Allez au contenu, Allez à la navigation

Cybercriminalité : un défi à relever aux niveaux national et européen

9 juillet 2020 : Cybercriminalité : un défi à relever aux niveaux national et européen ( rapport d'information )

N° 613

SÉNAT

SESSION EXTRAORDINAIRE DE 2019-2020

Enregistré à la Présidence du Sénat le 9 juillet 2020

RAPPORT D'INFORMATION

FAIT

au nom de la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale (1) et de la commission des affaires européennes (2) sur la lutte contre la cybercriminalité,

Par Mme Sophie JOISSAINS et M. Jacques BIGOT,

Sénateurs.

(1) Cette commission est composée de : M. Philippe Bas, président ; MM. François-Noël Buffet, Jean-Pierre Sueur, Mme Catherine Di Folco, MM. Jacques Bigot, André Reichardt, Mme Sophie Joissains, M. Arnaud de Belenet, Mme Nathalie Delattre, MM. Pierre-Yves Collombat, Alain Marc, vice-présidents ; M. Christophe-André Frassa, Mme Laurence Harribey, M. Loïc Hervé, Mme Marie Mercier, secrétaires ; Mmes Catherine André, Esther Benbassa, MM. François Bonhomme, Philippe Bonnecarrère, Mmes Agnès Canayer, Maryse Carrère, Josiane Costes, MM. Mathieu Darnaud, Marc-Philippe Daubresse, Mme Jacky Deromedi, MM. Yves Détraigne, Jérôme Durain, Mme Jacqueline Eustache-Brinio, MM. Jean-Luc Fichet, Pierre Frogier, Mmes Françoise Gatel, Marie-Pierre de la Gontrie, M. François Grosdidier, Mme Muriel Jourda, MM. Patrick Kanner, Éric Kerrouche, Jean-Yves Leconte, Henri Leroy, Mme Brigitte Lherbier, MM. Didier Marie, Hervé Marseille, Jean Louis Masson, Thani Mohamed Soilihi, Alain Richard, Simon Sutour, Mmes Lana Tetuanui, Claudine Thomas, Catherine Troendlé, M. Dany Wattebled.

(2) Cette commission est composée de : M. Jean Bizet, président ; MM. Philippe Bonnecarrère, André Gattolin, Didier Marie, Mme Colette Mélot, MM. Cyril Pellevat, André Reichardt, Simon Sutour, Mme Véronique Guillotin, MM. Pierre Ouzoulias, Jean-François Rapin, vice-présidents ; M. Benoît Huré, Mme Gisèle Jourda, MM. Pierre Médevielle, René Danesi, secrétaires ; MM. Pascal Allizard, Jacques Bigot, Yannick Botrel, Pierre Cuypers, Mme Nicole Duranton, M. Christophe-André Frassa, Mme Joëlle Garriaud-Maylam, M. Daniel Gremillet, Mmes Pascale Gruny, Laurence Harribey, MM. Claude Haut, Olivier Henno, Mmes Sophie Joissains, Mireille Jouve, Claudine Kauffmann, MM. Guy-Dominique Kennel, Claude Kern, Pierre Laurent, Jean-Yves Leconte, Jean-Pierre Leleux, Mme Anne-Catherine Loisier, MM. Franck Menonville, Jean-Jacques Panunzi, Michel Raison, Claude Raynal, Mme Sylvie Robert.

L'ESSENTIEL

En mai 2019, les rapporteurs ont présenté un rapport d'information sur la coopération judiciaire en matière pénale et la mise en oeuvre du Parquet européen1(*) et ont pris l'initiative d'une proposition de résolution européenne sur ce sujet2(*). À cette occasion, ils ont pu se rendre compte combien le Parquet européen constituait une avancée conceptuelle majeure, permettant à l'Union européenne de conduire des enquêtes pénales transfrontières, et illustrant par conséquent un fonctionnement beaucoup plus intégré de la coopération judiciaire, mais n'exercerait qu'une compétence limitée, réduite aux infractions portant atteinte aux intérêts financiers de l'Union européenne.

