérennes localisés à l’étranger.

Depuis ces 5 dernières années il y a de plus en plus d’attaques par voie électronique. Il s’agit

d’une nouvelle forme de criminalité et de délinquance qui se distingue des formes

traditionnelles en ce qu’elle se situe dans un espace virtuel que l’on dénomme «cyberespace».

Le cyberespace est quant à lui devenu un champ criminogène d’autant plus en expansion que

les supports informatiques se diversifient en devenant de plus en plus mobiles, et qu’ils

deviennent encore plus interactifs avec les réseaux sociaux.

Jusque-là les sites français étaient protégés du fait de la langue française qui constituait une

barrière, la langue anglaise étant plus répandue et sa grammaire plus facile. Mais, aujourd’hui

les cybercriminels recrutent des spécialistes de la langue française, et les faux sites sont plus

vrais que nature.

A la confluence de ces transformations et au regard des récentes évolutions technologiques

qui ont conduit, dans un contexte de convergence, tant à l'émergence de nouveaux acteurs que

de services de communication de plus en plus riches via l'internet et l'utilisation des réseaux

IP, les opérateurs de communications électroniques sont particulièrement touchés par la

cybercriminalité.

Ils vivent à la fois un durcissement de la menace, mais aussi un accroissement des impacts

potentiels. Ainsi, leur mobilisation dans la lutte contre la cybercriminalité devient de ce fait

incontournable, qu’il s’agisse de protéger leurs propres actifs et activités commerciales ou

encore la vie privée de leurs clients, car ils interviennent en tant que dépositaire

d’informations.

Cette orientation des divers opérateurs de communications électroniques fait écho aux

préoccupations étatiques visant à organiser une lutte efficace contre l’ensemble des infractions

______________________________

11/95

et agissements nuisibles commis au travers des réseaux informatiques et en particulier sur le

réseau Internet.

De l’aveu même du ministère de l’intérieur, la lutte contre la cybercriminalité se heurte

parfois à des obstacles en raison du caractère mondial des réseaux informatiques, de la

rapidité avec laquelle les infractions sont commises et de la difficulté à rassembler les

preuves12.

La publication récente des résultats de l’enquête mondiale de PwC 13« Global Economic

Crime Survey 2011 » met en lumière que « la cybercriminalité prend une place significative

dans le classement des principaux types de criminalité économique.»

S’appuyant sur des infrastructures et des services toujours plus interconnectés et faisant

largement appel à de nouvelles générations de technologies émergentes (réseaux intelligents,

Smartphones, tout IP …), le paysage technique mis en œuvre par l’opérateur se banalise

également et converge vers les standards de l’informatique. Les barrières de la spécificité et

de la spécialisation tombent progressivement, l’acte frauduleux devient accessible à un plus

grand nombre.

Les opérateurs de communications électroniques vivent à la fois un durcissement de la

menace, mais aussi un accroissement des impacts potentiels. C’est pourquoi il paraissait

opportun de faire un focus sur ce que représente la cybercriminalité dans le monde des

télécoms.

Ainsi, dans un premier temps, seront présentées les principales tentatives de fraudes, et les

fraudes dont les opérateurs, leurs clients ou les cybers acteurs sont menacés et/ou victimes

(Partie I).

Puis dans un second temps, seront détaillés les moyens utilisés et déployés par les opérateurs

de communications électroniques pour combattre la cybercriminalité, soit les outils de lutte

existants mais également les solutions envisageables, la lutte contre ces nouvelles formes de

criminalité étant au cœur des préoccupations des opérateurs de communications électroniques

(Partie II).

12 Ouvrage Cybercriminalité , cybermenaces, cyberfraudes (article SFR p 196) 13http://www.pwc.lu/en/fraud-prevention-detection/2011-global-economic-crime-survey.jhtml [Consulté le 20 avril 2012]

______________________________

12/95

PARTIE I :

UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES

OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES

CHAPITRE 1 : Des menaces cybercriminelles internes aux entreprises de

communications électroniques

D’après l'étude mondiale de PwC « Global Economic Crime Survey 2011»14 «le classement

d’un crime ou d’un incident en tant que cybercriminalité varie d’un individu ou d’une

entreprise à l’autre. Peu importe la catégorie dans laquelle on les affecte (i.e. crime

économique, espionnage, activisme), les cyber-attaques représentent 23% des incidents pour

les entreprises ayant déclaré avoir été victime de criminalité économique au cours de l’année

2011. Parmi les impacts de ces attaques, les entreprises considèrent que celui lié à leur

réputation est le plus important (40%) ; viennent ensuite : la perte (ou le vol) de données

personnelles (36%), la perte de propriété intellectuelle (incluant la perte de données

industrielles) à 35%, l’interruption de service pour 34%, la perte financière effective pour

31% et le risque réglementaire pour 22% ».

Ainsi, l’avènement des nouvelles technologies durant ces dernières années au sein de la

société internationale a induit le développement de nouvelles formes de délinquance dont les

conséquences doivent être largement prises en compte par les entreprises et notamment par les

opérateurs de communications électroniques. Si chacun s’accorde à percevoir le risque

externe comme le plus fréquent, en revanche ils prennent de plus en plus conscience de la

menace interne.

En effet, il ne faut pas sous-estimer la menace interne à l’entreprise. Leurs propres employés

peuvent donc constituer une réelle menace. En effet, l’utilisation accrue des réseaux sociaux,

même en dehors du cadre professionnel, représente une source d’information de choix pour

les criminels. Il n’est ainsi pas rare de constater que les formes les plus sophistiquées de «

14 http://www.pwc.lu/en/fraud-prevention-detection/2011-global-economic-crime-survey.jhtml[Consulté le 23 avril 2012]

______________________________

13/95

spear phishing »15 trouvent leurs informations sur ces mêmes réseaux sociaux.

Par ailleurs, cette frontière « interne-externe » est de moins en moins claire. Les employés

sont, en effet, de plus en plus nomades et utilisent des applications mobiles et parfois des

outils personnels (concepts de « bring your own »16) qu’il faut désormais intégrer dans la

stratégie de sécurité. Les fournisseurs et clients, pour leur part, interagissent avec l’entreprise

qui est de manière accrue au cœur des systèmes et processus. Très souvent, ce sont des

employés, des salariés qui, pour des raisons diverses et très variées, portent atteinte aux

systèmes d’information de leurs employeurs ou de leurs ex-employeurs.

Un grand nombre de ces attaques consistent en des atteintes aux systèmes d’information.

Section 1 : Les fraudes liées aux systèmes d’information

1. Accès et maintien frauduleux dans les systèmes d’information

Le rapport de l’observatoire national de la délinquance et des réponses pénales de 2011,

recense, pour l’année 2011, 626 atteintes aux systèmes de traitement automatisé des données.

Il s’agit principalement d’accès frauduleux dans un système (par exemple: contournement ou

violation d’un dispositif de sécurité, insertion d’un fichier espion enregistrant les codes

d’accès des abonnés…) ou de maintiens frauduleux dans un STAD

(prolongation indue de l’accédant au-delà du temps autorisé, intervention dans le système afin

de visualiser ou réaliser une ou plusieurs opérations…). En outre, il faut préciser, toujours

selon ce rapport, que plus du tiers de ces atteintes est constitué par des accès avec altération

du fonctionnement, des modifications voire des suppressions de données. «Le fait d’accéder

ou de se maintenir, frauduleusement, dans tout ou partie d’un système automatisée de

données (S.T.A.D)», est une infraction prévue par l’article 323-1, al 1 du Code Pénal. Elle

vise tous les modes de pénétration irréguliers d'un système de traitement automatisé de

données, que l'accédant travaille déjà sur la machine mais sur un système, qu'il procède à

15 Hameçonnage qui, à l'aide de courriels trompeurs et personnalisés, cible de façon plus précise un groupe d'internautes donné, souvent les employés d'une grande société ou d'un organisme gouvernemental, afin de leur soutirer des renseignements confidentiels permettant ensuite de pénétrer les systèmes informatiques. www.oqlf.gouv.qc.ca/ressources/bibliotheque/.../8349460.html[Consulté le 17 mai 2012] 16 Pas encore connue de tous, une nouvelle tendance se dessine au sein même des entreprises, le Bring Your Own Device.(le BYOD), c’est la fusion des téléphones personnel et professionnel, ou comment se servir de son propre terminal pour un usage d’entreprise (www.solucominsight.fr/.../bring-your-own-device-quelle-frontiere-e... [Consulté le 5 mai 2012]).

______________________________

14/95

distance ou qu'il se branche sur une ligne de télécommunication17. En outre, le mobile de

l’accès frauduleux importe peu. On précisera qu’en l'absence de mise en place d'une

protection ou de manifestation de volonté, par les dirigeants d'une entreprise, de restreindre

l'accès au système informatisé de données, le délit de l'art. 323-1 du Code pénal n'est pas

constitué18. Ainsi, se rend coupable d'accès frauduleux dans un système de traitement

automatisé de données voire d'introduction frauduleuse de données dans ce même système, la

personne utilisant des codes d'accès confidentiels ne lui appartenant pas mais se faisant passer

pour leur titulaire légitime, pousse une société à lui fournir un accès au réseau Internet19.

L’infraction susvisée a pour vocation de sanctionner les cyberdélinquants qui cherchent à

prendre connaissance d’informations, confidentielles ou non, figurant dans des système de

données dont l’accès ou la présence leur est interdit. De ce fait, afin de qualifier l’infraction il

conviendra d’une part de faire la preuve du caractère frauduleux de l’accès, et d’autre part, du

caractère intentionnel de l’intrusion illicite.

Il conviendra donc d’analyser tour à tour l’élément matériel puis l’élément moral du délit.

1.1. L’élément matériel du délit

Le caractère protégé ou non du S.T.A.D n’est pas une condition requise à la qualification de

l’infraction selon l’article 323-1 du Code Pénal, toutefois il facilitera la démonstration du

caractère frauduleux de la «pénétration». La preuve de l’accès frauduleux pourra, par

exemple, résulter du contournement ou de la violation du système de sécurité mis en place par

l’entreprise afin d’éviter ce genre d’attaques. En revanche, la preuve du caractère frauduleux

de l’accès ne sera pas rapportée dans le cas où l’utilisateur est en situation normale, soit, s’il a

procédé à une consultation d’informations rendues accessibles au public. Cette position a

d’ailleurs été confirmée par la jurisprudence.

En effet, dans un arrêt du 30 octobre 2002, la Cour d’appel de Paris a considéré, qu’il «ne

peut être reproché à un internaute d’accéder aux données ou de se maintenir dans les parties

des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de

17 Paris, 14 janv. 1997: RSC 1998. 142, obs. Francillon 18 Paris, 8 déc. 1997: Gaz. Pal. 1998. 1, chron. Crim 19 TGI Paris, 16 déc. 1997: Gaz. Pal. 1998. 2. Somm. 433, note Ronjinsky.

______________________________

15/95

navigation, ces parties de site, qui ne font par définition l’objet d’aucune protection de la part

de l’exploitant du site ou de son prestataire de services, devant être réputées non

confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès20.». La Cour

d'appel a ainsi infirmé le jugement de première instance, précisant les éléments constitutifs du

délit d'accès et de maintien frauduleux dans un système de traitement automatisé de données.

L’internaute ne peut donc être condamné sur ce fondement lorsque l'accès et le maintien dans

le système de traitement automatisé était possible en accédant sur le site internet de la société

à l'aide d'un simple logiciel de navigation grand public et ce, même si les données auxquelles

il a ainsi pu avoir accès sont des données nominatives des clients de la société. Ainsi, les

juges n’ont pas souhaité sanctionner l’accédant de bonne foi, qui d’après eux, n’avait pas

accédé au S.T.A.D de manière frauduleuse. De même, les juridictions considèrent que dans

certains cas, l’accès n’est que le résultat d’une erreur: «Le fait pour un centre serveur de

s’approprier un code d’accès du kiosque télématique et d’y héberger un code clandestin n’est

pas constitutif des délits d’accès, de maintien dans un système d’information de données

informatisées et d’entrave. Cet accès a pu être le résultat d’une erreur de manipulation sur les

fichiers. Par conséquent, l’action est dépourvue de caractère intentionnel21. « Toutefois, dans

un arrêt rendu par la Cour d’appel de Paris le 9 septembre 200922, il a été jugé que l’accession

ou le maintien frauduleux dans un S.T.A.D pouvait constituer un trouble manifestement

illicite. A ceci près que, dans le cas d’espèce, l’accès aux données n’était pas limité par un

dispositif de protection mais par le fait que le responsable du système avait manifesté son

intention d’en restreindre l’accès aux seules personnes autorisées.

1.2. L’élément intentionnel du délit

Il est nécessaire de démontrer le caractère intentionnel de l’intrusion illégale. Lorsque l’accès

résulte d’une erreur, le simple fait de se maintenir dans le système pourra être constitutif

d’une fraude. En effet, une prolongation au-delà du temps autorisé, une intervention dans le

système afin de visualiser une ou plusieurs informations constituent des indices permettant de

20 CA Paris, 12e chambre, 30 oct.2002, Kitetoa c / Sté Tati, http://www.foruminternet.org/documents/jurisprudence [Consulté le 27 avril 2012] 21 CA Paris 3 e ch.4 déc. 1992 22 CA paris, 2e ch., 9 sept. 2009, http://www.legalis.net/jurisprudence-decision.php3?id_article=2738[Consulté le 27 avril 2012]

______________________________

16/95

participer à la démonstration du caractère intentionnel de la pénétration ou du maintien dans

le système par l’utilisateur. En outre, il faut rappeler que la loi incrimine non seulement le

maintien irrégulier de l’accédant qui y serait entré par inadvertance, mais également celui de

l’utilisateur qui y ayant régulièrement pénétré, s’y serait maintenu frauduleusement. En

application de l’article 323-1 du Code pénal, la suppression, la modification, l’altération des

données est punissable lorsqu’elles résultent d’un accès ou d’un maintien frauduleux dans le

système. Enfin, concernant la notion de maintien frauduleux dans un système, dans un arrêt

du 5 avril 1994, la Cour d'appel de Paris 23 a jugé que : « la loi incrimine également le

maintien dans un système de la part de celui qui y serait entré par inadvertance, ou de la part

de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement ». Par

conséquent, peu importe la méthode utilisée pour pénétrer le serveur. Ce qui compte, c’est

que le maintien existe et qu’il soit frauduleux, ce qui suppose la conscience pour les

contrevenants de l’irrégularité de leurs actes. Cependant, pour que soit démontré ce maintien,

il faut encore définir les contours de cette notion. Ainsi, le même Tribunal de Grande instance

de Paris, dans un jugement du 15 décembre 199924 a défini la notion de maintien comme «

l’action de faire durer ».

1.3. Les atteintes à l’intégrité des systèmes d’information

Selon l’article 323-2 du Code pénal est constitutif d’une infraction : « Le fait d’entraver ou de

fausser le fonctionnement d’un système de traitement automatisé de données». Ainsi la

destruction de fichiers, de programmes, de sauvegardes, le flaming qui est une technique

consistant à se livrer à des attaques via l’Internet en ayant la volonté de perturber le système

d’information de son interlocuteur et de susciter un encombrement de sa capacité mémoire,

sont autant d’actes d’entraves constitutifs de cette infraction. On mentionnera plus

particulièrement l’incrimination d’entrave d’un système de traitement automatisé de données

par saturation. Il s’agira par exemple de l’entrave au fonctionnement du système par l’envoi

massif de messages électroniques ayant pour conséquence de saturer la bande passante et les

boites de réception de tous les salariés. Toutes formes d’activité étant en conséquence

23

CA. Paris, 5 avril 1994, revue. Dalloz, 1994, p. 130. 24

Paris15décembre1999;D2000IR44;GazPal.2001.1.Somm.268, note Prat.)

______________________________

17/95

paralysées. A ce titre, nous citerons une affaire de février 2000 25au cours de laquelle des sites

Internet comme <Yahoo!>, <eBay>, <Amazon.com>, <Buy.com>, ou encore <CNN.com>,

ont été pris d’assaut. Ces attaques qualifiées de «déni de service» ou « denial of service», se

sont traduits par une saturation du site le rendant de ce fait inaccessible en submergeant de

connexions le serveur qui l’hébergeait. Concernant la célèbre affaire Yahoo, qui opposait

plusieurs associations antiracistes, dont la Ligue Contre Le Racisme et l'Antisémitisme

(Licra), aux sociétés Yahoo! Inc. et Yahoo France, s'est conclue en France le 20 novembre

2000 par une ordonnance de référé 26rendue par Monsieur Gomez Premier Vice-président du

Tribunal de grande instance de Paris. Celle-ci ordonnait à l'entreprise américaine de :

"prendre toutes les mesures de nature à dissuader et à rendre impossible toute consultation

sur Yahoo.com du service de ventes aux enchères d'objets nazis et de tout autre site ou service

qui constituent une apologie du nazisme ou une contestation des crimes nazis. "L'ordonnance

a été rendue sur la base d'un rapport portant sur les possibilités techniques de filtrer l'accès au

contenu litigieux pour le public français. Ce document qui a été rédigé par trois experts

techniques, François Wallon, Vinton Cerf et Ben Laurie, évoquait plusieurs mesures

d'identification de la nationalité des visiteurs dont le taux d'efficacité pouvait varier entre 70 et

90%27. Cependant, un an plus tard, dans son jugement déclaratoire du 7 novembre 200128, le

juge californien a pris le contre- pied de cette décision en lui déniant toute autorité sur le sol

américain. En effet, le juge américain a considéré que la décision française était incompatible

avec le premier amendement de la constitution des États -Unis qui garantit la liberté

d’expression29, ce dernier l’a donc déclarée inapplicable sur le territoire américain. Dans un

autre registre, la jurisprudence a reconnu que devait être condamné pour altération au

fonctionnement d'un système de traitement automatisé de données suite à un accès

frauduleux, le salarié qui, depuis son nouveau travail et à l'aide du matériel mis à sa

disposition, a intentionnellement saturé la bande passante de son ex-employeur en lui

envoyant une grande quantité de courriers électroniques et de gros fichiers dans l'intention de

25 www.juriscom.net/chr/2/fr20001024.htm[Consulté le 10 mai 2012] 26 www.juriscom.net/txt/jurisfr/cti/tgiparis20001120.htm[Consulté le 5 juin 2012] 27 www.foruminternet.org/spip.php?page=impression&id_article... [Consulté le 5 juin 2012] 28 droit.univ-lille2.fr/fileadmin/.../TIC_souverainete_ordre_public.pdf[Consulté le 6 juin 2012] 29 Premier amendement à la Constitution des États -Unis, 1791(traduction): «Le Congrès ne pourra faire aucune loi ayant pour objet l’établissement d’une religion ou interdisant son libre exercice, de limiter la liberté de parole ou de presse, ou le droit des citoyens de s’assembler pacifiquement et d’adresser des pétitions au gouvernement pour qu’il mette fin aux abus».

______________________________

18/95

lui causer un préjudice commercial; par ailleurs, bien que les actes frauduleux commis par le

prévenu l'ont été sur son lieu de travail et au moyen du micro-ordinateur fourni par son

employeur, celui-ci doit être mis hors de cause dès lors que le salarié a agi à l'insu de son

employeur, et que les actes qu'il a commis sont, sans contestation possible, étrangers au

périmètre de la mission confiée30. La qualification d’entrave est également retenue et

sanctionnée en présence d’un virus ou d’une bombe logique dont l’objet est de bloquer ou de

fausser le fonctionnement du S.T.A.D. En effet, un virus, même s’il se révèle peu nocif, peut

provoquer un préjudice dans la mesure où il occupe une partie de la mémoire du système et de

ce fait ralentit le fonctionnement de l’ordinateur. Toutefois, en raison du caractère large des

termes utilisés, dans un but de qualification de l’infraction d’entrave, certains agissements

doivent être écartés, notamment, les entraves résultants d’une grève, celles engendrées par une

suspension de fourniture de service ou enfin celles constituées par la rupture d’un contrat de

fourniture de prestations de services informatiques.

Section 2 : Les fraudes liées à l’intégrité des données

1. Les atteintes à l’intégrité des données engendrant un préjudice pour l’employeur

L’article 323-3 du Code pénal prévoit qu’est punissable : «Le fait d’introduire

frauduleusement des données dans un système de traitement automatisé ou de supprimer ou

de modifier frauduleusement les données qu’il contient».

L’acte délictueux consiste à «fausser» le système, c’est à dire à lui faire reproduire un résultat

différent de celui qui était attendu. A titre d’exemple, dans son arrêt rendu le 18 novembre

1992, la cour d’appel de Paris, a condamné un employé et ses complices pour avoir accédé à

et s’être maintenus dans un système dont ils avaient modifié les données après avoir faussé

son fonctionnement. Afin d’obtenir un nombre de points importants à un jeu télématique, ce

salarié avait utilisé les lignes de son employeur par le biais de radiotéléphones.

Il est à noter que les comportements précédemment évoqués sont majoritairement de source

interne à l’entreprise, ils émanent le plus souvent d’employés en exercice ou d’anciens

employés.

30 TGI Lyon, 20 févr. 2001: Gaz. Pal. 2001. 2. Sommaire. 1686, note A. Blanchot

______________________________

19/95

Les virus et les vers sont les deux exemples de logiciels malveillants les plus connus, mais il

en existe beaucoup d’autres comme les chevaux de Troie, qui prétendent être légitimes, mais

comportent des petits programmes nuisibles exécutés sans l'autorisation de l'utilisateur. On

trouve également les « portes dérobées » qui sont des chevaux de Troie particuliers qui

prennent le contrôle de l'ordinateur et permettent à quelqu'un de l'extérieur de le contrôler par

le biais d'Internet. Enfin, on citera les publiciels (adwares), logiciels gratuits, qui affichent,

pendant leur utilisation, des bannières de publicité. Comme le souligne Madame Christiane

Féral–Schuhl, Bâtonnier, « les virus constitueraient les atteintes les plus «usuelles» », ils

présenteraient donc une importante menace pour les internautes. Ils auraient, en effet, pour

conséquence de modifier ou de supprimer des données et ainsi de fausser le fonctionnement

du système. Toutefois, il n’existe aucune définition universellement acceptée du terme «virus

informatique». Les vers, quant à eux, se répandent automatiquement dans le courrier

électronique en profitant des failles des différents logiciels de messagerie, dès qu'ils ont

infecté un ordinateur, ils se propagent vers les adresses contenues dans tout le carnet

d'adresses. Par ailleurs, si certains de ces virus sont inoffensifs ou uniquement perturbateurs,

d’autres génèrent des dysfonctionnements fatals pour le système infecté.

