Bulletins de l'Ilec

Vers une cyber-ONU - Numéro 404

30/10/2009

Depuis le début de la décennie, l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) agit contre la cybercriminalité. Il souhaite aujourd’hui une ambitieuse coordination internationale. Entretien avec Christian Aghroum, commissaire divisionnaire, chef de l’OCLCTIC*

Quelles raisons ont présidé à la création de l’OCLCTIC ?

Christian Aghroum : À la fin années 1980, de nouveaux moyens se sont avérés nécessaires, pour les enquêteurs financiers, afin de procéder à des constatations dans les entreprises. Auparavant, le bilan d’une société était inscrit dans un grand livre comptable. L’informatisation des entreprises lui a substitué un grand fichier. Or, en police judiciaire, pour assurer l’authenticité juridique d’un document, il faut réaliser la constatation par soi-même. Il a fallu former des enquêteurs à extraire des données dont l’authenticité ne puisse être en question. Des spécialistes en criminalité informatique ont donc essaimé dans les sections économiques et financières de police judiciaire. Au milieu des années 1990, des enquêteurs ont été formés dans d’autres domaines que la finance, comme celui de la pédopornographie. C’est sur fond de développement de la délinquance informatique et de convention de Budapest sur la cybercriminalité que naît l’Office, en 2000, réponse au besoin de centralisation de l’information judiciaire, et au besoin d’un interlocuteur pour nos partenaires d’Interpol et Europol.

Quelles sont les missions de l’Office ? Quels conseils l’Office apporte-t-il aux entreprises ?

C. A : Composé de policiers et de gendarmes, il a élargi ses compétences, d’une police informatique à une police d’Internet. Ses missions sont de nature stratégique quand il joue le rôle d’interface pour les infractions associées aux nouvelles technologies, qu’il forme des investigateurs en cybercriminalité et qu’il participe à l’élaboration des lois et règlements, et représente la France dans les organismes internationaux. Sur le plan tactique, l’Office dispose de groupes d’enquête sur le piratage, la contrefaçon de carte bancaire, la pénétration des réseaux, les fraudes dans le commerce électronique (de plus en plus sur téléphone mobile), les contrefaçons numériques et les escroqueries en ligne (via eBay par exemple). Nous accueillons la plate-forme de signalement des contenus illicites, qui offre un guichet unique aux particuliers et aux professionnels (www.internet-signalement.gouv.fr). Depuis le début de l’année, nous avons traité 39 000 signalements, mais nous manquons de personnel.

Alors que la Direction centrale du renseignement intérieur a une vocation d’intelligence économique, aider les entreprises françaises à lutter contre l’espionnage industriel, l’Office a une approche plus économique : nous intervenons auprès des directions et de l’encadrement des groupes industriels ou bancaires pour leur faire comprendre qu’ils doivent déposer plainte quand ils sont victimes d’attaques. Il est nécessaire pour l’entreprise d’écouter la direction informatique et la sécurité des systèmes d’information (SSI). Or un problème de langage cloisonne les services, la SSI a parfois un langage de spécialiste proche de la paranoïa, qui s’oppose au marketing, ouvert sur le monde. Il est regrettable que ce qui relève de la SSI soit dans certaines entreprises sous la coupe de la direction informatique, qui parfois le diabolise, alors que cela devrait être intégré dans une vraie direction de la sécurité avec une vision transversale des problèmes. Il est aussi regrettable que la véritable cible des attaques, les PME-PMI, soit la moins bien défendue, faute de moyens et de formation à l’intelligence économique. Installer un antivirus ne suffit pas.

Vous occupez-vous de la contrefaçon ?

C. A. : Les produits contrefaits qui transitent sur la Toile, les faux Vuitton et faux Lacoste, ne sont pas du ressort de l’Office. Notre vigilance porte sur les contrefaçons du numérique, les faux logiciels, les faux boîtiers multiservices, les contrefaçons de données personnelles, les fausses façades. En ce domaine, les entreprises doivent avoir des outils de veille, de détection et d’alerte. Les grands groupes ont leurs propres moyens, mais les PME sont souvent moins bien outillées. Leur salut passe par une action commune, par les fédérations ou l’Unifab, dotés de relais efficaces et de moyens pour aller en justice.

Qu’apporte le projet de « loi d’orientation et de programmation pour la performance de la sécurité intérieure » ?

C. A. : L’Office est promoteur de quelques suggestions. La première porte sur le blocage des sites pédopornographiques, car bon nombre de pays, non coopératifs, refusent de les fermer (Russie, pays d’Asie). Une bulle de protection, sorte de contrôle parental national, va permettre à l’internaute de naviguer librement sans être assailli par des images plus que douteuses. Deuxième proposition : nous demandons l’incrimination de l’usurpation d’identité en ligne, car aujourd’hui nous sommes bloqués dans nos enquêtes. Enfin, nous souhaitons la mise à jour de la loi Perben II, qui n’autorise que dans le cadre de la lutte contre le terrorisme et la criminalité organisée, sous le contrôle d’un magistrat, d’installer des vidéos et des micros chez les criminels présumés. On veut disposer des mêmes outils informatiques, car les criminels ont recours au chiffrement.

Les enjeux sont à la fois techniques et sociétaux. En France, le taux d’équipement en accès à Internet ne dépasse pas 60 %. La marge de progression est donc grande, comme celle du nombre de victimes et d’infractions. Il faut une capacité de réponse adaptée, qui passe par la spécialisation des policiers, gendarmes et magistrats. Les outils deviennent de plus en plus complémentaires, comme le téléphone mobile et la robotique assistée. Autre source d’inquiétude : le développement d’Internet dans le monde, particulièrement en Afrique, qui, grâce à la norme de réseau téléphonique de troisième génération, peut franchir un âge technique et disposer de l’Internet mobile sans réseau électrique (des téléphones solaires sont commercialisés). Le réseau mondial ne peut pas s’autogérer et la souveraineté nationale n’est pas adaptée. Des moyens de paiement se créent, comme Paypal, qui échappent à tout contrôle et facilitent les réseaux de blanchiment ou d’évasion de capitaux. Face au risque que chaque pays ne déploie une sorte de cyberprotectionnisme, une ONU de l’Internet est nécessaire, avec de vrais pouvoirs d’intervention. Cette force aura à arbitrer la réponse informatique offensive qu’un Etat se verra contraint d’adopter face à des attaques.

* Direction centrale de la police judiciaire.

Propos recueillis par J. W.-A.

Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à l'utiliser, nous considérerons que vous acceptez l'utilisation des cookies.