Par ailleurs, en leur qualité de représentants du Sénat au sein du Groupe de contrôle parlementaire conjoint d'Europol3(*), ils ont été marqués, lors de l'une des réunions semestrielles de ce Groupe, par l'importance croissante que prend la cybercriminalité dans le paysage des menaces qui affectent l'Union européenne et ses États membres, ce qui conduit Europol et les services répressifs nationaux à renforcer sans cesse leurs réponses.

Les rapporteurs ont dès lors souhaité étudier plus avant la façon dont la France s'est organisée pour réduire ce risque informatique, y compris dans un cadre européen, voire plus large, et dans ses relations avec les autres États membres, et engager une réflexion sur la façon dont l'Union européenne pourrait davantage aider les États membres à poursuivre les cybercriminels, le cas échéant, en mobilisant ce nouvel outil de coopération judiciaire qu'est le Parquet européen. Traiter de la cybercriminalité conduit logiquement à s'intéresser aussi à la cybersécurité, c'est-à-dire à la façon de sécuriser les systèmes informatiques. La France est d'ailleurs pionnière en Europe dans ce domaine, en particulier grâce à l'action de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), rattachée au Secrétariat général de la défense et de la sécurité nationale.

Cette double approche, nationale et européenne, a conduit les rapporteurs à travailler à la fois au nom de la commission des lois et de la commission des affaires européennes, dont ils sont tous deux membres.

Compte tenu du contexte marqué par la crise sanitaire occasionnée par la pandémie de Covid-19, ils ont mené l'intégralité de leurs travaux par audioconférences. Au cours de 15 auditions à distance, ils ont entendu 22 personnes, à la fois des acteurs nationaux et européens, publics et privés.

La cybercriminalité - les juristes préfèrent le terme de cyberdélinquance - recouvre une réalité protéiforme et mal cernée. Il n'existe en effet aucune définition conventionnelle ou légale unanimement admise de la cybercriminalité. Celle-ci peut se concevoir comme toute action illégale dont l'objet est de perpétrer des infractions pénales sur ou au moyen d'un système informatique interconnecté à un réseau de télécommunications.

La cybercriminalité vise :

- soit des infractions spécifiques à Internet, pour lesquelles les technologies de l'information et de la communication sont l'objet même du délit, par exemple les atteintes aux systèmes de traitements automatisés des données, les infractions en matière de fichiers ou de traitement informatique ou encore le domaine de la cryptologie : il s'agit d'infractions nouvelles spécifiques à Internet, relevant du piratage informatique, c'est-à-dire l'intrusion non autorisée dans les systèmes informatiques et le sabotage informatique de ceux-ci ;

- soit des infractions de droit commun dont Internet permet la commission : il s'agit dans ce cas de formes traditionnelles de criminalité ou d'infractions de droit commun préexistant à Internet, mais qui se sont développées grâce à lui, la pédopornographie par exemple.

Quoique non définie, la cybercriminalité présente toutefois plusieurs caractéristiques : il s'agit d'une criminalité organisée, mondialisée et transnationale par nature. Non seulement, les frontières n'arrêtent pas les cyberdélinquants, mais elles leur permettent d'échapper aux poursuites.

La menace que constitue aujourd'hui la cybercriminalité devrait encore s'accentuer dans les années à venir. La numérisation croissante de l'économie et de la société multiplie les opportunités de cybercrimes - on l'a vu récemment lors de la crise sanitaire qui a été propice à de nombreuses cyberattaques4(*). Et les derniers développements technologiques vont mettre la cybersécurité sous une pression encore plus forte. C'est le cas de la 5G. Celle-ci va engendrer des millions de connexions supplémentaires, des objets domestiques les plus simples, tels que le grille-pain, aux systèmes critiques les plus complexes tels que ceux du secteur aérospatial. Les potentialités de cyberattaques vont donc croître de façon exponentielle. L'enjeu de sécurité des réseaux informatiques sera d'autant plus stratégique.

