Etat d’éléments pertinents de recherche en matière de cyberdélinquance

« L’émergence de l’ère informatique a donné naissance à de nouveaux

comportements délinquants, difficiles à appréhender et marqués du sceau de l’immatérialité »⁵¹. En effet, le terrain d’expression de la délinquance au niveau du cyberespace détermine des possibilités infinies d’actes illégaux, pouvant se répéter à l’infini: « L’automatisation du monde numérique rend plus dangereuses les attaques sur

les services Internet que les attaques du monde réel […] Dans le monde réel, les attaques ne s’étendent pas aussi facilement, cependant au fur et à mesure que le monde physique

se transpose en ligne, le monde « underground » peut potentiellement exploiter des

vulnérabilités de manière automatisée et très approfondie »⁵². Dans ce même ordre

51 La criminalité sur l’Internet (Pansier, Jez, 2000). 52

« One of the things that makes attacks on Internet services more dangerous than attacks in the physical

world is the automation that is possible in the world of computers […] The worry is that in the physical world, attacks do not scale very well, but as soon as a physical world process is moved online, malicious parties can potentially exploit vulnerabilities in an automated and exhaustive fashion » .

d’idée et cadre d’application, D. Guinier définit la cybercriminalité, au sens large, comme « tout ce qui regroupe les activités illégales et les actes directement commis à l’encontre

ou à l’aide des technologies de l’information et de la communication (TIC), localement ou à distance, et qualifiables de délictueux ou criminels »⁵³. Ces menaces proviennent le plus souvent de l’exploitation d’outils à caractère malveillant disponibles gratuitement sur Internet, ou correspondent tout simplement à la transposition numérique de comportements délictueux de la société traditionnelle. Certains pirates informatiques développent, cependant, de manière personnelle, leur propre méthodologie et outils, de manière personnelle, qui demeurent par le fait difficilement saisissables.

Le principe d’une nouvelle délinquance s’est ainsi rapidement développé sur Internet : « la croissance exceptionnelle de cet univers de communication s’accompagne

évidemment de son cortège de méfaits : les nouvelles technologies de l’information et de la communication sont à la fois l’objet et l’outil de nouvelles délinquances. On peut classer ces délinquances en fonction de l’objet technologique concerné ou en fonction de l’usage qui en est fait : si c’est un outil utilisé par le criminel pour commettre son forfait ou s’il en est l’objet même »⁵⁴. De plus, aujourd’hui, ces cyberdélinquants ciblent et prennent l’habitude de camoufler leurs attaques pour plus d’efficacité, combinant social

engineering (ingénierie sociale), technologies et codes malicieux…

Ainsi, à ce jour la cyberdélinquance se professionnalise et le crime organisé l’a également largement intégrée à ses pratiques. Pour exemple, le procureur antimafia italien, Pier Luigi Vigna, a récemment souligné que le crime organisé « se sert de

managers et de cols blancs pour gérer les affaires illégales à travers le système informatique ». En effet, les différents types de criminels ne fonctionnent donc pas en

autarcie, mais interagissent, multipliant les effets négatifs, illégaux et dangereux de la cyberdélinquance. Le récent rapport Symantec « Le cybercrime s’organise pour vider les

caisses »⁵⁵ précise la généralisation de ce phénomène. Globalement ce rapport fait état d’une cyberdélinquance internationale de mieux en mieux organisée, les pirates

Defending Against an Internet-based Attack on the Physical World (Byers, Rubin, Kormann, 2002).

53

Les systèmes d’information – Arts et pratiques (Guinier, 2002). 54 L’internet (Capul, mars-avril 2000).

55Pirates, phishing virus...le cybercrime s’organise pour vider les caisses, guide de la sécurité

informatiques « pensant réseau » avant tout, et coordonnant leurs actions. La cyberdélinquance s’organise donc, avec par exemple des outils de type « crimewares » (programmes informatiques conçus spécialement à des fins malveillantes) qui se professionnalisent et perfectionnent tout type d’escroquerie comme le vol d’informations sur Internet.

