Les menaces non intentionnelles telle que l’erreur humaine, qui n’a pas la dimension d’un piratage informatique, peut être à l’origine de sinistres informatiques

graves. L’erreur peut consister en une distraction, une négligence qui ne correspond pas au cadre régulier dans une sphère de sécurité donnée. La sensibilisation est un moyen qui aide à diminuer ces erreurs. Dans ce cadre nous trouvons également les désastres naturels (inondations, incendies, tempêtes). Ces risques sont difficilement gérables et doivent donc être impérativement prévus par un « recovery plan » (plan de reprise), prévoyant la reprise rapide de l’activité en cas de sinistre portant atteinte au système d’information. Enfin, les pannes matérielles et de logiciels entraînent souvent la perte du service offert par le système d’information (disponibilité) ; il est donc primordial de mettre en place des mécanismes afin de réduire ces pertes potentielles.

2) Les menaces intentionnelles : passives, elles ne modifient pas le comportement du système, et sont parfois indétectables, ou bien actives et modifient le contenu des informations. Généralement via réseaux, elles correspondent pleinement aux pirates informatiques, souvent qualifiés, notamment au sein du corpus, de hackers. Les actes classiques perpétrés, visant à altérer les services d’information et de communication Internet, sont les suivants :

- defacement (altération de sites web) : cette attaque a pour but de transformer la page de garde d’une organisation afin de la ridiculiser.

- espionnage économique et industriel : l’espionnage économique et industriel a recours à des moyens illégaux, clandestins, intrusifs, coercitifs ou non (manipulation) pour acquérir des renseignements économiques.

- pression sur le personnel : toujours le point faible. Il peur faire l’objet de menaces de toute sorte (corruption, manipulations, entente de groupes, etc…).

- fraude commerciale : la carte bancaire est la plus touchée par la fraude commerciale. Le plus grand risque réside dans le fait que le serveur du site commercial qui stocke les données des cartes bancaires soit attaqué. Les fraudes commerciales sont nombreuses et leur origine en est difficilement détectable. Une solution est d’effectuer les achats en ligne sur un serveur commercial certifié offrant des garanties de qualité via l’apposition sur le site d’un certificat de qualité (qui répond à un référentiel).

- déni de service : le déni de service est une attaque qui entraîne la non-disponibilité d’une ressource. La durée du déni de service est variable, peut prendre plusieurs formes et vise des cibles très différentes. Les attaques se déroulent souvent de façon chronologique : consommation de bande passante, saturation de ressources, panne du système et des applications.

- sniffing (logiciel d’espionnage) : le sniffing est l’espionnage de manière passive d’un réseau informatique. Le logiciel dénommé « sniffer » surveille sans se faire repérer une ressource informatique du réseau en vue d’y trouver des informations utilisables pour pirater la ressource. Généralement, l’utilisation d’un « sniffer » consiste à récupérer les informations d’authentification (login + password) qui sont contenues dans chaque en-tête de paquets transitant via un réseau informatique.

- IP Spoofing (usurpation d’adresse Internet Protocole) : l’IP Spoofing vole l’identité d’un utilisateur connecté à un réseau informatique, afin de se faire passer pour quelqu’un d’autre.

Les menaces intentionnelles, via réseaux, exploitent généralement des failles bien connues (Avec l’évolution des systèmes ces failles sont désormais comblées, cependant, elles réapparaissent tout de même, de manière continuelle) :

- système de partage de fichiers ou d’imprimantes en réseau : partager des fichiers ou imprimantes en réseau est un véritable problème de sécurité. Dans un réseau local les partages doivent être correctement gérés afin de ne pas ouvrir d’accès confidentiels à des personnes non autorisées. Les partages sont souvent exploités à distance pour pirater le système d’exploitation d’un ordinateur. Les particuliers sont souvent les cibles principales de ce type de pratiques pirates, elles sont souvent concomitantes à l’exploitation d’un cheval de Troie (cf. infra) précédemment déposé.

- attaque de type Netbios : Netbios est le processus d’autorisation à accéder à des fichiers et répertoires situés sur d’autres machines. Netbios est le protocole utilisé par Windows pour partager des fichiers. Les pirates sont souvent à la recherche de machines dont le port 137 est ouvert (Netbios) afin d’exploiter une faille qui permet d’ouvrir un accès sur l’ordinateur victime.

- ping « de la mort » : ces attaques inondent un routeur ou un serveur de requêtes. Aucune donnée n’est détournée, il s’agit d’une attaque de déni de service qui permet d’agir sur la disponibilité des ressources.

