« La Cybercriminalité : Une Réponse Globale à un Défi Global »
Transcription
« La Cybercriminalité : Une Réponse Globale à un Défi Global »
« La Cybercriminalité : Une Réponse Globale à un Défi Global » Introduction Le titre de cette présentation est emprunté au titre de la Conférence sur la Cybercriminalité organisée conjointement par le Conseil d’Europe et le Ministère Espagnol de la Justice, et en collaboration avec l’Organisation des Etats d’Amérique. La Conférence en question s’est tenue à Madrid les 12 et 13 Décembre 2005. Cette année 2005 a été très fertile en conférences, en déclarations et en résolutions concernant la criminalité, parmi lesquelles on peut citer : - La Résolution du Caire (adoptée à la 6ème Conférence Internationale d’INTERPOL sur la criminalité, le Caire, 13-15 avril 2005) ; - La Déclaration de Bangkok (adoptée au 11ème Congrès des Nations Unies sur la prévention du crime et la justice pénale, Bangkok, 18-25 avril 2005) ; - La Déclaration de Varsovie (adoptée au 3ème Sommet des Chefs d’Etat et de Gouvernement du Conseil de l’Europe, Varsovie, 16-17 mai 2005) ; - La Déclaration de Salamanque (adoptée au XVème Sommet Ibéro américain des Chefs d’Etat et de Gouvernement, Salamanque, 14-15 octobre 2005) Pour revenir à la Conférence sur la Cybercriminalité organisée à Madrid en décembre 2005, précisons qu’elle avait pour but de promouvoir l’adhésion à la Convention sur la Cybercriminalité. Parmi les conclusions de cette conférence, les participants se déclarent « préoccupés de la croissance rapide des dangers et des graves conséquences sociales et économiques liées à la cybercriminalité y compris l’activité terroriste sur Internet » La Convention sur la Cybercriminalité (2001) : Une réponse globale La Convention du Conseil de l’Europe sur la Cybercriminalité (Budapest, 23 novembre 2001) est considérée comme le premier traité sur les crimes de l’Internet et la cybercriminalité en général, harmonisant les lois de chaque pays et améliorant les techniques de recherche et d’investigation et la coopération mondiale. Elle devient force de loi le 1er juillet 2004. En 2003, il y eut un Protocole additif à cette Convention relatif à l’incrimination d’actes de nature raciste et xénophobe par le biais de systèmes informatiques. Ce Protocole est devenu force de loi le 1er mars 2006. La Convention du Conseil de l’Europe sur la Cybercriminalité (Budapest, 23 novembre 2001) a nécessité un travail préliminaire colossal. Le Comité d’Experts du Conseil d’Europe sur la Cybercriminalité, constitué de 16 états membres, a commencé à travailler sur la Convention sur la Cybercriminalité dès septembre 1997, avant l’apparition d’une première version en avril 2000. Ce véritable traité sur la cybercriminalité fut ratifié par le sénat américain en août 2006 et ne devint force de loi aux Etats-Unis d’Amérique que le 1er janvier 2007. Cette ratification marque une avancée importante dans la lutte contre la cybercriminalité internationale, selon les dires du directeur exécutif de la Cyber Security Industry Alliance qui compte parmi ses membres des compagnies comme Juniper Networks, McAfee, RSA Security, et Symantec. Critiques de la Convention Malgré les critiques de plusieurs organisations non gouvernementales concernant le manque d’ouverture, de transparence, et surtout le manque de dialogue par le Conseil d’Europe avec toutes les parties concernées par la Convention, et surtout avec les représentants de la société civile, celle-ci put être acceptée et signée par un grand nombre d’états. La plus grande objection à la Convention sur la Cybercriminalité vient de son incompatibilité apparente avec la Convention Européenne des Droits de l’Homme et avec la jurisprudence de la Cour Européenne des Droits de l’Homme à Strasbourg. Certaines organisations non gouvernementales à la Convention sur la Cybercriminalité lui reprochent son manque d’engagement clair pour les principes de protection des données, du caractère privé d’Internet, et surtout l’interception des communications et l’obligation de confidentialité. Certaines réactions à la censure « étatique » pousseront certains sites à adopter un chiffrage SSL : lire plus bas le paragraphe explicatif. La Cybercriminalité : un défi global et quelques chiffres La réponse à la cybercriminalité coûte très cher aux pays qui en souffrent directement. Le phénomène de la cybercriminalité touche aussi bien les pays riches que les états dits émergents. Au-delà de leurs divergences, les nations du monde se mobilisent pour combattre cette forme évoluée de criminalité. La cybercriminalité peut avoir des conséquences désastreuses sur les économies nationales et leur stabilité interne. En fait, elle peut mettre en danger la paix dans le monde. Selon la European Network and Information Security Agency (= l’Agence européenne pour la sécurité des réseaux, ENISA), les économies nationales de plusieurs pays européens sont menacées par la cybercriminalité. Lors d’une conférence animée par l’ENISA en juin 2008, il est avancé des chiffres qui suscitent bien des inquiétudes au sein des décideurs européens. En effet, et selon l’ENISA, plus de 6 millions d’ordinateurs dans les pays de l’UE seraient infectés et connectés à des réseaux de zombies et le spam. Les entreprises européennes perdent de ce fait des sommes colossales, avoisinant les 70 milliards d’euros. D’après les résultats d’une enquête menée par AVG et menée