Notes
-
[1]
Du grec ηθική[επιστήμη], « la science morale », de ήθος, « lieu de vie ; habitude, mœurs ; caractère » et du latin ethicus, la morale).
-
[2]
André Comte-Sponville, La Philosophie, PUF, 2005, coll. « Que sais-je ? », p. 92.
-
[3]
Tableau élaboré d’après « Le livre bleu des Assises de la Sécurité et des Systèmes d’information », octobre 2009, sur le site www.lesassisesdelasecurite.com
-
[4]
Usurpation d’adresse IP.
-
[5]
Terme anglo-saxon utilisé pour désigner les escroqueries sur internet.
-
[6]
Envoi massif de courriers électroniques non sollicités à des personnes inconnues de l’expéditeur dont il a capté l’adresse de façon irrégulière.
-
[7]
Technique d’ingénierie sociale visant à récupérer des données personnelles.
-
[8]
Fichier espion qui permet à son expéditeur de collecter des données comportementales de l’internaute et de lui restituer ses habitudes de navigation.
-
[9]
Comprenant les attaques informatiques et la récupération de données personnelles.
- [10]
- [11]
- [12]
-
[13]
Pirate du réseau, cherchant à pénétrer sur les sites de l’Internet pour y dérober des informations.
-
[14]
« Nullum crimen, nulla poena sine lege » pas de crime, ni de peine sans loi.
-
[15]
DC, 10 juin 2009, AJDA 2009,1132, obs. S.Brondel.
-
[16]
Loi n°2006-961 du 1 août 2006 relative au droit d’auteur et aux droits voisins dans la société de l’information.
-
[17]
Projet de loi d’orientation et de programmation pour la sécurité intérieure, sur le site : http://www.senat.fr/dossier-legislatif/pjl09-292.html
-
[18]
Articles 100 et suivants du Code de procédure pénale.
-
[19]
Article 706-81 du CPP.
-
[20]
Voir sur ce point l’article « Quelles riposte contre la pédopornographie par Internet ? » par Frédéric Malon, Cahiers de la sécurité n°6 relatif à la criminalité numérique octobre-décembre 2008-12-06, Institut national des hautes Études de sécurité.
-
[21]
Voir Agathe Lepage, « Les dispositions concernant la communication dans la loi du 5 mars 2007 relative à la prévention de la délinquance », Communications-Commerce électronique, Revue mensuelle LexisNexisJurisclasseur, juin 2007.
-
[22]
Logiciel malveillant.
-
[23]
Article 4 de la Loppsi 2.
-
[24]
Site : http://www.cnil.fr
-
[25]
Cette loi est souvent nommée LCEN.
-
[26]
Article 222-16-1 du Code pénal.
-
[27]
Internet protocol.
-
[28]
Site : http://www.unifab.com
1L’utilisation accrue des réseaux numériques, tel l’Internet avec aujourd’hui près de deux milliards d’internautes, n’est pas seulement le fait d’individus bien intentionnés. Toute innovation technologique ouvre dans le même temps de nouvelles brèches dans lesquelles s’engouffrent les réseaux criminels. Mais davantage qu’une simple brèche, l’Internet est surtout un vecteur idéal pour faciliter les actions des délinquants : il permet d’accroître leurs profits en réduisant la prise de risques. Fruit de la révolution numérique, la cybercriminalité se développe à grande échelle dans cet univers favorable, au point de viser aujourd’hui l’ensemble des infrastructures économiques et sociales.
2La cybercriminalité revêt deux formes distinctes. Elle concerne l’ensemble des infractions susceptibles de se commettre sur un système informatique, notamment quant il s’agit d’atteindre un système automatisé de données. Mais elle comprend également les infractions commises contre un système informatique dont la connexion à un réseau est utilisée pour commettre des crimes ou délits classiques – escroqueries, fraudes, blanchiment d’argent ou contrefaçons – et comme support d’infractions de contenus illicites tels la pédopornographie ou le racisme.
3On retrouve cette distinction dans la définition de la Commission européenne, pour qui la « cybercriminalité » englobe trois catégories d’activités criminelles :
- les infractions visant les systèmes d’information et les systèmes de traitement automatisé de données (STAD) comme le déni de service – c’est-à-dire la saturation ou le blocage des systèmes informatiques – et le piratage ;
- les formes traditionnelles de criminalité, telles que la fraude en ligne, les escroqueries ;
- les infractions dites de contenu comme la pédophilie via internet, le racisme et la xénophobie.
