Allez au contenu, Allez à la navigation



Faut-il revoir la loi sur les jeux en ligne ?

12 octobre 2011 : Faut-il revoir la loi sur les jeux en ligne ? ( rapport d'information )

III. LE RENFORCEMENT DE L'INTÉGRITÉ DU JEU

A. DES AMÉLIORATIONS POSSIBLES EN MATIÈRE DE LUTTE CONTRE LA FRAUDE ET L'OFFRE ILLÉGALE

1. La prévention de la fraude et du blanchiment
a) Des solutions pour une meilleure authentification du joueur

Le piratage de données personnelles et l'usurpation d'identité, et leur corollaire le détournement des comptes client et des comptes bancaires, sont le principal mode opératoire de la fraude sur Internet. Bien que leur ampleur soit dans les faits encore limitée, ils augmentent à un rythme très élevé et aucun secteur n'y échappe, les trois principaux vecteurs étant les sites à caractère pornographique, les sites de loteries et de jeux, et les moteurs de recherche et de comparaison. Les techniques utilisées sont très nombreuses, les plus connues étant :

- les sites Internet frauduleux ayant une apparence d'authenticité et les faux messages d'avertissement de sécurité. L'objectif est d'inciter l'internaute à saisir ses données personnelles pour les réutiliser à son insu ;

- le « hameçonnage169(*) » (« phishing »), fondé sur l'usurpation d'identité et le chargement de logiciels malveillants (« malwares ») permettant d'enregistrer les données informatiques de l'utilisateur170(*) ;

- le blocage d'un site bancaire ou de jeu171(*) suite à une attaque organisée ;

- ou les réseaux de « robots » informatiques sur des ordinateurs dits « zombies » (« botnets »), qui permettent de développer une forte capacité de traitement et sont plus difficilement à enrayer. Ces ordinateurs en réseau peuvent être utilisés pour toutes sortes d'actes de piraterie, tels que l'hameçonnage, la diffusion de spams pour du commerce illégal ou de la manipulation d'informations, l'infection de machines par des virus ou la participation à des attaques groupées.

Ce fléau nuit en premier lieu aux consommateurs, mais aussi aux prestataires de services, qui voient leur crédibilité et leur flux d'affaires menacés. Dans le secteur des jeux en ligne, il est un moyen d'action privilégié des sites illégaux à vocation criminelle, mais affecte aussi de plus en plus les sites légaux. Les techniques sont très proches de celles utilisées pour les services bancaires ou le commerce en ligne : hameçonnage, espionnage du clavier, usurpation d'identité par obtention de l'identifiant et du mot de passe du joueur, chargement d'utilitaires attractifs mais infectés pour jouer en ligne (et prendre le contrôle de l'ordinateur du joueur), etc.

Des technologies, dans lesquelles la France est bien positionnée, ont ainsi été développées pour mettre en place des solutions dites d' « identification forte ». Elles reposent généralement sur le triptyque « j'ai, je sais, je suis » et sur un support physique qui vient augmenter la sécurité de l'authentification classique et dématérialisée. Parmi ces solutions, on peut mentionner en priorité :

- le mot de passe à usage unique, créé par un jeton d'identification (physique ou virtuel172(*)) que détient l'internaute ;

- le certificat numérique personnel, installé sur un support matériel (carte à puce, ordinateur, clef USB) et accessible par code PIN ;

- le projet de carte nationale d'identité électronique (CNIE)173(*), dont le contenu informationnel et la sécurité permettent d'autres usages que ceux strictement régaliens, en tant qu'outil universel d'identification. Le contrôle de l'accès des mineurs aux sites de jeux serait par exemple sensiblement renforcé.

Certains concepteurs et fournisseurs de telles solutions techniques ont émis le souhait que la règlementation des jeux en ligne prenne mieux en compte leur apport. L'un d'entre eux a ainsi suggéré à votre rapporteur que l'article 17 de la loi du 12 mai 2010, relatif aux modalités d'inscription et d'identification des joueurs, soit modifié pour faire explicitement référence à l'authentification forte, afin de garantir l'identité du joueur lors de son inscription, du versement des gains ou de toute modification d'informations.

Votre rapporteur considère qu'en dépit de leur intérêt manifeste, la reconnaissance des solutions d'identification forte ne relève pas de la loi. Cette dernière n'a, en effet, pas vocation à entrer dans les détails de la technologie informatique ni à privilégier l'une d'entre elles ou à conférer un monopole tacite à un fournisseur. Le développement de ces solutions s'inscrit également dans une problématique plus large, commune à de nombreux services en ligne et dont les enjeux en termes de protection des données personnelles peuvent être sensibles, comme en témoigne le débat sur la CNIE.

Les joueurs et opérateurs comme l'ARJEL ayant un intérêt commun à ce que l'identification des joueurs offre le meilleur compromis entre sécurité et simplicité, l'identification forte devrait à terme s'imposer de manière naturelle par le jeu du marché. Il est également loisible à l'ARJEL de modifier le dossier des exigences techniques des opérateurs pour conforter les garanties offertes par cette solution.

Proposition 44 : Promouvoir les solutions techniques dites « d'identification forte » des joueurs en ligne, sans pour autant leur donner force de loi.

Votre rapporteur constate également que la menace liée aux « robots informatiques », auxquels l'article 17 de la loi fait référence en vue de fiabiliser le processus d'inscription des joueurs via le test de Turing (cf. supra), est encore entourée d'incertitudes. Il convient donc que l'ARJEL accentue ses investigations pour faire la part du fantasme et de la réalité.

Proposition 45 : Demander à l'ARJEL qu'elle intensifie ses investigations sur l'existence de « robots informatiques » et le degré de menace qu'ils représentent pour l'authentification des joueurs.

b) Une règlementation plus stricte pour les jeux du réseau physique

Ainsi qu'il a été exposé dans la première partie, le réseau physique des jeux de la FdJ et du PMU présente des risques de blanchiment réduits mais plus élevés que dans les établissements de casino et les jeux en ligne, en raison de seuils de prise d'identité supérieurs, de 5 000 euros par exemple pour les gains sur les paris hippiques.

Votre rapporteur estime donc nécessaire d'aligner ces seuils dans les points de vente de la FdJ et du PMU comme dans les cercles de jeux sur ceux en vigueur pour les casinos.

Proposition 46 : Aligner les seuils de prise d'identité dans le réseau physique de la Française des jeux et du PMU sur ceux en vigueur pour les casinos.


* 169 Terme générique désignant l'escroquerie par l'envoi d'un courrier électronique dans le but d'usurper l'identité et/ou d'obtenir communication des coordonnées bancaires de l'internaute.

* 170 Adresse IP, contenu du disque dur, saisies sur clavier...

* 171 Empêchant donc le rapatriement des gains ou la participation à une session de jeu.

* 172 Par exemple, l'envoi d'un sms ou l'installation d'une application de téléphonie mobile.

* 173 A laquelle fait référence une proposition de loi de nos collègues Jean-René Lecerf et Michel Houel n° 682 (2009-2010) relative à la protection de l'identité, qui tend à consacrer le recours au passeport biométrique. Cette proposition de loi a fait l'objet d'un rapport n° 432 (2010-2011) de notre collègue François Pillet, fait au nom de la commission des lois et déposé le 13 avril 2011.