Face à ce phénomène transnational, l'efficacité de la lutte contre la cybercriminalité exige une coopération européenne, voire internationale poussée. L'Union européenne s'est progressivement dotée d'un dispositif d'ensemble pour lutter contre la cyberdélinquance, qui repose sur une réglementation applicable par les États membres, et qui mobilise l'action de différentes agences telles qu'Europol, Eurojust et l'ENISA. Afin de compléter ce dispositif, et pour le rendre plus efficace, une réflexion est nécessaire sur le rôle que pourrait jouer le Parquet européen dans la poursuite des cybercriminels.

À l'issue de leurs investigations, les rapporteurs ont présenté une proposition de résolution européenne afin que le Sénat prenne une position politique sur ce sujet important qui prendra une place croissante à l'avenir.

Liste des principales recommandations

· Mieux connaître le phénomène de la cybercriminalité en modernisant les outils statistiques de la police et de la justice et en encourageant les signalements et dépôts de plainte

· Renforcer les moyens des services enquêteurs spécialisés dans la lutte contre la cybercriminalité

· Augmenter considérablement les moyens de la section du parquet de Paris spécialisée dans la lutte contre la cybercriminalité et consolider le réseau de référents cyber dans les parquets locaux

· Approfondir les liens entre les services enquêteurs, l'autorité judiciaire et les acteurs privés du numérique afin de favoriser une meilleure connaissance mutuelle et de faciliter les investigations

· Sensibiliser l'opinion publique, et notamment les plus jeunes, aux enjeux de la cybersécurité, grâce à des campagnes d'information et en mobilisant l'éducation nationale

· Élaborer dans les meilleurs délais un cadre réglementaire européen relatif à la preuve numérique (durée de conservation des données, accès aux preuves hébergées à l'étranger) compatible avec les règles relatives à la protection des données personnelles

· Inviter l'ensemble des États membres de l'Union européenne à utiliser pleinement les outils de coopération policière et judiciaire Europol et Eurojust et renforcer l'implication d'Europol dans la lutte contre la cybercriminalité par de nouveaux outils techniques et par la création d'un laboratoire d'innovation

· Inciter l'ensemble des États membres à ratifier la convention de Budapest sur la cybercriminalité et conclure les négociations sur le deuxième protocole additionnel à cette convention afin de rendre l'entraide judiciaire internationale plus efficace

· Veiller à ce que le futur partenariat entre l'Union européenne et le Royaume-Uni instaure une coopération étroite dans les domaines de la cybersécurité et de la lutte contre la cybercriminalité

· Poursuivre la réflexion sur un éventuel élargissement, à long terme, des compétences du Parquet européen à la lutte contre la cybercriminalité

I. LA CYBERCRIMINALITÉ, UNE DÉLINQUANCE PROTÉIFORME ET EN EXPANSION

Le numérique étant devenu omniprésent dans la vie économique et dans la vie quotidienne des Français, nul ne saurait se considérer comme étant à l'abri de la cybercriminalité, qui revêt des formes variées.

A. LES MULTIPLES VISAGES DE LA CYBERCRIMINALITÉ

Sans prétendre à l'exhaustivité, les rapporteurs ont souhaité pouvoir illustrer la diversité des infractions relevant de la cybercriminalité, en insistant sur les tendances émergentes. Beaucoup d'infractions sont désignées par des termes anglais difficilement traduisibles, ce qui atteste du caractère international et évolutif de cette criminalité.

1. Les tentatives d'extorsion

Une première évolution préoccupante consiste dans la diffusion des « rançongiciels » (ou ransomware), que les cybercriminels utilisent pour pirater un ordinateur afin d'exiger le versement d'une rançon.

En pratique, le pirate informatique introduit un virus dans un ordinateur pour prendre le contrôle du système informatique et chiffrer l'ensemble des données, qui deviennent inexploitables ; la victime doit verser une rançon pour retrouver la maîtrise de son système informatique. Une autre variété de rançongiciels, dits «locker», ne chiffre pas les fichiers, mais empêche la victime d'accéder à son ordinateur ; le cybercriminel demande alors une rançon pour déverrouiller l'appareil.