C’est la mise en réseau des systèmes qui a permis l’explosion des menaces virales, ainsi, la

connexion à Internet suscite un risque important de contamination des systèmes. Ce fut

notamment le cas pour le ver «I love You» qui a connu un retentissement international. Ce

virus tirait son nom de la pièce jointe au courrier électronique qui le transportait, nommé

Love-Letter-for-you.txt.vbs.Il se faisait passer pour une lettre d'amour, notamment grâce à

l'icône des fichiers de son type rappelant celui d'une lettre.

Il s'est répandu en quatre jours sur plus de 3,1 millions de machines dans le monde. Les

Américains ont estimé la perte à 7 milliards de dollars pour les États-Unis.

Diverses mesures de sécurité ont été depuis prises par de nombreuses entreprises afin de

limiter l’accès à leurs données sensibles ou à leurs postes informatiques accessibles en réseau,

ces derniers étant plus facilement exposés aux attaques extérieures. Mais dans tous les cas de

figure, constituera une obligation, démonstration d’une atteinte volontaire.

Aujourd’hui on constate une prolifération inquiétante des outils malveillants que l’on peut

regrouper sous l’appellation «d’armes des cyber- attaquants». En effet, la 17ème édition du

rapport Symantec Internet Security Threat Report, qui a été publié le 3 mai dernier, révèle,

______________________________

20/95

cette année, une baisse du nombre des vulnérabilités de -20%, et parallèlement une montée en

flèche des attaques malveillantes à hauteur de +81%. En outre, celui-ci souligne que les

attaques sont ciblées, et qu’elles s’étendent aux entreprises de toutes tailles et à tous les

salariés. Ce rapport, fait également le constat de l’augmentation des failles de sécurité, qui se

définissent comme étant une « faiblesse du logiciel permettant l'exécution d'activités

malveillantes au sein du système d'exploitation ». Enfin, il met en exergue que les

cybercriminels se concentrent sur les menaces mobiles.

Il est opportun de préciser que sur Internet, les virus se transmettent plus rapidement et en

plus grande quantité. De plus, la décentralisation du réseau et son relatif anonymat permettent

une diffusion plus sournoise rendant pratiquement impossible l’identification de l’auteur de

l’attaque. De ce fait, les victimes de virus ne parviennent pas à être indemnisées, l’instigateur

du dommage étant introuvable et la responsabilité du FAI ne pouvant être engagée, ce dernier

étant étranger à l’installation du virus sur le PC.

2. Les moyens de protection de l’intégrité des données

2.1. La cryptologie

La cryptographie est la seule technique efficace disponible pour protéger une information

numérique en confidentialité et en intégrité. Elle est la seule discipline qui inclue les

principes, moyens et méthodes de transformation des données, et ce, dans le but de cacher

leur contenu, voire d’empêcher que leur modification ne passe inaperçue, et/ou de bloquer

leur utilisation non autorisée. D’une part, la loi sanctionne toute personne physique ou morale

qui n’aurait pas respecté les dispositions portant sur les règles de mise en œuvre,

d’acquisition, et de mise à disposition de moyens de cryptologie. L’article 35 de la loi du 21

juin 2004 pour la confiance en l’économique numérique plus connue sous l’acronyme LCEN,

prévoit des sanctions pénales spécifiques en cas de non respect des obligations de déclaration

posées par la loi, en cas d’exportation de moyens de cryptologie sans l’obtention

d’autorisation lorsque celle-ci est exigée, ou en cas de vente ou de location de moyens de

cryptologie ayant fait l’objet d’une interdiction administrative de mise en circulation. D’autre

______________________________

21/95

part, l’article 132-79 du Code Pénal prévoit une aggravation des peines pour les crimes et

délits pour lesquels un moyen de cryptologie a été utilisé31.

2.2. Le délit d’usurpation numérique

Les données partagées dans le monde des octets permettent de créer des identités

« numériques » susceptibles, par essence et au même titre que nos identités réelles, d’être

usurpées, notamment par le hameçonnage (phishing). Devant le recrudescence des pratiques

consistant à s’emparer d’un mot de passe, d’un nom de compte informatique, d’une adresse IP

dans le but de prendre et utiliser le nom d’un tiers pour son propre compte, a été instituée

l’infraction d’usurpation d’identité numérique relative à l’attribution et à la gestion des noms

de domaine de l’Internet avec le décret n° 2007-162 du 6 février 2007. Jusqu’en 2011,

l’usurpation d’identité numérique était sanctionnée par des textes à vocation générale

(escroquerie, abus de confiance, etc.) qui ne permettaient pas de prendre en compte toutes les

situations. Mais, cette infraction s’est vue généralisée avec la création du nouveau délit

d’usurpation d’identité par la loi n°2011-267 du 14 mars 2011 d'orientation et de

programmation pour la performance de la sécurité intérieure, dite LOPPSI 2. Ce texte a créé

un nouvel article dans le code pénal, au chapitre "Des atteintes à la personnalité", Section 1

"De l'atteinte à la vie privée" : Article 226-4-1 : "Le fait d'usurper l'identité d'un tiers ou de

faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de

troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa

considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende ».

Il s’agissait pour le législateur de combler un vide juridique en permettant de sanctionner

l’usage malveillant d’éléments d’identité d’un tiers sur un réseau de communication au public

en ligne. Il faut rappeler que cette infraction est punie des mêmes peines qu'elle soit commise

sur un réseau de communication au public en ligne ou non. Ce nouveau délit se caractérise par

deux éléments indissociables.

- D’une part, un élément matériel, qui réside dans le fait pour un cyberdélinquant

d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute

nature permettant de l’identifier sur un réseau de communication au public en ligne, et

31 Article 132-79 du code pénal : « … »

______________________________

22/95

qui vise directement et précisément les outils participatifs du web 2.0, lie les «réseaux

de communication au public en ligne».

- D’autre part, un élément intentionnel. Cet élément intentionnel caractérisé par exemple

par l’intention de troubler la tranquillité, porter atteinte à l’honneur ou à la

considération n’est cependant pas aisé à démontrer.

S’il ne faut pas sous-estimer la menace interne, il ne faut toutefois pas négliger la menace

extérieure à l’entreprise.

______________________________

23/95

PARTIE I :

UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES

OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES

Chapitre II : Des menaces cybercriminelles externes aux entreprises de

communications électroniques

La convergence des réseaux de télécommunications, de l’Internet (prenant appui sur la

communication IP (Internet protocole) et l’ingénierie informatique) est exploitée par les

cybercriminels afin de commettre leurs actes délictueux. Le développement de leurs activités

se concentre notamment autour de trois familles de fraudes: les fraudes historiques ou

indémodables (section 1), les fraudes actuelles (section 2) et les fraudes complexes (section

3).Seules les fraudes les plus significatives seront envisagées dans cette étude.

Source: Revue Cybercriminalité Cybermenaces &Cyberfraudes page 197

Développement des nouvelles

Fraudes

Les Fraudes historiques

Phreaking

Hacking

Les Fraudes actuelles

Phishing (hammeçonnage)

Spamming

Les Fraudes complexes

Numéros surtaxés

Réseaux convergence

(Protocole IP)

______________________________

24/95

Section 1 : Les fraudes historiques ou indémodables

1. Le Phreaking

Le phreaking est le piratage de systèmes de téléphonie filaire ou sans-fil. Ce terme provient

d’une contraction entre les termes anglais « phone », pour téléphone, et « freak », signifiant

marginal, ou personne appartenant à une contre-culture. Initialement, l'essentiel du phreaking

consistait à mettre en place des moyens pour contourner la facturation des usages

téléphoniques. Aujourd'hui, le phreaking est également utilisé pour établir des

communications anonymes ou écouter des conversations téléphoniques. L’exemple typique de

phreaking consiste à se brancher sur la ligne téléphonique d’un tiers afin de passer, au moyen

de sa ligne téléphonique, des communications à l’insu de celui-ci et lui faire supporter le coût

de ces communications. Il n’existe pas à proprement parler une infraction de «phreaking» en

France, mais, sur un plan répressif le phreaking pourra être appréhendé au travers de diverses

incriminations sur le fondement du Code Pénal32 ou sur celui de la loi Godfrain nº 88-19 du 5

janvier 1988, relative à la fraude informatique, qui complète le dispositif en incriminant le

maintien dans des systèmes de traitement automatisés de données, fait qui peut

potentiellement être constitué dans les agissements de phreaking. Les victimes directes du

phreaking sont les abonnés et clients de l’opérateur de téléphonie, qui voient apparaitre sur

leurs factures les coûts des communications qu’ils n’ont pas passées. L’opérateur, quant à lui,

est une victime indirecte, en raison de la difficulté de recouvrer les sommes dues auprès des

abonnés ou des clients.

32 Ainsi, sur le fondement de l’article 226-15 du Code pénal:« Est puni d'un an d'emprisonnement et de 45.000 euros d'amende le fait d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions Lorsqu’un acte de phreaking est commis sur un réseau sans fil, le Code pénal vient encore spécifiquement sanctionner le fait de perturber ou brouiller une installation radioélectrique, ou d'utiliser une fréquence, un équipement ou une installation radioélectrique dans des conditions non conformes.

______________________________

25/95

2. Le Hacking

Le hacking regroupe un ensemble de techniques exploitant des failles et vulnérabilités d'un

élément ou d'un groupe d'éléments d’un système d’information.

Source: Revue Cybercriminalité Cybermenaces &Cyberfraudes page 198

Le hacking n'a pas nécessairement une connotation malveillante. Cependant, lorsqu'il est

utilisé avec un objectif de piratage, il correspond à l'utilisation de connaissances

informatiques à des fins illégales. Sur le plan répressif, le hacking, qu’il soit malveillant ou

non, pourra être appréhendé au travers de l’article 323-1 du Code pénal qui sanctionne le fait

d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement

automatisé ou encore le fait d'entraver ou de fausser le fonctionnement d'un système de

traitement automatisé. Ces agissements sont susceptibles d’être punis par une peine de 2 ans

d’emprisonnement et 30.000 € d’amende, peines qui peuvent être portées jusqu’à 5 ans

d'emprisonnement et de 75.000 euros d'amende dans certains cas33. On notera enfin que le

fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un

équipement, un instrument, un programme informatique ou toute donnée conçus ou

spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles

33 Articles 323-2 et 323-3 du Code pénal.

______________________________

26/95

323-1 à 323-3 du Code pénal est puni des peines prévues respectivement pour l'infraction elle-

même ou pour l'infraction la plus sévèrement réprimée34.

Exemple de hacking permettant une fraude au Phreaking : le Piratage d’IPBX

Source: Revue Cybercriminalité Cybermenaces &Cyberfraudes page 198

Légende du schéma ci-dessus:

1. Attaque informatique du fraudeur, via Internet pour prendre le contrôle distant de

l’IPBX de l’entreprise (serveur téléphonique et Internet de l’entreprise).

2. Utilisation de l’IPBX, pour détourner les appels téléphoniques aux profits du

fraudeur : pour appeler (au compte de l’entreprise) des opérateurs étrangers et des

numéros surtaxés. L’entreprise est utilisée comme une «cabine téléphonique».

3. SFR reverse aux opérateurs étrangers et aux éditeurs de numéros surtaxés leurs parts

du prix des communications passées et factures l’entreprise desdites communications.

4. Le fraudeur récupère de l’opérateur étranger ou/et l’éditeur 08ab une partie des

bénéfices de la fraude.

34

Article 323-3-1 du Code pénal

______________________________

27/95

Les victimes directes du hacking sont les abonnés et clients de l’opérateur, qui se voient

pirater leurs box, installations informatiques et téléphoniques d’entreprises. L’opérateur est

une victime indirecte, dans la mesure où le hacking de ses abonnés et clients permet aux

fraudeurs de commettre, par ricochet, d’autres agissements préjudiciables (par exemple, le

phreaking).

Ces fraudes sont encore bien présentes dans le monde des télécommunications.

Section 2 : Les fraudes actuelles

1. Le spamming

Le spamming est « l’envoi d'un même message électronique non-sollicité à un très grand

nombre de destinataires au risque de les importuner »35 Si les fraudes via des spams par

courriels sont largement connues et souvent associées à d’autres techniques de fraudes types

phishing, de nouvelles modalités de fraudes via le spam se déploient (le SPAM SMS et le

SPAM VOCAL). Sur le plan répressif, l’acte de spamming, qui aura pour conséquence de

saturer un serveur de mail, pourra notamment être qualifié comme le fait d'entraver ou de

fausser le fonctionnement d'un système de traitement automatisé de données. A ce titre, il

pourra être puni de 5 ans d'emprisonnement et de 75.000 euros d'amende. En outre, le

spamming, pour être réalisé, nécessite la collecte frauduleuse des données à caractère

personnel des destinataires: adresses mails, numéro de téléphone fixe ou mobile. Une telle

pratique est sanctionnée par l’article 226-18 du Code pénal par 5 ans de prison et 300.000 €

d’amende. Les victimes directes du spamming sont les abonnés et clients de l’opérateur, qui

se voient importunés ou escroqués. L’opérateur est une victime indirecte, subissant des effets

ponctuels de saturation et de détournement de ses ressources techniques.

1.1. Le spam courriel

Le courriel (e-mail) est le support le plus ancien et le plus développé du spam. Le spam

courriel est principalement utilisé à des fins publicitaires, d’hameçonnage ou de propagation

35 CGTN: JO 12 sept. 2000

______________________________

28/95

de virus. Plus précisément, le spam est une pratique consistant à envoyer en masse des e-mails

publicitaires à des personnes ne souhaitant pas les recevoir. Ces e-mails font fréquemment la

promotion illicite de produits pharmaceutiques, de sites pornographiques ou de sites de

jeux.…

1.2. Le Spam SMS

Le spammeur envoie un message SMS non-sollicité qui invite à appeler un numéro surtaxé

(08ab) ou à renvoyer un SMS surtaxé (SMS+). En réaction aux actions de prévention et de

répression systématiques de l’opérateur, les spammeurs indélicats ont fait évoluer les spams

en masquant les numéros à rappeler derrière des adresses URL et en envoyant des messages

trompeurs (proches des messages opérateur ou autres acteurs). Le spamming pourra ainsi être

assimilé à une entrave ou au fait de fausser le fonctionnement d'un système de traitement

automatisé de données.

A titre d’exemple, des utilisateurs peuvent recevoir sur leur mobile le spam suivant:«

Répondeur MMS: (1) nouveau message vidéo; a 15:37.\nCsqdq cliquez sur le lien pour

déclencher sa lecture: http://video-sms.com/5/632323224 \nAcces Gratuit».

1.3. Le Spam vocal

Le spam vocal (ou « ping call ») consiste à appeler un numéro fixe ou mobile depuis un

numéro surtaxé et à raccrocher au bout d’une ou deux sonneries, avant que l'appelé n'ait eu le

temps de décrocher. Lorsque l’appelant rappelle le numéro indiqué, qui se trouve être un

numéro surtaxé, il est alors facturé d'un coût forfaitaire par appel et d’un coût en fonction de

la durée de l'appel, sans contrepartie d’un service. Le spam vocal est une pratique frauduleuse

en pleine évolution, qui impose une veille active par les services de l’opérateur. Eu égard à

son très faible coût, le spam peut être utilisé à des fins commerciales (publicité) mais

également dans le cadre d’escroqueries nécessitant la collecte de données personnelles pour

usurper l’identité de l’internaute visé (phishing). En 2010, la CNIL a reçu 600 plaintes

relatives à la prospection commerciale pour non-respect du droit d’opposition ou du recueil

du consentement préalable des particuliers concernés36

36 www.inhesj.fr/.../ondrp/rapport.../ra2011/synthese_rapport_2011.pdf

______________________________

29/95

2. Le phishing ou hameçonnage

Le phishing, quant à lui, est une technique de fraude visant à obtenir des informations

confidentielles, telles que des mots de passe ou des numéros de cartes de crédit, au moyen de

messages ou de sites usurpant l'identité d'institutions financières ou d'entreprises

commerciales37connues et réputées. Le terme phishing est la contraction des termes anglais

«fishing» et «phreaking» désignant le piratage d’une ligne téléphonique. On précisera que le

terme «hameçonnage» est le terme français pour désigner le phishing. Cette technique peut

prendre plusieurs formes: site web, mails et SMS, appels vocaux… et avoirs des objectifs

multiples. Ainsi, alors que l’hameçonneur recherche souvent des données personnelles sur

Internet (mots de passe, information bancaire, coordonnées), les hameçonnages télécom

incitent plutôt à appeler des numéros surtaxés.

2.1. Le mode opératoire des phishers

Ils envoient des courriels en très grand nombre, à l’aide d’automates informatiques. Les

adresses des victimes sont généralement collectées illégalement ou forgées à partir de données

d’annuaires publics ou de portails sociaux. Les emails reprennent les logos et les typographies

officiels de l’entreprise phishée et demandent à l’internaute de cliquer sur un lien hypertexte

inclus dans le message. L’adresse URL du lien dans l’email est «travaillée» afin de paraître la

plus authentique possible. Les courriels amènent les internautes sur un site frauduleux imitant

parfaitement le site web phishé. Ce site frauduleux est très souvent hébergé de manière

illégale sur un serveur préalablement piraté par l’attaquant. Le site frauduleux présente des

pages web incitant la victime à saisir des données personnelles et confidentielles.

37 Définition de la Commission générale de terminologie et de néologie, JO 12 février 2006

______________________________

30/95

Exemples de phishing

2.2.1 Phishing sur Internet

Source de l’image: reflets.info

2.2.2 Le phishing SMS

«Info: Le titulaire du 06XXXXXXXX Gagne le Cheque No 1111 Composez le

0899XXXXXX pour le retirer. Jeu sous Contrôle d'Huissier\sdfsttp://stopsms.mobi».

Les victimes directes du phishing sont les abonnés et clients de l’opérateur, dont les

données personnelles seront utilisées par les fraudeurs. L’opérateur est une victime directe

lorsque le fraudeur usurpe son identité, afin de commettre ses agissements. Afin de

collecter les adresses mails, des robots sont programmés pour récupérer les données

apparaissant sur des forums. Ces emails reprennent les logos et typographies officiels de

l’entreprise Phishée et demandent à l’internaute de cliquer sur un lien URL hypertexte

inclus dans le message. L’adresse URL du lien dans l’email est « travaillée» afin de

paraître la plus authentique possible.

Par exemple: <a href=« http://www.azefdvdf.net »>http://www.sfr.com</a>

______________________________

31/95

www.azefdvdf.net constituant la balise html créant un lien hypertext et permettant

d’accéder au site frauduleux.

http://www.sfr.com étant le lien vu par l’internaute et qui le trompe. Sur le plan répressif,

le phishing pourra, (comme un certain nombre d’autres fraudes télécoms) être qualifié et

poursuivi sur les fondements de l’escroquerie38, l’usurpation d’identité39, de l’atteinte à un

système de traitement automatisé de données40, de la contrefaçon de marque41, de l’abus

de confiance42, et de la collecte frauduleuse de données nominatives43.

Section 3 : Les fraudes complexes: l’exemple de la fraude aux numéros

surtaxés

Les numéros surtaxés sont proposés par des entreprises (Éditeurs) à leurs clients, afin de leur

fournir un service dit à valeur ajoutée (SVA) accessible par téléphone, et ce, moyennant le

paiement d’une surtaxe de communication. Les numéros surtaxés sont fournis, pour leur part,

aux éditeurs par un opérateur SVA. L’appelant (le client) paiera la surtaxe à son opérateur de

boucle locale (OBL) qui est celui auprès duquel il a souscrit son abonnement téléphonique ou

sa carte prépayée. L’OBL, ainsi qu’une chaîne d’opérateurs successifs, achemineront la

communication surtaxée et procéderont au reversement de la surtaxe jusqu’à l’éditeur. La

réglementation encadre l’activité des opérateurs en les soumettant à un principe d’accessibilité

et de reversement avec une faculté de suspendre un numéro surtaxé en cas de fraude.

En pratique, la fraude consiste à appeler en masse des numéros surtaxés en piratant une ligne

de l’appelant, générant ainsi un préjudice financier pour la victime (client ou opérateur), et un

revenu «in-shore» ou «off-shore» pour le fraudeur. Les appels sont passés à l’aide de

détournement de cartes SIM, piratage de box, ping call, détournement d’IPBX…

38 Articles 313-1 et suivants du Code pénal 39 Article 434-23 du Code pénal 40 Articles 323-1 et suivants du Code pénal 41 Article L. 713-1 et suivants du Code de la propriété intellectuelle 42 Articles 314-1 et suivants du Code pénal 43 Article L. 226-18 du code pénal

______________________________

32/95

Source: Revue Cybercriminalité Cybermenaces &Cyberfraudes page 201

La fraude aux numéros surtaxés n’est pas directement sanctionnée. Dans la plupart des cas,

elle fait suite à des infractions permettant de prendre le contrôle de terminaux de

communications (hacking…) et peut donc être poursuivie au visa de ces infractions. Les

victimes directes des fraudes aux numéros surtaxés sont les abonnés, clients et les opérateurs

eux-mêmes.

______________________________

33/95

PARTIE II :

UNE CYBERCRIMINALITÉ COMBATTUE PAR LES

OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES

Chapitre I : Les outils, contemporains, de lutte contre la cybercriminalité mis

à la disposition des opérateurs de communications électroniques

Section 1 : Les sources de droit de lutte contre la cybercriminalité

1. Les sources internationales : Un cadre en mutation

La communauté internationale a pris conscience des enjeux liés au développement des

technologies numériques, notamment au travers de la Convention du Conseil de l’Europe sur

la cybercriminalité 44(23 novembre 2001) et de son Protocole additionnel (7 novembre

2002)45 Les dispositions contenues dans ces 2 textes ont été intégrées dans le droit français. Il

en est de même de la directive européenne 2000/ 31 du 8 juin 2000, relative au commerce

électronique transposée en droit français par la loi pour la confiance dans l’économie

numérique du 21 juin 2004 (LCEN), et qui précise notamment la responsabilité des

hébergeurs. Il convient aussi d’ajouter les travaux effectués au sein du G8 et notamment dans

le sous groupe « haute technologie » du groupe de Lyon qui constitue un lieu informel de

réflexion et d’orientation des politiques de sécurité des États, d’EUROPOL ou du groupe de

travail sur la criminalité liée aux technologies d’informations d’INTERPOL.

1.1. La convention sur la cybercriminalité

Les États ont pris conscience de la nécessité d’une approche transfrontalière de la

cybercriminalité, notamment en raison de la dimension internationale de cette forme de

délinquance.

