Boutton pour adhérer à l'association

La cybercriminalité

cybercriminalité
La cybercriminalité
Le 21/05/08 par Les Robins du Web

Au sens strict du terme, il s’agit de tout activité dans laquelle les systèmes ou réseaux informatiques sont utilisés à des fins criminelles.

I) Qu’est-ce que la cybercriminalité ?


1.1 : Définition

Le Ministère de l’Intérieur propose également une définition dans laquelle la cybercriminalité serait « l’ensemble des infractions pénales susceptibles de se commettre sur les réseaux de télécommunications en général et plus particulièrement sur Internet. »


1.2 : Champ d’action

Selon la Commission européenne, le terme "cybercriminalité" englobe trois catégories d'activités criminelles :
- les formes traditionnelles de criminalité, telles que la fraude et la falsification informatiques (escroqueries, fausses cartes de paiement, etc.)
- la diffusion de contenus illicites par voie électronique (par exemple, ceux ayant trait à la violence sexuelle exercée contre des enfants ou à l'incitation à la haine raciale). et la violation du droit d’auteur,
- les infractions propres aux réseaux électroniques, c'est-à-dire les attaques visant les systèmes d'information, le déni de service et le piratage.

1.3 : Les principales méthodes utilisées


A) Le phishing

Le phishing (contraction des mots anglais « fishing » « pêche », et « phreaking », désignant le piratage de lignes téléphoniques), est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes. La particularité de cette technique est qu’elle n’exploite pas le système comme le ferait un virus, mais son objectif est de tromper la cible. En effet, le fishing consiste à envoyer un mail, dans lequel le cybercriminel se fait passer pour une entreprise, généralement un site de e-commerce ou un site de banque et invite la personne a surfer sur une autre page via un lien hypertexte à la fin du mail. Après avoir cliqué sur le lien hypertexte, la victime arrive sur une réplique parfaite du site original de la banque ou de e-commerce et est invité à remplir un formulaire. C’est dans ce formulaire que les hackers pourront récupérer toutes les informations concernant les victimes, y compris ses informations bancaires.


B) Le spam (ou pourriel)

Le pourriel ou (spam en anglais), désigne une communication électronique, notamment du courrier électronique, non sollicitée par les destinataires, expédiée en masse à des fins publicitaires ou malhonnêtes.

* Le pourriel contient généralement de la publicité. Les produits les plus vantés sont les services pornographiques, les médicaments (le plus fréquemment les produits de « dopage sexuel » ou, des hormones utilisées dans la lutte contre le vieillissement), le crédit financier, les casinos en ligne, les montres de contrefaçon, les diplômes falsifiés et les logiciels craqués.

* Des escrocs envoient également des propositions prétendant pouvoir vous enrichir rapidement : travail à domicile, conseil d'achat de petites actions

* Les lettres en chaînes peuvent aussi être qualifiées de pourriel.

* Parfois aussi, mais de plus en plus rarement, il s'agit de messages d'entreprises qui y voient un moyen peu coûteux d'assurer leur promotion.


C) Les « malware »

Mot bâti par analogie à software. Il désigne tout type de programme nocif introduit sur un ordinateur à l'insu de l'utilisateur. Il regroupe les virus, vers, spywares, keyloggers, chevaux de Troie etc….


D) La fraude 4-1-9 ou scam

C’est une des escroqueries les plus répandues dans le monde. L’auteur se sert de la naïveté de l’internaute pour l’arnaquer et lui soutirer de l’argent.
Un scam se présente généralement sous la forme d'un pourriel à l'orthographe souvent approximative, dans lequel une personne affirme posséder une importante somme d'argent (plusieurs millions de dollars en héritage, pots-de-vin, comptes tombés en déshérence, fonds à placer à l'étranger suite à un changement de contexte politique, etc.) et fait part de son besoin d'utiliser un compte existant pour transférer rapidement cet argent.
La personne à l'origine du scam demande de l'aide pour effectuer ce transfert d'argent, en échange de quoi il offre un pourcentage sur la somme qui sera transférée, en général par la « voie diplomatique ». Si la victime accepte, on lui demandera petit à petit d’avancer des sommes d’argent destinées couvrir des frais imaginaire (notaires, entreprises de sécurité, pots-de-vin…) avant que le transfert ne soit effectif ; bien entendu, ce transfert n’aura jamais lieu.

E) La violation du droit d’auteur : le transfert de fichiers de façon illégale

Il s’agit du téléchargement et du partage illégal de textes, sons, images et vidéos sur lesquels un droit d’auteur d’exerce. La téléchargement est parfois autorisé, mais seulement pour une durée de 24 heures, après quoi l’internaute deviendrait hors-la-loi.