4La croissance des actes de cybercriminalité a rapidement imposé la question des conditions d’utilisation raisonnable de l’Internet. Comme toute forme de délinquance, la cybercriminalité impose des réponses préventives mais aussi répressives, sans pour autant que celles-ci ne foulent les valeurs fondamentales de notre société héritées du préambule de la Déclaration des droits de l’homme et du citoyen, au premier rang desquelles figure la liberté.
5La question fondamentale qui se pose est de savoir comment lutter de manière éthique [1] contre la cybercriminalité. En d’autres termes, jusqu’où l’efficacité de la lutte contre la criminalité numérique peut-elle limiter la liberté de tout un chacun ? A cet égard, la notion d’éthique prend tout son sens et se distingue de la morale. Pour reprendre les termes de André Comte-Sponville, « la morale c’est le discours normatif qui porte sur le Bien et le Mal, considérés comme valeurs absolues, alors que l’éthique c’est le discours normatif qui porte sur le bon et le mauvais considérés comme valeurs relatives et immanentes [2] ». L’éthique n’a pas d’ordre immuable et se réfère aux contraintes du contexte pour qualifier ce qui est bon ou mauvais. En d’autres termes, appliqué à notre cas, la morale vient à penser la liberté comme un principe intangible alors que l’éthique apprécie l’impératif de liberté au regard de la préservation d’autres droits que la délinquance sur Internet vient à remettre en cause. La lutte contre la cybercriminalité est donc particulièrement sensible car elle implique une régulation voire un contrôle de l’Internet susceptible d’entraver la liberté du l’utilisateur citoyen.
6Quels sont les outils pour combattre ce phénomène dans le respect de l’éthique de liberté ? L’éthique n’est pas étrangère au domaine de la loi mais elle se rapproche davantage de la déontologie des acteurs de la lutte contre la cybercriminalité, laquelle comprend l’ensemble des règles et des devoirs qui régissent l’exercice de ces professions. Dès lors, s’intéresser à l’éthique de l’informatique suppose de prêter attention tant à la gouvernance du secteur, qu’au comportement individuel des internautes et des professionnels de l’Internet. A titre d’exemple, l’utilisation massive de courriers électroniques et des réseaux sociaux dans l’entreprise nécessite la définition de règles éthiques et la création de chartes informatiques pour éviter autant que possible les dérives.
7Nous l’avons dit, l’approche éthique nécessite de considérer le contexte. A cette fin, et afin d’avoir conscience de l’ampleur de la cybercriminalité, cet article commencera par présenter les menaces numériques pesant aujourd’hui sur notre société. Dans un deuxième temps, il y aura lieu d’évoquer l’évolution de la cybercriminalité vers une forme de criminalité organisée, pouvant même prendre la forme d’une cyberguerre. Une fois ce constat dressé, nous analyserons les évolutions législatives qui font généralement l’objet d’un débat de société autour des notions d’éthique et de liberté d’expression. En dernier lieu, cet article se penchera sur les mesures d’investigation dans l’univers numérique, telles que les interceptions des données de trafic qui s’avèrent déterminantes dans la recherche de la preuve numérique.
La cybercriminalité : un phénomène de grande ampleur
8Les technologies numériques favorisent la réalisation d’activités délinquantes, ce que l’on appelle les infractions commises dans l’environnement numérique (Féral-Schuhl, 2010). Essentiellement motivés par la recherche de profits en minimisant les risques, les cyberdélinquants utilisent tous les moyens pour parvenir à leurs fins en procédant par exemple à des attaques informatiques de natures et de modalités différentes. Le tableau n°1 [3] dresse une typologie des risques liés à la cybercriminalité.
Les différentes formes de la cybercriminalité
9La cybercriminalité est érigée en véritable industrie dans certaines zones de la planète. Quatre grands types de menaces visent plus particulièrement les entreprises, à savoir les vols de supports et de données, les intrusions dans les réseaux, les interceptions de communications ou de flux de données, et, enfin, la manipulation des employés et des concurrents par le biais notamment du « social engineering ».
