Memoire Online - La Cybercriminalité nouveaux enjeux de la protection des données

UNIVERSITE LAVAL
La cybercriminalité
Les nouveaux enjeux de la protection des données

Diane SERRES et Anna CLUZEAU
Lundi 15 décembre 2008

Le développement des nouvelles technologies de l'information et de la communication et la vulgarisation d'Internet ont provoqué des bouleversements majeurs, tant au niveau de la communication à l'échelle mondiale qu'au niveau du droit applicable. On voit émerger de nouveaux modes de communication, révolutionnés par cette possibilité de connecter le monde entier en permanence, et notamment de nouveaux modes d'échanges, comme le commerce en ligne, ou commerce électronique. Il est désormais possible de conclure une transaction à des milliers de kilomètres de distance de son interlocuteur et par un simple clic. Néanmoins, ce développement a aussi ses revers, et parmi eux on note l'apparition d'une nouvelle menace : la cybercriminalité.

La cybercriminalité est une notion polymorphe qui peut concerner les infractions classiques commises par le biais des nouvelles technologies, comme de nouvelles infractions, nées de l'essence même de ces nouvelles technologies.

Aujourd'hui, cette menace se fait de plus en plus insidieuse, les enjeux n'en sont plus les mêmes, et elle devient un risque majeur, en particulier pour des acteurs donc les réseaux sont susceptibles de contenir des informations monnayables, comme les entreprises ou les Etats, qui présentent l'avantage de fournir des blocs entiers d'informations potentielles, contrairement au piratage d'entités individuelles. En effet, de plus en plus, la cybercriminalité, à l'origine conçue comme une succession de défis à la sécurité des réseaux, qualifiée de proof-of-concept par de nombreux auteurs^1(*), se teinte d'une coloration mafieuse, donnant naissance à de véritables « marchés noirs » d'informations piratées, allant des atteintes à la propriété intellectuelle et artistique au vol d'identité, en passant par les fraudes à la carte bancaire. Ces informations se vendent de moins en moins cher, signe qu'elles sont de plus en plus faciles à voler, et à trouver, les pirates étant protégés d'une part par l'utilisation de pseudonymes et d'autre part par leur nombre croissant. On parle de véritables réseaux underground, développés en Europe de l'Est, mais aussi aux Etats-Unis, en Chine, et en Allemagne.

Underground economy servers are black market forums used by criminals and criminal organizations to advertise and trade stolen information and services, typically for use in identity theft. This information can include government-issued identification numbers such as Social Security numbers, credit cards, credit verification values, debit cards, personal identification numbers (PIN s), user accounts, email address lists, and bank accounts.^2(*)

Face à cette professionnalisation du vol de données, nous avons choisi de nous demander quels sont les nouveaux enjeux de la protection des données, notamment pour des structures comme les entreprises (I) ou les Etats (II).

Les entreprises, avec l'avènement du commerce électronique et les transactions effectuées en lignes, sont sujettes à de nombreux fléaux. Nous examinerons seulement deux menaces parmi la foule de risques qu'encourent les entreprises. En effet, le hameçonnage est tout d'abord une usurpation de l'entreprise qui peut en souffrir (A). Ensuite, l'entreprise est particulièrement touchée par le vol de ses données par le biais des nouvelles technologies de l'information et de communication (B).

Le hameçonnage, une forme d'usurpation d'identité d'entreprise

L'usurpation de l'identité d'une entreprise existe depuis longtemps déjà. En effet, la contrefaçon, ou l'usage d'un nom de domaine semblable à une entreprise sont des techniques qui portent atteinte à sa propriété intellectuelle. Cependant, l'internet et la multiplication des transactions en ligne a amené les cybercriminels à développer une nouvelle technique pour usurper l'identité de l'entreprise : le hameçonnage.

Le hameçonnage, traduit de l'anglais phishing, désigne métaphoriquement le procédé criminel de vol d'identité par courriel. Il s'agit d'« aller à la pêche de renseignements personnels dans un étang d'utilisateurs Internet sans méfiance^3(*)». Pour l'office québécois de la langue française, le hameçonnage peut être défini ainsi :

Envoi massif d'un faux courriel, apparemment authentique, utilisant l'identité d'une institution financière ou d'un site commercial connu, dans lequel on demande aux destinataires, sous différents prétextes, de mettre à jour leurs coordonnées bancaires ou personnelles, en cliquant sur un lien menant vers un faux site Web, copie conforme du site de l'institution ou de l'entreprise, où le pirate récupère ces informations, dans le but de les utiliser pour détourner des fonds à son avantage^4(*).

L'apparence d'authenticité est la difficulté qu'il faut soulever. En effet, il s'agit d'une véritable usurpation d'identité de l'entreprise ou de l'organisme qui a elle-même pour but l'usurpation de l'identité du destinataire.

Cependant, il faut distinguer le hameçonnage, qui désigne un moyen d'escroquerie par Internet de l'usurpation de l'identité de l'entreprise, ou brand spoofing. Le hameçonnage n'a pas pour finalité d'usurper l'identité de l'entreprise. Il s'agit d'un moyen pour escroquer les clients de cette dernière.

Les entreprises souffrent de ce type de procédé. En effet, l'usurpation a lieu à deux niveaux. Tout d'abord, il y a usurpation de la marque de l'entreprise, puisque le but du hameçonnage est de créer l'illusion de cette entreprise. Ensuite, il y a usurpation de l'interface du site web de l'entreprise, puisque pour amener les destinataires à croire dans l'identité de l'entreprise, l'apparence du site web sera recréée comme appât. Cette usurpation d'interface peut même aller jusqu'à la copie identique de l'adresse internet. En effet, par des outils techniques, la barre d'adresse du navigateur internet contenant l'adresse du faux site est recouverte par l'adresse réelle du site web^5(*). L'usurpation devient alors totale.