44 conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185 45 https://wcd.coe.int/ViewDoc.jsp?id=293309&Site=CM[Consulté le 1er mai 2012]

______________________________

34/95

1.1.1. Le texte fondateur

Dès 1996, le Conseil de l’Europe créait un comité d’experts chargé de rédiger un instrument

juridique contraignant en matière de cybercriminalité. Mais, la Convention de Budapest

(Hongrie) du Conseil de l’Europe sur la cybercriminalité n’a finalement vu le jour que le 25

mai 2001. Elle a été signée par la France et par plusieurs États, membres ou non du Conseil de

l’Europe, le 23 novembre 2001, et est entrée en vigueur après l’achèvement des procédures

de ratification le 1er juillet 2004. Elle ne s’applique donc que depuis 8 ans. En septembre

2011, la Convention de Budapest comptait trente deux ratifications et adhésions et soixante

signatures, certains pays signataires ne l’ayant pas encore ratifiée. Les États-Unis qui ont

signé et ratifié la Convention dès le 23 novembre 2001, ont adopté une démarche visant à

promouvoir celle-ci comme une norme générale de lutte contre la cybercriminalité. Cette

Convention est la première Convention pénale à vocation universelle adoptée pour lutter

contre la délinquance informatique. C’est le seul instrument juridique international en matière

de lutte contre la cybercriminalité qui sert de ligne directive à de nombreux pays. Elle vise à

réprimer les crimes commis au moyen et sur les réseaux informatiques. Ainsi, elle s’articule

autour de trois objectifs :

- L’harmonisation des législations nationales quant aux incriminations relevant de la

Convention

- L’adaptation des moyens procéduraux au support spécifique que constitue l’Internet

tout en veillant au respect et à la garantie des libertés individuelles

- conformément aux Conventions européennes d’entraide et d’extradition judiciaire, la

mise en place de moyens d’actions rapides et efficaces.

Premier texte international établi dans le cadre de la lutte contre ce fléau, la Convention a

pour principal objectif d’encourager les États parties à prendre des mesures en matière pénale

pour assurer une protection effective contre la cybercriminalité, notamment par l’adoption

d’une législation appropriée et le renforcement de la coopération entre États.

En l’espèce, il s’agissait donc de parvenir à adapter «le temps procédural au temps

numérique», pour reprendre une expression de Frédérique Chopin46, ceci dans une perspective

d’harmonisation des législations et malgré l’obstacle que peut constituer le principe de

46 Maître de conférences en droit privé et sciences criminelles à Aix, Marseille 2

______________________________

35/95

compétence territoriale des juridictions nationales. En effet, une infraction reconnue dans tel

pays ne le sera pas forcément dans tel autre.

1.1.2. L’apport du Protocole additionnel du 7 novembre 2002

Lors des rencontres et discussions préalables à la Convention dite «de Budapest», le comité

d'experts n'avait pas adopté les propositions des délégations allemande et française concernant

l ' incrimination des comportements racistes et xénophobes sur internet en raison de

l'opposition de diverses délégations, qui invoquaient le principe de la liberté d'expression

(Canada, États -Unis et Japon notamment). Aussi le Conseil de l'Europe suggéra-t-il dès 2001

l'élaboration d'un Protocole additionnel spécifique. La France a d’ailleurs eu un rôle moteur

dans son élaboration. Ce Protocole (adopté le 7 novembre 2002 par le Conseil de l'Europe et

ouvert à la signature à Strasbourg, le 28 janvier 2003, à l'occasion de la première session 2003

de l'Assemblée parlementaire du Conseil de l'Europe) est un complément essentiel à la

Convention de Budapest. Alors que les développements technologiques, économiques et

commerciaux rapprochent les peuples du monde entier, la discrimination raciale, la

xénophobie et d'autres formes d'intolérance continuent d'exister dans nos sociétés. La

mondialisation présente des risques pouvant conduire à l'exclusion et à l'accroissement des

inégalités, très souvent sur une base raciale et ethnique. En particulier, l'apparition de réseaux

de communication globale comme Internet offre à certaines personnes des moyens modernes

et puissants pour soutenir le racisme et la xénophobie et pour diffuser facilement et largement

des contenus exprimant de telles idées. Pour pouvoir mener des enquêtes et poursuivre les

personnes coupables de ces délits, la coopération internationale est essentielle. La Convention

sur la cybercriminalité a été élaborée pour permettre une entraide concernant les crimes

informatiques au sens large du terme, a été conçue de manière souple et moderne. Le

Protocole, quant à lui, poursuit deux objectifs: premièrement, harmoniser le droit pénal

matériel dans la lutte contre le racisme et la xénophobie sur l'Internet et deuxièmement,

améliorer la coopération internationale dans ce domaine. Une harmonisation de ce type

facilite la lutte contre cette criminalité aux niveaux national et international. Le fait de prévoir

des infractions correspondantes dans le droit interne peut prévenir l'abus des systèmes

informatiques à des fins racistes dans des pays qui n'ont pas une législation très bien définie

dans ce domaine. La coopération internationale (en particulier l'extradition et l'entraide

______________________________

36/95

judiciaire) se trouve facilitée47.

1.1.3. Le Projet d’une Convention universelle de la cybercriminalité

Le 13 avril 2011, lors du Douzième Congrès des Nations Unies pour la prévention du crime et

la justice pénale, les délégations se sont interrogées sur la pertinence d’un nouvel instrument

international pour lutter contre la cybercriminalité. Ainsi, une dizaine de pays ont partagé

leurs initiatives nationales et souligné la nécessité de renforcer l’assistance technique en

direction des pays en développement. Les intervenants ont exprimé des positions divergentes

sur la nécessité d’élaborer ou non un nouvel instrument international de lutte contre la

cybercriminalité, qui viendrait compléter la Convention de Budapest sur la criminalité

adoptée en 2001 par le Conseil de l’Europe. Pour le représentant de l’Espagne, qui parlait au

nom de l’Union européenne, le renforcement de l’arsenal juridique international de lutte

contre la cybercriminalité ne passe pas nécessairement par l’élaboration d’un autre

mécanisme. Il a en effet estimé que l’utilisation des dispositions de procédure de la

Convention de Budapest pour contrecarrer la fraude informatique, la pornographie impliquant

des enfants ainsi que des infractions liées à la sécurité des réseaux, dépendait d’abord de la

volonté politique des États. Le représentant de la République de Corée a, quant à lui, indiqué

que son pays se concentrait sur la prévention des actes cybercriminels : « D’un point de vue

politique, il faut mettre l’accent sur la nécessité de préserver les formidables avancées

sociales et économiques que représentent les nouveaux réseaux d’information», a-t-il estimé.

Il a cependant reconnu l’urgence de freiner le développement d’infractions qui permettent à

leurs auteurs de circuler sans entrave dans le temps et dans l’espace.

Toutefois même si les intérêts divergent, il est certain que la mise en place d’une

collaboration internationale et européenne est désormais indispensable pour pouvoir lutter

contre ce phénomène.

1.2. Les sources communautaires

Dans ce contexte, il convient de mentionner le soutien actif et incontestable de l’Union

européenne vis à vis de La Convention de Budapest. En effet, à l’occasion du sommet

européen, les chefs d État et de gouvernement ont adopté le 11 décembre le programme de

47 www.senat.fr › ... › Rapports › Rapports législatifs[Consulté le 7 mai 2012]

______________________________

37/95

Stockholm.48 Ce dernier a établit les priorités de l’Union européenne (UE) dans le domaine de

la justice, de la liberté et de la sécurité pour la période 2010-2014. Ce programme souligne le

rôle de la Convention en tant que norme générale que l’Union européenne souhaite

promouvoir afin de lutter contre la cybercriminalité. Il recommande l’élaboration d’une

stratégie de sécurité intérieure de l’UE en vue d’améliorer la protection des citoyens et la lutte

contre la criminalité organisée et le terrorisme. Dans un esprit de solidarité, la stratégie aura

pour objectif de renforcer la coopération policière et judiciaire en matière pénale, ainsi que la

coopération dans la gestion des frontières, la protection civile et la gestion des catastrophes.

La stratégie de sécurité intérieure sera constituée d’une approche proactive, horizontale et

transversale, avec des tâches clairement réparties entre l’UE et ses pays. Elle mettra l’accent

sur la lutte contre la criminalité transfrontalière, notamment sur la cybercriminalité49. Ainsi,

L'Union européenne a pris diverses initiatives pour lutter contre la cybercriminalité en

adoptant plusieurs directives.

1.2.1. Le texte fondateur

En octobre 1995 a été adoptée la directive 95/46/CE qui constitue le texte de référence, au

niveau européen, en matière de protection des données à caractère personnel. Celle-ci met en

place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection

de la vie privée des personnes et la libre circulation des données à caractère personnel au sein

de l'Union européenne. Pour ce faire, la directive fixe des limites strictes à la collecte et à

l'utilisation des données à caractère personnel et demande la création, dans chaque État

membre, d'un organisme national indépendant chargé de la protection de ces données. Tous

les États membres ont maintenant transposé la directive. Néanmoins, les actions entreprises au

sein de l'UE restent encore insuffisantes pour faire face aux menaces que représentent les

courriels, les espiogiciels et les logiciels malveillants. Internet étant un réseau mondial, la

Commission européenne souhaite développer le dialogue et la coopération avec les pays tiers

concernant la lutte contre ces menaces et les activités criminelles qui y sont associées.

48 www.europarl.europa.eu/.../stockholm_programme_council_conclusi[Consulté le 10 mai 2012] 49 europa.eu/legislation_summaries/human_rights/.../jl0034_fr.htm[Consulté le 10 mai 2012]

______________________________

38/95

1.2.2. Les textes récents

a. La directive 2011/92/UE

Le 13 décembre 2011, l'Union européenne a adopté la directive 2011/92/UE relative à

l'exploitation sexuelle des enfants en ligne et à la pédopornographie qui remplace la décision

cadre 2004/68/JAI du Conseil (Directive n° 2011/92/UE du 13 déc. 2011, JOUE 17 déc. L.

335/1)50. L’objectif de cette directive est d’aller au-delà de la décision cadre abrogée par une

approche plus globale de la lutte contre l’exploitation sexuelle des enfants en prenant en

compte l’engagement des poursuites, la protection des victimes et la prévention des

infractions. La majeure partie des dispositions de la directive a trait aux incriminations des

infractions (abus sexuels, exploitation sexuelle, pédopornographie…) et prévoit des peines

d’emprisonnement minimum ainsi que des circonstances aggravantes. La directive invite les

États membres à retenir la responsabilité pénale des personnes morales pour ces infractions, à

prévoir des délais de prescription larges et la possibilité pour les professionnels en contact

avec des enfants de passer outre le secret professionnel pour signaler des abus sur enfants.

Le texte prévoit également des règles de compétence des États membres extensives. Plusieurs

mesures destinées à encadrer la procédure afin de protéger les enfants victimes sont

préconisées (limitation des auditions par des personnes spécialement formées, audience à

huis-clos…). On notera également que le texte organise la prévention de ces infractions en

préconisant, entre autre, une évaluation de la dangerosité des personnes condamnées. Cette

directive devra être transposée le 18 décembre 2013 au plus tard mais le droit français est déjà

globalement en conformité avec ce texte.

b. La proposition de Directive du 30 septembre 2010

Enfin on évoquera la proposition de Directive du Parlement Européen et du Conseil relative

aux attaques visant les systèmes d’information et abrogeant la décision cadre 2005/222/JAI du

Conseil51 de l’Europe a été déposée le 30 septembre 201052. Cette proposition intervient à la

suite de la décision cadre visant à renforcer la coopération entre les autorités judiciaires et les

autres autorités compétentes, notamment la police et les autres services spécialisés chargés de

l’application de la loi entre les États membres. La présente proposition tient compte des

50 eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2012... 51 www.senat.fr › Europe et International › Europe › Textes européens[Consulté le 11 mai 2012] 52 Proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d’information et abrogeant la décision-cadre 2005/222/JAI du Conseil [COM(2010)517final]

______________________________

39/95

nouvelles méthodes adoptées pour commettre des infractions informatiques, notamment le

recours aux «botnets»53 ou «réseaux zombies», procédés que ne visait pas la décision-cadre. Il

s’agit d’un groupe d’ordinateurs contaminés par des logiciels malveillants (les virus

informatiques). Un tel réseau d’ordinateurs compromis, les «zombies», peut être activé à

distance par une personne pour exécuter certaines actions, comme demander à des ordinateurs

d’attaquer des systèmes d’informations (cyber attaques). Les «zombies» peuvent être

contrôlés, fréquemment, à l’insu de leurs utilisateurs, par un autre ordinateur, appelé «centre

de commande et de contrôle». La ou les personnes qui gèrent ce centre sont souvent les

« cerveaux » de ces opérations et sont évidemment les auteurs de l’infraction. Il n’est pas aisé

de définir la taille des réseaux « zombies » mais les plus grands qui ont été observés à date

auraient constitué entre 40 000 et 100 000 connexions, et autant d’ordinateurs contaminés, par

période de 24 heures.

Sur un plan international, la convention du Conseil de l’Europe sur la cybercriminalité, signée

le 23 novembre 2001, a créé un cadre exhaustif et cohérent couvrant les différents aspects de

la cybercriminalité, elle est aujourd’hui considérée comme étant la norme internationale la

plus satisfaisante en la matière. Toutefois, bien que les dispositions de la décision cadre aient

été, dans l’ensemble, transposées par les États membres, le texte comporte plusieurs lacunes

imputables à l’évolution de la taille et du nombre d’infractions. Il ne tient pas non plus

suffisamment compte de la gravité des infractions et ne prévoit pas de sanction à leur mesure.

En conséquence, les objectifs de la proposition doivent nécessairement être réalisés au niveau

de l’Union européenne, car la cybercriminalité et les attaques visant les systèmes

d’information ont une dimension transfrontalière considérable. La proposition doit poursuivre

le rapprochement du droit pénal des États membres et de leurs règles de procédure. Ainsi,

cette proposition permettra alors d’empêcher les délinquants de s’installer dans des États

membres ayant une législation plus laxiste en la matière, technique appelée le «law

shopping». L’établissement de définitions communes permettra également d’échanger des

informations et de rassembler et comparer les données pertinentes. Au terme d’une analyse

des incidences économiques, sociales et sur les droits fondamentaux («analyse d’impact»),

53 www.altospam.com/actualite/2012/05/statistiques-sur-le-botnet/[Consulté le 11 mai 2012]

______________________________

40/95

deux options d’action ont été retenues conjointement :

- La première prévoit «l’élaboration d’un programme intensifiant les efforts de lutte

contre les attaques visant les systèmes d’information par des mesures non

législatives». Sont notamment visés des instruments non contraignants permettant une

coordination au niveau de l’Union, la mise en place d’un réseau de point de contact

public-privé régissant les experts en cybercriminalité et les forces de l’ordre et

l’élaboration d’un modèle européen d’accord sur le niveau de service pour la

coopération des services répressifs avec des opérateurs du secteur privé.

- La seconde concerne «la mise à jour sélective des dispositions de la décision cadre».

Il s’agit de l’introduction d’une législation spécifique ciblée pour prévenir les attaques

majeures, accompagnée de mesures non législatives en vue d’intensifier la coopération

transfrontalière. Il est à noter que l’adoption de la proposition entraînera l’abrogation de la

législation existante. En revanche, la Directive reprendra ses dispositions actuelles et inclura

de nouveaux éléments. En ce qui concerne le droit pénal matériel général, la directive

incrimine la production, la vente, l’acquisition en vue de l’utilisation, l’importation, la

distribution ou la mise à disposition par d’autres moyens de dispositifs/outils utilisés pour

commettre ses infractions. Elle prévoit des circonstances aggravantes telles que la grande

ampleur des attaques (sont ici visées les réseaux zombies ou dispositifs similaires) ou lorsque

ces dernières sont commises en dissimulant l’identité réelle de l’auteur, tout en causant un

préjudice au titulaire légitime de l’identité. La directive sera conforme aux principes de

légalité et de proportionnalité des infractions et sanctions pénales, et compatible avec la

législation existante sur la protection des données à caractère personnel. Cette Directive a créé

l’infraction «d’interception illégale», soit «l’interception intentionnelle, par des moyens

techniques, de transmissions non publiques de données informatiques vers un système

d’information ou à partir ou à l’intérieur d’un tel système, y compris d’émissions

électromagnétiques à partir d’un système d’information contenant des données

informatiques». Elle introduit des mesures pour améliorer la coopération européenne en

matière de justice pénale en consolidant la structure existante des points de contact (du G8 ou

du Conseil de l’Europe), disponibles 24 heures sur 24 et 7 jours sur 7. L’obligation de donner

suite à une demande d’assistance émise par les points de contact opérationnels dans un certain

______________________________

41/95

délai est alors proposée. Enfin, elle répond aux besoins d’établir des statistiques sur les

infractions informatiques en imposant aux États membres la mise en place d’un dispositif

approprié d’enregistrement, de production et de communication de statistiques sur les

infractions énumérées dans la décision-cadre existante et la nouvelle infraction

d’«interception illégale».

Dans les définitions des infractions pénales énumérées aux articles 3, 4 et 5 (accès illégal à

des systèmes d’information, atteinte à l’intégrité d’un système et atteinte à l’intégrité des

données), lors de la transposition en droit national n’ont été incriminés que les «cas qui ne

sont pas sans gravité». Cette disposition permet de ne pas inclure les cas qui seraient déjà

couverts par la définition de base, mais dont il est considéré qu’ils ne nuisent pas à l’intérêt

protégé. Il s’agit notamment des actes commis par des jeunes gens voulant prouver leur

savoir-faire en technologie de l’information. L’incitation, la complicité et la tentative sont

également visées. Les sanctions prises par les États membres devront être «effectives,

proportionnées et dissuasives», tant à l’égard des personnes physiques que des personnes

morales. En effet, leur responsabilité n’est pas exclue et nécessite de «prendre les mesures

nécessaires» pour sanctionner les personnes morales déclarées responsables.

Cette proposition devrait être adoptée en 201254.

2. Le dispositif législatif et réglementaire français: vers un arsenal répressif de plus

en plus spécifique

A partir des années 1980, la criminalité informatique en France n’a fait l’objet d’aucune

disposition législative visant à la réprimer. A l’époque, il s’agissait d’un phénomène marginal

et mal connu. Toutefois, cette nouvelle délinquance a conduit le législateur à mener une

réflexion sur l’utilisation des nouvelles technologies afin d’adapter la réponse pénale. Dans ce

contexte, de nombreux textes furent adoptés ces dernières années avec la volonté de créer un

«arsenal de la cyber sécurité»55.

La cybercriminalité est constituée par des délinquants le plus souvent des « geeks »qui

utilisent les systèmes et les réseaux informatiques, soit pour commettre des infractions

spécifiques à ces systèmes et réseaux informatiques, soit pour développer ou faciliter des

54 Proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information, COM (2010) 517 final, 30 septembre 2010 55 www.e-juristes.org/les-perspectives-penales-de-la-loppsi-2-en-matiere[Consulté le 6 juin 2012]

______________________________

42/95

infractions qui existaient avant l’arrivée de l’Internet. Il était donc indispensable de faire

évoluer l’arsenal répressif en vue de l’adapter aux nombreuses possibilités de commission

d’infractions offertes par Internet.

2.1. Les lois fondatrices du dispositif de lutte contre la cybercriminalité

2.1.1. La loi informatique et libertés de 1978

Depuis la loi Informatique et Libertés du 6 janvier 1978 qui a conduit à l’intégration dans le

Code pénal d’incriminations liées à la criminalité informatique (atteintes aux systèmes de

traitement informatisés de données, infractions en matière de fichiers ou de traitements

informatiques), les textes n’ont cessé d’évoluer.

2.1.2. La loi Godfrain

La première réforme importante est celle intervenue avec l’adoption de la loi du 5 janvier

1988 relative à la fraude informatique56, dite loi Godfrain, du nom de son initiateur. Elle a mis

en place des dispositions propres à la cybercriminalité qui ont été intégrées dans le nouveau

Code pénal( 7 nouveaux articles), entré en vigueur le 1er mars 1994.Ces clauses ont vocation à

sanctionner les atteintes aux systèmes de traitement automatisé de données(S.T.A.D), et plus

particulièrement le non-respect de la confidentialité, de l’intégrité et de la disponibilité des

données et systèmes informatiques. Ce type d’infractions est régi par les articles 323-1 à 323-

7 du Code Pénal dont les sanctions ont été par la suite aggravées par la Loi pour la confiance

dans l’Économie Numérique, qui, tout en conservant la rédaction des articles, a fortement

augmenté les peines liées à ces comportements. Cette loi visait à compléter le régime pénal

français afin de permettre la répression de certaines formes inédites de fraude telles que le vol

de temps machine, de données ou de logiciels. Ceux-ci ne constituant pas des «choses» mais

des biens immatériels qui n’emportent pas «soustraction» ou «dépossession» de leur

propriétaire. Cette volonté a été confirmée par la chambre criminelle de la Cour de cassation

en 200857 en qualifiant de vol « de contenu informationnel» le fait, pour un salarié d’avoir

copié des supports matériels le contenu de fichiers appartenant à son employeur.

56 Loi.n°88-19, 5 janv.1988, relative à la fraude informatique, JO 6 janv. p.231, dite loi Godfrain 57 Crim.4 mars 2008, n° 07-84.002, NP, D.2008, somm.2213, obs. Detraz ; CCE 2008, étude n° 25, note Huet.

______________________________

43/95

Depuis la loi dite Godfrain d’autres réformes importantes ont eu lieu avec l’adoption de

plusieurs textes.

2.2. Les réformes visant à renforcer le dispositif de lutte contre la

cybercriminalité

2.2.1. La loi relative à la sécurité quotidienne (LQS)

Il s’agit de la loi n° 2001-1062 du 15 novembre 2001, qui a été votée à peine deux mois après

les attentats du 11 septembre 2001. Ce texte oblige les fournisseurs d'accès à Internet (FAI), à

conserver pendant un an les informations sur les activités de leurs clients. Les informations

concernées sont relatives aux courriers électroniques et autres activités Internet. La loi

autorise les juges à recourir aux «moyens de l'État soumis au secret de la Défense nationale»

pour décrypter des informations chiffrées. Dans ce cas, les créateurs de logiciel de

cryptographie doivent fournir aux autorités les algorithmes de chiffrement.

2.2.2. La loi sur la sécurité intérieure

La loi n° 2003-239 pour la sécurité intérieure a été adoptée le 18 mars 2003. Cette loi crée de

nouveaux délits et donne des pouvoirs accrus aux policiers et gendarmes afin de réprimer les

"nouvelles formes de délinquance". Elle permet la fouille des coffres de véhicules dans

certaines circonstances, par les services de police, sous contrôle de l’autorité judiciaire, ainsi

que l’inscription de nouvelles informations dans les fichiers de recherche criminelle

notamment le fichier des empreintes génétiques (FNAEG), ainsi que le blocage des

téléphones portables volés via les opérateurs de téléphonie mobile.