10La cybercriminalité [9] a causé un préjudice estimé à 1.000 milliards de dollars en 2008 [10], du fait du vol de données informatiques aux entreprises, selon une étude de la société spécialisée dans la sécurité informatique McAfee. Pour cette première étude sur « la sécurité des économies de l’information » présentée au Forum économique mondial de Davos (Suisse), des éléments ont été recueillis auprès de plus de 800 responsables au Japon, en Chine, en Inde, au Brésil, en Grande-Bretagne, à Dubaï, en Allemagne et aux Etats-Unis. Cette diversité confère à l’étude une représentativité certaine. L’économie américaine à elle seule aurait subi un préjudice de 559,8 millions de $ en 2009 selon le bilan annuel du FBI [11] (Federal Bureau of Investigation) établi en partenariat avec l’IC3 (Crime Complaint Center) portant sur les infractions informatiques et le vol de données personnelles. Ce préjudice est deux fois plus important que l’année précédente (264,6 millions). Dans le même temps, le nombre de plaintes d’internautes lésés adressées au FBI a augmenté de 22 % : 336 655 contre 275 284 en 2008.
11La cybercriminalité n’a cessé de progresser d’après le rapport annuel de la société de sécurité informatique Symantec [12] et l’activité malveillante sur l’Internet a globalement crû de 71 %. La France figure toujours parmi les pays les plus touchés mais recule de la 8ème à la 13ème place en 2009. Ce recul ne signifie pas que les attaques ont baissé mais plutôt que d’autres pays sont visés. La cybercriminalité est par essence internationale et planétaire, puisque, via les réseaux informatiques, les infractions peuvent être commises simultanément dans plusieurs pays. En outre, en s’internationalisant, les cyberdélinquants réduisent les risques. La cybercriminalité s’est mondialisée avec de nouveaux pays comme le Brésil, l’Inde, la Pologne, la Roumanie, la Turquie, qui viennent de développer le haut-débit et qui, pour la plupart, ne sont pas encore habitués à parer les attaques.
La cybercriminalité, une délinquance organisée
12À l’origine conçue comme une succession de défis à la sécurité des réseaux, la cybercriminalité se teinte désormais d’une coloration mafieuse, donnant naissance à de véritables « marchés noirs » d’informations piratées, allant des atteintes à l’identité et à la propriété intellectuelle et artistique, aux fraudes à la carte bancaire. La criminalité classique et la criminalité informatique entretiennent des liens étroits, et les cybercriminels font de plus en plus partie de réseaux internationaux très organisés.
13Sans être exhaustif, on peut aujourd’hui distinguer les actions qui portent atteinte aux systèmes d’information et celles qui utilisent ou exploitent un système d’information pour commettre un délit et infliger toutes sortes de préjudices. Certains fabriquent des logiciels malveillants, tandis que d’autres les utilisent ensuite pour perpétrer des actions criminelles. C’est là que la cybercriminalité rencontre l’intérêt de filières de la criminalité organisée.
14On observe aujourd’hui des mafias structurées qui s’étendent dans les pays de l’Est ou d’Amérique du Sud avec une hiérarchie organisée de plusieurs strates, la base étant constituée de codeurs-programmeurs. Le temps des « petits génies » de l’informatique est donc bien révolu. L’époque où les pirates étaient des étudiants passant à l’acte dans un esprit ludique pour tester l’efficacité des systèmes de sécurité des entreprises n’existe plus et une prise de conscience s’impose afin de faire comprendre que la société et les Etats doivent se doter de moyens efficaces pour lutter contre ce fléau. L’utilisation de l’Internet par des terroristes, en particulier pour inciter à la radicalisation et pour recruter, fait peser une grave menace sur la sécurité, tant au niveau national qu’international. De même, des escrocs et des réseaux de proxénétisme développent désormais leurs activités frauduleuses grâce aux réseaux numériques.
De la cyberdélinquance à la cyberguerre
15Les cybercriminels sont capables de mettre en danger non seulement la sécurité des internautes et des entreprises mais aussi celle des Etats. Depuis l’entrée dans l’ère du numérique, un nouveau champ de bataille doit être pris en compte, celui du cyberespace qui apparaît comme un nouveau terrain de guerre potentiel après la terre, les airs et la mer. Le Livre Blanc sur la défense et la sécurité nationale de 2008 affirme que « dans les quinze ans à venir, la multiplication des tentatives d’attaques menées par des acteurs non étatiques, pirates informatiques, activistes ou organisations criminelles, est une certitude. Certaines d’entre elles pourront être de grande ampleur ». Les menaces peuvent prendre la forme d’une manipulation de l’information afin de déstabiliser des entreprises ou des Etats, comme en témoigne l’attaque par déni de service contre l’Estonie en 2007.
