Bulletins de l'Ilec

Un mal inéluctable ? - Numéro 404

30/10/2009

Le temps est venu d’aborder différemment les problèmes et d’imaginer des réponses originales à la cyberdélinquance. Entretien avec René Henri Legret, secrétaire général du Centre de recherche et d’études de défense (CRED)

Comment définissez-vous la cybercriminalité ?

René Henri Legret : La cybercriminalité est complexe et ne touche pas un domaine en particulier. Avec Internet et l’usage généralisé de l’informatique, l’intégralité de l’activité humaine est concernée. Toutefois, il faut distinguer de quoi on parle. La cybercriminalité est une hydre à plusieurs têtes dont la motivation est le plus souvent financière. Cela va du plus connu, la pédopornographie, le trafic de personnes, de substances illicites, le révisionnisme, au plus opaque : l’activité des organisations criminelles transnationales, le piratage, le terrorisme, l’espionnage, la déstabilisation…

Dans une entreprise, tous les services sont des utilisateurs de l’informatique et détiennent un savoir, une part parfois non négligeable de la mémoire ou de l’histoire de la société. Ce capital informationnel est vital. La cybercriminalité est une menace d’arrêt de production, de contrefaçon, d’espionnage industriel, de concurrence déloyale, de désinformation, de vol, de chantage ou d’extorsion. Les sites d’entreprise sont des cibles pour la cybercriminalité. Assujettis à l’informatique, vitrines de l’entreprise ou de la marque, marchands ou outils de communication, ils sont prioritairement concernés par les dénis de service. Sur des sites marchands, des attaques peuvent vite se chiffrer en millions d’euros. On sait que 98 % des actes malveillants sont d’origine humaine, et leurs sources se trouvent à l’intérieur de l’entreprise. Une sécurité ne vaut que par son maillon le plus faible. Quelle que soit la serrure, ce ne sera qu’un problème de temps et de moyens pour l’ouvrir. Souvent, l’entreprise ne réalise pas que des données qu’elle pense obsolètes peuvent avoir un intérêt considérable pour un concurrent, un partenaire, un associé. En sécurité économique, on en revient toujours aux valeurs d’usage et d’échange d’une information, donc au prix que le concurrent est disposé à payer pour se l’approprier.

L’entreprise doit s’attacher à une démarche globale de sécurité de l’information et de veille sur l’évolution de la technologie, mais elle doit aussi définir une procédure de supervision de ses hommes clés. Un décès, une rupture, un divorce, un accident, un choc, une mutation, une sanction, un licenciement voire une frustration ou une déception sont autant de facteurs qui peuvent altérer le jugement, la vie, de quelqu’un et le rendre vulnérable. Le temps du petit pirate génial qui, du fond de son grenier, se lançait dans la pénétration d’un système pour jouer est révolu. Les attaques d’entreprises, d’organismes financiers de régulation ou de réseaux de gouvernance sont l’apanage d’acteurs structurés et techniquement à la pointe. Relevant d’Etat ou d’organisations criminelles transnationales, ils peuvent être disséminés en groupuscules de circonstance ou en francs-tireurs. Dans le cas des organisations criminelles transnationales, on ne compte plus les tentatives d’extorsion de fonds auprès de villes et de réseaux de gouvernance. Cela concerne aussi des entreprises. Quand il y a eu vol ou détournement de fichiers, le paiement d’une rançon ne protège en rien d’une fuite de données vers des concurrents.

Quelle est la solution ?

R.-H. L. : Personne ne l’a. Parlons plutôt de gestion et de contrôle d’un espace de liberté démocratique par une volonté politique forte, conjuguée à une volonté des acteurs de la société civile et de chaque utilisateur. Concernant les moyens de paiement par carte électronique les normes EMV1 sont complètement déployées, mais c’est loin d’être le cas dans tous les pays européens, a fortiori ailleurs dans le monde2. Le talon d’Achille, c’est la piste magnétique. Si une carte est recopiée et son code espionné par un réseau de caméras de surveillance, il est possible à un cybercriminel de réaliser un clone de la carte et de faire des transactions qui seront réputées légitimes (retraits d’argent ou paiement dans un pays étranger). Tant que la carte n’a pas été signalée comme frauduleuse par son propriétaire…

 Les principales organisations criminelles spécialistes dans le genre sont des réseaux arméniens, russes, pakistanais. Il y a de fortes probabilités qu’ils alimentent des réseaux terroristes, même si c’est moins rentable que le trafic de substances. Les normes EMV ne sont pas parfaites, mais elles offrent une réponse graduée aux attaques et leur diffusion devrait permettre d’éviter nombre de fraudes. Il faut noter que ce sont les émetteurs de cartes qui ergotent toujours devant le prix pour assurer la sécurité des échanges de leurs clients (remplacement des terminaux, émission de cartes, mise à jour de leur centre de gestion de clés, etc.).

La protection des auteurs et des utilisateurs passe-t-elle par une surveillance accrue ?