2.2.3. La loi Perben II

Il s’agit de la loi n° 2004-204 du 9 mars 2004 portant adaptation de la justice aux évolutions

de la criminalité, créant un régime spécial pour ce qui est qualifié de crime organisé ou

délinquance organisée. Ce texte légalise les missions d'infiltration menées par le SIAT

(Service interministériel d'assistance technique). En effet, il prévoit la faculté d’infiltration

« pour un officier ou un agent de police judiciaire spécialement habilité dans des conditions

fixées par décret et agissant sous la responsabilité d’un officier de police judiciaire chargé de

coordonner l’opération ». Les informations tirées d'une telle mission peuvent désormais être

______________________________

44/95

incluses dans le dossier d'instruction. Elle introduit en droit français la notion de mandat

d'arrêt européen.

2.2.4. La loi pour la Confiance dans l’économie numérique

La loi n° 2004-575 du 21 juin 2004, plus connue sous le nom de LCEN, elle constitue un

renforcement de la loi Godfrain de 1988. En effet, La LCEN prévoit une nouvelle

incrimination dans le fait d’importer, de détenir, d’offrir, de céder ou de mettre à disposition

un équipement, un instrument, un programme informatique ou toute donnée conçus ou

spécialement adaptés pour commettre une ou plusieurs infractions prévues par les articles

323-1 à 323-3 du Code pénal, et ce, sans motifs légitimes. Elle a également clairement établi

un partage de responsabilité entre les hébergeurs (prestataire technique mettant à disposition

des facilités de stockage) et les éditeurs (responsable de la mise en ligne et de la mise en avant

des contenus). Cette distinction a permis l’épanouissement de nouveaux acteurs, et de leur

responsabilisation vis-à-vis du droit commun et du droit d’auteur. La LCEN forme

aujourd’hui un socle qu’il convient d’entretenir pour donner à l’écosystème des services de

l’Internet français les gages de sécurité favorables à l’investissement. Dorénavant, la

responsabilité des hébergeurs et des fournisseurs d'accès à Internet est encadrée. Ainsi, les

hébergeurs et les FAI n'ont pas une obligation de surveillance générale des contenus Internet,

mais ils doivent concourir activement à la lutte contre trois activités particulièrement

répréhensibles, que sont, les crimes contre l'humanité, l’incitation à la haine raciale et à la

pornographie enfantine. Ils ont notamment une obligation de dénonciation de toute activité de

ce type qui serait exercée au travers des services qu'ils rendent. Ces dispositions ne touchent

pas seulement les FAI mais toutes les entreprises, dans la mesure où la notion de " public "

semble devoir être entendue très largement. Les entreprises devront donc dénoncer les salariés

qui stockeraient ou échangeraient du contenu constitutif de crime contre l'humanité, haine

raciale ou pornographie enfantine. En outre, cette loi a modifié l’article 94 du Code de

procédure pénale relatif à l’inclusion des données informatiques dans la liste des pièces

susceptibles d’être saisies lors des perquisitions réalisées en flagrant délit ou au cours d’une

instruction.

______________________________

45/95

2.2.5. La loi relative aux communications électroniques et aux services de

communication audiovisuelle

Cette loi n° 2004- 669 du 9 juillet 2004 transpose un ensemble de directives européennes

communément dénommées « paquet télécoms ». Elle s’articule autour de trois principes

essentiels :

- La convergence entre les télécommunications et l’audiovisuel, qui sont regroupés sous

l’appellation de réseaux de communications électroniques.

- L’adaptation du cadre de régulation de ces réseaux de communication, l’ART

(Autorité de régulation des télécommunications) devenue l’ARCEP étant en charge

des questions de régulation économique et le CSA (Conseil supérieur de l’audiovisuel)

ayant désormais une compétence élargie à tous les modes de diffusion de la radio et de

la télévision (hertzien, câble, satellite, ADSL, Internet).

- Enfin, la mise en place d’un régime favorisant la concurrence (assouplissement ou

suppression des obligations pesant sur les opérateurs de communications

électroniques).

2.2.6. La Loi d’Orientation et de Programmation pour la Performance de la

Sécurité Intérieure 2

La loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance

de la sécurité intérieure plus connue sous la dénomination de LOPPSI 2 a, d’une part, institué

le délit d’usurpation d’identité numérique, cette disposition devrait permettre de lutter plus

efficacement contre les manœuvres, parfois canularesques, parfois plus malveillantes,

d'ouverture d'un compte sur un réseau social au nom d'une autre personne, ou encore l'envoi

d'un courriel en utilisant l'adresse d'envoi d'un tiers, sans parler des plus lourdes usurpations

de l'identité totale, avec utilisation de moyens de paiement piratés. Existant déjà dans certains

pays (le Royaume-Uni par exemple) ce délit manquait réellement à notre arsenal pénal et il

était jusque-là très difficile d'user d'autres armes pénales pour le faire condamner. D’autre

part, la LOPPSI 2 a modifié les articles L34-3 et L39-2 du Code des postes et des

communications électroniques58. Dans le cadre de la lutte contre le vol des mobiles, cette loi a

58 http://www.legifrance.com [Consulté le 20 avril 2012]

______________________________

46/95

simplifié le processus de blocage. Dorénavant, obligation est faite à l’opérateur d’effectuer le

blocage du mobile concerné (par le numéro IMEI), dans un délai de 4 jours à compter de la

réception, par lui-même, de la déclaration de vol. En revanche, l’opérateur a l’obligation

d’attendre le dépôt de plainte pour opérer le blocage du mobile ayant fait l’objet d’un vol. En

cas de non-respect de cette obligation il encourt une sanction pénale. Ce dispositif, existant

depuis 2003 a été amélioré par la LOPPSI 2. Il connaît toutefois ses limites. En effet il ne tient

pas compte du fait que les utilisateurs de portable ne déposent pas systématiquement plainte et

que le blocage ne fonctionne que sur le territoire français. Ainsi, si le téléphone est envoyé à

l’étranger il fonctionnera...

2.3. Les textes récents tendant vers un arsenal répressif spécifique à la

cybercriminalité

2.3.1. L’ordonnance relative aux communications électroniques

On s’attardera sur ce texte réglementaire du 24 août 2011 (J.0 26/08/2011) qui transpose la

directive européenne «Vie privée et communications électroniques» et qui crée une obligation

de notifier à la CNIL les failles de sécurité, obligation qui pèse aujourd’hui uniquement sur

les opérateurs de communications électroniques (nouvel article 34 bis dans la loi Informatique

et libertés). Cet article transpose l'obligation de notification des violations de données à

caractère personnel prévue par la directive 2002/58/CE modifiée dite "Paquet Télécom". Cette

obligation a été insérée dans la loi informatique et libertés bien qu'elle ne concerne pas toutes

les entreprises, mais seulement les fournisseurs de services de communications électroniques.

Les mesures d'application ont été précisées par le décret n°2012-436 du 30 mars 2012. En

outre, cette modification de l’article 34 bis à la loi du 6 janvier 1978, a tout naturellement

conduit la CNIL à inscrire la question relative à la notification des "violations de données à

caractère personnel" par les fournisseurs de services opérateurs de communications

électroniques à son programme des contrôles pour l’année 2012. L’infraction de violation de

données à caractère personnel ou faille de sécurité est caractérisée lorsqu’il y a violation de la

sécurité des données à caractère personnel transmises, stockées ou traitées. Cette violation

peut avoir lieu de façon accidentelle ou de manière intentionnelle. L’auteur peut être une

ressource interne (collaborateur), une ressource en sous-traitance ou un tiers sans lien avec

l’entreprise concernée. Ainsi on donnera quelques exemples caractéristiques comme la

______________________________

47/95

parution dans les annuaires papier et en ligne de coordonnées de clients inscrits sur liste

rouge, l’envoi par e-mail à un tiers d’informations personnelles (facture dématérialisée,

notification Hadopi…), la faille technique sur un portail WEB exploité par un «attaquant» et

donnant accès à des données clients. Dans un article publié sur son site le 28 mai 201259, la

CNIL cite quelques exemples qui seraient constitutifs d’une violation, tels que l’intrusion

dans la base de données de gestion d’un FAI, un email confidentiel destiné à un client d’un

FAI, diffusé par erreur à d’autres personnes, ou encore la perte d’un contrat papier d’un

nouveau client par un agent commercial d’un opérateur mobile dans une boutique.

Les opérateurs de communications électroniques doivent par conséquent, et en vertu de

l’article 34 de la loi informatique et libertés, prendre toutes les mesures nécessaires (de nature

technique ou opérationnelle) pour préserver la sécurité des données et, notamment, empêcher

qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. En cas

d’existence d’une faille, ils doivent notifier la faille à la CNIL sans délai. Ils doivent

également avertir sans délai l’abonné ou l’intéressé concerné par la faille en cas de violation

de ses données personnelles ou d’atteinte à sa vie privée c'est-à-dire en cas de situation

préjudiciable à la personne physique dont les données ont été révélées ou utilisées à tort (ex:

violation ayant entraîné le vol ou l’usurpation d’identité, l’atteinte à l’intégrité physique de la

personne, ou une humiliation grave ou une réputation entachée). Cette information de

l’abonné/ intéressé n’est pas nécessaire dans tous les cas si la CNIL a constaté que des

mesures de protection appropriées ont été mises en œuvre par l’opérateur concerné afin de

rendre les données, objet de la faille, incompréhensibles à toute personne non autorisée à y

avoir accès. Toutefois, la CNIL peut, après avoir examiné, la gravité de la violation, exiger de

l’opérateur une information de l’abonné/intéressé. En outre, obligation est faite aux opérateurs

de tenir un inventaire interne des failles de sécurité (effets, mesures prises) à conserver à la

disposition de la CNIL. Le système répressif mis en place par l’ordonnance du 24 août 2011

prévoit différentes sanctions dans certaines situation comme, en cas de défaut de notification

des failles à la CNIL (article 226-17-1 du Code pénal)60, en cas de défaut d’information de

l’abonné/ intéressé à la suite d’une faille61, en cas de non-respect de la mise en demeure de la

59 www.cnil.fr/...telecoms/.../la-notification-des-violations-de-donnees-a...[Consulté le 15 mai] 60 Sanctions pénales : 5 ans d’emprisonnement + 300 000 euros d’amende pour les personnes physiques/ 1500 000 euros pour la personne morale (art. 226-24, 131-38 du Code pénal) 61 Sanctions pénales : 5 ans d’emprisonnement + 300 000 euros d’amende/ 1500 000 euros pour la personne morale

______________________________

48/95

CNIL (article 47 de la loi I&L)62 ,en cas de défaut de sécurité des données (article 226-17 du

Code pénal)63.

2.3.2. La loi sur la protection de l’identité

Enfin, on notera un renforcement de la protection de l’identité avec l’adoption de la loi n°

2012-410 du 27 mars 201264. La finalité première de ce texte est de garantir une fiabilité

maximale aux passeports et aux cartes nationales d'identité (CNI), afin de lutter contre les

délits liés à l'usurpation d'identité et à la fraude documentaire. Par ailleurs, le texte prévoit les

conditions du contrôle des documents d'état civil fournis à l'appui d'une demande de

délivrance de CNI ou de passeport (article 4), ainsi que les modalités du contrôle d'identité à

partir du titre d'identité. Ensuite, le Code pénal est complété par l'article 965 afin d'aggraver la

répression pénale des infractions d'accès, d'introduction, de maintien frauduleux dans un

système de traitement automatisé de données à caractère personnel, d'entrave à son

fonctionnement ou de modification ou de suppression frauduleuse des données qu'il contient,

lorsque ces faits sont commis à l'encontre d'un système de traitement automatisé mis en œuvre

par l’État. Lorsque cette infraction a été commise dans ce cas, la peine est portée à 7 ans

d'emprisonnement et à 100.000 euros d'amende. Enfin, il sera fait mention de tout cas

d'usurpation d'identité dans les rectifications d'actes d'état civil. Le législateur a en effet prévu

à l'article 11 que "toute décision juridictionnelle rendue en raison de l'usurpation d'identité

dont une personne a fait l'objet et dont la mention sur les registres de l'état civil est ordonnée

doit énoncer ce motif dans son dispositif."

Section 2 : Un dispositif technique et organisationnel

Cependant, que la menace vienne de l’intérieur ou de l’extérieur, elle vise des éléments

critiques de l’entreprise : les données et informations sensibles. La quantité de données et 62 Sanction administrative pécuniaire de la CNIL : de 150 000 euros à 300 000 euros. 63 Sanctions pénales : 5 ans d’emprisonnement, 300 000 euros d’amende pour le dirigeant personne physique et 1.500 000 euros pour l’opérateur. 64 www.legifrance.gouv.fr/affichTexte.do?cidTexte...categorieLien... [Consulté le 6 juin 2012] 65 L’article 323-1 est complété par un alinéa ainsi rédigé : « Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à cinq ans d’emprisonnement et à 75 000 € d’amende. »

______________________________

49/95

d’informations générées par les entreprises étant gigantesque et exponentielle, elle peut donc

représenter un avantage compétitif pour ces dernières, mais uniquement si leur accès et leur

utilisation sont sécurisés. Une bonne connaissance de ces informations, de leur localisation,

des processus et des traitements clés, des personnes habilitées à y accéder, et surtout des

comportements « normaux », doit donc représenter des priorités pour les entreprises. Il n’y a

cependant pas de réponse « toute faite » ou de remède miracle en la matière.

1. Un dispositif technique

1.1. Des mécanismes spéciaux mis en place pour une recherche d’efficacité

1.1.1. Contre le spamming

a. Le 33700 spam “sms”

Une information est présente sur le site institutionnel de l’opérateur, au travers duquel les

clients et le public sont informés du spamming mobile, de ses dangers, de sa prévention et du

comportement à adopter face à la fraude (http://www.sfr.fr/securite-sante/spam/).Un numéro

spécifique est à la disposition des victimes de spamming, soit: le «33700 spam sms». Ce

dispositif est géré par l’association SMS+, engagée dans la lutte contre le spam mobile

(signalement, blocage, actions en justice contre les spammeurs…) et qui regroupe tous les

opérateurs.

En pratique:

Source: Revue Cybercriminalité Cybermenaces & Cyberfraudes page 202

______________________________

50/95

L’opérateur intègre des protections à son infrastructure de réseau mobile avec un dispositif de

détection et de coupure automatique du trafic identifié «spam». Chaque soir, le 33700 envoie

un fichier de signalement à l’opérateur mobile relatif à un spam sms et comprenant les

données pertinentes. A partir de cette information, l’opérateur évalue les suites à donner à

l’encontre des contrevenants dans la mesure où ils seraient identifiés.

b. L’association signal spam

Les clients et le grand public sont informés, via le site institutionnel des opérateurs, des

dangers du spamming fixe, de sa prévention et du comportement à adopter face à la fraude

(http://www.sfr.fr/securite-sante/spam/). Ainsi a été créé «Signal spam» qui est une

association regroupant les opérateurs et les acteurs de l’Internet, contre le spam.

Avec le plan de développement de l’économie numérique France 2012, l’action de Signal

Spam dans la lutte contre les pourriels (spams) et les pratiques de phishing a été amplifiée et

mise en liaison avec le Conseil national du numérique, afin d’accroître la confiance des

internautes dans la société de l’information et de réduire les coûts supportés par les entreprises

du fait de ces pratiques.

c. L’application Anti-Spam de SFR

Cette application est disponible depuis le 6 avril 2012. Elle est gratuite, compatible Androïd et

Blackberry et tout opérateur. Cet outil permet de se protéger contre des spams vocaux et sms.

Il détecte et isole automatiquement les sms et appels frauduleux incitant à rappeler ou à

envoyer des messages à des numéros surtaxés. Cette application permet de signaler un spam

au 33700 en un clic et gratuitement. Enfin, elle permet au client de composer sa propre liste

noire pour bloquer les numéros qu’il juge indésirables.

1.1.2. Contre le phishing

a. Information des clients via le site institutionnel de l’opérateur

Les clients et le grand public sont informés, via le site institutionnel des opérateurs, de la

nature de la menace, des recommandations de préventions et des actions à entreprendre en cas

de transmission de données sensibles. A titre d’exemple on citera le site de SFR :

http://www.sfr.fr/developpement-durable/securite/phishing/index.html.

______________________________

51/95

b. Adhésion des opérateurs à «Phishing-initiative»

Afin d’aider leurs clients victimes dans la lutte contre le phishing, les opérateurs de

communications électroniques ont pris des dispositions d’accompagnement en adhérant à

«Phishing-initiative», qui est un dispositif français de mutualisation des signalements de

phishing et de blocage des sites illégaux. Le cas échéant, des poursuites peuvent être engagées

en France ou à l’étranger.

c. Une équipe dédiée au traitement du Phishing

Par exemple, la société SFR emploie une équipe dédiée au traitement du phishing qui analyse

les signalements (plusieurs dizaines de milliers pour 2010), qui met en permanence à jour les

systèmes de filtrage sur les messageries « sfr.fr». Elle prend contact avec les clients pour un

accompagnement méthodologique si ceux-ci indiquent avoir communiqué des données

sensibles. Enfin cette équipe spécialisée maintient un contact constant avec d’autres

dispositifs nationaux et internationaux de lutte contre le phishing.

d. Création d’une adresse mail spécifique par l’opérateur SFR

SFR a mis en place un dispositif de lutte contre la fraude par email dans lequel elle utilise la

technique du crowd sourcing 66. Ainsi, SFR demande aux internautes qui suspectent un

phishing sur un courriel, en premier de vérifier sur le blog de sécurité qu’il n’a pas déjà été

signalé au service clients, puis, sinon d’adresser le message à «[email protected]».

1.1.3. Contre le hacking, phreaking et la fraude SVA

Des systèmes automatiques de détection et de coupure des usages potentiellement anormaux

sont progressivement déployés, sur les infrastructures des opérateurs. Ceux-ci sensibilisent et

informent les différents acteurs afin de rendre efficaces les actions engagées contre les

fraudeurs, et travaillent sur l’harmonisation et le durcissement des règles d’usage «anormal»

permettant d’abaisser les seuils d’alerte et de blocage. Les opérateurs ont, par ailleurs, engagé

des travaux visant à surveiller les volumes de trafics révélateurs d’utilisations abusives de

lignes mobiles à partir de l’étranger. Ils déploient progressivement sur leur infrastructure des

systèmes automatiques de détection et de coupure des usages potentiellement anormaux.

66 Définition: Fait de se nourrir de la communauté pour la création de valeur. www.paperblog.fr/2606049/le-lexique-du-community-manager [Consulté le 25 avril 2012]

______________________________

52/95

1.1.4. Contre le vol des mobiles

Engagés ensemble depuis 2003 dans la lutte contre le vol des mobiles, les opérateurs

membres de la Fédération Française des Télécoms et le ministère de l'Intérieur, de l'Outre-

mer, des Collectivités territoriales et de l'Immigration s'associent une nouvelle fois. Depuis

l’entrée en vigueur de la loi LOPPSI 2 le 16 mars 2011, la procédure à suivre en cas de vol de

son mobile est plus simple pour l’utilisateur et plus efficace pour les forces de l’ordre, car

dorénavant tous les dépôts de plainte sont automatiquement suivis du blocage du téléphone.

Aujourd’hui, il s’agit de sensibiliser les utilisateurs sur l’importance du blocage du téléphone

mobile en cas de vol, en plus du blocage de la ligne. En effet, bloquer son mobile rend le

téléphone inutilisable sur le réseau national, et donc le vol inutile. Le fait de bloquer son

téléphone constitue un geste citoyen permettant de décourager tous les potentiels voleurs.

Ainsi, en juin 2011, le ministère de l’intérieur, de l’outre-mer, des collectivités territoriales et

de l’immigration a annoncé le lancement du site www.mobilevole-mobilebloque.fr67.

1.1.5. Contre les formes de criminalités « traditionnelles » exercées via les réseaux

Traditionnellement, les opérateurs aident les acteurs de la lutte anti fraude à identifier les

criminels ou les infractions. Le législateur a également souhaité permettre que les opérateurs

et les moyens techniques dont ils disposent soient mis à contribution pour lutter contre

certains types d’infractions causé par le contenu véhiculé par Internet. Ainsi, en complément

des mesures pouvant être mises en œuvre par les acteurs de l’Internet que sont les hébergeurs,

les prestataires de messagerie, hébergeurs de noms de domaine, il existe un dispositif de

mesures visant spécifiquement ou accessoirement les opérateurs lorsqu’ils sont FAI.

Si au premier abord, ces mesures semblent attirantes, elles se révèlent délicates à manier et

peu efficaces. En effet, l’obligation de neutralité des FAI est le nécessaire équilibre entre la

protection des intérêts que dicte ces mesures, d’une part, et la protection des droits des tiers et

des libertés fondamentales d’autre part. Par ailleurs, l’agilité dont font preuve les criminels

pour contourner les obstacles techniques, et l’impunité des auteurs d’infractions que

consacrent ces mesures, sont autant de raisons pour amener à n’en pas privilégier

l’application ou du moins le développement.

67

Mobile volé, mobile bloquéwww.mobilevole-mobilebloque.fr/[Consulté le 8 mai 2012]

______________________________

53/95

a. Les sources

a.1. La LCEN

L’article 6-I-8 de la loi pour la confiance dans l’économie numérique plus connue sous

l’appellation de LCEN68, qui transpose la Directive e –commerce 2000 /31/EC69, prévoit une

obligation particulière de surveillance faite aux hébergeurs70et à défaut aux FAI. Cette

pratique ne présente pas de caractère novateur. En effet, il s’agit simplement d’une application

dans la sphère du Web 2.0, des pouvoirs du juge des référés ou des requêtes, en matière de

mesures conservatoires. Ce que la loi prévoit, la pratique l’aurait consacrée à sa place, car

sans nul doute, les tiers se seraient présentés instinctivement devant les juges pour obtenir ce

type de mesures.

a.2. L’article 61 de la loi du 12 mai 2010

L'article 61 de la loi n° 2010-476 du 12 mai 2010 relative à l’ouverture à la concurrence et à

la régulation du secteur des jeux d’argent et de hasard en ligne71 cible plus particulièrement la

criminalité liée aux sites illicites de jeux. Il prévoit que lorsque l'arrêt de l'accès à une offre de

pari ou de jeux d'argent et de hasard en ligne a été ordonné par le président du Tribunal de

Grande Instance de Paris, les fournisseurs d'accès à Internet et les hébergeurs de site doivent

procéder à cet arrêt. Le décret réglementaire prévoit l'utilisation par les FAI du blocage par

nom de domaine ("DNS, Domain name system") et l’indemnisation par L'Autorité de

Régulation des Jeux En Ligne (l’ARJEL).

a.3. L’article 4 de la LOPPSI 2

L’article 4 de la LOPPSI 2 72 permet d'imposer aux fournisseurs d'accès à Internet le blocage

de sites Web publiant du contenu pornographique mettant en scène des mineurs.