16On voit aussi apparaître depuis quelques années une nouvelle catégorie d’attaquants du Net, les « hacktivistes », qui, employant les méthodes et les compétences des hackers [13], perturbent et paralysent les réseaux des autorités pour faire valoir leurs idées politiques.
Lutte contre la cybercriminalité et respect de l’éthique
17Aujourd’hui, les lois érigées afin de combattre les cybermenaces génèrent systématiquement un débat autour de l’éthique. Les textes répressifs en matière de lutte contre la criminalité organisée et le terrorisme sont même suspectés à tort d’être des prétextes pour exercer un contrôle renforcé de la toile.
Principes de légalité et d’interprétation stricte de la loi pénale : des garanties éthiques
18Le principe de la légalité des délits et des peines [14], conceptualisé au XVIIème siècle, dispose qu’on ne peut être condamné pénalement qu’en vertu d’un texte pénal, précis et clair. En d’autres termes, un acte ne peut être considéré comme infractionnel que s’il était déjà prévu et qualifié comme tel par le code pénal antérieurement à son exécution. Ainsi donc, une action ou une abstention, si préjudiciable soit-elle à l’ordre public, ne peut être sanctionnée par le juge que lorsque le législateur l’a visée dans un texte et interdite sous la menace d’une peine. Ce principe de la légalité criminelle est la clef de voûte du droit pénal et de la procédure pénale. Elle impose au législateur, comme une exigence logique de sa fonction normative, la rédaction de textes définissant sans ambiguïté les comportements qu’ils érigent en infractions, et les sanctions qui leur sont attachées. Le principe de la légalité criminelle, consacré par des instruments juridiques internationaux, constitue un rempart contre l’arbitraire des acteurs judiciaires et garantit une justice équitable. Le principe d’interprétation stricte de la loi pénale est son corollaire et s’érige en garantie pour les citoyens.
Combattre la cybercriminalité : un défi pour l’éthique
19Les enjeux de la lutte contre la cybercriminalité sont particulièrement sensibles aujourd’hui car il faut d’une part lutter contre ce phénomène et ses acteurs tout en préservant les libertés des individus, leur sécurité et celle des entreprises. Cela signifie qu’un équilibre doit être maintenu entre le respect des libertés individuelles et la poursuite des infractions commises par le biais d’Internet. Il s’agit de tenter de réduire l’ampleur de la cybercriminalité dans le respect des normes légales tout en étant particulièrement vigilants quant à la déontologie des acteurs qui participent à cette action, qu’ils soient publics ou privés, tels les fournisseurs d’accès à Internet. Ces défis sont d’autant plus d’actualité que le Conseil constitutionnel a affirmé que l’accès à l’Internet est un droit fondamental pour le citoyen [15].
20Il est intéressant de relever que les différents textes (Dadvsi [16], Hadopi et le dernier projet LOPPSI 2 [17]) destinés à lutter contre des aspects variés de la cybercriminalité (du téléchargement illégal à l’usurpation d’identité) génèrent systématiquement un débat citoyen et sont perçus par certains comme ayant pour effet de diaboliser l’Internet. Certains évoquent un degré d’intrusion dans la vie privée intolérable et un risque de glissement vers une surveillance globale de la société plus importante que pour les interceptions téléphoniques [18].
Moyens d’investigation et respect de l’éthique
21En pratique, on constate des difficultés liées parfois au manque de réactivité des services d’enquêtes, la temporalité des mondes policier et judiciaire n’étant pas toujours adaptée à la temporalité du « Web ».
L’autorisation d’infiltration
22Le législateur a progressivement renforcé les moyens d’investigation particulièrement adaptés à l’univers numérique avec notamment l’autorisation d’infiltration [19] pour tout enquêteur qui découvre des agissements susceptibles de recevoir une qualification pénale sur Internet. L’autorisation d’infiltration permet par exemple d’intervenir, de façon dissimulée, sur un forum de discussion ou sur des sites. Il s’agit d’une technique d’enquête d’exception qui ne doit être utilisée que par des enquêteurs spécialement habilités, centraux ou territoriaux et seulement dans le cadre des investigations concernant des infractions prévues par l’article 706-73 du Code de procédure pénale. L’infiltration est également possible, lorsque la loi le prévoit, pour les crimes et délits commis en bande organisée, autres que ceux relevant de l’article 706-73 du Code de procédure pénale, et pour les délits d’association de malfaiteurs.