La plupart des entreprises touchées par le hameçonnage sont les institutions financières^6(*). En effet, les escrocs convoitent particulièrement les informations bancaires, afin de détourner des fonds.

Face à ces constatations, l'entreprise subi un préjudice. En effet, ses clients vont subir un vol de renseignements personnels. Leur confiance dans l'entreprise ne peut qu'en sortir amoindrie. Il se peut que le client veuille même engager la responsabilité de l'entreprise dont l'identité a été usurpée. Le droit aujourd'hui est assez mal équipé pour vaincre le fléau du vol d'identité d'entreprise. En effet, de telles actions pourraient être attaquées pour usurpation de marque^7(*). Une action pourrait également être intentée en matière de propriété intellectuelle, si les escrocs ont utilisé le même nom de domaine ou un nom approchant. Cependant, ces actions ne semblent pas satisfaisantes. L'entreprise peut donc voir sa réputation entachée, mais elle peut aussi subir des pertes financières.

En effet, le législateur a l'intention de modifier le Code criminel pour y inclure le hameçonnage. Le premier projet de loi qui a été proposé était le projet C-299 déposé en mai 2006. Il avait pour objet l' « obtention de renseignements indicateurs par fraude ou par faux semblant »^8(*). Cette notion de faux semblant désigne directement le hameçonnage. Il s'agit en effet du fait d'obtenir des renseignements en se faisant passer pour quelqu'un d'habilité à le faire. Un autre projet de loi est destiné remplacer le projet C-299. Il s'agit du projet de loi C-27 intitulé « Vol d'identité et inconduites connexes »^9(*). L'article 10 du projet crée une nouvelle infraction : le « Vol d'identité et fraude à l'identité »^10(*). Le faux semblant est associé au vol d'identité^11(*). Auparavant l'infraction de faux semblant de l'article 362 du Code criminel ne pouvait être qu'associée avec le vol^12(*). Le vol d'identité n'étant pas reconnu, le faux semblant ne pouvait pas être appliqué pour le hameçonnage. Avec le projet de loi, le hameçonnage pourra être ainsi incriminé.

Ce projet de loi s'inscrit dans un mouvement législatif international visant l'adaptation du droit aux nouveaux crimes commis par le biais des nouvelles technologies de l'information et de communication. Le législateur a enfin pris conscience que ce type de crime doit être combattu spécifiquement.

Les entreprises agissent également de leur côté. En effet, un groupe de travail international réunit de nombreuses entreprises, dont des banques ou des organismes de sécurité, pour trouver des solutions au hameçonnage. Il s'agit de l'Anti Phishing Work Group. Cet organisme émet des recommandations sur la façon dont les entreprises doivent informer leur clientèle des dangers encourus. Il propose aussi la mise en place de mesures de sécurité internes, comme par exemple un système d'authentification à deux facteurs, ou l'utilisation systématique du protocole HTTPS. Ce système consiste en l'authentification du client par deux étapes : une première identification lors de la connexion et une seconde lorsqu'une transaction en ligne est effectuée. Pour Mac Afee, ce système pourrait faire significativement reculer le nombre de tentative de hameçonnage d'ici 2009^13(*). En effet, le rapport de Mac Afee sur la cybercriminalité souligne que le Brésil possède l'un des systèmes bancaires en ligne le plus sûr au monde puisque la plupart des banques utilisent ces mesures de sécurité^14(*).

Il apparaît évident que la confiance des consommateurs en ligne pourrait s'affaiblir si aucune mesure n'est prise. Cette perte de confiance pourrait s'expliquer par « la sensibilisation du grand public à la cybercriminalité, à l'usurpation d'identité, et à la violation de la vie privée^15(*) ». Il est certain que les utilisateurs doivent prendre des précautions lorsqu'ils effectuent des paiements en ligne ou lorsqu'ils communiquent des données. Cependant, ils ne peuvent pas être seuls responsables de leur sécurité. Les entreprises comme les Etats doivent prendre des mesures, en investissant d'une part dans des outils de sécurisation de leurs sites, et en légiférant pour pouvoir pénaliser les acteurs de cette nouvelle forme de criminalité.

Le vol d'informations sensibles

Au-delà du risque constitué par l'usurpation de leur identité, les entreprises sont particulièrement vulnérables à travers leur interface Internet à plusieurs niveaux. En effet, plusieurs de leurs données peuvent faire l'objet d'attaques, principalement dans une perspective de vol de ces données. Parmi les données les plus sensibles selon nous, se trouvent les données techniques relatives aux innovations de l'entreprise, et les données à caractère personnel de leurs clients, qui par exemple ont pu fournir leur numéro de carte bancaire lors d'une opération de commerce en ligne.

Les motivations des attaquants sont diverses, puisque les attaques peuvent provenir de l'intérieur même de l'entreprise, comme de l'extérieur. Il convient ici d'identifier les localisations des données sensibles pour savoir comment et par quels chemins elles sont accessibles. Une entreprise de commerce en effet, au delà de son interface en ligne accessible sur le réseau Internet, va bien souvent disposer d'un réseau Intranet, réseau fermé interne à l'entreprise. En général les informations sensibles ne seront pas accessibles à tous mais seulement à un nombre restreint de personnes, principalement employés de l'entreprise, et elles seront donc à cet effet placées sur l'Intranet. Or, entre l'Intranet et l'Internet des communications sont possibles, des passerelles peuvent exister, ce qui représente un danger pour ces données.

