« La Cybercriminalité : Une Réponse Globale à un Défi Global »

« La Cybercriminalité : Une Réponse Globale à un Défi Global »
Introduction
Le titre de cette présentation est emprunté au titre de la Conférence sur la
Cybercriminalité organisée conjointement par le Conseil d’Europe et le Ministère
Espagnol de la Justice, et en collaboration avec l’Organisation des Etats d’Amérique. La
Conférence en question s’est tenue à Madrid les 12 et 13 Décembre 2005. Cette année
2005 a été très fertile en conférences, en déclarations et en résolutions concernant la
criminalité, parmi lesquelles on peut citer :
- La Résolution du Caire (adoptée à la 6ème Conférence Internationale
d’INTERPOL sur la criminalité, le Caire, 13-15 avril 2005) ;
- La Déclaration de Bangkok (adoptée au 11ème Congrès des Nations Unies sur
la prévention du crime et la justice pénale, Bangkok, 18-25 avril 2005) ;
- La Déclaration de Varsovie (adoptée au 3ème Sommet des Chefs d’Etat et de
Gouvernement du Conseil de l’Europe, Varsovie, 16-17 mai 2005) ;
- La Déclaration de Salamanque (adoptée au XVème Sommet Ibéro américain
des Chefs d’Etat et de Gouvernement, Salamanque, 14-15 octobre 2005)
Pour revenir à la Conférence sur la Cybercriminalité organisée à Madrid en décembre
2005, précisons qu’elle avait pour but de promouvoir l’adhésion à la Convention sur la
Cybercriminalité. Parmi les conclusions de cette conférence, les participants se déclarent
« préoccupés de la croissance rapide des dangers et des graves conséquences sociales et
économiques liées à la cybercriminalité y compris l’activité terroriste sur Internet »
La Convention sur la Cybercriminalité (2001) : Une réponse globale
La Convention du Conseil de l’Europe sur la Cybercriminalité (Budapest, 23 novembre
2001) est considérée comme le premier traité sur les crimes de l’Internet et la
cybercriminalité en général, harmonisant les lois de chaque pays et améliorant les
techniques de recherche et d’investigation et la coopération mondiale. Elle devient force
de loi le 1er juillet 2004.
En 2003, il y eut un Protocole additif à cette Convention relatif à l’incrimination d’actes
de nature raciste et xénophobe par le biais de systèmes informatiques. Ce Protocole est
devenu force de loi le 1er mars 2006.
La Convention du Conseil de l’Europe sur la Cybercriminalité (Budapest, 23 novembre
2001) a nécessité un travail préliminaire colossal. Le Comité d’Experts du Conseil
d’Europe sur la Cybercriminalité, constitué de 16 états membres, a commencé à travailler
sur la Convention sur la Cybercriminalité dès septembre 1997, avant l’apparition d’une
première version en avril 2000.
Ce véritable traité sur la cybercriminalité fut ratifié par le sénat américain en août 2006 et
ne devint force de loi aux Etats-Unis d’Amérique que le 1er janvier 2007. Cette
ratification marque une avancée importante dans la lutte contre la cybercriminalité
internationale, selon les dires du directeur exécutif de la Cyber Security Industry Alliance
qui compte parmi ses membres des compagnies comme Juniper Networks, McAfee, RSA
Security, et Symantec.
Critiques de la Convention
Malgré les critiques de plusieurs organisations non gouvernementales concernant le
manque d’ouverture, de transparence, et surtout le manque de dialogue par le Conseil
d’Europe avec toutes les parties concernées par la Convention, et surtout avec les
représentants de la société civile, celle-ci put être acceptée et signée par un grand nombre
d’états. La plus grande objection à la Convention sur la Cybercriminalité vient de son
incompatibilité apparente avec la Convention Européenne des Droits de l’Homme et avec
la jurisprudence de la Cour Européenne des Droits de l’Homme à Strasbourg. Certaines
organisations non gouvernementales à la Convention sur la Cybercriminalité lui
reprochent son manque d’engagement clair pour les principes de protection des données,
du caractère privé d’Internet, et surtout l’interception des communications et l’obligation
de confidentialité. Certaines réactions à la censure « étatique » pousseront certains sites à
adopter un chiffrage SSL : lire plus bas le paragraphe explicatif.
La Cybercriminalité : un défi global et quelques chiffres
La réponse à la cybercriminalité coûte très cher aux pays qui en souffrent directement.
Le phénomène de la cybercriminalité touche aussi bien les pays riches que les états dits
émergents. Au-delà de leurs divergences, les nations du monde se mobilisent pour
combattre cette forme évoluée de criminalité. La cybercriminalité peut avoir des
conséquences désastreuses sur les économies nationales et leur stabilité interne. En fait,
elle peut mettre en danger la paix dans le monde.
Selon la European Network and Information Security Agency (= l’Agence européenne
pour la sécurité des réseaux, ENISA), les économies nationales de plusieurs pays
européens sont menacées par la cybercriminalité. Lors d’une conférence animée par
l’ENISA en juin 2008, il est avancé des chiffres qui suscitent bien des inquiétudes au sein
des décideurs européens. En effet, et selon l’ENISA, plus de 6 millions d’ordinateurs dans
les pays de l’UE seraient infectés et connectés à des réseaux de zombies et le spam. Les
entreprises européennes perdent de ce fait des sommes colossales, avoisinant les 70
milliards d’euros.