Les actes classiques perpétrés, visant à altérer les services d’information et de communication, sont notamment les suivants : defacement (altération de sites web), espionnage économique et industriel, fraude commerciale, déni de service, sniffing, IP

Spoofing, etc…(les deux derniers ayant été développés supra).

La menace, la source du risque, est l'attaque possible d'un élément dangereux pour toute ressource d’un système concernée. Le guide 73 de l'ISO⁸⁹ définit un risque par la combinaison de la probabilité d'un événement et de ses conséquences. Cette définition est généralement étendue et on définit un risque à l'aide de ce que l'on nomme l'équation du risque : Risque = f (menace x vulnérabilité x impact (cf. première partie I – I – 1)). Cette équation est celle qui est la plus couramment utilisée et la plus reconnue dans le domaine de la gestion des risques de sécurité. Elle joue un rôle fondamental dans l'identification et l'évaluation du risque. Mais surtout, toute menace constitue une cause potentielle de perte, il convient donc de définir l’impact préjudiciable potentiel. S. Bosworth et M. E.

Kabay estiment que le coût de l’incident de sécurité correspond au dommage global subi par l’organisation victime⁹⁰. Le cybercrime est une menace, au cœur de l’équation du risque de sécurité, formalisée par l’existence d’agents menaçants identifiés, et entraînant des préjudices. La menace de type agents humains est la plus rencontrée et la plus présente sur Internet. Les entreprises n’ont aucun moyen d’action sur ces menaces, en interne, elles peuvent avoir recours à des mesures disciplinaires à l’encontre d’un employé malveillant, mais si la menace est externe et virtuelle, c’est impossible. Il est hors de question de prendre des mesures en réponse à une attaque externe. Dans ce cas, seules les mesures judiciaires sont envisageables, ainsi que bien entendu la mise en conformité, visant à pallier les vulnérabilités identifiées.

Au cœur de la réflexion terminologique se trouve la problématique de la spécificité criminelle. La cybercriminalité est-elle une forme de criminalité nouvelle, exploitant des situations socio-économiques inédites à des fins malveillantes, ou bien doit-on inclure la dimension traditionnelle de la criminalité qui se donnerait seulement pour peine d'exploiter ce nouveau média que représente le réseau informatique mondial pour commettre des actes délictueux déjà connus et identifiés ? Deux approches s'opposent.

L'approche par le délit

Selon la généalogie du cybercrime proposée par Pansier et Jez, le premier délit informatique identifié fut commis aux États-Unis en 1966 (il s’agissait alors d’une altération des comptes d’une banque de Minneapolis) ; la criminalité des réseaux est cependant un phénomène plus récent, en expansion constante depuis le début des années 1980, qui s’est généralisée en France, depuis l’avènement d’Internet, fin 1994. La cybercriminalité se définit, communément, comme toute action illicite visant l’intégrité d’un site informatique déterminé ou bien menée à l’aide d’un outil informatique. « Les

vices les plus répandus ont trouvé une place à leur aise dans un espace virtuel où se

90

« Event cost is the total cost in both real and soft dollars related to the total ramifications of a particular

exploit experienced by a vulnerable target company or system ». Computer Security Handbook (Bosworth et Kabay, 2002).

développe une criminalité bien réelle »⁹¹. C. Nisbet⁹² propose la définition la plus généraliste qui soit du phénomène, au point de ne pas être très éclairante sans doute : « Le

cybercrime est un crime commis en utilisant un ordinateur ou Internet »⁹³. Plus récemment encore, N. Kshetri (The Simple economics of cybercrimes, 2006) définit de manière tout aussi basique le cybercrime : « Nous définissons le cybercrime de manière

large comme un crime qui utilise un réseau d’ordinateurs quelle que soit la phase ». De

façon plus précise, mais restant large, D. Guinier affirme que la cybercriminalité correspond à « tout ce qui regroupe les activités illégales et les actes directement commis

à l’encontre ou à l’aide des technologies de l’information et de la communication (TIC), localement ou à distance, et qualifiables de délictueux ou criminels », (Les systèmes

d’information – Arts et pratiques, 2002).