D'abord, et dans une perspective « traditionnelle », le vol d'informations peut se faire par des voies internes, ainsi un employé de l'entreprise cible peut se voir contacté par les pirates pour délivrer ses informations de connexion à l'Intranet de l'entreprise, en échange d'argent le plus souvent. Un employé de cette même entreprise peut être lui-même le pirate, auquel cas il se servira de ses propres codes d'accès s'il a un niveau de responsabilité suffisant pour accéder aux informations sensibles stockées sur le réseau. On retrouve souvent cette configuration dans le cas d'employés licenciés, qui savent qu'ils vont quitter l'entreprise et nourrissent un certain ressentiment à son égard, ou d'anciens employés qui bien que n'appartenant plus à l'entreprise possèdent toujours leurs autorisations d'accès et en usent à mauvais escient. À son insu, un employé peut également être victime d'espionnage, si des logiciels malveillants sont installés sur son ordinateur personnel dont il se sert pour accéder au réseau interne de l'entreprise par exemple, ou il peut être piégé par des techniques telles que le hameçonnage précédemment décrit qui vont l'induire en erreur et l'amener à révéler ses informations d'accès.

Le vol d'information peut également être commis de manière plus nouvelle, par des voies externes, principalement par le biais d'Internet. Ainsi, les pirates peuvent s'infiltrer par des portes laissées ouvertes dans le réseau, et accéder ainsi aux informations qu'ils recherchent. Ils peuvent également utiliser des logiciels malveillants qui vont leur permettre de répliquer les autorisations d'accès en falsifiant les certificats afin de passer au travers des différentes étapes de sécurisation, qui sont d'autant plus efficaces qu'elles sont nombreuses et variées.

Ensuite, des pirates peuvent vouloir lancer des attaques pour voler des informations relatives à l'innovation, c'est ce qu'on qualifiera d'espionnage industriel. Comme l'espionnage industriel traditionnel, le but des pirates, qui vont se trouver à la solde d'un concurrent ou à la solde du plus offrant, est de voler l'innovation technique de la cible, en restant le plus discrets possible afin de l'égaler sinon de le doubler. Des informations de la plus haute importance peuvent se trouver sur les serveurs du réseau de l'entreprise, et même si ces informations ne sont pas directement en ligne où ne l'ont été que pour une période brève, les pirates ont plusieurs moyens d'y accéder. Ils peuvent suivre les chemins qui ont été précédemment ouverts grâce aux caches ou grâce à la négligence humaine.

Enfin, les pirates peuvent vouloir s'attaquer aux données concernant la clientèle de l'entreprise cible. Les raisons du piratage de bases de données clients sont variables, il peut avoir pour but de récupérer des adresses de courriel pour procéder à des envois massifs de pourriels, ou spams, ou de revendre aux concurrents ces bases de données. Il peut aussi avoir pour but de s'infiltrer plus facilement dans les ordinateurs de ces clients en utilisant leur relation avec l'entreprise comme prétexte à des courriels contenant des applications malveillantes qui permettront aux pirates de mettre en place des botnets. Un botnet est un réseau d'ordinateurs infectés par un virus malveillant, qui lorsqu'ils se réveillent, c'est-à-dire lorsqu'ils en reçoivent l'ordre, en général tous en même temps, deviennent des robots à la solde du virus, d'où leur nom d'ordinateurs zombies^16(*). En pratique, les botnets sont utilisés par les pirates pour lancer des attaques DOS (Denial Of Service) ou DDOS (Distributed Denial Of Service) qui vont inonder la cible de requêtes et rendre par ce moyen le serveur inopérant. Enfin, la principale motivation des pirates qui attaquent les bases de données clients est le vol des données bancaires de ces derniers. Ainsi, citons l'exemple récent de l'opérateur de télécommunications américain AT&T, victime du piratage de ses données pour un total de près de 19000 clients et leurs informations bancaires, ou encore le piratage historique de plus de 40 millions de numéros de cartes bancaires Visa et Mastercard en 2005, grâce à l'exploitation d'une faille système chez le sous-traitant en charge du traitement des transactions entre les banques et les clients, Cardsystems^17(*). L'exploitation de telles données est lucrativement très intéressante pour les pirates, qui peuvent soit s'en servir eux-mêmes pour commettre des fraudes à la carte bancaire, soit les revendre sur les réseaux underground précédemment évoqués.

Selon Symantec, il existe un véritable marché des informations volées aux entreprises, et les données relatives aux cartes de crédit se monnayent par exemple entre 0,40 et 20 $ US^18(*) .

Par curiosité, nous avons tenté une simple recherche sur Google en tapant « VISA MC skimmed dumps », recherche ce qui nous a mené à plus de 25000 résultats, et dirigé très facilement sur des forums sur lesquels en effet on peut lire des annonces de numéros de cartes de crédit à vendre^19(*). Le fait que ces informations soient extrêmement accessibles nous paraît significatif de la facilité avec laquelle les pirates se les procurent.