23La loi autorise l’agent infiltré à recourir à une identité d’emprunt et, si nécessaire, à acquérir, détenir, transporter, livrer ou délivrer des substances, biens, produits, documents ou informations tirés de la commission des infractions ou servant à leur commission, sans être responsable.
24La loi n° 2007-297 du 5 mars 2007 relative à la prévention de la délinquance (article 35-III) a modifié le Code de procédure pénale pour permettre aux officiers de police judiciaire spécialement habilités de recourir à des infiltrations afin de faciliter la constatation de certaines infractions et « lorsque celles-ci sont commises par un moyen de communication électronique, d’en rassembler la preuve et d’en rechercher les auteurs ».
25L’article 706-47-3 du Code de procédure pénale introduit l’enquête dite de « cyberpatrouille ». Il autorise le recours à la technique d’infiltration « dans le but de constater les infractions mentionnées aux articles 227-18 à 227-24 du Code pénal et, lorsque celles-ci sont commises par un moyen de communication électronique, d’en rassembler les preuves et d’en rechercher les auteurs ».
26Cette disposition permet ainsi à un officier ou un agent de police judiciaire spécialement habilité, et agissant dans le cadre d’une enquête préliminaire, ou de flagrance ou à la demande d’un juge d’instruction sur commission rogatoire, de participer sous un pseudonyme aux échanges électroniques, d’être en contact par ce moyen avec les personnes susceptibles d’être les auteurs d’infractions sexuelles. L’enquêteur peut utiliser un nom d’emprunt, un « pseudo », afin d’échanger ou de détenir des images à caractère pédophile sans faire l’objet de poursuite pénale. Il peut ainsi collecter des preuves pour les infractions les plus graves, en particulier dans le domaine de la traite des êtres humains, du proxénétisme et du recours à la prostitution des mineurs commis par un moyen de communication électronique. Cette technique, plus intrusive et offensive que la veille sur l’Internet, constitue « une forme d’infiltration de la toile » [20]. On doit observer que le respect de l’éthique est au cœur de ces nouvelles dispositions avec comme principe fondamental celui de la loyauté de la preuve recueillie. Ainsi, il convient de noter que ces actes ne peuvent constituer une « incitation » à commettre ces infractions sous peine de nullité. « C’est la provocation à la preuve de l’infraction qui est admise et organisée par ces nouvelles dispositions, et non pas une provocation à la commission même de l’infraction » [21].
27La mesure d’infiltration doit être préalablement autorisée par l’autorité judiciaire par écrit et spécialement motivée, mentionnant ainsi les infractions recherchées et l’identité de l’officier de police judiciaire responsable de l’opération. Les jeux d’argent et de hasard en ligne peuvent aussi désormais donner lieu à ce moyen d’investigation depuis la loi n° 2010-476 du 12 mai 2010 ouvrant à la concurrence et à la régulation les secteurs des jeux d’argent et de hasard en ligne.
La LOPPSI 2 : vers la cyberperquisition
28Le projet de loi d’orientation de programmation et de performance sur la sécurité intérieure (LOPPSI 2), sous réserve de la décision du Conseil Constitutionnel saisi en février 2011, introduit la captation de données informatiques qui va permettre aux officiers de police judiciaire (OPJ) « commis sur commission rogatoire de mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent sur un écran pour l’utilisateur ». Cette procédure est en quelque sorte une « cyberperquisition ». Le dispositif prévu par la LOPPSI 2 qui consiste à placer un cheval de Troie [22] à l’insu de la personne soupçonnée, sera utilisé avec des garanties procédurales strictes et notamment ordonné après contrôle d’un magistrat. Cette procédure ne va concerner que les infractions les plus graves (terrorisme, pédophilie, meurtre, torture, trafic d’armes et de stupéfiants, enlèvement, séquestration, proxénétisme, extorsion, fausse monnaie, blanchiment et aide à l’entrée et séjour d’un étranger), commises en bande organisée.
29La « cyberperquisition » devrait permettre aux agents de la police judiciaire d’utiliser un logiciel espion afin de contrôler un ordinateur à distance. Or, les cyberpirates utilisent le même type de logiciels pour arriver à leurs fins. Utiliser les mêmes moyens que les criminels est-il éthiquement correct et la fin justifie-t-elle les moyens ? Il faut bien comprendre que les réponses apportées à ces phénomènes de délinquance doivent être proportionnées à la gravité des faits reprochés.