L'approche par les opportunités nouvelles de l'informatique

La cybercriminalité est une nouvelle notion pénale pour un nouveau type de délinquance qui a grandi avec Internet. Ce vecteur constitue, en effet, le vecteur essentiel du crime numérique, une attaque passe dans la majeure partie des cas via le jeu de protocoles TCP/IP (Transmission Control Protocol/Internet Protocol) de ce réseau de réseaux. Dans notre rapport, nous prendrons peu en compte la transposition de la délinquance traditionnelle, qui utilise l’objet Internet pour ses actes illicites, mais bien les nouveaux sujets qui s’attaquent véritablement à l’objet. Nous appliquerons à notre analyse la maxime de J. Carbonnier : « L’évolution des mœurs et des techniques donne

matière à de nouvelles formes de délinquances »⁹⁴. « Avec le développement des réseaux

d’information et des nouvelles technologies sont apparues de nouvelles formes de criminalité. Si l’on considère l’ensemble des nouveaux moyens qui ont émergé des mondes de l’informatique et des télécommunications, c’est-à-dire les infrastructures, les réseaux, les outils ou les objets (portables, cartes à puce par exemple), on peut distinguer entre leur utilisation comme instruments nouveaux pour mener des activités criminelles traditionnelles et le fait qu’ils deviennent eux-mêmes l’objet des infractions (fraudes,

91 La criminalité sur l’Internet (Pansier, Jez, 2000).

92 Cybercrime and Cyber Terrorism (Nisbet, 2002).

trafic, contrefaçons, intrusion dans les sites) »⁹⁵ Ainsi, « l’émergence de l’ère

informatique a donné naissance à de nouveaux comportements délinquants, difficiles à appréhender et marqués du sceau de l’immatérialité »⁹⁶.

Le principe d’une nouvelle délinquance semble bien correspondre à Internet : « la

croissance exceptionnelle de cet univers de communication s’accompagne évidemment de son cortège de méfaits : les nouvelles technologies de l’information et de la communication sont à la fois l’objet et l’outil de nouvelles délinquances. On peut classer ces délinquances en fonction de l’objet technologique concerné ou en fonction de l’usage qui en est fait : si c’est un outil utilisé par le criminel pour commettre son forfait ou s’il en est l’objet même »⁹⁷. Les T.I.C. sont, soit les armes de l’activité criminelle (outils de la délinquance), soit les victimes d’actes criminels, notamment l’objet virtuel : « […] une

taxe téléphonique, un programme informatique, des données personnelles ou de la monnaie électronique. Dans cette perspective, on a introduit une nouvelle notion pénale, l’atteinte à un système informatique, sa perturbation ou le fait de s’y introduire par les réseaux, lorsqu’on n’y est pas autorisé »⁹⁸. Ce sont les crimes et délits informatiques réprimés en France par la loi Godfrain de 1988.

Nous l’avons vu, via le juriste D. L. Carter⁹⁹, le cybercrime correspondant à toute activité illégale, donc punissable par la loi, qui utilise l’ordinateur soit comme outil (copie non autorisée d'oeuvres et produits déposés, pédophilie, terrorisme, vente illégale et communication) soit comme cible (intrusion dans des systèmes, dans des messageries personnelles...) par des personnes aux motivations diverses (espionnage militaire, industriel...etc, attaques des réseaux publics d’information pour les paralyser et nuire à un ennemi, enrichissement illicite, trafics, culte de la performance et du défi informatique, vandalisme informatique, etc…). Pour le professeur Carter, toutefois, l'appellation « cybercriminalité » dépasse la seule criminalité informatique et relève aussi de l’idée d’une criminalité de haute technologie relative aux ordinateurs, aux communications et à 94 Sociologie Juridique (Carbonnier, 1978 : 401).

95 L’internet (Capul, 2000).

96

La criminalité sur l’Internet (Pansier, Jez, 2000).

97 L’internet (Capul, 2000) .

98 L’internet (Capul, 2000).

l’électronique. Actuellement, la cybercriminalité désigne donc à la fois les attaques de tout type sur des systèmes informatiques (virus, tentatives d’intrusion, etc...), la diffusion de contenus illégaux (racisme, pédophilie, etc...), l’usurpation d’identité en ligne (fraude à la carte de crédit), l’escroquerie en ligne, le cyber-blanchiment d’argent, ou encore la question des atteintes à la propriété intellectuelle (par des échanges de particulier à particulier – « peer to peer »).