II) La lutte contre la cybercriminalité :

2.1 : Conseil de l’Europe

Dès le 23 novembre 2001, les pays membres du Conseil de l’Europe et leurs partenaires (Etats-Unis, Canada, Japon, Afrique du Sud) ont adopté à Budapest une Convention sur la cybercriminalité. Cette dernière, entrée en vigueur le 1er juillet 2004, constitue la première convention pénale à vocation universelle destinée à lutter contre le cybercrime. Ce texte constitue une réponse globale aux crimes commis sur et à travers les réseaux informatiques.
Elle poursuit trois objectifs :
- harmoniser les législations des Etats signataires en matière de cybercriminalité : à cette fin, la Convention établit des définitions communes de certaines infractions pénales commises par le biais des réseaux informatiques.
- compléter ces législations, notamment en matière procédurale : afin d’améliorer la capacité des services de police à mener en temps réel leurs investigations et à collecter des preuves sur le territoire national avant qu’elles ne disparaissent.
- améliorer la coopération internationale, notamment en matière d’extradition et d’entraide répressive.
2.2 : Convention sur la cybercriminalité

Ouvert à la signature en janvier 2003, le Protocole additionnel à la Convention sur la cybercriminalité demande aux Etats de criminaliser la diffusion de matériel raciste et xénophobe par le biais de systèmes informatiques. Ce Protocole élargit donc le champ d’application de la Convention afin de couvrir également les infractions de propagande raciste ou xénophobe commises via les réseaux informatiques. Il prévoit, par ailleurs, de faciliter l’extradition des contrevenants à l’intérieur de l’espace européen, ainsi que de favoriser l’entraide judiciaire pour la répression de ces agissements.
La création de l’Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) a été établie par l’Union européenne en 2004 dans l’optique de garantir aux utilisateurs un plus haut degré de sécurité, les violations des réseaux de communication prenant de l'ampleur. Située en Crète, elle fonctionne comme un centre d'expertise pour les États membres, les institutions de l'UE et les entreprises. L’agence a pour mission de :
- prêter assistance et fournir des conseils à la Commission et aux États membres sur les questions liées à la sécurité des réseaux et de l'information ;
- recueillir et analyser les données relatives aux incidents liés à la sécurité en Europe et aux risques émergents ;
- promouvoir des activités d'évaluation et de gestion des risques afin d'améliorer la capacité de faire face aux menaces pesant sur la sécurité de l'information ;
- renforcer la coopération entre les différents acteurs du secteur de la sécurité de l’information ;
- suivre l'élaboration des normes pour les produits et services en matière de sécurité des réseaux et de l'information.
2.3 : le programme européen Internet Safer Plus

Proposé par la Commission européenne en mars 2004, le programme pluriannuel Safer Internet Plus (2005-2008) [PDF, 76 Ko], succédant au plan d'action Safer Internet (1999-2004), est doté d’un budget de 45 millions d’euros afin de lutter contre les contenus internet illicites et préjudiciables et de promouvoir une utilisation plus sûre d'internet et des nouvelles technologies en ligne, particulièrement pour les enfants. Le nouveau programme voit son champ d’application élargi à d’autres médias, comme les supports vidéos, et est explicitement conçu pour combattre le racisme et les communications électroniques commerciales non sollicitées (spam). Les activités menées au titre du programme sont réparties selon quatre lignes d'action :
- lutte contre les contenus illicites : des lignes téléphoniques d'urgence ("hotlines") ont été créées pour permettre au public de signaler les contenus illicites et transmettre les informations à l'organisme qui est en mesure d'agir (fournisseur de service internet ou police, par exemple) ;
- traitement des contenus non désirés et préjudiciables : le programme finance des mesures technologiques qui permettent aux utilisateurs de limiter le volume de ces contenus et de gérer les spams reçus, ainsi que de mettre au point de meilleurs filtres ;
- promotion d'un environnement plus sûr : afin de renforcer l'autorégulation du secteur, la Commission met à la disposition des organismes nationaux de corégulation ou d'autorégulation le "Forum pour un Internet plus sûr" pour favoriser l'échange d'expériences ;
- sensibilisation : les actions de sensibilisation visent les différentes catégories de contenus illicites, non désirés et préjudiciables et prennent également en compte les questions connexes telles que la protection des consommateurs, la protection des données et la sécurité des informations et des réseaux (virus, spams, etc.).
2.4 : Le plan de lutte Alliot-Marie