Le problème est que l'on ne connaît pas, et l'on ne connaîtra sans doute jamais avec précision, l'importance de ce type de vol de données. Les raisons en sont multiples : tout d'abord, le principal intérêt des pirates est d'agir silencieusement afin que leur méfait ne soit pas découvert et qu'ils puissent effectivement exploiter ces données, et c'est pourquoi il est de plus en plus difficile de repérer ces attaques qui ne cessent de gagner en subtilité grâce au développement croissant de logiciels malveillants de plus en plus performants. Ensuite, et c'est pourquoi les pirates peuvent choisir de s'attaquer à des entreprises commerciales plutôt qu'à des organismes publics, l'entreprise piratée aura tout intérêt à étouffer l'affaire et à ne pas dévoiler au grand public qu'elle vient d'être victime d'une telle attaque, sous peine de voir la confiance de ses clients s'envoler en fumée. En effet, l'argument principal d'une entreprise ayant des activités de commerce électronique sera la confiance que l'on peut lui accorder quant à la sécurité des transactions en ligne. Pour contrer ce genre d'attaque, les entreprises devront utiliser au maximum les possibilités de sécurisation de leurs réseaux^20(*), mais elles pourront également avoir recours à des moyens de paiement sécurisés, comme Paypal.

Comme nous l'avons vu, les entreprises sont des cibles privilégiées pour les cybercriminels, mais elles ne sont pas les seules. En effet, les Etats sont les nouvelles cibles de la cybercriminalité.

Les Etats sont aujourd'hui de plus en plus confrontés à la cybercriminalité, d'abord de par leur rôle de protection des citoyens, mais surtout parce que le développement des nouvelles technologies de l'information les a menés à développer des sites web afin de garantir une meilleure accessibilité, et une économie de temps et d'argent substantielle. Le revers de la médaille réside en ce que certaines données personnelles relatives aux citoyens et résidents deviennent plus facilement accessibles, en particulier sur les serveurs gouvernementaux (A). Par ailleurs une nouvelle menace se développe pour les Etats : le cyber-terrorisme (B).

A. La lutte contre le piratage des données personnelles

Au Canada, et plus particulièrement au Québec, la protection des renseignements personnels est assurée par plusieurs lois. Celles-ci définissent un renseignement personnel comme « tout renseignement qui concerne une personne physique et permet de l'identifier ^21(*) ». Elles posent comme principe tant pour la collecte, la communication et l'utilisation des renseignements personnels, le consentement de la personne concernée, principe qui tombe toutefois face à certains impératifs, comme l'intérêt public ou l'avantage certain de la personne pour la loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels^22(*). Quant aux sanctions prévues par ces lois, l'article 91 de la loi sur la protection des renseignements personnels dans le secteur privé dispose ainsi :

Quiconque recueille, détient, communique à un tiers ou utilise un renseignement personnel sur autrui sans se conformer à une disposition des sections II, III ou IV de la présente loi est passible d'une amende de 1 000 $ à 10 000 $ et, en cas de récidive, d'une amende de 10 000 $ à 20 000 $.^23(*)

À la lecture de cet article, on peut se demander si sont aussi ici visées les compagnies qui communiquent involontairement des renseignements personnels, par exemple lorsqu'elles sont victimes de piratage. Jusqu'à quel point leur responsabilité est-elle engagée? Il semble qu'elle soit plus large que la responsabilité qui incombe aux organismes publics puisque pour ceux-ci la loi prévoit :

Quiconque, sciemment, donne accès à un document ou à un renseignement dont la présente loi ne permet pas la communication ou auquel un organisme public, conformément à la loi, refuse de donner accès, commet une infraction et est passible d'une amende de 200 $ à 1 000 $ et, en cas de récidive, d'une amende de 500 $ à 2 500 $.^24(*)

Contrairement aux dispositions applicables au secteur privé, la loi contient le mot « sciemment », qui exonère l'organisme public de toute responsabilité si l'accès aux renseignements personnels se fait à son insu.

En France, la Loi Informatique et Libertés^25(*) a été profondément modifiée en 2004 pour répondre à l'obligation de transposition de la Directive européenne 95/46 CE du 24 octobre 1995^26(*). La loi prévoit notamment en son article 34 que :

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Le non-respect de ces dispositions par celui qui traite les données personnelles, entreprise commerciale du secteur privé comme organisme public, est sanctionné par une autorité administrative indépendante, la Commission Nationale Informatique et Libertés (CNIL), et peut aller du simple avertissement à la sanction pécuniaire, en passant par la mise en demeure et l'injonction de cesser le traitement des données personnelles.

Comment les gouvernements, mais plus largement les compagnies du secteur privé, peuvent-ils limiter leur responsabilité en cas de vol de données? Les gouvernements sont des cibles de choix pour les cybercriminels, en effet leurs serveurs abritent bien souvent nombre d'informations intéressantes pour eux :

The government sector had the highest overall number of identities exposed during the period, accounting for 60 percent of the total. There were a number of high profile data loss incidents during the period.^27(*)

Les sites les plus « à risque » sont ceux qui abritent les pages relatives à l'administration électronique, id est ceux qui sont relatifs à tous les services administratifs et auxquels les usagers ont un accès en ligne. Les téléprocédures se développent en effet de façon de plus en plus importante, permettant ainsi aux individus de suivre l'avancement de diverses procédures administratives, de payer leurs impôts en ligne ou de procéder à des demandes d'actes d'état civil. Parmi ces sites, certains revêtent un aspect particulièrement vulnérable selon nous: ceux qui sont relatifs aux données de l'état civil et ceux qui sont relatifs aux données de sécurité sociale. En effet, c'est à partir de ces informations de base qu'un vol d'identité pourra se faire. C'est le principal risque face auquel les Etats doivent être préparés et en mesure de se défendre efficacement.