La délimitation juridico-légale de la cybercriminalité

Une nouvelle génération de délinquants et de technocriminels a donc vu le jour. « L’évolution de ce phénomène cyber-criminel est constante et a suivi, au cours des vingt

dernières années, celui de la démocratisation de l’accès à l’informatique et de la globalisation des réseaux. L'internet lui offre depuis peu une nouvelle plate-forme de développement »¹⁰⁰. La progression des crimes et délits réalisés par le biais de l'informatique a conduit les acteurs étatiques à se saisir de cet enjeu, apportant, ce faisant, leur contribution à l'identification sociale de ce type de pratiques frauduleuses.

La première loi de répression de la criminalité informatique provient des États-Unis. C'est le Comprehensive Crime Control Act, qui date de 1984. Il a été amendé par le

Computer Fraud and Abuse dès 1986, et criminalise six types d’accès frauduleux aux

systèmes informatiques en fonction de la finalité de l’opération d’intrusion réalisée : 1) Obtention d’informations sur des secrets d’Etat, portant préjudices aux intérêts des États-Unis ou favorisant une action étrangère.

2) Vol de données financières confidentielles.

3) Visite d’un ordinateur appartenant à une administration fédérale.

4) Accès frauduleux à un ordinateur avec une intention d’y commettre des méfaits informatiques.

5) Accès frauduleux à un ordinateur causant un dommage au moins chiffrable à 1 000 dollars.

6) Trafic de mots de passe, lorsqu’ils affectent le fonctionnement du commerce extérieur.

Il est aussi important de faire la distinction entre les attaques à l’aveugle sans cible déterminée, et celle prenant pour cible une organisation précise. Un autre organisme officiel a donc apporté sa contribution à la délimitation de la cybercriminalité, le centre de recherche du crime informatique¹⁰¹ Computer Crime Research Center. Il distingue trois catégories selon la cible qui en est victime et donc selon les motivations des auteurs :

- Crime informatique contre des personnes (pédophilie, dommages divers, happy

slapping…).

- Crime informatique contre la propriété (destruction de site, virus, vol de propriété intellectuelle ; le tout à distinguer si le but est de tirer un avantage concurrentiel ou pas),

- Crime contre un gouvernement (notion de terrorisme informatique).

En 1996, un sous-groupe des pays formant le G8 fut formé suite à une réunion à Lyon, afin d’étudier les nouveaux types de criminalité encouragés par, ou migrant vers, Internet (lutte contre le crime organisé). Ce « groupe de Lyon », qui fait l’objet de consultations suivies entre experts, employait alors le terme de « cybercriminalité » pour décrire, de manière relativement vague, tous les types de délits perpétrés sur Internet ou les nouveaux réseaux de télécommunications. « Du fait de leur connectivité croissante,

les systèmes et réseaux d’information sont désormais exposés à un nombre croissant et à un éventail plus large de menaces et de vulnérabilités, ce qui pose de nouveaux problèmes de sécurité »¹⁰². Le développement d’Internet a entraîné celui d’une nouvelle forme de délinquance, qui, en utilisant les Nouvelles Technologies de l’Information et de la Communication (NTIC), menace tout à la fois les individus, les entreprises et les États. Internet devient ainsi la plate-forme présentant la plus forte croissance du crime dans le monde. Face à ce nouveau défi les États ont réagi. La communauté internationale a pris conscience des enjeux liés au développement des technologies numériques, notamment au travers de la Convention du Conseil de l’Europe sur la cybercriminalité (23 novembre

101 Usuellement dénommé CCRC soit Computer Crime Research Center.

102 Lignes directrices de l’OCDE régisant la sécurité des systèmes d’information (O.C.D.E, 2002 : 7) http://www.oecd.org/doc/M00033000/M00033183.doc.

2001) et de son protocole additionnel (7 novembre 2002). Les dispositions contenues dans ces deux textes sont déjà intégrées dans le droit français.

En France, depuis la loi Informatique et Libertés (1978), la législation française a pris en compte la problématique de la cybercriminalité avec la loi du 5 janvier 1988¹⁰³, dite « loi Godfrain », la loi du 15 novembre 2001¹⁰⁴ relative à la sécurité quotidienne, la loi du 18 mars 2003¹⁰⁵ pour la sécurité intérieure, la loi du 9 mars 2004¹⁰⁶ portant adaptation de la justice aux évolutions de la criminalité, la loi du 21 juin 2004¹⁰⁷ pour la confiance dans l’économie numérique, et la loi du 9 juillet 2004¹⁰⁸ relative aux communications électroniques et aux services de communication audiovisuelle.