Récemment, après en avoir délimité l’existence, la recherche scientifique s’est intéressée plus en avant à l’objet même de la « cyberdélinquance ». C’est son domaine technique qui fut principalement étudié ; ses perspectives sociales se développent depuis peu, mais timidement. Ainsi, la majorité des publications scientifiques relevant de l’objet a principalement pour origine le domaine de l’informatique et des technologies associées aux systèmes d’information. En effet, les principales recherches se sont attachées à définir le périmètre propre de la cyberdélinquance avec ses diverses méthodologies, la catégorisation de ces activités illégales et de ses acteurs principaux, puis, en conséquence, la présentation globale des schémas de lutte. Pour leur part, les sciences humaines s’attachent à la recherche (principalement sociologique) relative aux acteurs principaux de la cyberdélinquance et à saisir leurs motivations.

Le périmètre menaçant de la « cyberdélinquance »

La notion de « cyberdélinquance » regroupe l’ensemble des infractions commises sur ou par un système informatique généralement connecté à un réseau. « La

cyberdélinquance couvre trois catégories d’agissements : la première considère les technologies de l’information en tant que cibles d’infractions (accès frauduleux à un système informatique, atteinte à l’intégrité de données ou interceptions illégales), la seconde utilise les technologies de l’information en tant que moyen de commettre des actes criminels « classiques » (production et diffusion de contenus illicites ou préparation d’actes terroristes), la troisième enfin, consiste à utiliser les technologies de l’information en tant que vecteur de « contenus informationnels illicites » (pornographie enfantine, racisme et xénophobie ) »⁵⁶. Cette classification des faits, permet de favoriser

la compréhension du phénomène, sans pouvoir toutefois le définir de manière exhaustive. De plus, de nombreux termes sont parfois utilisés de façon interchangeable pour décrire des crimes commis à partir d’ordinateurs : « - Crime lié à un ordinateur : l’utilisation

d’un ordinateur est déterminante pour commettre l’attaque ; - crime Internet : détermine les crimes pour lesquels l’utilisation d’Internet est une caractéristique clé et comprend des infractions telles que posséder des images pédophiles par exemple ; crime électronique : une catégorisation de type général relative aux infractions commises en utilisant un stockage électronique de données ou un outil de communication »⁵⁷.

De fait, le terme cyberdélinquance demeure globalement difficile à conceptualiser, car il ne fait l’objet d’aucune définition légale : « Ce choix des

législateurs a conduit la doctrine à multiplier les définitions de ce terme, contribuant ainsi à rendre plus complexes les analyses juridiques. En effet, l’absence de définition légale de ce terme est source de confusions, tant au niveau du domaine de la réflexion, qu’au niveau de l’analyse ou du vocabulaire choisi »⁵⁸. Ces confusions ont conduit M. Chawki à élaborer une définition pratique de ce qu’est la cybercriminalité, afin de l’appréhender plus facilement, notamment en terme de droit : « La cybercriminalité [ou

cyberdélinquance] peut être définie comme : toute action illicite associée à l’interconnexion des systèmes informatiques et des réseaux de télécommunication, où l’absence de cette interconnexion empêche la perpétration de cette action illicite. Sous cette définition, nous pouvons identifier les quatre rôles que joue le système informatique dans les actes illicites :

Objet : Des cas concernant la destruction de systèmes informatiques, ainsi que des

données ou des programmes qu’ils contenaient, ou encore la destruction d’appareils fournissant l’air climatisé, l’électricité, permettant aux ordinateurs de fonctionner.

57 « computer-related crime – the use of a computer is integral to committing the offence ; […] - internet crime – refers to crimes in which the use of the internet is a key feature and includes content-related offences such as possession of child pornography for example; - e-crime – a general label for offences committed using an electronic data storage or communications device ».

Concepts and terms (High Tech Crime Brief, 2005).

Support : Un système informatique peut être le lieu ou le support d’une infraction, ou

un ordinateur peut être la source ou la raison d’être de certaines formes et sortes d’avoirs qui peuvent être manipulés sans autorisation.

Outil : Certains types et certaines méthodes d’infractions sont complexes pour

nécessiter l’utilisation d’un système informatique comme instrument. Un système informatique peut être utilisé de manière active comme dans le balayage automatique de codes téléphoniques afin de déterminer les bonnes combinaisons qui peuvent être utilisées plus tard pour se servir du système téléphonique sans autorisation.