68 LOI n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique 69 Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique») 70 « L’autorité judiciaire peut prescrire en référé ou sur requête, (aux hébergeurs), toutes mesures propres à prévenir un dommage ou à faire cesse un dommage occasionné par le contenu d’un service de communication en ligne » 71 www.legifrance.gouv.fr/affichTexteArticle.do;...?idArticle=[Consulté le 20 avril 2012] 72 Loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure [Consulté le 20 avril 2012]

______________________________

54/95

a.4. L'article L. 336-2 du Code de la propriété intellectuelle

L'article L. 336-2 du Code de la Propriété Intellectuelle, inséré par loi n°2009-669 du 12 juin

2009 favorisant la diffusion et la protection de la création sur internet dite loi Hadopi, permet

aux ayants droit de réclamer toute mesure (dont le blocage) à l’égard de toute personne (y

compris les FAI et les hébergeurs) pour obtenir la cessation ou la prévention d’une atteinte à

leurs droits73.

b. Les formes

b.1. Le blocage

Il consiste à bloquer l’accès à un site Internet, soit en bloquant le nom de domaine (par DNS),

soit en bloquant l’accès au serveur d’hébergement (par l’adresse IP). Mais plusieurs

observations appellent à recourir avec modération à ce type de mesure. Tout d’abord, c’est

une mesure très large qui peut dans certains cas apparaître disproportionnée. En effet,

techniquement le blocage ne peut cibler une seule page d’un site, de sorte que sera bloqué tout

le site ou tout le serveur (qui peut accueillir plusieurs sites ou seulement une portion du site).

On prendra l’exemple du site d’une banque à l’étranger dont le serveur a été piraté sur une

page uniquement. Dans ce cas, le FAI bloquera la totalité du site car il n’y a pas d’autre

alternative technique. Ensuite, cette technique n’est pas efficace car elle peut être aisément

contournée (par les auteurs du site, les éditeurs du site ou par les internautes eux-mêmes).

Par exemple, il est tout à fait possible de contourner le dispositif en choisissant un autre DNS.

Puis, le blocage consacre l’impunité des auteurs et complices, et il ne met pas un terme à

l’infraction. Enfin, on peut tenter d’impliquer d’autres prestataires techniques plus proches

des auteurs qui peuvent cibler d’avantage ou remettre des données permettant d’identifier les

auteurs de l’infraction.

b.2. Le filtrage

Le filtrage est un ensemble de solutions techniques de limitation d'accès à Internet ayant

généralement pour objectifs, la protection des enfants contre des contenus inappropriés

______________________________

55/95

(contrôle parental), les restrictions d'un accès d'entreprise à un usage professionnel ou la

protection des libertés individuelles74.

Le filtrage peut théoriquement se mettre en place à différents niveaux soit, sur le réseau des

Fournisseurs d'Accès Internet (FAI), dans les moteurs de recherche, dans les équipements

d’accès des particuliers, entreprises et établissements publics. Le Conseil de l'Europe a publié

une recommandation validant "les systèmes de filtrage et les technologies de restriction

d'accès" pour Internet. Toutefois, la Cour de justice de l’Union européenne (CJUE) a exclu le

recours à cette mesure sur les réseaux des FAI.

Dans son arrêt du 24 novembre 2011 opposant la SABAM (société de gestion de droits

d’auteur belge) à la société contre Scarlet (FAI belge), la Cour de Justice de l'Union

Européenne a déclaré contraire au droit communautaire, et plus particulièrement à l’article 15

de la directive n° 200/31/CE sur le commerce électronique, le fait d’imposer à un FAI qu’il

surveille les communications électroniques ou son réseau pour bloquer les échanges de

contenus contrefaisants.75

L’arrêt rendu par la troisième chambre de la CJUE le 16 février 201276, dans une affaire

opposant l’hébergeur Netlog à la SABAM, confirme la solution adoptée quelques mois

auparavant à l’égard d’un fournisseur d’accès Internet, l’étendant cette fois à l’hébergeur.

Dans les deux cas il s’agissait de questions préjudicielles77, et Netlog et Scarlet Extended

étaient tous deux des intermédiaires techniques, mais de natures différentes.

La CJUE répond de manière identique pour les deux cas. Elle utilise exactement le même

raisonnement, et ce quasiment mot pour mot.

Dans son arrêt « SABAM II », la Cour rappelle donc que les directives européennes

permettent de demander aux intermédiaires techniques (donc aux hébergeurs) de mettre fin

74

Définition du filtrage selon Sylvain Joseph Conseiller TICE sur le bassin de Saint Quentin en Yvelines 75 Un juge d'un pays de l'Union européenne peut-il « ordonner à un fournisseur d'accès à Internet de mettre en place, de façon générale, à titre préventif, aux frais exclusifs de ce dernier et sans limitation dans le temps, un système de filtrage des communications électroniques », afin d'empêcher le piratage? Pour la Cour de justice de l'Union européenne (CJUE), c'est non : www.01net.com › Actualités › Droit et conso[Consulté le 27 avril 2012] 76 Sabam/ Netlog 77 Selon Serge Braudo :"Préjudiciel" est l'adjectif qui caractérise la priorité qui doit être donnée à l'examen d'une question de la solution de laquelle dépend la décision finale du tribunal. Il en est ainsi chaque fois qu'elle ne peut être tranchée que par une autre juridiction ayant une compétence exclusive pour juger de l'incident. Le tribunal qui est saisi doit alors surseoir à statuer jusqu'à ce qu'il soit jugé par la juridiction compétente. (Dictionnaire du droit privé)

______________________________

56/95

aux atteintes à la propriété intellectuelle et de les prévenir.

Elle ne manque pas de préciser que des limites sont prévues par ces mêmes directives et

notamment par l'article 15 de la directive 2000/31 qui interdit d'obliger un hébergeur à une

surveillance générale (l'article 15 est relatif aux intermédiaires techniques de manière

générale, la Cour l'applique donc aussi aux hébergeurs).

Or elle considère que le système qui obligerait Netlog à surveiller l'ensemble des fichiers

existants et à venir et à déterminer s'ils sont illégaux, et ce, de manière illimitée dans le temps

reviendrait à une surveillance générale78.

1.2. Une mobilisation responsable

Comme beaucoup d’entreprises aujourd’hui, les opérateurs sont une cible attractive pour les

cybercriminels de tout ordre, qui voient dans ces entreprises des détenteurs de données clients

et techniques exploitables. Au-delà de l’opérateur lui-même, les clients, particuliers et

professionnels, sont également visés par les cybercriminels, lors de l’utilisation de leurs

moyens de télécommunications fixes, mobiles, smartphones, netbook, tablette numérique …

Conscients de cet état de fait, les opérateurs ont la volonté de mettre en place des dispositifs

de détection et de prévention (audit, contrôle, programmes d’évaluation des risques de fraude)

et se sont dotés d’outils pour assurer un niveau élevé de sécurité. Ils investissent

financièrement dans la lutte contre la cybercriminalité, afin de protéger leurs clients et trouver

des solutions aux difficultés qui en découlent. Les menaces sont multiformes: intrusion

informatique, piratage ordinateur, de box, d’IPBX, escroquerie à la carte de crédit à la suite

d’un phishing, fuites d’informations, détournement de finalité, captation frauduleuse,

vandalisme… Les profils des fraudeurs sont divers, allant de jeunes hackers en mal de

notoriété au groupe organisé ou entité se créant par typologie d’attaques, afin de réunir les

compétences et expertises technologiquement les plus pointues. L’origine des attaques est, par

ailleurs, extrêmement complexe à établir, compte tenu de l’inexistence de frontières dans le

monde en ligne et d’une ingénierie informatique en perpétuel développement.

78http://www.google.fr/url?sa=t&rct=j&q=r%C3%A9f%C3%A9rence%20affaire%20sabam%20%2Fnetlog&source=web&cd=3&sqi=2&ved=0CGMQFjAC&url=http%3A%2F%2Fwww.scribd.com%2Fdoc%2F81924791%2F20120216-CJUE-Affaire-Sabam-contre-Netlog-Decision-de-la-CJUE-FR&ei=uny6T9SsOM6yhAfz-5TWCA&usg=AFQjCNFVuqs_aRSS6kydeYJOj6hwMK6i7A[Consulté le 27 avril 2012]

______________________________

57/95

2. Un dispositif organisationnel

2.1. La réponse organisationnelle des États

2.1.1. Au niveau International

L’International Criminal Police Organization (INTERPOL), a été créé en 1946 lors de la

conférence de Bruxelles. Elle ne dispose pas de pouvoirs supranationaux pour des missions

opérationnelles mais coordonne les polices des États membres qui fournissent ou demandent

des informations et des services. Afin d'aider les enquêteurs qui mènent des investigations sur

les infractions liées aux nouvelles technologies d'information et de communication, Interpol a

mis en œuvre un réseau de points de contacts dans les services de police des pays membres

qui fonctionne en permanence. Le siège de cette organisation se situe à Lyon en France, et

elle est composée de 190 membres, c’est la deuxième organisation internationale après

l’ONU.

2.1.2. Au niveau Européen

a. EUROPOL

L'Office européen de police (Europol), créé en juillet 1995, coordonne, soutient et rationalise

les activités des services enquêteurs des États de l'Union européenne. Il facilite les échanges

d'informations et a notamment mis en place un fichier d'analyse relatif à la pédophilie sur

Internet.

Il est important de préciser que si cet office a un rôle à jouer dans le monde numérique, il

existait déjà dans le monde matériel, ses fonctions ont juste été étendues au monde

immatériel. Le système d'information Schengen favorise également les échanges de

renseignements relatifs aux personnes et véhicules grâce à des bases de données.

b. EUROJUST

Eurojust79 est une unité de coopération destinée à améliorer la lutte contre toutes les formes

de criminalité. C'est un organisme intégré dans le traité de l'Union européenne par le Conseil

79

http://www.eurojust.europa.eu/ [Consulté le 15 mai 2012]

______________________________

58/95

européen de Nice (décembre 2000) qui permet d'améliorer la coopération entre les autorités

judiciaires des États membres et a notamment la possibilité, grâce au mandat d'arrêt européen,

d'obtenir rapidement l'extradition de criminels recherchés par un État membre de l'Union.

Eurojust est un organe de coopération judiciaire créé en 2002 par le Conseil de l’union

européenne pour aider à assurer la sécurité dans un espace de liberté, de sécurité et de justice.

Eurojust a été inaugurée en avril 2003. Cette unité a pour mission d’intervenir dans les

enquêtes et les poursuites contre la criminalité organisée ou transfrontalière pour assurer la

coordination entre les autorités compétentes des différents États membres ainsi que le suivi de

la mise en œuvre de l’entraide judiciaire internationale et l’exécution des demandes

d’extradition ou du mandat d’arrêt européen.

Cette structure développe des actions de lutte contre la cybercriminalité et il est important que

des échangent s’opèrent entre les parquets des tribunaux et Eurojust.

c. L’ENISA

En raison de l’omniprésence des réseaux de communication et des systèmes d’information, la

question de leur sécurité est devenue un sujet de préoccupation grandissant pour la société.

Afin de garantir aux utilisateurs le plus haut degré de sécurité, l’Union européenne (UE) s’est

dotée d’une Agence européenne chargée de la sécurité des réseaux et de l’information

(ENISA) qui a une fonction de conseil et de coordination des mesures prises par la

Commission et les pays de l’UE, et vise également à sécuriser leurs réseaux et systèmes

d’information. L'ENISA a été établie par l’Union européenne en 2004. Située en Crète, elle

fonctionne comme un centre d'expertise pour les États membres, les institutions de l'UE et les

entreprises. L’agence a pour mission de prêter assistance et fournir des conseils à la

Commission et aux États membres sur les questions liées à la sécurité des réseaux et de

l'information, de recueillir et analyser les données relatives aux incidents liés à la sécurité en

Europe et aux risques émergents. Elle promeut des activités d'évaluation et de gestion des

risques afin d'améliorer la capacité de faire face aux menaces pesant sur la sécurité de

l'information et renforce la coopération entre les différents acteurs du secteur de la sécurité de

l’information. Enfin, elle suit l'élaboration des normes pour les produits et services en matière

de sécurité des réseaux et de l'information. Cette agence, a publié récemment un rapport sur

______________________________

59/95

la cyber-intimidation et le « grooming » en ligne80 (processus par lequel un adulte met un

enfant en confiance afin d'en abuser sexuellement), avertissant que l'utilisation abusive des

données (extraction des données et profilage) nuit aux mineurs. Ce rapport identifie les

principaux risques émergents et propose 18 recommandations non techniques pour les

atténuer. L'une des recommandations clés est le renforcement des organismes d'application de

la loi des États-membres de l'UE. Les autres recommandations encouragent une protection

adaptée aux besoins des activités en ligne des jeunes. Les appareils numériques et Internet

jouent aujourd'hui un rôle significatif dans la vie des enfants et des adolescents qui utilisent

sans réserve les réseaux sociaux. Cet environnement est radicalement différent de celui qu'ont

connu leurs parents dans leur enfance. Le Groupe d'experts de l'ENISA travaille sur les

risques liés à internet affirme que les risques présents dans l'environnement en ligne d'un

enfant peuvent nuire à ses activités physiques et à ses aptitudes sociales.

Les rapports publiés par L’ENISA ont une grande importance pour la Commission

européenne qui s’appuie dessus, notamment concernant les « Botnets » et les failles de

sécurité.

d. Le CEPOL

Le Collège européen de police (CEPOL)81, se situe à Bramshill, au Royaume-Uni. Il s’agit

d’un réseau de coopération composé par les instituts nationaux de formation des hauts

responsables des services de police. Il vise à développer une approche commune des

principaux problèmes en matière de prévention et de lutte contre la criminalité, par le biais de

cours et séminaires destinés aux agents de police qualifiés. Les activités du CEPOL se

concentrent en premier lieu sur les hauts fonctionnaires de police, qui pourront bénéficier de

sessions de formation fondées sur des normes communes. . Le CEPOL élaborera également

des formations spécialisées pour les policiers de niveau intermédiaire et les policiers de

terrain, pour les formateurs eux-mêmes et pour les policiers jouant un rôle dans la criminalité

organisée ou dans la gestion non militaire de crises dans les pays tiers. Les autorités policières

des pays candidats à l'adhésion pourront également bénéficier de cours spécialisés. Par

ailleurs, la décision prévoit des échanges de personnel et une diffusion des meilleures

80 www.enisa.europa.eu/...enisa...rapport...18-recommandations.../view[Consulté le 28 avril 2012]

81 europa.eu › ... › Coopération policière et douanière

______________________________

60/95

pratiques, ainsi que la mise sur pied d'un réseau électronique, qui servira de support aux autres

tâches du CEPOL. Le collège est ouvert à la coopération avec les instituts de formation

policière des pays tiers. Il offre notamment ses infrastructures aux hauts responsables des

services de police des pays candidats, de l'Islande et de la Norvège, et étudiera la possibilité

de rendre accessibles ses facilités aux fonctionnaires des institutions et des autres organes de

l'Union européenne. Il existe un accord de coopération entre le CEPOL et INTERPOL82.

e. La CERT-EU

La CERT-EU (Computer Emergency Response pre-configuration Team – Européenne)83, est

une équipe d’intervention d’urgente qui a été créée en mars 2011. Un de ses objectifs clés est

de protéger efficacement les institutions européennes contre les cyber-attaques. L'équipe est

composée d'experts en sécurité informatique des principales institutions de l'UE (Commission

européenne, Secrétariat général du Conseil, du Parlement européen, Comité des régions,

Comité économique et social) et de l'ENISA. L'équipe de pré-configuration va

progressivement déployer ses services, en commençant par effectuer des annonces, des alertes

et de faire de la coordination de réponse aux incidents. A la fin des travaux préparatoires d'un

an par l'équipe, une évaluation sera faite conduisant à une décision sur les conditions de

création d'une équipe pleine échelle Computer Emergency Response pour les institutions de

l'UE.

2.1.3. Au niveau français

a. L’OCLCTIC

L'Office central de lutte contre la criminalité liée aux technologies de l'information et de la

communication (OCLCTIC) a été créée par décret n° 2000- 405 du 15 mai 200084 et est

rattachée à la Direction de la police judiciaire. Pour remplir ses missions le service est

composé de 50 policiers et gendarmes. Il a une compétence nationale et travaille en

collaboration avec la Brigade d'enquête sur les fraudes aux technologies de l'information (qui

dépend de la Préfecture de police de Paris) avec la DST, les douanes et la Gendarmerie. Il est

important de préciser que l’OCLCTIC s’intéresse spécifiquement aux fraudes liées. Il a pour 82www.interpol.int/content/download/9289/68596/.../2/.../CEPOLfr.pdf[Consulté le 20 mai 2012] 83 www.enisa.europa.eu/act/cert/background/.../cert-[Consulté le 22 mai 2012] 84www.legifrance.gouv.fr/affichTexte.do?cidTexte...dateTexte... [Consulté le 1er juin 2012]

______________________________

61/95

fonction de participer à des enquêtes judiciaires et de coordonner l'action des services

répressifs compétents dans le domaine des infractions informatiques. Les métiers de cet office

sont composés de deux activités majeures soit, d’une part, une activité opérationnelle qui se

décompose en enquêtes judiciaires concernant les infractions liées à la haute technologie et en

Les travaux d'investigations techniques à l'occasion d'enquêtes judiciaires. Et d’autre part, une

activité stratégique avec quatre objectifs principaux que sont, la documentation

opérationnelle, la coopération internationale, la formation et la sensibilisation et enfin, la

veille technologique. Ses effectifs se composent de 60 fonctionnaires de police, 12 militaires

de la gendarmerie nationale, et un ingénieur des télécom. De plus, les enquêteurs de la Police

judiciaire et ceux de la Gendarmerie qui sont spécialisés en criminalité informatique lui

apportent leur soutien.

b. La BEFTI

La brigade d’enquêtes sur les fraudes aux technologies de l’information a été créée en février

1994, sa mission consiste à élucider les crimes et les délits informatiques. La BEFTI compte

aujourd’hui 30 policiers spécialisés dans les nouvelles technologies. Elle est composée de

trois groupes « enquêtes et initiative » et d’un groupe d’ « assistance ».Les investigations des

groupes d’enquêtes portent sur les crimes et délits informatiques tels que l’intrusion dans un

ordinateur ou un réseau ; la contrefaçon de logiciels ou de bases de données ; les

téléchargements illégaux ; le piratage de réseau téléphonique ; la défiguration de sites

sensibles ; la modification ou la suppression de données ; le défaut de sécurisation des

données personnelles, les collectes frauduleuses, illicites ou déloyales de données à caractère

personnel. Concernant la partie assistance, des investigateurs en cybercriminalité fournissent

une aide technique aux autres services enquêteurs de la police judiciaire de la préfecture de

police (analyses informatiques, lectures de données, constatations etc.).

c. La BFMP

La brigade des fraudes aux moyens de paiement se situe au 122, rue du Château-des-Rentiers

à Paris XIII, elle se compose de 56 fonctionnaires. La BFMP est une des sept brigades de la

sous-direction des affaires économiques et financières de la police judiciaire parisienne. Elle

est notamment chargée de lutter contre les escroqueries, les contrefaçons de chèques et de

cartes bancaires.

______________________________

62/95

d. L’IRCGN

Le département informatique et électronique de l’Institut de recherche criminelle de la

gendarmerie nationale 85(IRCGN) a été créé en 1990, et est situé à Rosny-Sous-Bois (93). Il

dépend du ministère de la Défense et a pour mission principale de collecter des œuvres

numériques afin de les rendre accessibles aux enquêteurs et aux magistrats. Ainsi, il effectue

des expertises, dans le cadre des enquêtes de police judiciaire menées par la gendarmerie, et

forme des techniciens. L'IRCGN est le seul laboratoire en France à intégrer des activités

médico-légales. Il possède également une composante opérationnelle regroupant l'Unité

nationale d'investigations criminelles (UNIC) et l'Unité gendarmerie d'identification de

victimes de catastrophe (UGIVC).

L’objectif poursuivi par tous ces organismes étant d’élaborer une organisation en réseau et un

renforcement de la lutte contre la cybercriminalité.

2.2. La réponse organisationnelle des opérateurs de communications

électroniques

2.2.1. Mise en place d’importants moyens d’investigation

D’importants moyens d’investigation, humains et informatiques, ont été mis en place par les

opérateurs de communications électroniques pour lutter contre la cybercriminalité. Ces

services ont pour rôle, en cas de fraude suspectée ou avérée, de reconstituer les schémas

opérationnels frauduleux, d’identifier les auteurs, d’évaluer les impacts financiers et de

collecter des preuves en vue d’éventuelles poursuites judiciaires. En effet, les opérateurs

entendent être force de proposition dans la qualification juridique des faits délictueux et la

définition de la meilleure stratégie en vue de déterminer la juridiction à saisir et la nature des

demandes à formuler. Face à des tentatives de fraudes ou fraudes avérées, ils se doivent

d’engager des procédures afin d’obtenir l’identité du ou des fraudeurs, et ce, dans le cadre de

la procédure judiciaire applicable. L’objectif est de faire cesser la fraude, puis d’obtenir la

condamnation des coupables ou responsables ainsi que l’indemnisation du préjudice subi. Les

qualifications pénales susceptibles d’être avancées sont multiples: l’escroquerie86, le faux et

85 www.defense.gouv.fr/sante/ressources/les-experts-de-l-ircgn[Consulté le 2 juin 2012]

86 Article 313-1 du Code pénal

______________________________

63/95

usage de faux87 la contrefaçon de marque88, l’intrusion dans un système de traitement

automatisé89, le vol d’information90, le recel d’information91, l’abus de confiance92, etc…

Les opérateurs tiennent également un rôle dans la phase d’investigation judiciaire, en

apportant leur assistance et leur expertise dans la récolte des moyens de preuve afin de

permettre aux instances judiciaires d’obtenir des mesures conservatoires. Depuis plusieurs

années, dans le cadre du traitement des réquisitions judiciaires (chez SFR environ 1000

réquisitions judiciaires traitées par jour par 40 opérationnels), ils sont amenés, selon le cadre

légal défini, à travailler étroitement avec les autorités de police ou de gendarmerie pour les

assister dans tout type d'enquêtes, y compris celles liées à de la cybercriminalité. Chaque

opérateur traite plusieurs milliers d’actes par semaine liés aux réquisitions judiciaires, ceci

afin de fournir aux autorités des informations sur l’identification de mobiles ou d'adresses IP,

de données de trafic, de données de géolocalisation selon des méthodes rigoureuses. Pour

répondre à ces demandes judiciaires et administratives, ces entreprises de télécommunications

se sont dotées de pôles dédiés au mobile, au fixe et aux opérations extérieures.