D’après les résultats d’une enquête menée par AVG et menée par IPSOS en mars 2008,
22% des 7000 utilisateurs de PC étudiés ont déjà subi une attaque cybercriminelle (dont
31% d’anglais, 32% d’italiens. De plus, plus de la moitié des français font de la
cybercriminalité leur souci majeur. Ces résultats sont alarmants, et quand on sait que des
transactions de plus en plus nombreuses et sensibles se font par Internet, on ne peut que
s’en alarmer davantage. A titre d’exemple, la Suède (84%) et l’Allemagne (78%) sont les
plus gros utilisateurs de sites bancaires à faibles niveaux de protection. De plus, de par
l’Europe, on peut dénombrer 55% des utilisateurs de paiement en ligne de facture, 72%
des utilisateurs de vente en ligne, 69% des utilisateurs de sites bancaires…
La même étude avance d’autres chiffres aussi alarmants : 18% des utilisateurs étudiés
n’utilisent aucune protection anti-virus sur leur ordinateur, alors que 38% des utilisateurs
ne sont pas informés des dangers de la cybercriminalité et des moyens de s’en protéger.
Intégration de l’utilisateur dans la « réponse »globale
Loin des conventions et des lois anti-cybercriminalité, il est des approches qui sont
beaucoup plus efficaces. A titre d’exemple, le Directeur Général d’AVG Technologies
(entreprise privée de produits antivirus et de sécurité cybernétique), réagissant à toutes
ces données, soutient que le défi dorénavant se trouve dans la sécurité et la protection des
utilisateurs d’ordinateurs sans entraver l’innovation. C’est pourquoi, dit-il, il faut faire en
sorte que les recherches d’AVG Technologies sur les menaces se focalisent sur
l’intégration de « l’utilisateur comme composante capitale », et favorisent « la
coopération entre utilisateurs et chercheurs afin d’assurer la protection de tous ».
Dans un autre cadre, celui du « cyberterrorisme » et les attaques subversives
cybernétiques dont ont souffert et souffrent encore beaucoup de pays comme l’Algérie et
les pays baltes, par exemple, il est aussi préconisé d’intégrer l’utilisateur dans la lutte
contre cette forme évoluée de criminalité. Les établissements offrant des services Internet
sont amenés à participer à la prévention de la cybercriminalité. Cependant, le
« cyberterrorisme » étant de nature transnational, l’éradication de ces pratiques nécessite
le recours à la coopération internationale, car les sites « terroristes »sont généralement
hébergés à l’étranger.
De plus, et en matière d’investissements, un pays comme l’Algérie qui a longtemps
souffert du terrorisme et du crime organisé, a investi un montant de 4 milliards d’euros
(pour la période allant de 2006 à 2010) et des moyens considérables pour augmenter ses
capacités de « réponse » à ce que certains appellent la « cyberpropagande extrémiste »,
véritable fléau qui touche à la stabilité du pays et à la cohésion sociale.
« Censure » étatique et chiffrage SSL : le cas de The Pirate Bay
Le protocole de SSL (=Secure Socket Layer) est la norme web de chiffrage pour des
communications entre les utilisateurs, les clients et les sites web. Des données envoyées
par l’intermédiaire d’un raccordement SSL sont protégées par chiffrage, un mécanisme
qui empêche de voir, d’intercepter ou de modifier clandestinement toute information
transmise. En d’autres termes, les informations transmises et échangées sont rendues
confidentielles et intègres. Le protocole SSL est considéré comme sûr, et il est utilisé
notamment par l’immense majorité des sites marchands.
En Suède, par exemple (et dans bien d’autres pays), il existe des lois permettant à des
agences militaires et de sécurité et d’écoute de surveiller tous les moyens de
communication à l’intérieur de la Suède sans nécessité de demande judiciaire. Cette
mesure est un durcissement, une « réponse » contre les téléchargements interdits et autres
pratiques illégales. Ce genre de mesures étatiques n’est pas toujours heureux et salutaire.
Dans le cas de la Suède, il a donné naissance à une contre-mesure de la part du site The
Pirate Bay. Ce dernier est un site suédois permettant l’échange des fichiers torrents ; il se
définit lui-même comme « le plus grand serveur torrent du web ». Le problème est que
The Pirate Bay a décidé lui aussi d’appliquer le chiffrage SSL, et ce pour « contrecarrer »
la « censure » en Suède. Il veut ainsi continuer à proposer un service d’hébergement
d’images et d’information sans censures. La conséquence directe de ce chiffrage « anticensure » est que les sites sont à nouveau accessibles depuis les pays ayant décidé de les
bloquer. Ainsi, même quand l’Italie décide de bloquer le nom de domaine et des adresses
IP utilisés par The Pirate Bay, ce dernier réagit en modifiant son adresse IP.
Conclusion
La Convention sur la Cybercriminalité a permis une concertation des nations et une
proposition de « réponse globale » à la criminalité cybernétique. Beaucoup de travail a
été réalisé et un travail colossal continue à se faire pour juguler ce fléau mondial. Une
concertation et un échange interétatique et une coopération internationale sont plus que
nécessaires pour faire de l’Internet un lieu sûr, fiable et protégé. Cependant, beaucoup
d’efforts doivent continuer à être consentis par tous les états car, comme le montre le cas
de The Pirate Bay et d’autres lieux d’échanges anonymisés et opaques, il deviendra de
plus en plus difficile de lutter contre la cybercriminalité !
Noureddine GUELLA
(Publié dans la Revue AL-DAAWA No. 89, Muharram 1439H, pp. 42-44)