Brièvement, prenons l'exemple de la France, où il est aujourd'hui possible de faire la demande d'un extrait de naissance en ligne sur les sites Internet de nombreuses municipalités. À partir d'un extrait d'acte de naissance, on pourra faire une demande de carte d'identité ou de passeport. Pour faire une demande d'extrait d'acte de naissance la procédure est simplissime, il suffit de donner ses noms, prénoms, date et lieu de naissance, informations ô combien facile à trouver aujourd'hui, notamment grâce aux réseaux sociaux tels Facebook. Il faut également donner les noms et prénoms des parents, et l'extrait d'acte de naissance est envoyé à l'adresse de votre choix. Pour obtenir une carte d'identité, il suffira de joindre deux photographies d'identité et un justificatif de domicile au formulaire de demande. Ensuite on pourra obtenir un passeport de la même façon. Il est donc enfantin de voler l'identité de quelqu'un pour lequel on dispose des informations basiques.

Le Rapport annuel de Symantec identifie quant à lui les sites relatifs à l'éducation comme les plus sensibles pour ce qui concerne les données de l'état civil, en ce que chaque entité (université par exemple) développe son propre site et qu'il est donc difficile pour le gouvernement d'unifier les politiques de sécurité et de contrôler l'accès aux informations:

Educational institutions store a large amount of personal information on students, faculty, and staff that could be used for the purposes of identity theft, including government-issued identification numbers, names, addresses, and birthdates.^28(*)

Autre information sensible, autre exemple de sites risqués : les sites sur lesquels on trouve des informations relatives à l'assurance maladie et notamment au numéro de Sécurité sociale.

Si ces renseignements ne sont pas protégés de manière optimale, et notamment s'il est facile de s'accaparer l'identité d'une personne ou son numéro de sécurité sociale, il devient facile avec une simple connexion Internet et sans grandes connaissances de voler l'identité d'une personne.

Les sites gouvernementaux et institutionnels, comme les sites des entreprises du secteur privé, peuvent abriter sur leurs serveurs des renseignements à caractère personnel, informations qui ne sont pas forcément accessibles en ligne, mais qui existent sur le réseau et auxquelles on peut accéder si l'on connaît les failles de sécurité de ces réseaux. Il est donc nécessaire de porter une attention toute particulière à la protection des réseaux dits « sensibles » susceptibles d'être la cible de vols massifs d'informations personnelles. Pour cela il convient d'adopter une architecture réseau efficace.

Les failles de sécurité d'un réseau peuvent se retrouver principalement au niveau de l'entrée du réseau, au niveau du serveur, et au niveau des ordinateurs des utilisateurs du réseau. Pour sécuriser l'entrée du réseau « sensible » face aux attaques extérieures (provenant du réseau Internet), en plus du routeur d'accès et de l'utilisation de pare-feu, il peut être intéressant de mettre en place une DMZ (zone démilitarisée), qui constitue un rempart supplémentaire contre les agressions extérieures. Les informations sensibles et susceptibles d'être attaquées devront se trouver au-delà ce cette DMZ :

Cette zone est le concept fondamental de sécurité autour duquel tout réseau doit être architecturé. Elle va jouer le rôle de zone tampon entre le réseau interne considéré comme de confiance - et abritant les ressources internes de l'entreprise - et un réseau non maîtrisé et donc potentiellement dangereux [...] La DMZ a pour rôle d'isoler les machines publiques gérant un certain nombre de services (DNS, courrier électronique, FTP, http...) du réseau critique interne.^29(*)

Au sein de cette DMZ et pour améliorer encore la sécurité, on peut mettre en place des serveurs proxy. Un serveur proxy va intervenir lorsqu'une machine du réseau sensible voudra se connecter à une page donnée, et va servir à éviter un contact direct entre le réseau sensible et le réseau extérieur (Internet). Toutefois le plus intéressant dans le cas d'un serveur abritant des données personnelles sera de mettre en place des serveurs reverse proxy, qui permettront de ne pas exposer directement le serveur à risque grâce au rôle de paravent joué par le reverse proxy. Il est important de mettre en place une fragmentation du réseau effective afin que chaque segment soit totalement indépendant, cela permet en cas d'attaque de ne pas voir l'intégralité du réseau paralysée et d'isoler mieux la cible de l'attaque. Les informations sensibles, les plus vulnérables, seront au sein de cette architecture placées le plus loin possible du réseau Internet. Pour assurer une meilleure indépendance entre les différents fragments on peut mettre en place des commutateurs réseaux, ou switch, qui vont répartir l'envoi des données.

Enfin, pour contrer au maximum l'insécurité résiduelle d'un réseau susceptible de contenir des informations à risque, il nous paraît capital de mettre en place des politiques de prévention et de bonne conduite au niveau des utilisateurs du réseau. En effet, malgré une sécurisation efficace du réseau, bien souvent on se rend compte que la faille est humaine. Le Gouvernement du Canada préconise à cette fin l'emploi de mesures de sécurité, tant physiques (claviers verrouillés, utilisation de câbles antivols pour les ordinateurs portables), que technologiques (utilisation de mots de passe, documents chiffrés) ou administratives (accès restreint aux renseignements)^30(*).

D'autres solutions commencent à émerger pour permettre aux gouvernements d'affronter la cybercriminalité, on peut ici citer l'exemple d'ISIS^31(*), un Intranet gouvernemental sécurisé qui a été mis en place en France en 2006 à titre expérimental puis lancé en novembre 2007. Ce réseau, hautement sécurisé, est destiné à échanger des informations confidentielles classées secret-défense entre différents sites institutionnels, notamment pour la gestion de situations de crise. Il est donc capital que ce type d'informations soient protégées, et pour ce faire, le choix a été de ne pas passer par le réseau Internet, trop risqué, mais de transmettre les informations par fibres optiques protégées.