Ethique et dispositifs de blocage
30L’article premier de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique dispose que « l’exercice de la liberté de communication par voie électronique ne peut être limité que dans la mesure requise (…) par la sauvegarde de l’ordre public ».
31Sur le fondement de cette loi, la neutralisation de certains sites peut être donc réalisée à certaines conditions. En outre, il y a lieu de rappeler que l’article 6-I- 8e de cette même loi dispose que « l’autorité judiciaire peut prescrire en référé ou sur requête, à toute personne dont les hébergeurs et les fournisseurs d’accès à Internet, toutes les mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne ». Il pourrait être envisagé sur ce fondement une neutralisation d’un site appelant au terrorisme. Cette disposition a déjà été appliquée en matière de lutte contre le racisme mais rencontre une difficulté pratique lorsque le fournisseur d’accès est situé à l’étranger.
32En toute hypothèse, les investigations à conduire dans ce domaine doivent reposer sur des objectifs ciblés. Au regard du volume des informations échangées quotidiennement au moyen d’Internet et des possibilités pour les différents correspondants de se déplacer et de dissimuler leur identité véritable, le travail de « cellules de veille » est particulièrement peu productif et ne suffit pas. Il faut disposer de renseignements opérationnels permettant d’identifier les membres de réseaux, de connaître leurs habitudes (pseudonymes employés, lieux d’accès à Internet, etc.). Il y a lieu de s’assurer que les réseaux informatiques globaux ne servent pas de support ou de vecteur à la préparation, à la commission ou à la dissimulation d’infractions terroristes.
33En refusant de faire intervenir le juge, officiellement par souci d’efficacité et de rapidité, la LOPPSI 2 encourt un grand risque d’illégalité constitutionnelle dans sa rédaction actuelle, tant sur le blocage des sites que sur la captation de données à distance. Dans la décision du Conseil Constitutionnel du 10 juin 2009 sur la loi Hadopi 1, les sages n’avaient d’ailleurs accepté le filtrage qu’à la condition que la « juridiction saisie » ne prononce « que les mesures strictement nécessaires à la préservation des droits en cause ». Or, ici il n’y a ni saisie d’une juridiction, ni contrôle de la proportionnalité de la demande. C’est aussi semble-t-il l’avis de la Commission Européenne, qui a rappelé récemment que « les mesures de nature à restreindre la liberté de communication » doivent obligatoirement « être soumises à des garanties procédurales appropriées en conformité avec la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et avec les principes généraux du droit communautaire, y compris la protection judiciaire effective et le droit à un procès équitable ». Sauf à ce que le Conseil constitutionnel juge que la lutte contre la pédopornographie justifie toutes les atteintes aux autres droits fondamentaux, le texte devrait probablement être censuré par le Conseil Constitutionnel qui a été saisi.
34La mesure de blocage des sites à caractère pédophile [23] a été votée et implique qu’une liste noire soit créée, comprenant tous les sites à bloquer. L’accès à cette dernière sera bien entendu restreint et son contenu gardé secret. Les quelques amendements qui demandaient la réintégration du juge dans le processus de blocage ont été rejetés. Ceci n’est pas sans rappeler la censure du texte Hadopi par le Conseil Constitutionnel, quand il interdisait à la Haute Autorité de suspendre une connexion Internet sans l’intervention d’un juge. La France n’est pas le premier pays à mettre en place un système de liste noire. En revanche, certaines tentatives similaires se sont soldées par de cuisants échecs, voire des dérives. En Australie par exemple, la liste noire de 2.000 sites contenait des adresses web comme des contenus YouTube, des sites de jeux en ligne, ou même des pages personnelles. Certains s’interrogent sur le manque d’éthique de dispositions qui dériveraient vers une certaine forme de censure de l’Internet. En effet, affirmer qu’un site est illicite doit nécessiter la définition de critères parfaitement objectifs afin que ce procédé n’ouvre pas la voie à des interprétations trop extensives.