« En France, les enjeux de la sécurité informatique ont été pris en compte dans la

loi Godfrain du 05 janvier 1988 reprise dans le nouveau Code Pénal sous les articles 323-1 et suivants. En cette matière l’arsenal juridique est formé de trois délits distincts visant les atteintes aux systèmes et les atteintes aux données »¹⁰⁹.

Cet ensemble de lois définit les bases légales de la cybercriminalité sous trois axes :

- Les infractions spécifiques aux technologies de l’information et de la communication :

Sont catégorisés :

- les « atteintes aux systèmes de traitement automatisé de données (STAD) » (Loi Godfrain – articles 323-1 à 323-7 du Nouveau Code pénal institué par la loi du 22 juillet 1992, entrée en vigueur le 1^er mars 1994) :

o suppression /modification de données : Code Pénal (article 323-1 al.1),

o altération de fonctionnement : Code Pénal (article 323-1 al.2),

o entrave au fonctionnement : Code Pénal (article 323-2),

103

Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique. 104 Loi n°201-1062 du 15 novembre 2001 relative à la sécurité quotidienne. 105 Loi n°2003-239 du 18 mars 2003 pour la sécurité intérieure.

106 Loi n°2004-204 du 9 mars 2004 portant adaptation de la justice aux evolutions de la criminalité. 107

Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

108 Loi n°2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle.

o introduction, suppression, modification de données : Code Pénal (article 323-3),

o groupement de pirates : Code Pénal (article 323-4),

o tentative d’infraction sur un STAD : Code Pénal (article 323 al.1). - les traitements automatisés de données personnelles,

- les infractions aux cartes bancaires,

- les chiffrements non autorisés ou non déclarés, - les interceptions.

- Les infractions spécifiques aux contenus des technologies de l’information et de la communication :

o la pédopornographie,

o le terrorisme, la haine raciale, etc…,

o les atteintes aux personnes (menaces, atteintes à la vie privée…),

o les atteintes aux biens.

- Les infractions facilitées par les technologies de l’information et de la communication :

o l’escroquerie en ligne,

o l’atteinte à la propriété intellectuelle,

o les jeux de hasard.

En 1994, le Service Central de la Sécurité des Systèmes d’Information (S.C.S.S.I) (devenu depuis D.C.S.S.I¹¹⁰) édite un guide intitulé « la menace et les vulnérabilités des systèmes d’information »¹¹¹. Un chapitre présente plus particulièrement les attaquants (éléments menaçants) : « Les motifs de l’agresseur sont nombreux et variés ;

ils évoluent dans le temps. Il n’est pas possible de dresser une liste exhaustive des motivations des criminels en col blanc… ». Concrètement, les menaces intentionnelles

110 Direction Centrale de la Sécurité des Systèmes d’Information, dépendant des services de M. le Premier

Ministre.

sont caractéristiques d’individus dont les motivations diffèrent et qu’il est alors possible de catégoriser :

Menaces à caractère stratégique :

- elles visent des informations concernant les secrets de Défense et la Sûreté de l’Etat, le patrimoine national (scientifique, technique, industriel, économique ou diplomatique), mais aussi la déstabilisation des systèmes dont dépendent ces informations ;

- pour une entreprise, voire un particulier, la menace d’origine stratégique aura pour but d’obtenir des renseignements sur les objectifs et le fonctionnement de l’organisation, obtenir un fichier client, des procédés de fabrication, des résultats de recherche et développement.

Menaces à caractère terroriste :

- elles regroupent toutes les actions concourrant à déstabiliser l’ordre établi via la destruction physique de systèmes voire via la désinformation ; l’effet recherché est souvent la médiatisation de l’impact engendré. La déstabilisation et l’atteinte à l’image d'un pays ou d'un gouvernement, y compris par la désinformation relayée par des groupes actifs sur Internet, constituent ainsi des menaces à prendre très au sérieux, désormais.

Menaces à caractère cupide :

- le but essentiel réside dans l’obtention d’un gain qui peut-être financier, matériel ou de tout autre ordre. L’atteinte permet un gain pour l’attaquant ou bien une perte pour la victime entraînant un gain pour l’agresseur.

Menaces à caractère idéologique :

- peut être vraisemblablement les plus importantes, et souvent les plus extrêmes. Cela correspond à un courant de pensée qui prédomine dans le milieu dit « underground » et qui constitue une menace évidente ;

- la mise en avant du caractère libre de l’information, ne pouvant être la propriété d’une

Dans le document Les mondes de la cyberdélinquance et images sociales du pirate informatique (Page 84-95)