On voit là un exemple de sécurisation maximale des données sensibles, exemple qui pourrait inspirer d'autres Etats. Cependant, au-delà de cet enjeu de sécurisation des données personnelles dites « sensibles », les Etats connaissent d'autres menaces dont l'importance ne cesse de croître, parmi lesquelles le cyber-terrorisme.

Le cyber-terrorisme

Parmi les menaces liées aux nouvelles technologies de l'information et de communication, une sorte de crime se démarque par sa dangerosité et sa complexité : le cyber-terrorisme. Parler de cyber-terrorisme est cependant assez délicat, puisqu'il s'agit d'une notion émergente, dont la conceptualisation est assez complexe^32(*). Cependant, nous verrons que les Etats prennent des mesures contre cette nouvelle menace, tant au niveau national qu'international.

Très récemment, une organisation ayant pour objet la lutte contre le cyber-terrorisme a vu le jour. Il s'agit de l'International Multilateral Partnership Against Cyber-Terrorism^33(*) (IMPACT), qui réunit vingt six Etats. Son président, Mohd Noor Amin, définit ainsi le cyber-terrorisme :

Cyber-terrorism means different things to different people. For us at IMPACT, cyber-terrorism refers to the use of computer networks to cause harm to countries or people or economies. It can be in banking, it can be in healthcare, it can be in aviation, it can even be in government: it straddles everything. (...) Clearly, cyber-terrorism are the upper-end of cyber threats- a national security concern to most governments^34(*).

Il souligne ainsi les difficultés de définition du concept de cyber-terrorisme. Pour Benoît Gagnon, le cyber-terrorisme peut se définir comme « une attaque préméditée et politiquement motivée contre l'information, les systèmes informatiques, les logiciels et les données, résultant ainsi en une violence contre des cibles non combattantes^35(*) ». Le cyber-terrorisme se caractérise également par la virtualité des attaques, à la différence d'attaquer physiquement des serveurs informatiques, avec des bombes par exemple, comme c'est le cas pour le « technoterrorisme»^36(*).

Il faut aussi différencier le cyber-terrorisme de l' « hacktivism », fusion entre les notions de hacking et d'activism, qui désigne l'utilisation du piratage informatique dans une fin politique^37(*). La frontière est alors très mince, se situant dans la mens rea de l'attaque informatique. Le cyber-terrorisme désignerait alors « la convergence entre le terrorisme traditionnel et les réseaux^38(*) ».

La réalité du cyber-terrorisme est vérifiable. En effet, depuis une dizaine d'années, les attaques contre les Etats se multiplient. Du 28 avril au 3 mai 2007, l'Estonie a été le premier pays à être le sujet d'une attaque cyber-terroriste de masse. De multiples attaques de déni de service distribué (DDOS) ont été coordonnées pour surcharger les serveurs informatiques, et ont neutralisé les sites Web des médias, privant l'accès à l'information. Le système de cartes de crédit est ensuite devenu défaillant, empêchant la population d'effectuer des achats. Finalement, les services financiers et le gouvernement ont été touchés, leurs réseaux informatiques étant paralysés. Il a été ensuite prouvé que ces attaques provenaient de plus d'un million d'ordinateurs situés partout dans le monde. Les autorités estoniennes ont suspecté la Russie d'avoir perpétré ces attaques, en réaction au déboulonnement d'un monument à la gloire de l'union soviétique. Cependant, les avis sont partagés. Pour l'IMPACT, ces attaques n'auraient été qu'un exercice d'échauffement de terroristes pour en tester l'efficacité^39(*).

Les Etats-Unis ont eux aussi été touchés en 2007. En effet, l'un des réseaux du Pentagone a été infiltré lors d'une attaque contre le ministère de la Défense, et des données auraient été volées^40(*). L'Etat chinois a été alors accusé d'avoir commandé ces attaques. De nombreuses autres attaques ont été perpétrées dans le monde, les autorités des pays victimes accusant d'autres Etats, comme la Chine ou la Russie.

Ce phénomène est aussi qualifié de « cyber guerre ». Cette criminalité informatique est en constante augmentation, et il semblerait que « les attaques informatiques visant la sécurité nationale des pays du monde entier, représenteront à partir de 2008 l'une des catégories de menaces les plus importantes ^41(*)».

Une cause de la réussite de ces attaques se trouve dans la trop grande dépendance des Etats dans les systèmes informatiques, et dans les technologies de l'information et de communication en général. En effet, d'après l'OTAN, 90 à 95% des attaques visant les systèmes d'information pourraient être évitées à l'aide d'outils informatiques et de bonnes pratiques^42(*). Cependant, pour Mikko Hypponen, le chef de la recherche de l'IMPACT, cela ne suffit pas :

We can try to fight the symptoms, we can try to educate the users, but if we really want to solve this problem, we have to find the criminals and get international cooperation between national police forces to get these predators put away^43(*).

Une prise de conscience des Etats peut aujourd'hui s'observer. En France, le livre blanc de la défense et de la sécurité nationale préconise « le passage d'une stratégie de défense passive à une stratégie de défense active^44(*) ». De plus, les Etats ont voulu coopérer dans cette matière, partant du constat qu'il est difficile de combattre seul ce type de menace, par manque de moyen, d'expérience, et parce que ces attaques se veulent mondiales.