Symbole : Un système informatique peut être utilisé comme symbole pour menacer ou

tromper. Comme, par exemple, une publicité mensongère de services non existants, comme cela a été fait par plusieurs clubs de rencontres informatisés ».

Cette proposition de définition demeure originale face aux multiples catégorisations développées, car souvent soit trop « étroites » impliquant l’utilisation extrême de l’ordinateur, soit trop « larges » incluant des infractions déjà classées comme infractions traditionnelles. En effet, le concept ainsi posé rejoint alors les spécifications du cadre du cyberespace, de sa relation avec la délinquance, et du domaine même de la cyberdélinquance. En fait, cette définition permet de traiter avec pragmatisme de l’objet de recherche.

La cyberdélinquance correspond donc à un ensemble de catégories de délits largement étendu. Les aspects de fraude, de falsification, de sabotage et d’extorsion, l’espionnage industriel, le piratage de logiciels, les crimes contre la propriété industrielle sont autant de délits économiques utilisant le hacking comme vecteur. Le « hacking » est souvent utilisé comme synonyme du « piratage informatique ». A ce titre, Daniel Martin⁵⁹ décline ainsi les catégories suivantes comme définissant le « hacking » :

- accès et maintien frauduleux dans un système d’information ;

- lecture des logiciels, fichiers et données,

- altération éventuelle du fonctionnement du système ;

- suppression ou modification des données ;

- introduction de virus, bombes logiques, etc. »

Attaché à ce kaléidoscope de catégorisations désormais établies, la croissance du phénomène « cyberdélinquance » a, finalement, accompagné et intégré les évolutions technologiques. Ainsi, D. Martin distingue trois temps dans la diffusion de ces menaces :

- « des années soixante-dix à quatre-vingt, la banalisation de l’informatique

s’accompagne du piratage de logiciels et de la contrefaçon des cartes de crédits ;

- dans les années quatre-vingt, l’émergence des réseaux locaux et de leurs connexions voit naître les premières affaires de détournement de fonds et les premiers hackers s’attaquant à des cibles prestigieuses (NASA, Pentagone, etc) ;

- depuis les années quatre-vingt dix, l’informatique distribuée, la prolifération des systèmes d’information et la croissance d’Internet ont favorisé les formes de criminalité instrumentalisant le virtuel et l’immatériel. »

Ces enjeux se réfèrent principalement aux types d’acteurs de la cybercriminalité, dans le domaine de l’information « sensible » relative au fonctionnement des entreprises et des objets sur lesquels peuvent s’exercer des droits de propriétés. Afin de parfaire sa compréhension, il importe également de tenir compte du fait que la cyberdélinquance se mesure souvent en termes d’impacts financiers. En effet, de nombreux marqueurs fournissent des preuves tangibles de cette activité et sont largement diffusés et disponibles pour tout public sur Internet. Ces éléments statistiques sont constamment repris en exemple au sein des diverses publications scientifiques dédiées à ce phénomène (voir partie suivante II. 2)). Le FBI (Federal Bureau of Investigation - Etats-Unis) évalue, par exemple, le coût total du cybercrime pour la seule année 2005, à 67 milliards $. Plus récemment (2006), le CERT-CC a produit un rapport nommé « e-crime watch survey», validant ces faits : ainsi sur un échantillon de 434 entités aux Etats-Unis, les préjudices financiers, associés à des attaques numériques, augmentent de façon significative (en moyenne par répondant 704.000 $ en 2006, contre 507.000 $ en 2005).

Pour éclaircir la notion de périmètre menaçant, nous retiendrons surtout la définition claire et établie de la cyberdélinquance tel que Sean B. Hoar la décline : « La cyberdélinquance est devenue si commune que désormais la notion fait partie de

notre vocabulaire, définie comme un crime commis sur un réseau informatique, particulièrement sur Internet »⁶⁰.