Efficacité de la lutte contre la cybercriminalité et éthique
35Initialement, les ordinateurs n’étaient pas perçus comme des instruments criminogènes mais uniquement susceptibles de porter atteinte à la liberté des individus. Ainsi, en France la loi « informatique et libertés » de 1978, modifiée, reconnait aux citoyens des droits spécifiques pour préserver leur vie privée et leurs libertés dans un monde numérique. La Commission Nationale de l’Informatique et des Libertés [24] (CNIL), autorité indépendante, a vu ses pouvoirs renforcés et dispose désormais de la possibilité de prononcer des sanctions. Toutefois, la France a pris rapidement conscience de la problématique de la cybercriminalité avec la loi du 5 janvier 1988 dite « loi Godfrain », avant que les attentats du 11 septembre 2001 ne révèlent que le monde virtuel offrait aux membres d’organisations terroristes un outil fiable, rapide, anonyme et peu onéreux. Après ces évènements, la plupart des pays ont durci leur arsenal pénal. Ils ont renforcé en particulier les moyens d’investigation mis à la disposition des services d’enquête. Ces outils procéduraux doivent être proportionnés à la gravité des faits commis et le recours à des méthodes intrusives pour rechercher et établir les preuves numériques à l’encontre d’individus se livrant par exemple au cyberterrorisme est justifié compte tenu de la gravité des atteintes portées aux Etats.
36Parmi cet arsenal, la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, celle du 18 mars 2003 pour la sécurité intérieure, ou encore celle du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité. La loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique [25] a créé un droit de l’Internet et a défini un régime juridique spécifique pour les prestataires techniques de l’Internet. Ces derniers bénéficient d’une responsabilité atténuée mais doivent respecter des règles éthiques comme par exemple la mise en œuvre de moyens afin de lutter contre les atteintes à la dignité humaine.
37La loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et comportant diverses dispositions relatives à la sécurité et aux contrôles frontaliers a pris en compte l’importance du réseau Internet comme vecteur d’échange d’informations à caractère terroriste. Ainsi, son article 6, portant création de l’article L34-1-1 du code des postes et des télécommunications, permet l’assimilation des cybercafés, des bornes Wifi à des opérateurs de téléphonie quant à la conservation des données.
38Sur le plan de la protection des droits, la loi n°2009-669 du 12 juin 2009 a créé la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) afin de veiller notamment à l’obligation de surveillance de sa connexion désormais imposée au titulaire de l’accès à Internet. Il faut rappeler que ce texte vise tout d’abord à mieux protéger l’identité des internautes par la création d’une infraction spécifique d’usurpation d’identité en ligne [26] qui va permettre de réprimer « le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de troubler sa tranquillité ou celle d’autrui ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende ».
Cybercriminalité, secteur privé et éthique
39Réduire la cyberdélinquance suppose une impulsion étatique forte prévoyant à la fois le financement et la formation des acteurs policiers et judiciaires qui sont soumis à des règles déontologiques précises. Elle implique aussi une politique d’anticipation des risques et un renforcement d’une collaboration entre les acteurs des secteurs public et privé. La spécificité de la lutte contre la cybercriminalité est liée entre autres éléments au fait que les données numériques, éléments de preuve indispensables à l’établissement des procédures, sont détenues par les prestataires techniques qui doivent répondre aux réquisitions judiciaires afin de transmettre des éléments d’identification des adresses IP [27] par exemple. D’autres entreprises du secteur privé peuvent être amenées à échanger avec les acteurs institutionnels tant au niveau de la prévention et jouer un rôle pertinent en matière de lutte contre la cybercriminalité. C’est dans le cadre de ces relations entre secteurs public et privé que l’éthique prend tout son sens dans le respect des attributions de chacun. Cette coopération peut utilement contribuer à la mise en place de stratégies procédurales pertinentes pour lutter contre des réseaux cybercriminels. On peut par exemple citer des actions communes réalisées par les douanes et l’Union des fabricants (UNIFAB [28]) en matière de lutte contre la contrefaçon. En outre, des échanges d’informations permettent de dresser des typologies de modes opératoires identiques pour regrouper des procédures relatives aux mêmes cyberdélinquants.
Conclusion et perspectives
40Les rapports entre l’éthique et l’Internet sont au cœur d’enjeux de société très importants. Il s’agit de favoriser le développement de cet outil de connaissance extraordinaire tout en jugulant ses dérives qui portent gravement atteinte aussi bien aux individus, qu’aux entreprises ou qu’aux Etats. La cybercriminalité impose des réponses adaptées et proportionnées, respectueuses des libertés individuelles, et dans le même temps un arsenal de qualifications pénales susceptibles de sanctionner ses auteurs et des armes procédurales efficaces permettant de mener des investigations dans l’espace numérique. Ces outils ne peuvent et ne doivent être mis en œuvre que dans un cadre procédural strict et proportionné et sous le contrôle d’un juge, garant du respect des libertés individuelles. Au-delà de la mise en place de réponses légales, combattre la cybercriminalité suppose pour les acteurs de cette lutte la mise en place de stratégies d’anticipation et de réaction sans faille dans le respect d’une déontologie et de principes éthiques. C’est dans ces conditions que l’on peut affirmer que l’éthique est au cœur des préoccupations des acteurs institutionnels et du secteur privé dans la lutte contre la cybercriminalité.