Parmi les rançongiciels qui ont eu le plus fort impact ces dernières années, on peut citer : CryptoLocker, apparu pour la première fois en 2007 et qui s'est propagé via des pièces jointes infectées, jusqu'à contaminer 500 000 ordinateurs à travers le monde ; Petya, apparu pour la première fois en 2016, et qui a ressurgi en 2017 sous le nom de GoldenEye : il s'est répandu dans les services de ressources humaines des entreprises, via un courriel de candidature factice contenant un lien infecté, pour chiffrer l'ensemble du disque dur de la victime ; Jigsaw, apparu en 2016, qui supprimait progressivement les fichiers de la victime jusqu'à ce que la rançon soit payée ; ou encore WannaCry, qui s'est répandu dans 150 pays en 2017 grâce à l'exploitation d'une vulnérabilité dans Windows.

Une autre pratique en vogue est désignée sous le terme de « sextorsion » : une fenêtre affiche sur l'écran de l'ordinateur un message indiquant que le pirate a enregistré des images intimes de la victime pendant qu'elle visionnait un film pornographique et qu'il va les diffuser si une rançon ne lui est pas versée. Ce type d'attaque a connu un nouvel essor à partir de 2018 dans le sillage de la diffusion du rançongiciel GandCrab.

Les victimes font parfois l'objet de tentatives d'extorsion sans que leur système informatique ait été paralysé, par exemple si des données confidentielles leur ont été volées et que le pirate menace de les divulguer ; ou encore si le délinquant menace de diffuser sur les réseaux sociaux des images intimes échangées dans un cadre privé. Au mois de mai 2020, le cabinet d'avocats américains GSM Law, qui compte parmi ses clients des stars du show-biz (Madonna, Lady Gaga, U2, Mariah Carey, etc.), ainsi que de grandes entreprises comme Facebook ou Samsung, a ainsi reconnu que ses fichiers informatiques avaient été dérobés et qu'il faisait l'objet d'une demande de rançon, dont le montant n'a pas été rendu public.

2. Les contenus illégaux frauduleux en ligne

Les contenus pédopornographiques, les appels à la haine ou encore l'incitation au terrorisme ne sont pas apparus avec Internet, mais le numérique a facilité leur diffusion. Cette forme de cybercriminalité utilise Internet comme le support de contenus illégaux, sans porter atteinte à l'intégrité d'un système informatique.

À la différence de l'Internet classique, qui utilise des protocoles de communication tendant à optimiser la transmission des données, le dark web utilise des protocoles visant à assurer l'anonymat de ses usagers. Ces protocoles procèdent au chiffrement de paquets de données afin de masquer l'adresse IP et in fine l'identité de l'utilisateur.

Numériquement, c'est surtout la pédopornographie qui mobilise les enquêteurs. Le dark web5(*) constitue le terrain privilégié d'échange de contenus pédopornographiques, voire de ventes de prestations pédopornographiques en ligne. Dans une interview donnée en 20196(*), le directeur de l'Office central de répression des violences aux personnes estimait à 90 le nombre de ressortissants français impliqués dans des enquêtes pour des viols à distance en streaming. Le 13 janvier 2020, un ressortissant français a été condamné par le tribunal correctionnel de Paris pour avoir commandité l'agression sexuelle de petites filles aux Philippines, qu'il souhaitait visionner en direct sur Internet.

Comme l'a expliqué la directrice générale de Tracfin aux rapporteurs, la détection de ces violences sexuelles sur mineurs est parfois opérée par les banques qui repèrent des prélèvements forfaitaires réguliers sur le compte de leur client, les versements étant généralement effectués dans des pays d'Asie du Sud-Est.

3. Des infractions classiques se sont déplacées vers l'univers numérique

Les personnes entendues par les rapporteurs ont souligné que des actes de délinquance classique avaient tendance à se déplacer dans le monde virtuel.

a) Les trafics en ligne

Le dark web constitue un espace virtuel propice au déroulement de divers trafics (d'armes, de faux papiers, de stupéfiants, etc.), les trafiquants et leurs clients ayant le sentiment de prendre moins de risques que lorsqu'ils interagissent physiquement.