De la catégorisation de la « cyberdélinquance »

Très tôt la notion de cyberdélinquance fut catégorisée, notamment afin de définir correctement les différents cas quant à la répression à appliquer, selon justement la portée des actes et les motivations souvent associées. « Le dixième congrès des Nations Unies

sur la prévention du crime et du traitement des délinquants a permis en 2000 de catégoriser cinq infractions en tant que cybercrime : - accès non autorisés ; - dommages à des données ou des programmes informatiques ; - sabotages pour entraver le fonctionnement d’un système informatique ou d’un réseau ; - interception non autorisée de données, depuis et via un système ou réseau ; et l’espionnage par ordinateur »⁶¹. Au-delà de la nouvelle criminalité, il apparaît clairement que des activités criminelles « classiques » au sein de la société traditionnelle ont su aussi gagner les territoires numériques. A ce titre, il est possible de parler de types de crime qui peuvent subtilement être ainsi classés ainsi : « Le premier concerne le vol. […] Avec un accès facile au

serveur une équipe organisée de criminels peut facilement cloner le serveur et détourner de l’argent vers différents comptes […] Un autre, crucial pour toutes les opérations de crimes organisés ayant progressé avec Internet, est le blanchiment d’argent […] Un autre, ayant pris une nouvelle forme sur Internet, est le vol d’identité [...] Une autre

60 « Cybercrime is so common that it is now part of our lexicon, defined as a crime committed on a

computer network, especially the Internet ».

Trends in cybercrime : the dark side of the Internet (Hoar, 2005).

61

The tenth United Nations Congress on the prevention of Crime and the Treatment of Offenders as of the year 2000 categorized five offenses as «cyber-crime » :

- Unauthorized access,

- Damage to computer data or programs,

- Sabotage to hinder the functioning of a computer system or network,

- Unauthorized interception of data, from and within a system or network, And computer espionage ».

nouvelle méthode, pour un crime ancien, est devenue possible via Internet à savoir l’extorsion »⁶².

Pratiquement, il n’existe pas de liste définitive des actions de cyberdélinquance, cependant, il est possible de les relever finement pour suivre spécifiquement leur évolution voire leur « amélioration continue ». Broadhurst et Chantler⁶³ ont permis de déterminer une vue consensuelle récente pour clarifier ces activités : « Vol de

télécommunications, interceptions illégales de télécommunications, piratage de droits d’auteur, prise de contrôle numérique, blanchiment d’argent, vandalisme électronique, cyber-Terrorisme, déni de service, extorsion, ventes et fraudes à l’investissement, contrefaçon, fraude au transfert de fonds, fraude à la vente et à l’investissement, vol d’identité, crime de contenu, matériel offensif, espionnage, vol de ressources, utilisation illégale d’ordinateur »⁶⁴. Broadhurst et Chantler détaillent très spécifiquement chaque

activité, fournissant de nombreux exemples pratiques permettant ainsi de mieux qualifier la catégorisation des actes de cyberdélinquance.

Spécifiquement, S. Hoar⁶⁵ énonce également les faits récents de cybercrime : « En

2005, la dissémination de nouveaux codes malicieux a continué de progresser avec un taux exponentiel […] Selon une étude menée au Etats-Unis, le phishing a causé approximativement 1.2 milliards de pertes directes pour les banques et les émetteurs de cartes bancaires […] La forme la plus dangereuse de phishing est le logiciel malicieux, aussi nommé « malware » »⁶⁶.

62 « The first crime that has seen both is theft. […] With easy access to a server an organized team of

criminals can easily clone the server and divert money into different accounts […] Another crime crucial to all organized crime operations that sees advances with internet is money laundering. […] Another crime that has taken an entirely new form on the internet is identity theft […] Another new method for an old crime made possible by the internet is extorsion ».

Organized crime and the Internet (Nelson-Palmer, 2006).

63 Cybercrime Update : Trends and Developments (Broadhurst, Chantler, 2006).

64 « Telecommunications Theft, illegal Interception of telecommunications, Piracy Copyright Theft, Cyber

Stalking, Electronic money laundering and Tax evasion, Electronic vandalism, Cyber-Terrorism, Denial of Service, Extorsion, Sales and Investment Fraud, Forgery (Classic Pyramid Schemes), Electronic Funds Transfer Fraud and Counterfeiting (Carding), Identity Theft and Misrepresentation, Content Crime – Offensive Materials, Espionage, Resource Theft – illegal use of PC ».

65 Trends in cybercrime : the dark side of the Internet (Hoar, 2005). 66

« In 2005, the dissemination of new malicious code continues at an exponential rate […] According to

one study, phishing caused approximatively $1.2 billion in direct losses to banks and credit card issuers in the United States in 2003 […] The most dangerous form of phishing is malicious software. Also called «malware » ».