L'Union Internationale des Télécommunications a lancé en 2007 le programme mondial cybersécurité, appelé Global Cybersecurity Agenda (GCA), pour définir un cadre mondial pour accroitre la confiance et la sécurité dans la société de l'information^45(*). Ce programme comporte plusieurs lignes directrices. Il vise à élaborer une loi type en matière de cybercriminalité, des protocoles, normes de sécurité et mécanismes d'accréditation de logiciels et de matériel, un système générique et universel d'identité numérique. Il a aussi pour but de renforcer les capacités humaines et institutionnelles, et de créer une coopération et coordination au niveau international^46(*).

L'IMPACT a été créé dans le cadre de ce programme. Cette organisation est désormais le siège du GCA, et s'articule autour de quatre piliers : le centre d'intervention, le centre pour la politique et la coopération internationale, le centre pour la formation et le renforcement des compétences, et le centre d'assurance sécurité et de recherche^47(*). Concernant le centre d'intervention, il a pour but de coordonner les ressources mondiales pour constituer un système d'alerte en temps réel. La mise en commun des ressources sera effectuée grâce au système ESCAPE^48(*), constituant une base de données mondiale.

Nous pouvons alors soulever plusieurs difficultés qui pourraient naître d'un tel système. Tout d'abord, mettre des ressources en commun pour constituer une base de données mondiale contenant des informations sensibles pourrait s'avérer dangereux en cas de piratage de cet outil. Le système informatique mondial serait alors paralysé. Ensuite, une coopération internationale implique une grande confiance entre les Etats. Or, nous l'avons vu, concernant le cyberterrorisme, les Etats s'accusent de commanditer les attaques. Certains pays sont d'ailleurs reconnus comme hébergeant des cybercriminels^49(*).

D'après nous, une telle coopération internationale contre le cyberterrorisme est nécessaire. En effet, les cyberterroristes peuvent se situer partout dans le monde, les attaques peuvent provenir de plusieurs endroits à la fois, ce qui rend le cyber-terrorisme si dangereux et difficilement contrôlable pour les Etats^50(*). Dans un contexte de fort développement de ce type de criminalité, les Etats ont intérêt à définir des politiques et des moyens d'action communs.

Les entreprises sont très vulnérables face au vol de données, spécialement les données clients. Enjeu de sécurisation des serveurs est capital. On s'aperçoit que le même phénomène est applicable aux Etats. Les législations restent insuffisantes, et peu réactives. Le trafic de données volées n'est pas sanctionné en soi alors que ce phénomène entraine des coûts et un préjudice très importants mais incalculables en raison de la volatilité des données. En effet, les entreprises de commerce en ligne vivent par la confiance que leur accordent leurs clients sur Internet c'est-à-dire que porter à la connaissance de tous que leur site a été la cible de vol d'informations revient à avouer publiquement une vulnérabilité et un danger pour les données personnelles des clients.

A cause de l'immatérialisme des infractions, il est difficile d'identifier la commission des infractions et de retracer les auteurs. Le préjudice en est d'autant plus important puisque les infractions

Cependant, les Etats prennent de nombreuses initiatives pour combattre cette nouvelle forme de criminalité, en unissant leurs forces au sein d'organisations internationales, afin de réunir les expériences et les compétences. Les entreprises et les consommateurs en ligne seront les premiers bénéficiaires de ces avancées.

Finalement, il reste toujours à trouver un équilibre entre la sensibilisation des utilisateurs aux dangers qu'ils encourent et la protection par des moyens techniques des réseaux.

FILOL, E., RICHARD, P., Cybercriminalité Enquête sur les mafias qui envahissent le web, Dunod, Paris, 2006.

GAGNON B., et DAVID C-P., Repenser le terrorisme Concept acteurs et réponses, Les Presses de l'Université Laval, 2007.

PARISI, F., GRADY, M.F., The law and economics of cybersecurity, New York, Cambridge University Press, 2006.

QUEMENER, M., et FERRY, J., Cybercriminalité: Défi mondial et réponses, Economica, Paris, 2007.

DENFENSE ET SECURITE NATIONALE FRANCAISE, « Le Livre blanc », Odile Jacob La documentation française, 2008, en ligne : < >

IMPACT, « Welcome to the coalition », publication de l'IMPACT, en ligne: < >

MAC AFEE, « Rapport de criminologie virtuelle, Criminalité : la nouvelle vague », 2007, en ligne : < >

OCDE, « Lignes directrices de l'OCDE régissant la sécurité des systèmes et réseaux d'information: Vers une culture de la sécurité », Recommandation du Conseil de l'OCDE, Juillet 2002, en ligne:

SECURITE PUBLIQUE CANADA, « Rapport sur l'hameçonnage », octobre 2006, en ligne: < >

SERVICE CANADIEN DES RENSEIGNEMENTS CRIMINELS, Dossier spécial sur le vol d'identité, « Rapport 2008 sur la criminalité organisée », pp.32-42, en ligne :

SYMANTEC ENTERPRISE SECURITY, « Symantec Global Internet Threat Report, Trends for July-December 2007, volume XIII », avril 2008, en ligne: < >

SYMANTEC ENTERPRISE SECURITY, « Symantec Report on the Underground Economy, July 2007 - June 2008 », novembre 2008, en ligne: < >

TREMBLAY, M., « Rapport 5: De la cybercriminalité au déploiement de la cybersécurité », Rapport évolutif: Analyse des impacts de la mondialisation sur la sécurité au Québec, Laboratoire d'étude sur les politiques publiques et la mondialisation, 2007, en ligne: < >

UNION INTERNATIONALE DES TELECOMMUNICATIONS , « Programme mondial cybersécurité de l'UIT : quoi de neuf ? », en ligne :< >

CHANDLER, J. A., «Security in cyberespace: combatting Distributed Denial Of Service Attacks», University of Ottawa Law & Technology Journal, 1, 23, 2003-2004: 233-261

DADOUR, F., « La cybercriminalité », Droit du commerce électronique, Thémis, 2002, p. 683

GIROUX, A., « La cybercriminalité : ce qu'elle est et comment l'affronter », Journal du Barreau de Québec, Octobre 2008, pp. 8-9.