Sur certains sites, se développent des modes de fonctionnement inspirés de ceux observés dans les sites commerciaux légaux, les clients commentant la qualité du produit fourni ou la ponctualité des livraisons, comme ils le feraient sur TripAdvisor... Tel était le mode de fonctionnement de la plateforme Black Hand (La Main noire), forum populaire du dark web francophone jusqu'à son démantèlement par les services des douanes en 2018. La Main noire ressemblait à un site de commerce classique, dans lequel vendeurs et acheteurs s'attribuaient des notes et pouvaient atteindre le statut « gold » ou « platine » en fonction du nombre de transactions effectuées. Au terme d'une année de surveillance, l'administratrice du site a pu être identifiée et interpellée à son domicile.

Le dark web permet également d'acquérir aisément des actifs plus immatériels, tels que des virus informatiques ou des coordonnées bancaires volées sur Internet, ce qui permet à des individus qui ne disposent pas au départ d'un haut niveau d'expertise technique de mener des attaques informatiques assez sophistiquées.

La place croissante des blockchains et des cryptoactifs

La croissance des trafics sur le dark web est favorisée par l'essor des blockchains et des cryptomonnaies7(*) qui facilitent le blanchiment des capitaux et leur fuite vers l'étranger.

Dans son rapport publié en décembre 2018, la mission d'information commune de l'Assemblée nationale sur les usages des chaînes de blocs et autres technologies de certification de registre8(*) donnait la définition suivante de la blockchain : une blockchain est un registre, une grande base de données qui a la particularité d'être partagée simultanément avec tous ses utilisateurs, tous également détenteurs de ce registre, et qui ont également tous la capacité d'y inscrire des données, selon des règles spécifiques fixées par un protocole informatique très bien sécurisé grâce à la cryptographie.

Historiquement, la technologie blockchain s'est développée pour soutenir des transactions portant sur des cryptomonnaies ou des crypto-actifs (dont les bitcoins sont la forme la plus connue), qui ont comme caractéristique de ne pas dépendre d'un organisme centralisateur (comme une banque centrale) et d'être internationales.

Ce fonctionnement décentralisé complique la surveillance de la blockchain. Les transactions s'y effectuent en quelques secondes ou en quelques minutes, le temps nécessaire à la validation de chaque bloc, si bien qu'il est difficile pour les services enquêteurs de retracer l'ensemble de ces mouvements financiers réalisés en toute discrétion, sous une identité fictive. Ceci explique que les auteurs de tentatives d'extorsion au rançongiciel réclament généralement que la rançon leur soit versée en cryptomonnaie.

b) Les escroqueries en ligne

Une infraction très répandue relève de la pratique du « hameçonnage » (ou phishing) : elle consiste à reproduire un site légitime (une banque, un commerce en ligne) pour escroquer les consommateurs ou pour récupérer leurs coordonnées bancaires dans le but d'effectuer ensuite un virement frauduleux.

Le cybercriminel établit le contact avec ses victimes par l'envoi massif de courriels non sollicités (spams) qui invitent leurs destinataires à cliquer sur un lien les amenant sur le site frauduleux. Même si une très faible proportion des destinataires se laisse abuser et même si le préjudice individuel est généralement limité (quelques centaines d'euros), l'envoi de centaines de milliers de messages frauduleux rend l'opération lucrative pour le cybercriminel. Pendant la crise sanitaire, de nombreuses tentatives de hameçonnage ont consisté à proposer à la vente l'achat de masques ou d'autres matériels médicaux, qui n'étaient évidemment jamais livrés après que la victime en avait effectué le règlement, ou encore à inviter les victimes à faire un don en faveur de la recherche médicale.

D'autres infractions moins sophistiquées exploitent la crédulité de victimes souvent âgées.