2.2.2. Création de l’association SVA +

Le 3 février 2012 a été créée l’association SVA +93 qui est un organisme d’autorégulation des

services téléphoniques à valeur ajoutée. Il s’agit d’une association loi 1901 qui rassemble des

associations et groupements d’opérateurs de communications électroniques. Elle regroupe la

Fédération Française des Télécoms, l’Association Française des Opérateurs de Réseaux et

Services de Télécommunications (l’AFORST), l’Association de la Portabilité des Numéros

Fixes (l’APNF), l’Association Française de la Relation Client (l’AFRC), le Groupement des

Éditeurs de Services en Ligne ( le Geste), et le Groupement Professionnel des Métiers de la

Sécurité Électronique (le GPMSE) dans une structure commune leur permettant de

coordonner la mise en place de règles déontologiques relatives aux services téléphoniques à

87 Article 441-1 du Code pénal 88 Article L.713-2 du Code de la propriété intellectuelle 89 Article 323-1 al 1 du Code pénal 90 Article 311-1 du Code pénal 91 Article 321-1 du Code pénal 92 Article 314-1 du Code pénal 93 Revue Juris Tendance Informatique et Télécom (JTIT) n° 123/2012.3 publiée par le cabinet Alain Bensoussan diffusée uniquement par voie électronique http:/www.alain-bensoussan.com/outils/abonnement-juristendance[Consulté le 13 mai 2012]

______________________________

64/95

valeur ajoutée (SVA), ceci afin de restaurer la confiance des consommateurs dans ce type de

service .

En effet, ces numéros qui commencent par 08 ou qui sont composés de quatre chiffres

représentent une grande variété d’usages quotidiens des consommateurs et des entreprises

(information, téléalarme, télésurveillance, micro-paiement), mais ils sont parfois utilisés de

façon abusive par des éditeurs peu scrupuleux : par exemple, des éditeurs envoient un SMS

indélicat invitant les consommateurs à rappeler un numéro d’un tarif élevé, commençant par

0899, et qui ne leur délivre aucun service. Tous ces acteurs poursuivent le but identique de

mettre en œuvre des solutions efficaces en vue d’une meilleure protection des consommateurs

contre l’utilisation abusive des numéros spéciaux.

2.2.3. Des actions de sensibilisation

Le site institutionnel de l’opérateur de communications électroniques présente une large

gamme d’informations et d’alertes sur les fraudes et agissements cybercriminels afin de

prévenir ses clients et abonnés des menaces éventuelles et de leur apporter des

recommandations de prévention. L’opérateur SFR a, d’ailleurs pour sa part, créé un blog

sécurité destiné à centraliser les informations à l’adresse http://blog-securite.sfr.fr. Ainsi, en

amont, chacun des opérateurs sensibilise ses clients sur la nécessité de protéger leurs

ordinateurs et leurs installations contre les attaques cybercriminelles. Il est, en effet,

indispensable de communiquer auprès des utilisateurs, afin de les alerter de la nécessité de

sécuriser leurs usages et de les informer des conséquences de la cybercriminalité. De même, à

titre d’exemple, on citera, à nouveau, l’opérateur SFR qui a pris la mesure de l’importance

que revêtent la sécurisation et la protection de ses clients et de ses services en inscrivant cette

démarche dans son projet d’entreprise. C’est pourquoi il organise, régulièrement, des

campagnes de sensibilisation de ses collaborateurs sur les exigences de sécurité et de

confidentialité des données personnelles. En effet, ce dernier porte une attention particulière à

la protection efficace des données sensibles et à la vie privée de ses clients. Toujours dans

cette perspective de sensibilisation de tous les acteurs du monde de l’Internet, lors de sa

connexion à son ordinateur, il est rappelé à chaque collaborateur certains principes et

notamment, celui selon lequel, «Tout accès non autorisé à ce système pourra faire l'objet de

poursuites conformément aux articles 323-1 et suivants du Code Pénal ». De ce fait, l'accès,

la modification, la diffusion et l'utilisation des informations traitées dans ce Système

______________________________

65/95

d'Information doivent s'exercer exclusivement dans le cadre de l'activité professionnelle de

chaque utilisateur, en fonction de son emploi et des objectifs qui lui sont assignés. On

prévient les utilisateurs que «des contrôles sont susceptibles d'être réalisés aux fins

notamment de préserver et sécuriser l'accès aux informations traitées et éviter tout abus».

2.2.4. Des actions de formation

Dans le cadre de la lutte contre la cybercriminalité, les opérateurs ont la volonté de renforcer

leur mobilisation en multipliant les initiatives de formation, ceci afin que chacun soit au fait

de ce phénomène en pleine croissance et puisse comprendre les problématiques posées par la

matière, dont l’évolution est rythmée par l’ingéniosité des cybercriminels. Des formations

sont donc dispensées aux parties prenantes de la lutte contre le cybercrime : autorités

policières, judiciaires, gouvernementales, acteurs privés. Les formations réalisées sont dictées

par la volonté de participer activement, en leur qualité d’opérateur, à l’évolution de la

législation pour faciliter la résolution des actes délictueux commis sur l’Internet. Des équipes,

au sein des entreprises de communications électroniques, composées d’experts contribuent à

traquer les nouvelles formes de criminalité, comme la cyberfraude, grâce à des outils

performants. Cette collaboration se traduit par la participation d'experts «nouvelles

technologies» dans le cadre de formations des «cyberpoliciers» et des «cybergendarmes»,

pour leur décrire les infrastructures des réseaux fixe et mobile, répondre à leurs questions sur

les composantes techniques autour de ces réseaux et systèmes d'information (la radio, le cœur

de réseau, le protocole IP, les offres ...). Il leur est présenté un panorama complet des outils

mis en place pour les assister dans leurs enquêtes. Ces formations permettent aussi à

l’opérateur de mieux cerner leurs attentes, dans le cadre de situations complexes, et de les

conseiller sur les pistes à explorer pour progresser dans leurs enquêtes. Elles permettent aux

acteurs judiciaires de mieux appréhender le litige et par la même de mieux défendre l’intérêt

public.

______________________________

66/95

PARTIE II : UNE CYBERCRIMINALITÉ COMBATTUE PAR LES

OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES

Chapitre 2 : Les outils, envisagés et envisageables, de lutte contre la

cybercriminalité pouvant être mis à la disposition des opérateurs de

communications électroniques

Tant sur le plan national qu’à l’échelon international, la cybercriminalité crée des préjudices

considérables aux administrations, aux particuliers et aux entreprises, ces dernières supportant

l’essentiel du préjudice économique. .

Section 1 : Les outils envisagés

1. L’initiative internationale

Au début de l’année 2011, l’organisation des nations unies (ONU) a initié des travaux qui

pourraient aboutir à l’élaboration d’un Convention universelle de la cybercriminalité. En effet,

le 13 avril 2011, lors du Douzième Congrès des Nations Unies pour la prévention du crime et

la justice pénale94, les délégations se sont interrogées sur la pertinence d’un nouvel instrument

international pour lutter contre la cybercriminalité. Ainsi, une dizaine de pays ont ainsi

partagé leurs initiatives nationales et souligné la nécessité de renforcer l’assistance technique

en direction des pays en développement. Les intervenants ont exprimé des positions

divergentes sur la nécessité d’élaborer ou non un nouvel instrument international de lutte

contre la cybercriminalité, qui viendrait compléter la Convention de Budapest sur la

criminalité adoptée en 2001 par le Conseil de l’Europe.

2. Les initiatives européennes

2.1. Lancement du projet européen 2CENTRE

Devant l’urgence d’apporter une réponse juridique et économique adaptée, le Conseil de

94 www.un.org/fr/conf/crimecongress2010/[Consulté le 5 mai 2012]

______________________________

67/95

l’Europe et celui de l’Union européenne ont décidé la mise en place d’un projet européen pour

la lutte contre la cybercriminalité dénommé 2CENTRE. Il s’agit d’un réseau de formation et

de recherche sur la criminalité informatique.

Fruit d’une élaboration conjointe entre des acteurs privés et des acteurs publics, et en lien

avec le European Cybercrime Training and Education Group ( ECTEG) d’Europol, le projet

2CENTRE est soutenu et financé par la Commission européenne, associé aux forces de

l’ordre des partenaires du monde académique et industriel intervenant dans le cadre d’un

réseau de centres d’excellence en formation et en recherche pour la lutte contre la

cybercriminalité. Le budget pour l’ensemble du projet étant de 4 millions d’euros.

L’Irlande et la France sont les deux premiers pays à intégrer ce réseau.

La partie française de ce projet a été lancée par l’Université de technologie de Troyes, et

l’Université Montpellier 1, la Police Nationale, Microsoft et Thales. (Cybercrime Centres of

Excellence Network for Training, Research and Education).

La Commission européenne a doté l’initiative française d’un budget total de 980 000 euros,

hors valorisation des jours consacrés au projet par la Police Nationale et la Gendarmerie

Nationale. Un soutien d’expertise et financier est également apporté par Microsoft ainsi

qu’une contribution financière de la société Orange. Le centre irlandais est quant à lui animé

par le University College Dublin.

Dans le cadre de ce projet, le consortium français a décidé de mettre l’accent sur différents

points tels que d’améliorer le dispositif et les outils de formation des personnels spécialisés de

la police ou de la gendarmerie, diffuser les bonnes pratiques de défense au sein des

entreprises, étudier les besoins de formation des entreprises ou des administrations.

Ainsi, la France s’inscrit dans l’ambition d’une réponse organisée et adaptée de lutte contre la

cybercriminalité, souhait qui était déjà présent dans le livre blanc sur la défense et la sécurité

nationale de 2008 et qui a été réaffirmé expressément lors du Conseil des Ministres du 25 mai

2011.

2.2. Un centre européen de lutte contre la cybercriminalité opérationnelle en janvier 2013

Le 28 mars 2012, la Commission européenne a annoncé la mise en place d'un Centre

européen de lutte contre la cybercriminalité pour contribuer à la protection des entreprises et

des citoyens européens contre ces menaces informatiques grandissantes.

______________________________

68/95

Le centre sera établi au cœur de l'Office européen de police, Europol, à La Haye (Pays-Bas).Il

se concentrera sur les activités illicites en ligne menées par des groupes criminels organisés,

et plus particulièrement sur celles qui génèrent des profits considérables, comme la fraude en

ligne. Les experts de l'Union européenne œuvreront également à la prévention des

cybercrimes concernant les opérations bancaires et réservations sur Internet, ce qui permettra

d'accroître la confiance des consommateurs en ligne. Le Centre européen de lutte contre la

cybercriminalité aura également pour objectif de protéger les profils sur les réseaux sociaux

en ligne contre le piratage et contribuera à la lutte contre l'usurpation d'identité sur Internet.

Ce centre, se focalisera sur les cybercrimes lourds de conséquences pour leurs victimes,

comme l'exploitation sexuelle des enfants sur Internet, et sur les attaques informatiques à

l'encontre d'infrastructures ou des systèmes d'information des différents pays de l'Union.

Enfin il aura pour mission de repérer les réseaux de criminels informatiques organisés ainsi

que les contrevenants les plus importants présents dans le cyberespace.

Il devra apporter un soutien opérationnel au cours d'enquêtes sur le terrain, au niveau tant de

l'analyse que de la création d'équipes communes d'enquête sur la cybercriminalité.

Afin d’exécuter ses missions et pour mieux soutenir les enquêteurs, procureurs et juges qui

s'occuperont d'affaires ayant trait à la cybercriminalité dans les États membres, le nouveau

centre rassemblera les informations provenant de sources libres, du secteur privé, des services

de police et du monde universitaire. Il servira également de base de connaissances pour les

services nationaux de police des États membres et mettra en commun les initiatives de

formation et le savoir faire en matière de cybercriminalité à l’échelon européen. Le centre

servira de plate-forme pour les enquêteurs européens sur la cybercriminalité, leur offrant la

possibilité de s'exprimer d'une même voix dans les discussions avec le secteur des

technologies de l'information, d'autres entreprises du secteur privé, la communauté des

chercheurs, les associations d'utilisateurs et les organisations de la société civile. En matière

de cybercriminalité il est destiné à devenir l’interlocuteur privilégié dans toutes les

discussions et relations avec d'autres partenaires internationaux en dehors des pays de l’Union

européenne.

Toutefois, même si la date d’entrée en vigueur de ce centre est prévue pour janvier 2013, il

faut préalablement et obligatoirement que l'autorité budgétaire d'Europol adopte la

proposition de la Commission.

______________________________

69/95

3. Les initiatives françaises

Il est à noter que les initiatives de l’État proviennent généralement du ministère de l’intérieur.

3.1. Les missions confiées à l’OCLCTIC

3.1.1. La gestion de deux plateformes de signalement

a. Pharos

Afin de lutter contre la cybercriminalité, par Arrêté du 16 juin 2009 le Ministère de l'Intérieur

annonce le lancement du portail Pharos (Plateforme d'harmonisation, d'analyse, de

recoupement et d'orientation des signalements), qui a pour objet de rassembler les

dénonciations des internautes portant sur des contenus illicites rencontrés sur le Web.

Ce site permettra donc de servir d’outil dans la lutte contre la pédophilie, le racisme, mais

aussi la criminalité financière (vols de numéros de compte, etc.), et tout autre type de

criminalité et permettra au mieux de préserver Internet en tant qu’espace « où chacun peut

communiquer, découvrir et s'épanouir. » Seront ainsi transmis des signalements de contenus

ou de comportements illicites auxquels les internautes seraient confrontés en naviguant sur la

Toile (site, blog, forum, chat, messagerie, etc.). Mais il est toutefois précisé que les contenus

que l'internaute considèreraient "simplement immoraux ou nuisibles" n'ont pas à être signalés.

b. « Info- escroquerie »

Il s’agit d’une plate-forme téléphonique d’information et de prévention sur les escroqueries

sur Internet. Elle est installée au sein de l’OCLCTIC depuis janvier 2009. Elle est destinée

aux victimes ou aux victimes potentielles d’escroqueries, qui peuvent par le biais d’un

numéro de téléphone dédié, recevoir des conseils en termes d’information et de prévention.

3.1.2. Le blocage des sites pédopornographiques

La LOPPSI 2 dans son article 4 met à la charge des fournisseurs d’accès à internet une

obligation d’empêcher l’accès des utilisateurs aux contenus illicites95. Si la législation

française permet actuellement au pouvoir judiciaire d’imposer à l’hébergeur la suppression

d’un contenu ou la fermeture d’un site à caractère pédopornographique, l’article 4 de la 95 www.pcinpact.com/.../51093-christian-aghroum-oclctic-blocage-ped... [Consulté le 4 mai 2012]

______________________________

70/95

LOPPSI 2 prévoit plus radicalement un blocage systématique et a priori de l’accès à de tels

contenus ou sites. Une sanction de 75 000 € serait prévue à l’encontre des FAI en cas de

manquement. Toutefois, chaque fournisseur aurait le libre choix quant aux moyens de

blocage.

En pratique, l’OCLCTIC transmettra aux FAI les données utiles par voie dématérialisée. Il est

prévu de renvoyer à un décret d’application la fixation des modalités d’application de ce

dispositif, notamment la définition des dispositifs techniques utilisés. Cela étant, le blocage

des sites pédopornographiques par les fournisseurs d’accès à Internet repose de manière

constante sur la mise à jour d’une « liste noire» d’adresses de sites illicites arrêtée par le

ministre de l’intérieur. Implantée sur les serveurs des FAI, cette liste doit empêcher les

internautes d’accéder aux sites répertoriés ou du moins, bloquer l’accès à ces sites à partir de

leurs adresses courantes. Cela impliquera une grande intervention des fournisseurs d’accès

Internet, qui devront installer sur leurs infrastructures un certain nombre de dispositifs

techniques de filtrage et de surveillance.

Ainsi, l’OCLCTIC qui est un organisme de l’État enverra tous les jours aux FAI une liste de

plusieurs centaines de sites à caractère pédopornographiques afin qu’ils soient bloqués. En

conséquence, Ceci va nécessiter pour les opérateurs la mise en place d’un véritable système

industriel.

3.2. L’État renforce les moyens d’investigations des services de police

3.2.1. L’État se dote d’une plateforme d’écoutes judiciaires (la PNIJ)

A partir de mi 2013, l’entreprise Thalès va lancer en France la plus vaste plateforme d’écoutes

judiciaires d’Europe.

Avec cette nouvelle plateforme, la Chancellerie cherche à moderniser un système largement

dépassé par les nouvelles technologies. Mais il s’agit surtout d’économiser plusieurs millions

d’euros par an, alors que les écoutes téléphoniques grèvent aujourd’hui une grosse partie du

budget de la Justice. En effet, le nombre des écoutes judiciaires a explosé ces dernières

années, passant de 6000 en 2002 à près de 32.000 en 2012. Un chiffre qui ne prend pas en

compte l’explosion du nombre des géolocalisations, environ 11.000 l’an dernier. A cela, il

faut encore ajouter toutes les autres réquisitions, identifications d’un numéro ou obtentions

des factures détaillées (soit les « fadettes »). En tout 5 millions de requêtes ont ainsi été

______________________________

71/95

envoyées aux opérateurs téléphoniques par le ministère de la justice au cours des douze

derniers mois. Officiellement, toutes les interceptions judiciaires sont rigoureusement

contrôlées par le code de procédure pénale. Pour «brancher» un suspect, policiers et

gendarmes doivent préalablement avoir l’aval du magistrat chargé de l’enquête. Ce n’est

qu’une fois la signature du juge obtenue que l’opérateur téléphonique peut être saisi par un

officier de police judiciaire. Ensuite, toutes les données recueillies sont gérées par un

prestataire privé sans véritable contrôle. A l’heure actuelle, une poignée de sociétés se

partagent ce juteux marché, estimé l’an dernier à 25 millions d’euros. Un système bien trop

cher aux yeux du Ministère de la Justice, mais également trop peu sécurisé. Le projet de

l’entreprise Thalès consiste en une gigantesque interface entre les enquêteurs et les opérateurs,

la nouvelle plateforme doit permettre de réduire la facture des interceptions de moitié tout en

facilitant le travail des limiers de la PJ. Demain, 60.000 officiers de police judiciaire auront

ainsi accès directement à cette boîte noire via les réseaux sécurisés de l’État. Une procédure

entièrement dématérialisée, ou les réquisitions seront signées électroniquement par le

magistrat et l’ensemble des interceptions stockées dans le serveur de Thalès. Les magistrats

pourront ensuite piocher dans ce vaste coffre fort numérique ultra-sécurisé. Avec cette

plateforme, les interceptions sur Internet deviennent un jeu d’enfants. Aujourd’hui, le web

occupe une place croissante dans les enquêtes, or les interceptions y sont encore très

marginales, notamment à cause de leur coût élevé. A partir de 2013, les officiers de police

judiciaire auront donc accès à l’intégralité des communications électroniques, fixe, mobiles et

Internet. Avec un changement de taille: la traçabilité des opérations, qui doit permettre de

remonter toute la chaîne en cas de réquisition suspecte. Toutefois, malgré ces nouvelles

prérogatives, la nouvelle plateforme est loin de faire l’unanimité au sein de la police96.

3.2.2. Mise en place d’un nouveau fichier de police interconnecté

Le ministre de l’Intérieur sortant, Monsieur Claude Guéant, a fait publier les 6 et 8 mai 2012,

une série de décrets d’application de la LOPPSI 297. Ces décrets renforcent les moyens

d’investigation des services de police, en réorganisant notamment la mise en œuvre des

fichiers de police. Cela concerne la fusion du STIC (système de traitement des infractions

constatées) avec le JUDEX (système judiciaire de documentation et d’exploitation) d’une

96 www.synergie-officiers.com/.../COURRIER_GUEANT_30062011.pd... [Consulté le 28 avril 2012] 97 www.donneesprivees.com/.../le-projet-de-loi-dorientation-loppsi-2-a-.[Consulté le 28 avril 2012]

______________________________

72/95

part, et les fameux fichiers d’analyse sérielle d’autre part. La fusion de ces deux systèmes va

créer une base importante de fichiers de police totalement interconnectés, qui permettra des

recoupements beaucoup plus précis. Il sera composé de l’ensemble des procédures de délit et

de contraventions les plus graves, mais aussi du nom des auteurs des infractions et de leurs

victimes. Les données personnelles traitées, allant de l’état civil, aux données biométriques,

pourront être conservées jusqu’à 40 ans. Il peut être également fait mention, selon les

infractions, de données sensibles telles que l’appartenance syndicale, les opinions politiques

ou religieuses mais aussi l’origine raciale. Les agents habilités à consulter ces fichiers

pourront exploiter, comparer, et mettre en relation tous les éléments liés à une infraction. Cet

environnement de données sera consultable à partir d’un seul et même fichier, qui servira de

base pour lier les affaires entre elles. On le voit, l’état se dote donc d’un arsenal complet

mettant en place un système de surveillance globale des individus.

3.3. Création d’un référentiel des réquisitions en matière de communications

électroniques

Depuis 2001, le volume des réquisitions a explosé, et par conséquent il a été constaté une

importante augmentation des dépenses liées aux frais de justice. Ainsi, un travail

interministériel (Ministères de la Justice, de l’Intérieur et de la Défense) a été réalisé afin

de définir les différentes réquisitions susceptibles d’être adressées par les officiers de

police judiciaire aux opérateurs de communications électroniques. Cette réflexion

multipartite du plus grand intérêt pour combattre la criminalité a donné lieu à un

document, intitulé « Référentiel des réquisitions en matière de communications

électroniques ». Il a fait l’objet d’une diffusion sur le site intranet de la Chancellerie à la

rubrique « frais de justice »98. Ce référentiel s’applique à tous les opérateurs de

communications électroniques. Le « référentiel » mis en ligne renseigne sur l’éventail de

ces techniques de traque. Cela inclut l’historique détaillé des communications entrantes et

sortantes, l’identification d’un abonné à partir de son moyen de paiement ou du point de

vente d’une carte prépayée et même d’un appelant masqué derrière une tête de ligne, un

serveur, une adresse IP même masquée par un faisceau câblé. C’est un arrêté du 22 août

98 www.justice.gouv.fr[Consulté le 20 mai 2012]

______________________________

73/95

2006 99 pris en application de l’article R. 213-1 du code de procédure pénale qui a fixé la

tarification applicable ayant pour objet la production et la fourniture des données de

communication par les opérateurs de communications électroniques. Les tarifs y sont

donnés hors taxe. Toutefois, au vu de la volumétrie en constante évolution et de la volonté

de l’État de baisser le montant des dépenses publiques, un nouvel arrêté est prévu pour

2012, ce dernier revoyant les prix des prestations fournies par les opérateurs de

communications électroniques à la baisse.