GRATTON, E., « La responsabilité des prestataires techniques Internet au Québec », Les lois de la société numérique: Responsables et responsabilités, Conférence organisée par le programme international de coopération scientifique, Montréal, 07 octobre 2004, Lex Electronica, vol.10, n°1, Hiver 2005

KELCI, S., « Vol, fraude et autres infractions semblables et Internet », Lex Electronica, vol.12 n°1, Printemps 2007

MATTHIOS, F.J., « La création d'un délit d'usurpation d'identité sur Internet », Gazette du Palais, 26 juillet 2008, n°208, p.6

SCHJOLBERG, S. et HUBBARD, A.M., « Harmonizing national legal approaches on cybercrime », International Telecommunication Union, WSIS Thematic meeting on Cybersecurity, Genève, 28 juin - 1^er juillet 2005, disponible en ligne : Background_Paper_Harmonizing_National_and_Legal_Approaches_on_Cybercrime.pdf sur le site

CONSEIL DE L'EUROPE , Convention sur la cybercriminalité, Budapest, 23 novembre 2001, et son rapport explicatif, disponibles en ligne: et

Directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et les services de communications électroniques, Journal Officiel, L 108, 24 avril 2002.

Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, Journal Officiel L 201, 31 juillet 2002.

Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE, Journal Officiel L 105, 13 avril 2006.

Directive européenne 95/46 CE sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données du 24 octobre 1995, Journal Officiel, L 281, 23 novembre 1995 p.0031 à 0050.

Loi concernant le cadre juridique des technologies de l'information, L.R.Q., ch. C-1.1.

Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la Loi 2004-801 du 6 août 2004, Journal Officiel de la République Française, 7 août 2004.

Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, Journal Officiel de la République Française, n° 143, 22 juin 2004 p. 11168

Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q. c . P-39.1

Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. c. A-2.1

OFFICE QUEBECOIS DE LA LANGUE FRANCAISE, bibliothèque virtuelle, en ligne : < >

* 1 Eric FILLIOL, Philippe RICHARD, Cybercriminalité - Enquête sur les mafias qui envahissent le Web, Paris, Dunod, 2006

* 2 SYMANTEC, Symantec Global Internet Threat Report, Trends for July-December 2007, volume XIII, avril 2008

* 4 Office québécois de la langue française, bibliothèque virtuelle, définition du mot hameçonnage, en ligne : < >

* 5 Mag Securs, « Le brand spoofing a augmenté de 500% depuis janvier 2004 », juin 2004, en ligne : < >

* 7 Loi sur les marques de commerce, L.R.C., 1985, c. T-13, art. 50 (3) et art. 58.

* 13 MacAfee, « Rapport de criminologie virtuelle, Criminalité : la nouvelle vague », 2007, p.5, en ligne : < >

* 16 Sur la propagation des botnets, voir l'article de Jérôme SALZ sur le site , en ligne < >, 2007

* 17 Joris EVERS, Plus de 40 millions de numéros de carte Mastercard et Visa piratés, publié le 20 juin 2005, en ligne < >

* 18 SYMANTEC, Symantec Global Internet Threat Report, Trends for July-December 2007, volume XIII, avril 2008

* 21 Art 2, Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q. chapitre P-39.1

Art 54, Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. chapitre A-2.1

* 22 Art 59, Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. chapitre A-2.1

* 23 Art 91, Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q. chapitre P-39.1

* 24 Art 159, Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. chapitre A-2.1

* 25 Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, Version consolidée au 17 juillet 2008, en ligne < >

* 26 Directive européenne 95/46 CE sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données, 24 octobre 1995, en ligne < >

* 28 SYMANTEC, Symantec Global Internet Threat Report, Trends for July-December 2007, volume XIII, avril 2008

* 29 Eric FILLIOL, Philippe RICHARD, Cybercriminalité - Enquête sur les mafias qui envahissent le Web, Paris, Dunod, 2006

* 30 Sécurité publique Canada, Pratiques modèles générales à l'égard de la sécurité des ordinateurs portables, en ligne < > ; Commissariat à la protection de la vie privée du Canada, Guide à l'intention des entreprises et des organisations - Protection des renseignements personnels : vos responsabilités, mise à jour mars 2004, en ligne

* 32 Benoit GAGNON, « Les technologies de l'information et le terrorisme », Repenser le terrorisme Concept, acteurs réponses, Les presses de l'université Laval, 2007, p.259

* 34 Interview of Mohd Noor Amin, Welcome to the coalition, publication de l'IMPACT, p.56, en ligne: < >

* 44 Livre blanc de la défense et de la sécurité nationale (France), 2008, p.53, en ligne : < >

* 45 Union internationale des télécommunications, « Programme mondial cybersécurité de l'UIT : quoi de neuf ? », en ligne :< >