Bibliographie
Bibliographie
- M. Quéméner, Y.Charpenel, Cybercriminalité, droit pénal appliqué, Economica, Paris, 2010.
- M. Quéméner, J.Ferry, Cybercriminalité, défi mondial, Economica, Paris, 2009.
- C. Féral-Schuhl, « Cyberdroit, le droit à l’épreuve de l’Internet », Paris, 2010.
- N. Arpagian, « La cybersécurité », Que sais-je ?, Puf, Paris, 2010.
- S. Ghernaouti-Hélie, La Cybercriminalité : Le visible et l’invisible, Presses Polytechniques et Universitaires Romandes (PPUR), Lausanne, 2010.
- A. Bauer, C. Soullez, « Repensez l’éthique de la sécurité face aux menaces criminelles ? », Sécurité & Stratégie, La Documentation Française, Paris, juillet-septembre 2010.
- M. Quéméner, « Les dimensions de la sécurité, une menace de quelle ampleur ? », Etat et sécurité, Cahiers français n°360 page 69 et suivantes, février 2011.
Notes
-
[1]
Du grec ηθική[επιστήμη], « la science morale », de ήθος, « lieu de vie ; habitude, mœurs ; caractère » et du latin ethicus, la morale).
-
[2]
André Comte-Sponville, La Philosophie, PUF, 2005, coll. « Que sais-je ? », p. 92.
-
[3]
Tableau élaboré d’après « Le livre bleu des Assises de la Sécurité et des Systèmes d’information », octobre 2009, sur le site www.lesassisesdelasecurite.com
-
[4]
Usurpation d’adresse IP.
-
[5]
Terme anglo-saxon utilisé pour désigner les escroqueries sur internet.
-
[6]
Envoi massif de courriers électroniques non sollicités à des personnes inconnues de l’expéditeur dont il a capté l’adresse de façon irrégulière.
-
[7]
Technique d’ingénierie sociale visant à récupérer des données personnelles.
-
[8]
Fichier espion qui permet à son expéditeur de collecter des données comportementales de l’internaute et de lui restituer ses habitudes de navigation.
-
[9]
Comprenant les attaques informatiques et la récupération de données personnelles.
- [10]
- [11]
- [12]
-
[13]
Pirate du réseau, cherchant à pénétrer sur les sites de l’Internet pour y dérober des informations.
-
[14]
« Nullum crimen, nulla poena sine lege » pas de crime, ni de peine sans loi.
-
[15]
DC, 10 juin 2009, AJDA 2009,1132, obs. S.Brondel.
-
[16]
Loi n°2006-961 du 1 août 2006 relative au droit d’auteur et aux droits voisins dans la société de l’information.
-
[17]
Projet de loi d’orientation et de programmation pour la sécurité intérieure, sur le site : http://www.senat.fr/dossier-legislatif/pjl09-292.html
-
[18]
Articles 100 et suivants du Code de procédure pénale.
-
[19]
Article 706-81 du CPP.
-
[20]
Voir sur ce point l’article « Quelles riposte contre la pédopornographie par Internet ? » par Frédéric Malon, Cahiers de la sécurité n°6 relatif à la criminalité numérique octobre-décembre 2008-12-06, Institut national des hautes Études de sécurité.
-
[21]
Voir Agathe Lepage, « Les dispositions concernant la communication dans la loi du 5 mars 2007 relative à la prévention de la délinquance », Communications-Commerce électronique, Revue mensuelle LexisNexisJurisclasseur, juin 2007.
-
[22]
Logiciel malveillant.
-
[23]
Article 4 de la Loppsi 2.
-
[24]
Site : http://www.cnil.fr
-
[25]
Cette loi est souvent nommée LCEN.
-
[26]
Article 222-16-1 du Code pénal.
-
[27]
Internet protocol.
-
[28]
Site : http://www.unifab.com