R.-H. L. : Plus l’arsenal législatif va se renforcer, plus vont émerger des solutions chiffrées permettant de contourner « l’Etat répressif ». Avec Hadopi, des « fournisseurs » et leurs utilisateurs prêts à tout utilisent différentes méthodes : VPN (réseau privé virtuel), P2P (peer-to-peer, « d’égal à égal ») chiffré. Les plus aguerris utilisent déjà le réseau TOR (système de connexion anonyme à Internet). Tant que de premières têtes ne sont pas tombées, il est difficile d’anticiper les techniques qui seront utilisées. Dans tous les cas, ceux qui ont des choses à cacher se tourneront vers des solutions alternatives.

Lorsque des millions de personnes utiliseront des méthodes de chiffrement aléatoire, il est probable que de petits malins se fondront dans la masse et le flux pour cacher leurs forfaits. C’est déjà le cas avec le contournement des blocages de sites par les fournisseurs d’accès. La communauté des cyberpirates s’est organisée depuis longtemps pour rendre ces méthodes inopérantes. Faute d’avoir travaillé intelligemment, on se trouve dans une période de fausse ouverture, de prohibition. Qui dit prohibition dit gros profits, mais pas pour l’Etat.

Que faut-il améliorer pour endiguer la menace ?

R.-H. L. : Des actions sont menées en France et dans d’autres pays de l’Union. La Police nationale a créé deux corps, un pour l’analyse informatique pure, l’autre pour la téléphonie pure. L’idée devrait être étendue à la gendarmerie. Ce sont deux métiers complémentaires, or dans toutes les enquêtes judiciaires il y a présence de la preuve numérique, ne serait-ce que par une carte SIM. Les téléphones cellulaires sont devenus des micro-ordinateurs dont l’exploitation nécessite des connaissances techniques particulières.

La gendarmerie a créé le FIC3 : ces rencontres méritent d’être encouragées. Elle s’est dotée depuis 2001 de spécialistes, les « NTEC » (nouvelles technologies), répartis dans les régions. Leur travail est impressionnant, et on peut regretter que les départs tardent à être remplacés et que certains moyens ne soient pas complètement dévolus à leur mission première. L’institution gagnerait si, à l’instar des plates-formes régionales de techniciens d’investigation criminelle, elle créait des « plates-formes NTEC ». Elle pourrait envisager de regrouper les unités de recherche spécialisées par départements ou par régions, afin de les doter d’une uniformité de compétence en « zones police » comme en « zones gendarmerie ». Ce serait un début de réponse aux difficultés que soulève la loi Hadopi. Ces groupes d’analyse des supports numériques pourraient avoir des délais raisonnables de transmission, pas plus de trois mois. Car il est préjudiciable pour la justice comme pour le justiciable d’attendre une décision un à deux ans. Et tout le monde aurait à gagner, parquet inclus, à une harmonisation des modalités d’échanges entre services dans une même institution. J’aurai garde d’omettre le renouvellement et le maintien opérationnel du matériel, soumis au règlement de la Commission centrale des marchés publics. Entre l’expression des besoins à un instant T, la rédaction du « cahier des clauses techniques particulières » et de l’appel d’offres, sa publication, le temps de réponse, les délais de dépouillement et la notification du marché, nous sommes déjà à T plus six mois. Si l’on ajoute le temps de livraison des fournisseurs, à T plus douze mois quand le matériel est déployé. S’il n’y a pas de problème !

D’autres initiatives méritent d’être relevées comme celles du « Commissariat du futur » où des expérimentations sont en cours, ou la création de l’ANSSI4. A nouveaux défis, nouveaux moyens. La Toile est un ensemble de voies de communication et d’échange. La raison de la création de la maréchaussée, en son temps, à été d’assurer la sécurité des grandes voies d’échange et de communication : ports, routes, marchés… Si nous consacrions dix pour cent des effectifs chargés de la répression routière à la cybercriminalité, avec les moyens techniques et les budgets adéquats, nous verrions une amélioration du taux de résolution des affaires. Comme sur la route, les délits contraventionnels ou pénaux doivent être sanctionnés. C’est aussi un des volets de l’instruction civique nouvelle mouture à intégrer dans le cursus des jeunes. C’est une question de volonté politique, et aussi d’approche des problèmes : ouvrons notre esprit pour envisager des réponses graduées et originales à toutes les formes de délinquance. Il faut aussi élargir notre réflexion et notre action à nos partenaires de l’Union, multiplier les initiatives européennes pour fédérer des projets de code source ouvert, seule alternative à long terme pour l’indépendance des utilisateurs privés.

1.www.emvco.com.

2.Voir le rapport 2008 de l’Observatoire de la sécurité des cartes de paiement (www.observatoire-cartes.fr).

3. Cf. p. 14

Propos recueillis par J. W.-A.

Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à l'utiliser, nous considérerons que vous acceptez l'utilisation des cookies.