3.4. L’État institue deux autorités administratives indépendantes

3.4.1. L’HADOPI

La Haute Autorité pour la Diffusion des Ouvres et la Protection des Droits sur Internet, est

l’organisme créé en vue de la mise en œuvre de la politique de riposte graduée contre les

téléchargements illégaux initiée par le législateur Français à travers la loi du 12 juin 2009

complétée par la loi du 28 octobre 2009.

Les chiffres publiés par cet organisme constituent une première évaluation d’une nouvelle

politique en matière de contrôle des téléchargements illégaux et plus largement en matière

de protection des droits d’auteurs. Le caractère exclusif des œuvres protégées par les

droits d’auteur s’estompe indubitablement suite à l’évolution numérique. Le

téléchargement sur Internet, le Peer to Peer et le Streaming sont autant d’entraves aux

droits intellectuels. Les anciennes législations ne permettent plus de contrôler de manière

effective ces droits (incertitude juridique quant à la qualification ou non de copie privée

pour une œuvre échangée entre internautes). De même, le contrôle de ces droits à l’aide de

mesures techniques de protection semble limité par l’évolution des connaissances et

l’habilité de certains acteurs doués en informatique. La loi Hadopi permet entre autre

d’instaurer une surveillance des flux de téléchargements, de permettre l’identification des

adresses IP responsables de ces téléchargements et de prévenir les titulaires de ces

adresses. Les internautes sont tous tenus de faire sécuriser leurs réseaux sous peine de

commettre une contravention de négligence caractérisée. « La contravention de

négligence caractérisée réprime une faute d’omission, le manquement à l’obligation de

sécuriser un accès à Internet, lorsque celle-ci a entraîné un résultat précis, l’utilisation de

99 www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo... [Consulté le 20 mai 2012]

______________________________

74/95

cet accès à des fins de contrefaçon ».

3.4.2. L’ ARJEL

L’Autorité de Régulation des Jeux en Ligne (ARJEL)100 est chargée de mettre en place

des moyens de régulation, d’information et de contrôle pour protéger les joueurs, prévenir

de l’addiction au jeu et lutter contre la fraude. Elle a été instituée par l’article 34 de la loi

n° 2010- 476 du 12 mai 2010 relative à l’ouverture à la concurrence et à la régulation du

secteur des jeux d’argent et de hasard en ligne. La loi du 12 mai 2010 relative à

« l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard

en ligne » a permis de libéraliser l’activité de jeux d’argent et de hasard en ligne. Les

autorités françaises ont adopté cette loi sous la pression de la Commission européenne qui

en 2006 avait condamné la France pour ses pratiques restrictives en matière de jeux

d’argent et de hasard, au nom du principe de la liberté d’établissement prévu par les traités

européens. En effet, pendant très longtemps le secteur des jeux d’argent et de hasard a été

le monopole d’un petit nombre d’opérateurs d’envergure nationale (PMU, Française des

jeux). Depuis la loi de 2010, le marché des jeux en ligne, qui couvrent les paris hippiques,

paris sportifs, et les jeux de cercles (poker), est ouvert à la concurrence. En créant cette

autorité, le gouvernement avait pour objectif de faire diminuer le nombre des sites (plus

de 20 000 sites de jeux d’argent en France) qui exerçaient en toute illégalité. Aujourd’hui

seuls 33 opérateurs sont autorisés. Toutefois ce nombre peut varier car de nouveaux sites

peuvent être agréés par l’ARJEL. On peut se demander ce qui se passe pour les milliers

d’autres qui sont désormais illégaux. Les FAI sont au cœur de ce dispositif car ils

reçoivent des assignations en référé venant de l’ARJEL qui demande le blocage d’un site

de jeu non autorisé. Le décret n°2010-482 du 13 mai 2010 régit les conditions de

délivrance de l’agrément par l’Autorité de régulation des jeux en ligne (ARJEL). Le délai

maximum d’instruction du dossier de demande d’agrément est fixé à 4 mois. L’ARJEL

accorde l’agrément pour une durée de 5 ans renouvelable. L’opérateur, une fois agrée,

continue d’être soumis au respect de certaines obligations. Ainsi, il doit impérativement

respecter le cahier des charges élaboré par l’ARJEL. Il doit aussi obtenir une double

certification auprès d’un organisme indépendant choisi parmi une liste préétablie.

100 www.arjel.fr/[Consulté le 20 avril 2012]

______________________________

75/95

Concernant le refus d’agrément, le décret précise qu’il devra être motivé. Quand l’ARJEL

détecte un site non autorisé, elle a pour obligation d’adresser un courrier recommandé

avec accusé de réception au site illicite dans lequel elle demande l’arrêt du site. En cas

d’absence de réponse, L’ARJEL assigne l’hébergeur, l’éditeur et les FAI. Dans ce cas, la

difficulté pour l’ARJEL réside dans le fait que l’hébergeur ou l’éditeur se trouvent à

l’étranger. Ainsi, s’il ne parvient pas à les «toucher», il assignera le FAI. Ce fut

notamment le cas dans l’affaire ARJEL contre FASTHOSTS INTERNET Limited et

autres101, où le Tribunal de Grande Instance de Paris dans son ordonnance de référé

rendue le 2 février 2012, a fait injonction à la société de droit britannique FASTHOSTS

INTERNET Limited de «mettre en œuvre les mesures propres à empêcher l’accès au site

de communication au public en ligne offrant des jeux d’argent et de hasard en ligne

accessible à l’adresse www.palaceofchance.com, sous astreinte provisoire de vingt jours

» et à l’expiration de ce délai, en cas de carence de la société FASTHOSTS INTERNET

Limited est fait injonction « aux sociétés Numéricâble, France Télécom, Orange France,

Société Française du Radiotéléphone- SFR, Free, Bouygues Télécom, Darty Télécom et

Auchan Télécom, dûment informées à l’expiration du délai imparti à la société

FASTHOSTS INTERNET Limited de sa carence à empêcher l’accès au site, de mettre en

œuvre , ou de faire mettre en œuvre à l’expiration d’un délai de dix jours, les mesures

appropriées de blocage par nom de domaine(DNS) pour empêcher leurs abonnés

d’accéder à partir du territoire français au service de communication au public en ligne

actuellement accessible à l’adresse www.palaceofchance.com». Enfin, en ce qui concerne

les sanctions, tout exercice illégal d’une activité de jeux d’argent et de hasard en ligne est

pénalement sanctionné. En matière de publicité, la loi du 12 mai 2010 prévoit également

que quiconque fait de la publicité par quelque moyen que ce soit en faveur d’un site de

paris ou de jeux d’argent non autorisé est puni d’une amende de 100 000 euros.

Section 2 : Les outils envisageables

1. Des préconisations d’ordre juridique et technique

1.1. Un dispositif légal commun de lutte contre la cybercriminalité 101 Tgi, Paris(référé), 2 février 2012, ARJEL/ FASTHOSTS INTERNET Ltd, rg n° 11/58985

______________________________

76/95

Si l’on regarde l’évolution des trente dernières années, la cybercriminalité prend une ampleur

accrue au fur et à mesure de l’acceptation des technologies dans la société. Il est nécessaire

d’adapter notre droit et de renforcer la coopération entre les États.

1.1.1. Révision du droit français

Aujourd’hui, aucun texte législatif ou règlementaire ne définit la notion de cybercriminalité,

ce qui a des effets néfastes car de ce fait certains magistrats ne cernent pas la réalité du

phénomène et n’en mesurent pas forcément les enjeux ni les préjudices réels qui en découlent.

Par ailleurs, les services d’enquête spécialisés n’ont qu’une vision approximative de ce

phénomène. Il faudrait donc introduire une définition de la cybercriminalité dans le Code

pénal102. Dans un souci d’harmonisation il faudrait également procéder à une simplification

des textes et à une réduction du nombre des infractions relatives à la cybercriminalité.

En effet, cette accumulation de textes en matière de cybercriminalité est constitutive d’un

point faible dans sa lutte. Il est à noter que l’on renvoie d’un texte à un autre ce qui engendre

des modifications partielles dans les divers codes. On renvoi, on déplace, on modifie. Il

apparaît donc urgent de reprendre un travail de codification des textes qui sont actuellement

sous-utilisés, car méconnus et inaccessibles.

Toutefois, les initiatives purement nationales, pour aussi nécessaires qu’elles fussent, ne

permettent pas à elles seules de lutter avec toute l’efficacité souhaitable. Une approche

strictement française ne peut constituer une réponse à un phénomène qui ne connaît pas les

frontières.

1.1.2. Renforcement de la coopération entre les pays

Les systèmes judiciaires, les cultures, les frontières physiques de chaque pays, créent autant

de barrières à un contrôle efficace de ces formes de criminalité. Il existe encore de gros

progrès à faire sur l’harmonisation des législations et leur implémentation effective. En effet,

la cybercriminalité se présente souvent sous une dimension internationale. On notera par

exemple que les contenus illicites transmis par courriel transitent souvent par plusieurs pays

avant d'atteindre le destinataire. Parfois, ils ne sont pas stockés dans le pays mais à l’étranger.

Il est donc essentiel que les États concernés par un cyberdélit collaborent étroitement aux 102 www.inhesj.fr/fichiers/ondrp/.../ra2011/synthese_rapport_2011.pdf [Consulté le 4 juin 2012]

______________________________

77/95

enquêtes diligentées, ce que les accords en vigueur en matière d'entraide judiciaire ne

favorisent pas, car ils reposent sur des procédures formelles et complexes, qui prennent

beaucoup de temps. En ce sens, il serait pertinent d’harmoniser les modes de preuve au niveau

international. En pratique, la mise en œuvre de l’article 227-2 3 du Code pénal est parfois

difficile notamment, quand la procédure a été initiée à l’étranger, où les règles d’admissibilité

de la preuve ne sont pas semblables à celles de la France.

Il est donc crucial de réviser les procédures afin de pouvoir rapidement réagir aux incidents et

répondre aux demandes de coopération internationale. Notamment, il est fondamental de créer

un outil procédural simplifié remplaçant la commission rogatoire internationale pour

poursuivre les actes à l’étranger. En effet, les avis sont unanimes pour dire que l’outil

procédural que constitue la commission rogatoire internationale est inadapté et trop lent au

regard de la rapidité nécessaire à par la récupération des preuves numériques.

Certains pays sont parfois considérés comme de véritables paradis numériques pour la

cybercriminalité. En conséquence, une harmonisation internationale est donc indispensable.

Ainsi, un Centre européen de lutte contre la cybercriminalité devrait voir le jour en 2013,

mais quid d’un centre internationale ?

De même, au plan international, on ne peut citer, comme seul instrument juridique

international en matière de lutte contre la cybercriminalité, que la Convention de Budapest.

Or cette dernière qui sert de ligne directrice à de nombreux pays, n’a été ratifiée que par 30

pays et signée par 15. Dans la mesure où Internet possède une couverture mondiale, la

communauté internationale devrait instituer un Traité du Cyberespace (United Nations

Cyberespace Treaty103) comme ce fut proposé lors du Forum de la Gouvernance de l’Internet

en 2009 puis au Salvador en avril 2010 à l’occasion du United Nations Congress on Crime

Prevention and Criminal Justice104. Depuis, cette proposition est discutée au sein de l’Est

West Institute105, dans le cadre d’un groupe de travail sur la lutte contre la cybercriminalité.

L’ONU a aussi initié en 2011 des travaux qui pourraient aboutir à l’élaboration d’une

Convention universelle, ce qui est indispensable pour combattre efficacement ce phénomène.

103 www.cybercrimelaw.net/.../SGH_CyberspaceTreat [Consulté le 31 mai 2012] 104 www.un.org/en/conf/crimecongress2010 [Consulté le 31 mai 2012] 105 www.ewi.info/ [Consulté le 31 mai 2012]

______________________________

78/95

Une structure de coordination manque actuellement au dispositif nécessaire à la lutte contre la

cybercriminalité. Il faut donc, développer des échanges entre tous les organismes de lutte

contre la cybercriminalité afin de définir des stratégies procédurales coordonnées, notamment,

avec Eurojust afin de définir des tactiques organisées en lien avec les services d’enquête

spécialisés et les offices spécialisées Interpol et Europol.

1.2. Un dispositif technique renforcé en matière de lutte contre la cybercriminalité

1.2.1. S’agissant des moyens d’investigation

Les officiers de police judiciaire peuvent saisir, lorsqu’ils sont utiles à la manifestation de la

vérité, tous les objets et documents ayant servi à l’infraction ou en constituant le résultat.

Ainsi, les supports informatiques comme les cd-roms, les clés USB, les téléphones mobiles

peuvent être mis sous scellés. Mais, actuellement les officiers de police judiciaire sont de plus

en plus confrontés à des difficultés liées au volume croissant des données numériques

impossibles à exploiter durant le temps de la garde à vue. Il serait donc pertinent de simplifier

la procédure de saisie et d’exploitation des données informatiques afin de tenir compte de la

réalité opérationnelle.

Le législateur a renforcé les moyens d’investigations particulièrement adaptés à l’univers

numérique, notamment, avec la technique de l’infiltration pour tout enquêteur découvrant des

agissements susceptibles de recevoir une qualification pénale sur Internet. Toutefois, la liste

des textes prévoyant le recours à cette procédure est limitée106. Il faudrait donc étendre la

procédure d’infiltration numérique à d’autres contentieux (fraudes importantes, escroquerie,

etc.…), ceci sous le contrôle d’un juge.

En outre, la saisie des données numériques doit être effectuée en présence de la personne.

Dans un souci de rapidité, il serait important de se dispenser de la présence de celle-ci (mise

en examen) lors de l’exploitation des scellés.

1.2.2. S’agissant de la plate-forme Pharos

106 Article 706-73 du Code de procédure pénale et aux délits d’association de malfaiteurs prévus par l’alinéa 2 de l’article 450-1 du code pénal.

______________________________

79/95

Cette plate-forme a pour objectif de recueillir et de traiter des signalements des contenus

illicites d’Internet. Elle permet une rationalisation du traitement des signalements. Toutefois,

afin d’optimiser son utilité, il serait pertinent d’instaurer une véritable traçabilité des

signalements. Soit, de leur transmission à la plate-forme jusqu’à leur traitement judiciaire,

ceci afin que la chaine pénale soit réellement efficace, soit pour qu’elle puisse être évaluée et

au besoin ajustée.

2. Des préconisations d’ordre organisationnel

2.1. Au niveau des acteurs judiciaires

2.1.1. Concernant les magistrats

Le corps judiciaire déploie des moyens importants afin de permettre aux magistrats

d’appréhender les aspects techniques des dossiers dans des conditions facilitées et pour leur

permettre de comprendre les modèles économiques de ces fraudes. À qui profite le crime ?

À titre d’exemple, des formations sont organisées sur ces sujets par l’École Nationale de la

Magistrature (ENM).

Malgré la prise de conscience et les efforts conséquents par les magistrats, nous constatons

que les cybercriminels font constamment évoluer les outils et techniques de fraude afin de

distancer les acteurs de la lutte contre la cybercriminalité et empêcher une répression efficace

de leurs comportements illégaux.

L’État et la magistrature ont entamé une réflexion sur les moyens à mettre en place pour lutter

efficacement contre la cybercriminalité. Ainsi on citera l’éventualité d’une réorganisation des

services de la justice dans le but d’opérer une distinction en fonction de la gravité de

l’infraction : en cas d’infractions mineures la saisine serait simplifiée. À également été

envisagé la mise en place d’un parquet national spécialisé dans les nouvelles technologies,

dont la substance même ferait appel à des concepts techniques.

______________________________

80/95

2.1.2. Concernant les services de police

La Police et la Gendarmerie Nationale ont mis au sein de leurs effectifs des services

spécialisés et entièrement dédiés à la lutte contre la cybercriminalité. Les Officiers de Police

Judiciaire sont formés et ont un niveau d’expertise technique élevé leur permettant

d’appréhender avec une grande lucidité les dossiers. Cette expertise leur permet également de

s’impliquer totalement dans les affaires qu’ils se voient confier et ainsi de mener leurs

enquêtes efficacement. Cette tendance de spécialisation et d’expertise a vocation à se

développer dans les prochaines années. Plusieurs pistes sont d’ailleurs à l’étude, notamment,

est envisagée une collaboration technique étroite avec les opérateurs de communications

électroniques. Il est aussi évoqué l’idée, dans certains cas limitativement énumérés, de réduite

les délais (mandats de perquisitions, délivrance de commissions rogatoires) et les augmenter

dans d’autres cas (garde à vue).

2.2. Au niveau des opérateurs de communications électroniques

Les entreprises sont confrontées à une situation complexe pour se protéger face à ces

nouveaux risques.

2.2.1. S’agissant des ressources humaines

Aujourd’hui, les opérateurs de communications électroniques utilisent des développeurs

dédiés au réseau pour les interceptions mais également des développeurs qui s’occupent du

développement des outils ou des systèmes d’information. Ce sont des ingénieurs de formation

et le plus souvent spécialisés dans les télécoms. Toutefois, le volume des réquisitions

judiciaires explose ce qui complexifie la tâche des opérateurs de communications

électroniques dans la lutte contre la cybercriminalité. Heureusement, certaines fois, mais

plutôt rarement, le système peut s’avérer vertueux au niveau de la fraude pour quelques

entreprises, ce qui leur permet d’élaborer un mécanisme de défense plus efficace (une société

fait appel aux compétences d’un pirate pour corriger les failles d’un de ses logiciel).

L’expertise développée et les moyens utilisés par les opérateurs de communications

électroniques leur permettent d’apporter une spécialisation dans l’analyse et la défense de ces

attaques. Les objectifs poursuivis par les opérateurs étant de pouvoir faire face aux menaces et

de rester au même niveau technique que les cybercriminels, afin de comprendre les chemins et

______________________________

81/95

les modèles des fraudes. La collaboration étroite entre tous les acteurs qui combattent la

cybercriminalité devoir pouvoir continuer à se développer.

Certains axes de réflexion peuvent être envisagés, toutefois, une étude de faisabilité doit être

préalablement effectuée, et ceci doit être fait dans le respect de la légalité. À titre d’exemple,

l’opérateur de communications électroniques peut dans le respect de la loi communiquer

certaines informations (la base des impayés gérée par le GIE Préventel).

2.2.2. S’agissant de la sécurité

Concernant la menace interne à l’entreprise, les solutions passent par la mise en place de

procédures internes de contrôles renforcées, gestion des droits d’accès, des mots de passe de

plus en plus compliqués, récupération des badges avec photo ou empreintes digitales ou des

codes au moment du départ des employés voire des prestataires à l’issue de leurs missions. Il

est indispensable d’installer des logiciels, des antivirus, des anti-spams…

Il est nécessaire d’intégrer la sécurité au cœur du métier de l’entreprise. En effet, La sécurité

n’est plus une problématique isolée. Poursuivant l’exemple donné par les administrations, les

opérateurs de télécommunications instaurent des politiques de sécurité des systèmes

d’information (PSSI) afin de garantir la protection des données dont ils sont propriétaires ou

qu’ils réutilisent. Les technologies et le volume des données constituent des enjeux majeurs

pour les opérateurs, il faut donc impérativement les protéger. Il existe un réel besoin d’une

« cyber-risk aware culture » au travers de l’entreprise. Ainsi, tous les acteurs, du plus haut

niveau de la société (le comité exécutif) jusqu’aux équipes opérationnelles sans oublier les

services clients, doivent être impliqués et sensibilisés aux enjeux de la cybercriminalité pour

leur entreprise et au rôle qu’ils peuvent et doivent incarner. Pour l’opérateur SFR, cette

préoccupation constitue une priorité.

Enfin, concernant les failles de sécurité, depuis l’ordonnance du 24 août 2011, une obligation

de notifier à la CNIL les failles de sécurité est faite aux opérateurs de communications

électroniques (nouvel article 34 bis dans la loi Informatique et Libertés). Les opérateurs de

communications électroniques, et particulièrement SFR, ont mis en place une procédure de

recueil de ce type de fraude. Ainsi, a été mis en place un service spécialisé qui qualifie

l’incident puis le remonte au service informatique. Les collaborateurs doivent également être

impliqués, ils peuvent et ont l’obligation d’informer directement et sans délai la Direction

Juridique ou celle des Fraudes par le biais d’un programme créé spécialement, et accessible

______________________________

82/95

depuis l’entreprise de l’opérateur. Une fiche d’historisation permet au collaborateur de

transmettre des informations en sa possession relatives à l’origine de la faille, sa source ou

toute autre information utile à la compréhension du dysfonctionnement (ex : quelles sont les

données impactées, l’origine de la faille). Il a été instauré un groupe de travail exclusivement

chargé de la gestion et du traitement des failles. Ce Comité failles de sécurité détermine le

plan ou les plans d’action à mettre en place, il définit les actions devant être prises par chaque

participant en lien avec un périmètre définit mais limité afin d’assurer une spécialisation et

une rapidité dans la réalisation des actions. Ce dernier est chargé de tenir l’inventaire interne

des failles demandé par la CNIL.

______________________________

83/95

CONCLUSION

Comme, on a pu le constater tout au long de ce mémoire, les réseaux numériques sont

devenus une composante majeure sur laquelle repose la croissance de nos économies.

Pourtant l'utilisation des réseaux, tel l'Internet, présente des risques et des vulnérabilités

inhérentes à leur nature : ouverte et internationale.

Ainsi, depuis que l'Internet s'est démocratisé, il ne se passe pas une semaine sans que les

médias ne rapportent une affaire liée de près ou de loin à l'utilisation frauduleuse des TIC

(Technologies de l'Information et de la Communication). Comme cela a déjà été développé

précédemment, les activités criminelles liées aux technologies de l'information peuvent

prendre des formes très variées : atteintes aux systèmes d'information et/ou aux données

informatisées, attaques de serveur par saturation (spamming), violation du secret des

correspondances privées, violation des règles de protection des données personnelles,

espionnage industriel ou militaire, contrefaçon de droits de propriété intellectuelle (brevets,

marques, dessins, droits d'auteur, …), délits de presse (ex : diffamation), fraude fiscale, fraude

à la carte bancaire, blanchiment d'argent, réseaux de pédophiles, usurpation d'identité,

organisation de la prostitution… La liste des infractions est longue ; ces dernières touchant

autant les entreprises privées, les administrations que les particuliers.

En tant qu'espace de communication ouvert, l’Internet permet la diffusion de tout type

d'information sans aucune contrainte géographique. En effet, les responsables des attentats du

11 septembre 2001, qui étaient disséminés dans différents pays du monde, avaient eu recours

aux systèmes de messageries électroniques associés à l'usage de moyens de cryptologie et de

stéganographie (l’art de cacher des messages) pour assurer la confidentialité de leurs échanges

tendant à la préparation et à l'organisation de leurs attentats.

Par ailleurs, suivant la loi applicable dans le pays de destination de l'information, cette

dernière pourra être considérée comme licite ou illicite, parfois en fonction des principes

(variables) de liberté d'expression et de respect de la vie privée.