Parfois, une fenêtre s'ouvre sur l'écran de l'ordinateur et informe son utilisateur qu'il doit contacter le service après-vente de Microsoft pour réparer le bug informatique que le programme vient de détecter ; la victime appelle le numéro qui lui est indiqué, un faux prestataire informatique lui répond et fait mine de corriger, à distance, le problème qui a soi-disant été détecté ; puis la victime reçoit une facture qu'elle règle en pensant avoir bénéficié d'une véritable assistance technique...

Les « escroqueries à la romance », qui impliquent souvent des ressortissants de pays d'Afrique de l'Ouest, sont également répandues : faisant croire à la victime qu'une relation amoureuse est en train de se nouer, l'escroc demande le virement de sommes d'argent de plus en plus importantes pour finalement ne plus donner signe de vie.

4. Des infractions mixtes

Certaines infractions combinent moyens informatiques et délinquance de rue. C'est le cas du jackpotting, ou piratage de distributeurs automatiques de billets (DAB).

La commission de l'infraction suppose la présence sur le terrain de délinquants chargés d'ouvrir le distributeur automatique, pour y introduire un dispositif informatique qui va permettre à leurs commanditaires, situés à l'étranger, de prendre à distance le contrôle du DAB pour le vider de l'ensemble des billets qu'il contient.

Les personnes impliquées dans ces opérations sont souvent originaires de l'ancien espace soviétique. En avril 2019, un groupe composé d'un Géorgien, d'un Lituanien et d'un Biélorusse, soupçonné d'avoir commis une dizaine d'attaques, a par exemple été arrêté dans l'Est de la France et déféré au parquet de Paris. En mai 2020, deux individus, également russophones, soupçonnés d'avoir commis dix-neuf infractions pour un préjudice estimé à près de 280 000 euros, ont été arrêtés à Rennes, au terme d'une enquête menée conjointement par la section de recherche de la gendarmerie et par l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC).

Dans son dernier rapport annuel, l'Observatoire de la sécurité des moyens de paiement indiquait avoir recensé, en 2018, 125 cas de piratages de DAB, contre seulement 76 en 2017, qualifiant toutefois ce niveau de « relativement modéré » par rapport à ceux constatés avant 2017.


* 1 Rapport d'information n° 509 (2018-2019) du 16 mai 2019.

* 2 Devenue la résolution européenne n° 117 (2018-2019) du 21 juin 2019.

* 3 Établi par l'article 51 du règlement de 2016 réformant le mandat d'Europol, en application de l'article 88 du traité sur le fonctionnement de l'Union européenne, le groupe de contrôle parlementaire conjoint assure le contrôle politique des activités d'Europol dans l'accomplissement de sa mission, y compris en ce qui concerne leur incidence sur les libertés et les droits fondamentaux des personnes physiques.

* 4 Sur ce point, voir le rapport d'information n° 502 (2019-2020) du 10 juin 2020 sur le suivi de la cybermenace pendant la crise sanitaire, établi par Olivier Cadic et Rachel Mazuir, au nom de la commission des affaires étrangères, de la défense et des forces armées.

* 5 Le dark web (ou web sombre) désigne une portion du web qui n'est pas accessible par les moteurs de recherche classiques, mais uniquement via des logiciels anonymisant l'origine des connexions comme Tor. Il est possible de naviguer sur le dark web dans des conditions d'anonymat dont peuvent tirer parti par exemple les opposants à un régime autoritaire pour communiquer sans crainte. Mais cet anonymat favorise aussi l'essor d'activités criminelles en ligne.

* 6 Cf. Le Parisien, 17 juin 2019.

* 7 Le développement des cryptomonnaies a d'ailleurs conduit à l'apparition d'un nouveau type d'infraction, qui se déroule souvent à l'insu de la victime, consistant à voler une partie de la puissance de calcul de son ordinateur, afin de générer de la cryptomonnaie.

* 8 Rapport n° 1501 (XVe législature) fait par Laure de La Raudière et Jean-Michel Mis, députés, au nom de la mission d'information commune sur les chaînes de blocs (blockchains).