Le plan prévoit le doublement du nombre de cyber-enquêteurs spécialisés en criminalité informatique qui, issus de la police ou de la gendarmerie, recevront une formation commune plus pointue. Un groupe dédié aux escroqueries sur Internet sera également créé d’ici peu. Ce plan prévoit également l’amélioration du système de signalement de sites illicites par l’intermédiaire de policiers chargé de traiter les plaintes et signalements reçus. De plus, le projet souhaite faciliter l’identification des utilisateurs d’Internet les règles de coopération des acteurs de l'Internet avec les services concernés par la lutte contre la cybercriminalité. Le plan donne aux cybercafés, l'obligation de conserver les données de connexion pendant un an, ainsi que pour les bornes d'accès Wi-Fi, les éditeurs de messagerie électronique, les points d'accès dans les lieux publics.

De nouvelles formes d'incrimination vont être créées et l'usurpation d'identité à des fins malveillantes sur Internet sera punie par la loi comme un délit, soit un an d'emprisonnement et 15 000 euros d'amende. Pour le piratage, des sanctions spécifiques sont prévues avec la création de peines alternatives de travaux d'intérêt général pour les hackers condamnés.

Ce plan fait également appel à la mobilisation de l'ensemble des acteurs concernés par la lutte contre la cybercriminalité, avec en premier lieu les fournisseurs d'accès à Internet mais aussi les hébergeurs de sites et les utilisateurs.


III) La législation et les sanctions :


3.1 : La fraude informatique: la loi Godfrain du 5 janvier 1988

 Intrusion ou maintien frauduleux dans un système de traitement automatisé de données (STAD)
 article 323-1 du code pénal
 1 an d'emprisonnement et 15 000 € d'amende
 2 ans d’emprisonnement et 30 000 € d’amende s’il y a dommage

 Fausser ou entraver le fonctionnement d'un STAD
 article 323-2 du code pénal
 3 ans d'emprisonnement et 45 000 € d'amende
 Supprimer, introduire ou modifier frauduleusement des données dans un STAD

 article 323-3 du code pénal
 3 ans d'emprisonnement et 45 000 € d'amende

 Détenir, offrir, céder ou mettre à disposition un équipement, programme informatique ou toute donnée en vue de commettre les infractions sus-citées
 article 323-3-1 du code pénal (Loi sur l’économie numérique du 24 juillet 2003)
 Peine en fonction de la nature de l’infraction

 Association de malfaiteurs
 Article 323-4 du code pénal
 Peine en fonction de la nature de l’infraction

3.2 : Les infractions pénales sur Internet :

 Les atteintes aux libertés individuelles
 Diffamation et injure : 1 an d’emprisonnement et 45 000 € d’amende
 Atteintes à la vie privée : 1 an d’emprisonnement et 45 000 € d’amende
 Haine raciale, négationnisme, révisionnisme : 45 000 € d’amende

 Les atteintes aux biens
 Escroquerie : 5 ans d’emprisonnement et 375 000 € d’amende
 Menace de commettre une destruction, une dégradation ou une détérioration : 6 mois d’emprisonnement et 7 500 € d’amende, si l’infraction est dangereuse pour les personnes ; 1 an d’emprisonnement et 15 000 € d’amende si la menace est faite avec l’ordre de remplir une condition

 Les atteintes à l’ordre public
 Atteinte aux mineurs 3 ans d’emprisonnement et 75 000 € d’amende
 Terrorisme
 Paris clandestins et Jeux d’argent

 Les infractions au code de la propriété intellectuelle
 Contrefaçon

La lutte contre la cybercriminalité est devenue un des enjeux majeurs concernant la législation sur Internet. Le récent plan de Michèle Alliot-Marie, ministre de l’Intérieur tend d’une part à renforcer le partenariat ainsi que la responsabilité des fournisseurs d’accès à Internet, et d’autre part à mettre en place à moyen terme une jurisprudence qui servira de référence aux crimes et délits effectués sur Internet.
Cependant, certaines propositions du plan sont sujets à polémique puisqu’il est demandé au fournisseur d’accès de « surveiller » l’activité de ses clients et de les sanctionner soi-même (en résiliant l’abonnement, ou en les dénonçant à la cyber-police par exemple).


Certaines associations de protection des droits et libertés voient la une violation des libertés individuelles et organisent des journées de mobilisation sur Internet pour contester ses propositions ( le 1er mai notamment).

© 2008 - Lesrobinsduweb.org - Tous droits réservés - Crédits