En France, comme dans les autres pays, l'Internet s'affranchit de toute contrainte territoriale.

Ainsi, le fait d'appréhender des comportements délictueux sur les réseaux se heurte à trois

types de contraintes : celle de l'anonymat qui peut être organisée sur les réseaux, celle de la

volatilité des informations numériques (possibilité de modifier et de supprimer des éléments

de preuve quasi instantanément) et celle des comportements délictuels qui revêtent souvent un

caractère transnational.

Face à ces réalités, une harmonisation internationale du droit et des procédures ainsi qu'une

______________________________

84/95

étroite coopération judiciaire entre les États, sont des conditions sine qua non pour être en

mesure de lutter efficacement contre des cybercriminels qui tendent à s'organiser et à agir au

niveau planétaire. Cette harmonisation est devenue une priorité majeure des États qui sont

entrés dans la société de l'information, spécialement les États membres du Conseil de

l'Europe, conformément aux bases qui ont été définies par le G8.

Ainsi, la révolution numérique et le développement de la communication en réseaux ont rendu

indispensable l'adaptation des outils législatifs, répressifs et de coopération internationale.

Par ailleurs, face à une cybercriminalité en expansion et en perpétuelle transformation, les

opérateurs de communications électroniques, au côté des acteurs nationaux, entendent avoir

une attitude responsable et active. Dans ce contexte et au-delà du préjudice subi (perte du

chiffre d’affaire, atteinte à l’image de marque …) les opérateurs de communications

électroniques se mobilisent pour apporter leur concours et proposer des solutions à la lutte

contre toutes les formes de fraudes.

Cette position défendue par les opérateurs de communications est en parfaite adéquation avec

les souhaits de l’État français. En effet, le 14 février 2008, Madame Michèle Alliot – Marie,

alors ministre de l’intérieur, de l’outre-mer, des collectivités territoriales préconisait déjà

qu’une « charte de bonnes pratiques améliorant la coopération avec les opérateurs de

communications électroniques » soit ainsi proposée afin permettre le blocage des sites illicites

et l'accélération de la transmission des informations aux services de Police et de Gendarmerie.

Et au-delà, ce sont l'ensemble des acteurs de la chaîne, les hébergeurs de site, les opérateurs,

les associations de consommateurs, qui seront également concernés.

Les opérateurs de communications électroniques ont déjà mis en place de nombreux moyens

humains, techniques et financiers pour lutter contre le fléau contemporain que constitue la

cybercriminalité. Toutefois, ce combat doit être partagé avec tous les acteurs impliqués, d’une

manière ou d’une autre dans ce « baroud ». Chacun pouvant apporter sa pierre à l’édifice, ceci

que ce soit le particulier, qu’il est important d’associer et de sensibiliser, que les

établissements privés et publics tant nationaux qu’internationaux, sans oublier le milieu

judiciaire ( magistrats, services de Police et Gendarmerie).

Enfin, pour reprendre une formule chère à l’opérateur de communications électroniques SFR :

« Faisons ensemble du numérique un monde plus sûr ».

______________________________

85/95

TABLE DES MATIÈRES

REMERCIEMENTS ...................................................................................................................................... 2

SOMMAIRE ................................................................................................................................................... 3

INDEX ............................................................................................................................................................ 4

INTRODUCTION .......................................................................................................................................... 7

PARTIE I : UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES ................................................................................................ 12

CHAPITRE 1 : DES MENACES CYBERCRIMINELLES INTERNES AUX ENTREPRISES DE COMMUNICATIONS

ÉLECTRONIQUES ................................................................................................................................................ 12

Section 1 : Les fraudes liées aux systèmes d’information ............................................................................ 13

1. Accès et maintien frauduleux dans les systèmes d’information ....................................................................... 13

1.1. L’élément matériel du délit ..................................................................................................................... 14

1.2. L’élément intentionnel du délit ............................................................................................................... 15

1.3. Les atteintes à l’intégrité des systèmes d’information ............................................................................ 16

Section 2 : Les fraudes liées à l’intégrité des données ................................................................................. 18

1. Les atteintes à l’intégrité des données engendrant un préjudice pour l’employeur ................................................ 18

2. Les moyens de protection de l’intégrité des données ....................................................................................... 20

2.1. La cryptologie......................................................................................................................................... 20

2.2. Le délit d’usurpation numérique ............................................................................................................. 21

PARTIE I : UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES ................................................................................................ 23

CHAPITRE II : DES MENACES CYBERCRIMINELLES EXTERNES AUX ENTREPRISES DE COMMUNICATIONS

ÉLECTRONIQUES ................................................................................................................................................ 23

Section 1 : Les fraudes historiques ou indémodables ................................................................................... 24

1. Le Phreaking .................................................................................................................................................... 24

2. Le Hacking ....................................................................................................................................................... 25

Section 2 : Les fraudes actuelles .................................................................................................................. 27

1. Le spamming .................................................................................................................................................... 27

1.1. Le spam courriel ..................................................................................................................................... 27

1.2. Le Spam SMS ......................................................................................................................................... 28

1.3. Le Spam vocal ........................................................................................................................................ 28

2. Le phishing ou hameçonnage ........................................................................................................................... 29

2.1. Le mode opératoire des phishers ............................................................................................................ 29

2.2. Exemples de phishing ............................................................................................................................. 30

2.2.1 Phishing sur Internet .......................................................................................................................... 30

2.2.2 Le phishing SMS ............................................................................................................................... 30

Section 3 : Les fraudes complexes: l’exemple de la fraude aux numéros surtaxés ...................................... 31

PARTIE II : UNE CYBERCRIMINALITÉ COMBATTUE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES ................................................................................................ 33

CHAPITRE I : LES OUTILS, CONTEMPORAINS, DE LUTTE CONTRE LA CYBERCRIMINALITÉ MIS À LA DISPOSITION

DES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES ................................................................................. 33

Section 1 : Les sources de droit de lutte contre la cybercriminalité ............................................................ 33

______________________________

86/95

1. Les sources internationales : Un cadre en mutation ......................................................................................... 33

1.1. La convention sur la cybercriminalité .................................................................................................... 33

1.1.1. Le texte fondateur .............................................................................................................................. 34

1.1.2. L’apport du Protocole additionnel du 7 novembre 2002 .................................................................... 35

1.1.3. Le Projet d’une Convention universelle de la cybercriminalité ......................................................... 36

1.2. Les sources communautaires .................................................................................................................. 36

1.2.1. Le texte fondateur .............................................................................................................................. 37

1.2.2. Les textes récents ............................................................................................................................... 38

a. La directive 2011/92/UE .................................................................................................................... 38

b. La proposition de Directive du 30 septembre 2010 ........................................................................... 38

2. Le dispositif législatif et réglementaire français: vers un arsenal répressif de plus en plus spécifique ............. 41

2.1. Les lois fondatrices du dispositif de lutte contre la cybercriminalité ...................................................... 42

2.1.1. La loi informatique et libertés de 1978 .............................................................................................. 42

2.1.2. La loi Godfrain .................................................................................................................................. 42

2.2. Les réformes visant à renforcer le dispositif de lutte contre la cybercriminalité..................................... 43

2.2.1. La loi relative à la sécurité quotidienne (LQS) .................................................................................. 43

2.2.2. La loi sur la sécurité intérieure........................................................................................................... 43

2.2.3. La loi Perben II .................................................................................................................................. 43

2.2.4. La loi pour la Confiance dans l’économie numérique ....................................................................... 44

2.2.5. La loi relative aux communications électroniques et aux services de communication audiovisuelle 45

2.2.6. La Loi d’Orientation et de Programmation pour la Performance de la Sécurité Intérieure 2 ............. 45

2.3. Les textes récents tendant vers un arsenal répressif spécifique à la cybercriminalité ............................. 46

2.3.1. L’ordonnance relative aux communications électroniques ................................................................ 46

2.3.2. La loi sur la protection de l’identité ................................................................................................... 48

Section 2 : Un dispositif technique et organisationnel ................................................................................. 48

1. Un dispositif technique .................................................................................................................................... 49

1.1. Des mécanismes spéciaux mis en place pour une recherche d’efficacité ............................................... 49

1.1.1. Contre le spamming ........................................................................................................................... 49

a. Le 33700 spam “sms” ........................................................................................................................ 49

b. L’association signal spam .................................................................................................................. 50

c. L’application Anti-Spam de SFR....................................................................................................... 50

1.1.2. Contre le phishing .............................................................................................................................. 50

a. Information des clients via le site institutionnel de l’opérateur.......................................................... 50

b. Adhésion des opérateurs à «Phishing-initiative» ............................................................................... 51

c. Une équipe dédiée au traitement du Phishing .................................................................................... 51

d. Création d’une adresse mail spécifique par l’opérateur SFR ............................................................. 51

1.1.3. Contre le hacking, phreaking et la fraude SVA ................................................................................. 51

1.1.4. Contre le vol des mobiles .................................................................................................................. 52

1.1.5. Contre les formes de criminalités « traditionnelles » exercées via les réseaux .................................. 52

a. Les sources ........................................................................................................................................ 53

a.1. La LCEN ......................................................................................................................................... 53

a.2. L’article 61 de la loi du 12 mai 2010 ............................................................................................... 53

a.3. L’article 4 de la LOPPSI 2 ............................................................................................................... 53

a.4. L'article L. 336-2 du Code de la propriété intellectuelle .................................................................. 54

b. Les formes ......................................................................................................................................... 54

b.1. Le blocage ....................................................................................................................................... 54

b.2. Le filtrage ........................................................................................................................................ 54

1.2. Une mobilisation responsable ................................................................................................................. 56

2. Un dispositif organisationnel ........................................................................................................................... 57

2.1. La réponse organisationnelle des États ................................................................................................... 57

2.1.1. Au niveau International ..................................................................................................................... 57

______________________________

87/95

2.1.2. Au niveau Européen .......................................................................................................................... 57

a. EUROPOL ......................................................................................................................................... 57

b. EUROJUST ....................................................................................................................................... 57

c. L’ENISA ........................................................................................................................................... 58

d. Le CEPOL ......................................................................................................................................... 59

e. La CERT-EU ..................................................................................................................................... 60

2.1.3. Au niveau français ............................................................................................................................. 60

a. L’OCLCTIC ...................................................................................................................................... 60

b. La BEFTI ........................................................................................................................................... 61

c. La BFMP ........................................................................................................................................... 61

d. L’IRCGN ........................................................................................................................................... 62

2.2. La réponse organisationnelle des opérateurs .......................................................................................... 62

2.2.1. Mise en place d’importants moyens d’investigation .......................................................................... 62

2.2.2. Création de l’association SVA + ....................................................................................................... 63

2.2.3. Des actions de sensibilisation ............................................................................................................ 64

2.2.4. Des actions de formation ................................................................................................................... 65

PARTIE II : UNE CYBERCRIMINALITÉ COMBATTUE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES ................................................................................................ 66

CHAPITRE 2 : LES OUTILS, ENVISAGÉS ET ENVISAGEABLES, DE LUTTE CONTRE LA CYBERCRIMINALITÉ POUVANT

ÊTRE MIS À LA DISPOSITION DES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES ..................................... 66

Section 1 : Les outils envisagés .................................................................................................................... 66

1. L’initiative internationale ................................................................................................................................. 66

2. Les initiatives européennes .............................................................................................................................. 66

2.1. Lancement du projet européen 2CENTRE ............................................................................................. 66

2.2. Un centre européen de lutte contre la cybercriminalité .......................................................................... 67

3. Les initiatives françaises .................................................................................................................................. 69

3.1. Les missions confiées à l’OCLCTIC ...................................................................................................... 69

3.1.1. La gestion de deux plateformes de signalement................................................................................. 69

a. Pharos ................................................................................................................................................ 69

b. « Info- escroquerie » .......................................................................................................................... 69

3.1.2. Le blocage des sites pédopornographiques ........................................................................................ 69

3.2. L’État renforce les moyens d’investigations des services de police ....................................................... 70

3.2.1. L’État se dote d’une plateforme d’écoutes judiciaires (la PNIJ) ........................................................ 70

3.2.2. Mise en place d’un nouveau fichier de police interconnecté ............................................................ 71

3.3. Création d’un référentiel des réquisitions en matière de communications électroniques ........................ 72

3.4. L’État institue deux autorités administratives indépendantes ................................................................. 73

3.4.1. L’HADOPI ........................................................................................................................................ 73

3.4.2. L’ ARJEL .......................................................................................................................................... 74

Section 2 : Les outils envisageables ............................................................................................................. 75

1. Des préconisations d’ordre juridique et technique ........................................................................................... 75

1.1. Un dispositif légal commun de lutte contre la cybercriminalité ............................................................. 75

1.1.1. Révision du droit français .................................................................................................................. 76

1.1.2. Renforcement de la coopération entre les pays ................................................................................. 76

1.2. Un dispositif technique renforcé en matière de lutte contre la cybercriminalité ..................................... 78

1.2.1. S’agissant des moyens d’investigation .............................................................................................. 78

1.2.2. S’agissant de la plate-forme Pharos ................................................................................................... 78

2. Des préconisations d’ordre organisationnel ..................................................................................................... 79

2.1. Au niveau des acteurs judiciaires ........................................................................................................... 79

2.1.1. Concernant les magistrats .................................................................................................................. 79

2.1.2. Concernant les services de police ...................................................................................................... 80

______________________________

88/95

2.2. Au niveau des opérateurs de communications électroniques .................................................................. 80

2.2.1. S’agissant des ressources humaines ................................................................................................... 80

2.2.2. S’agissant de la sécurité ..................................................................................................................... 81

CONCLUSION ............................................................................................................................................. 83

TABLE DES MATIÈRES ............................................................................................................................ 85

BIBLIOGRAPHIE/SITOGRAPHIE ............................................................................................................ 89

LEXIQUE ..................................................................................................................................................... 92

______________________________

89/95

BIBLIOGRAPHIE/SITOGRAPHIE

OUVRAGES :

- Rapport de l’Observatoire national de la délinquance et des réponses pénales2011, La criminalité en France, sous la direction de Monsieur Alain Bauer

- Revue Juris Tendance Informatique et Télécom (JTIT) n° 123/2012.3 publiée par le cabinet Alain Bensoussan diffusée uniquement par voie électronique

- Bouhadana I et Gilles W, Cybercriminalité, Cybermenaces &, Cyberfraudes, Edition IMODEV 2012

- Féral- Schuhl C, Cyberdroit : Le droit à l’épreuve de l’Internet, VI ème édition

SITES CONSULTÉS :

- Site de l’ARCEP : www.arcep.fr/

- Portail public du droit : www.legifrance.gouv.fr

- Site de l’ONDRP : www.inhesj.fr/.../ondrp/rapport.../ra2011/synthese_rapport_2011.pdf

- Site de l’HADOPI : www.hadopi.fr/

- Site de l’ARJEL : www.arjel.fr/

- Site Europa .eu : http://europa.eu/

- Site pwc : http://www.pwc.lu

- Site de l’office québécois de la langue française : www.oqlf.gouv.qc.ca

- Site de Solucominsight : www.solucominsight.fr/.../

- Site du forum des droits de l’Internet : http://www.foruminternet.org

- Site officiel du ministère de l’intérieur : www.interieur.gouv.fr/

- Site de la documentation française : www.ladocumentationfrancaise.fr

- Site Internet de la préfecture de police -BEFTI: - www.prefecturedepolice.interieur.gouv.fr

______________________________

90/95

- Site de Legalis : http://www.legalis.net

- Site de la revue en ligne du droit des technologies de l’information Juriscom : www.juriscom.net

- Site de la faculté de droit de l’université de Lilles 2 : droit.univ-lille2.fr/f

- Site la sécurité sur le net : securinet.free.fr

- Site de la federation Syntec: www.syntec.fr - Site du conseil de l’Europe :https://wcd.coe.int

- Portail du Sénat : www.senat.fr

- Site du logiciel et antivirus Altospam: www.altospam.com

- Site E-juristes : www.e-juristes.org - Site officiel SFR : www.sfr.fr - Site d’information participatif : www.paperblog.fr

- Site mobile volé, mobile bloqué: www.mobilevole-mobilebloque.fr/ - Site Interpol : www.interpol.int/ - Site officiel du ministère de la défense : www.defense.gouv.fr - Site du cabinet Alain Bensoussan avocats : http:/www.alain-bensoussan.com/ - Site des Nations Unies : www.un.org/fr - Site 2CENTRE : www.2centre.eu

- Site PC INpact : www.pcinpact.com/

- Site du syndicat du corps de commandement de la Police Nationale : www.synergie-

officiers.com/

- Site données personnelles et vie privée : www.donneesprivees.com/

- Portail du ministère de la Justice : www.justice.gouv.fr

- Site de l’ANSSI : www.ssi.gouv.fr/

- www.cybercrimelaw.net/.../SGH_CyberspaceTreat

______________________________

91/95

- www.un.org/en/conf/crimecongress2010

- www.ewi.info/

______________________________

92/95

LEXIQUE

Botnets : Réseau d'ordinateurs zombies détournés à l'insu de leurs propriétaires. En plus de

servir à paralyser le trafic (attaque par déni de service), de moteur à la diffusion de spam, les

botnets peuvent également être utilisés pour commettre des délits comme le vol de données

bancaires et identitaires à grande échelle.

Cybercriminalité : notion regroupant « toutes les infractions pénales susceptibles de se

commettre sur ou au moyen d’un système informatique généralement connecté à un réseau. »

C’est la délinquance liée aux réseaux numériques. Elle est transversale et porte aussi bien sur

les piratages, les fraudes, les contrefaçons, les infractions dites de contenu comme la

pédopornographie ou le racisme. Tout le champ pénal est concerné.

Cheval de Troie : Un cheval de Troie (Trojan Horse en anglais) est un logiciel d’apparence

légitime, conçu pour exécuter des actions à l’insu de l'utilisateur.

Cyberespace : Lieu imaginaire appliqué métaphoriquement au réseau Internet. Le terme

anglais cyberspace a été créé par William Gibson dans son livre intitulé Neuromancer. Le

terme cyberespace est parfois utilisé dans le sens de monde « virtuel ».

Directive : Une directive est une décision de droit communautaire visant à favoriser

l'harmonisation des législations nationales des États membres de l'Union Européenne.

DNS : Domain Name System, est un service permettant de traduire un nom de domaine en

informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine

portant ce nom.

Faille de sécurité : Dans le domaine de la sécurité informatique, une vulnérabilité ou faille est

une faiblesse dans un système informatique, permettant à un attaquant de porter atteinte à

l'intégrité de ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité et

l'intégrité des données qu'il contient.

______________________________

93/95

FAI : signifie littéralement Fournisseur d'accès à Internet. On l'appelle aussi provider, mot

provenant de l'appellation anglaise ISP, qui signifie Internet Service Provider (traduction:

Fournisseur de services Internet). C'est un service (la plupart du temps payant) qui vous

permet de vous connecter à Internet...

Geek : {anglicisme} Passionné d'informatique.

IP : Internet Protocole est une famille de protocoles de communication de réseau informatique

conçus pour et utilisés par Internet.

Loi : Règle de droit écrite, de portée générale et impersonnelle. Elle s'applique à tous sans

exception et nul n'est censé l'ignorer. Elle est délibérée, rédigée, amendée et votée par le

Parlement (Assemblée nationale et Sénat) en termes identiques. Elle est promulguée (signée)

par le Président de la République et publiée au Journal officiel (JO).

Le blocage : Il consiste à bloquer l’accès à un site Internet, soit en bloquant le nom de

domaine (par DNS), soit en bloquant l’accès au serveur d’hébergement (par IP)

Le grooming : processus par lequel un adulte met un enfant en confiance afin d'en abuser

sexuellement, avertissant que l'utilisation abusive des données (extraction des données et

profilage) nuit aux mineurs.

Le streaming : Transfert de données multimédia en continu sur Internet, et qui permet donc la

lecture du média avant la fin du téléchargement.

Le filtrage : Le filtrage est un ensemble de solutions techniques de limitation d'accès à

Internet ayant généralement pour objectifs, la protection des enfants contre des contenus

inappropriés (contrôle parental), les restrictions d'un accès d'entreprise à un usage

professionnel ou la protection des libertés individuelles.

Peer to peer : Le peer-to-peer est un réseau d'échange et de partage de fichiers entre

internautes. Le principe du peer-to-peer (P2P) est de mettre directement en liaison un

internaute avec un autre internaute qui possède un fichier convoité.

______________________________

94/95

Le Phreaking : Le phreaking est le piratage de systèmes de téléphonie filaire ou sans-fil. Ce

terme provient d’une contraction entre les termes anglais « phone », pour téléphone, et

«freak», signifiant marginal, ou personne appartenant à une contre-culture.

Le Hacking : Le hacking regroupe un ensemble de techniques exploitant des failles et

vulnérabilités d'un élément ou d'un groupe d'éléments d’un système d’information.

Le Phishing : Le phishing est une technique de fraude visant à obtenir des informations

confidentielles, telles que des mots de passe ou des numéros de cartes de crédit, au moyen de

messages ou de sites usurpant l'identité d'institutions financières ou d'entreprises

commerciales connues et réputées.

Opérateur de communications électroniques : Selon la directive 2002/19/CE « Accès » du

7 mars 2002 , l’opérateur de communications électroniques se définit comme « une entreprise

qui fournit ou est autorisée à fournir un réseau de communications public ou une ressource

associée ».

Ordonnance : L'ordonnance est une décision prise par un juge. Le juge statue seul, dans

certains cas, dans son cabinet, donc hors de l'audience publique.

Règlement : un règlement est une disposition prise par certaines autorités administratives,

auxquelles la Constitution donne compétence pour émettre des règles normatives. Tels sont

les décrets du Président de la République (certains sont pris après avis du Conseil d'État et

portent le nom de Règlement d'Administration Publique) et les arrêtés pris par les ministres du

Gouvernement, les préfets, les sous-préfets et les maires des communes, dans la limites de

leurs attributions. En Droit communautaire, le Règlement constitue l'instrument juridique par

lequel se manifeste le pouvoir législatif de la Communauté.

Spamming : Le spamming est «l’envoi d'un même message électronique non sollicité à un

très grand nombre de destinataires au risque de les importuner»

Un hébergeur : Un hébergeur internet (ou hébergeur web) est une entité ayant pour vocation

de mettre à disposition des internautes des sites web conçus et gérés par des tiers.

______________________________

95/95

Un internaute : Un internaute est un utilisateur du réseau Internet.

Ver : un ver est un programme nocif et autonome qu'on peut retrouver sur le disque dur ou

dans le code exécutable contenu dans le secteur de démarrage du disque.

Virus : Un virus informatique est un programme, généralement de petite ou très petite taille,

doté des propriétés suivantes : infection ; multiplication ; possession d'une fonction nocive

(payload).