par IPSOS en mars 2008, 22% des 7000 utilisateurs de PC étudiés ont déjà subi une attaque cybercriminelle (dont 31% d’anglais, 32% d’italiens. De plus, plus de la moitié des français font de la cybercriminalité leur souci majeur. Ces résultats sont alarmants, et quand on sait que des transactions de plus en plus nombreuses et sensibles se font par Internet, on ne peut que s’en alarmer davantage. A titre d’exemple, la Suède (84%) et l’Allemagne (78%) sont les plus gros utilisateurs de sites bancaires à faibles niveaux de protection. De plus, de par l’Europe, on peut dénombrer 55% des utilisateurs de paiement en ligne de facture, 72% des utilisateurs de vente en ligne, 69% des utilisateurs de sites bancaires… La même étude avance d’autres chiffres aussi alarmants : 18% des utilisateurs étudiés n’utilisent aucune protection anti-virus sur leur ordinateur, alors que 38% des utilisateurs ne sont pas informés des dangers de la cybercriminalité et des moyens de s’en protéger. Intégration de l’utilisateur dans la « réponse »globale Loin des conventions et des lois anti-cybercriminalité, il est des approches qui sont beaucoup plus efficaces. A titre d’exemple, le Directeur Général d’AVG Technologies (entreprise privée de produits antivirus et de sécurité cybernétique), réagissant à toutes ces données, soutient que le défi dorénavant se trouve dans la sécurité et la protection des utilisateurs d’ordinateurs sans entraver l’innovation. C’est pourquoi, dit-il, il faut faire en sorte que les recherches d’AVG Technologies sur les menaces se focalisent sur l’intégration de « l’utilisateur comme composante capitale », et favorisent « la coopération entre utilisateurs et chercheurs afin d’assurer la protection de tous ». Dans un autre cadre, celui du « cyberterrorisme » et les attaques subversives cybernétiques dont ont souffert et souffrent encore beaucoup de pays comme l’Algérie et les pays baltes, par exemple, il est aussi préconisé d’intégrer l’utilisateur dans la lutte contre cette forme évoluée de criminalité. Les établissements offrant des services Internet sont amenés à participer à la prévention de la cybercriminalité. Cependant, le « cyberterrorisme » étant de nature transnational, l’éradication de ces pratiques nécessite le recours à la coopération internationale, car les sites « terroristes »sont généralement hébergés à l’étranger. De plus, et en matière d’investissements, un pays comme l’Algérie qui a longtemps souffert du terrorisme et du crime organisé, a investi un montant de 4 milliards d’euros (pour la période allant de 2006 à 2010) et des moyens considérables pour augmenter ses capacités de « réponse » à ce que certains appellent la « cyberpropagande extrémiste », véritable fléau qui touche à la stabilité du pays et à la cohésion sociale. « Censure » étatique et chiffrage SSL : le cas de The Pirate Bay Le protocole de SSL (=Secure Socket Layer) est la norme web de chiffrage pour des communications entre les utilisateurs, les clients et les sites web. Des données envoyées par l’intermédiaire d’un raccordement SSL sont protégées par chiffrage, un mécanisme qui empêche de voir, d’intercepter ou de modifier clandestinement toute information transmise. En d’autres termes, les informations transmises et échangées sont rendues confidentielles et intègres. Le protocole SSL est considéré comme sûr, et il est utilisé notamment par l’immense majorité des sites marchands. En Suède, par exemple (et dans bien d’autres pays), il existe des lois permettant à des agences militaires et de sécurité et d’écoute de surveiller tous les moyens de communication à l’intérieur de la Suède sans nécessité de demande judiciaire. Cette mesure est un durcissement, une « réponse » contre les téléchargements interdits et autres pratiques illégales. Ce genre de mesures étatiques n’est pas toujours heureux et salutaire. Dans le cas de la Suède, il a donné naissance à une contre-mesure de la part du site The Pirate Bay. Ce dernier est un site suédois permettant l’échange des fichiers torrents ; il se définit lui-même comme « le plus grand serveur torrent du web ». Le problème est que The Pirate Bay a décidé lui aussi d’appliquer le chiffrage SSL, et ce pour « contrecarrer » la « censure » en Suède. Il veut ainsi continuer à proposer un service d’hébergement d’images et d’information sans censures. La conséquence directe de ce chiffrage « anticensure » est que les sites sont à nouveau accessibles depuis les pays ayant décidé de les bloquer. Ainsi, même quand l’Italie décide de bloquer le nom de domaine et des adresses IP utilisés par The Pirate Bay, ce dernier réagit en modifiant son adresse IP. Conclusion La Convention sur la Cybercriminalité a permis une concertation des nations et une proposition de « réponse globale » à la criminalité cybernétique. Beaucoup de travail a été réalisé et un travail colossal continue à se faire pour juguler ce fléau mondial. Une concertation et un échange interétatique et une coopération internationale sont plus que nécessaires pour faire de l’Internet un lieu sûr, fiable et protégé. Cependant, beaucoup d’efforts doivent continuer à être consentis par tous les états car, comme le montre le cas de The Pirate Bay et d’autres lieux d’échanges anonymisés et opaques, il deviendra de plus en plus difficile de lutter contre la cybercriminalité ! Noureddine GUELLA (Publié dans la Revue AL-DAAWA No. 89, Muharram 1439H, pp. 42-44)