Au sein des méthodologies de cybercriminalité, et au-delà des technologies innovantes menaçantes, une notion particulière retient depuis peu fortement l’attention, car à l’origine de multiples fraudes cybercriminelles, à savoir la notion de « hacking cognitif »⁶⁷ (terme défini par l’Office of Justice Programs, National Institute of Justice,

Department of justice, award number 2000-DT-CX-K001 (S1)). Peu usité, ce terme se

réfère aux attaques d’ordinateurs ou de systèmes d’information en relation avec la possible transformation du comportement initial de l’utilisateur, de ses perceptions, et correspondant à des comportements visant la réussite de l’attaque.

Se distinguent alors les attaques « autonomes » qui sont le fait d’une méthodologie reposant exclusivement sur des technologies informatiques, tandis que les attaques « cognitives » se penchent sur les attaques de type « humain » : « En exemple,

les fichiers contenant des informations privées comme des numéros de cartes bleues peuvent être téléchargés et utilisés par un attaquant. Une telle attaque ne requiert aucune intervention par les utilisateurs d’un système attaqué, du fait nous nommerons cette dernière une attaque « autonome »⁶⁸.

Les actes de « cognitive hacking » se passent d’attaques directes mais font appel à toute technique de manipulation frauduleuse visant à tromper l’utilisateur : « Cognitive

Hacking » est défini ici comme le fait de gagner l’accès, ou atteindre un ordinateur pour le but d’affecter le comportement humain de celui qui utilise le système dans le but de violer l’intégrité d’un système informatique »⁶⁹ . Deux classes peuvent être distinguées au sein de la notion de « cognitive hacking » : « Avec le Cognitive Hacking manifeste,

aucune atteinte n’est effectuée pour cacher le fait qu’un piratage de ce type est effectué (exemple : le « defacement » d’un site web). Un même type d’attaque sous couvert, en

67 Usuellement dénommés « cognitive hacking ».

68« For example, files containing private information such as credit card numbers can be downloaded and

used by an attacker. Such an attack does not require any intervention by users of the attacked system, hence we call it an « autonomous attack ».

Cognitive hacking : a battle for the mind (Cybenko, Giani, Thompson, 2003).

69 « Cognitive hacking is defined here as gaining access to, or breaking into a computer system for the

purpose of affecting the behavior of a human use the system in a manner that violates the integrity of a computer system. ».

contraste, peut avoir des conséquences considérables, parce qu’il peut influencer les perceptions d’un utilisateur et son comportement »⁷⁰.

Les exemples d’activités de « Cognitive Hacking » sont nombreux ; peuvent être cités : les vols de services, les vols d’informations, la fraude financière, la fraude non financière, les « farces », le « phishing », etc... Ainsi le « social engineering » est par exemple une pratique consistant à user de ressorts psychologiques pour obtenir d’un tiers une information ou des données en vue de commettre une fraude, une intrusion réseau, de l’espionnage industriel ou bien encore un vol d’identité. Un autre exemple pratique de « cognitive hacking » : le phishing. Cette technique est pratiquée dans le but d'extorquer des informations confidentielles aux internautes, mais ne constitue pas la seule cible de ces actes malicieux. Chaque acte de phishing est effectué en abusant de l'image et de la confiance accordées par l’utilisateur à de grands organismes internationalement reconnus.

Ceux-ci paient aussi le prix fort des attaques de phishing, comme la banque anglaise NatWest qui s'est vu forcée de suspendre provisoirement une partie de ses services en ligne début novembre 2004 afin de ne pas subir les contrecoups d'une attaque de phishing à grande ampleur lancée à son encontre. Les pertes de réputation et les pertes financières sont importantes, autant pour les organismes visés par les attaques de

phishing que pour les utilisateurs d'Internet dupés et extorqués. Ces sites ont explosés en

2006, et l’Anti-Phishing Working Group (APWG), groupe de travail international de lutte contre ce dénommé « hameçonnage », a fait, en effet, état d’une très forte progression du nombre de nouveaux sites de ce type en octobre 2006 (au cours de ce mois 37 444

Dans le document Les mondes de la cyberdélinquance et images sociales du pirate informatique (Page 69-83)