C. UNE GRANDE DIVERSITÉ DE PROFILS IMPLIQUÉS
Il n'existe pas un « profil-type » du cybercriminel, pas plus d'ailleurs que de « profil-type » de la victime de la cybercriminalité.
1. Du côté des auteurs
a) Des particuliers
Comme l'a souligné au cours de son audition le commandant de police Pierre Penalba, auteur de l'ouvrage Cyber crimes 11 ( * ) , « le cybercriminel, c'est monsieur tout-le-monde ».
Au cours de sa carrière de policier spécialisé dans la lutte contre la cybercriminalité, le commandant Penalba a été amené à interpeller des adolescents au profil de geek , des ingénieurs informatiques, mais aussi un caissier qui revendait des numéros de carte bancaire... La cybercriminalité ne concerne donc pas uniquement des personnes possédant une grande expertise dans le domaine informatique. Des particuliers, qualifiés de « mules » acceptent parfois de voir transiter sur leur compte des sommes de provenance frauduleuse en espérant en percevoir un pourcentage.
La facilité avec laquelle des logiciels malveillants ou des coordonnées bancaires peuvent être acquis sur le dark web favorise la diffusion de la cybercriminalité à des profils diversifiés.
b) Des organisations criminelles
Entendue par les rapporteurs, la magistrate Myriam Quémeneur a insisté sur la reconversion vers la cybercriminalité de certaines organisations criminelles, notamment des mafias russophones.
En 2019, les entreprises Thalès et Verint ont publié un annuaire mondial des groupes de pirates informatiques les plus dangereux. Il liste une soixantaine d'organisations, divisées en quatre familles d'attaquants en fonction de leurs motivations et de leur objectif final :
- 49 % sont parrainées par des États ; elles visent des cibles présentant un intérêt sur le plan géopolitique et volent des données sensibles ;
- 26 % sont décrites comme des « hacktivistes » ; leur motivation est idéologique, ils vont chercher à prendre le contrôle du site Internet d'un organisme officiel ou à en empêcher l'accès ;
- 20 % sont des cybercriminels au sens strict, animés par une motivation pécuniaire ;
- 5 % enfin sont des groupes terroristes qui vont chercher à propager leurs idées ou à détériorer les systèmes informatiques de leurs cibles.
Les groupes terroristes demeurent encore peu présents dans l'univers cyber. Le directeur général de l'ANSSI, Guillaume Poupard, a indiqué aux rapporteurs qu'aucune cyberattaque à caractère terroriste n'avait eu jusqu'ici un impact significatif. L'ANSSI veille cependant à la sécurité des réseaux électroniques et des réseaux de communications ou de transports qui pourraient être la cible de telles attaques.
c) Des services étatiques
Comme le montre cette classification, la cybercriminalité présente donc souvent une dimension politique : des attaques peuvent être lancées par des groupes sponsorisés par un État ou menées directement par des services de renseignement étrangers.
La Russie est régulièrement mise en cause en cas de cyberattaque. Dans son rapport rendu public en 2019, le procureur spécial américain Robert Mueller a accusé le service de renseignement militaire russe, le GRU, d'avoir piraté les boîtes mail de plusieurs responsables de la campagne présidentielle démocrate de 2016, afin de diffuser ensuite leurs messages sur Wikileaks . Il a également reproché à la Russie d'avoir mené sur les réseaux sociaux une campagne de grande ampleur de dénigrement de la candidate Hillary Clinton.
À plusieurs reprises, l'Ukraine a également rendu la Russie responsable, soit directement, soit par l'intermédiaire de hackers , de cyberattaques qui ont touché ses entreprises et ses infrastructures. En décembre 2015 puis en décembre 2016, le réseau d'approvisionnement électrique ukrainien a fait l'objet d'attaques qui ont provoqué des coupures de courant pendant plusieurs heures.
En juin 2017, le pays a été fortement touché par la cyberattaque NotPetya . Le logiciel utilisé pour les déclarations fiscales a été infecté et a servi à diffuser la charge virale. Celle-ci a eu pour effet de supprimer le système de lancement des ordinateurs infectés, les rendant inutilisables. Cette attaque a provoqué des perturbations majeures : les chemins de fer, le métro et l'aéroport de Kiev ont été contraints de limiter leurs opérations, de même que des entreprises publiques de premier plan comme la poste ou l'opérateur de télécommunications UkrTelecom ; les distributeurs de billets ne fonctionnaient plus à Kiev, des banques et des magasins ont été contraints de fermer leurs portes, des chaînes de télévision et des stations de radio ont dû rendre l'antenne, tandis que les ordinateurs de plusieurs ministères ont été paralysés.
Cette attaque a été analysée comme une manifestation de la « guerre hybride » menée par la Russie contre l'Ukraine dans le but de déstabiliser ses institutions et d'affaiblir son économie.
La Chine est une autre puissance qui dispose des moyens techniques et des ambitions géopolitiques qui peuvent motiver des cyberattaques.
En juin 2020, à l'occasion d'un sommet Chine-Union européenne par téléconférence, la présidente de la Commission européenne, Ursula von der Leyen, a accusé la Chine d'être à l'origine d'une série de cyberattaques ciblant les hôpitaux européens pendant la pandémie. Elle a également reproché à la Chine d'avoir mené en Europe une campagne de désinformation relative à la crise sanitaire.
Le même mois, l'Australie a été la cible d'une importante cyberattaque que le Premier ministre, Scott Morrison, a attribuée à des pirates agissant pour le compte d'un acteur étatique sophistiqué. La plupart des observateurs considèrent que la Chine en est à l'origine, dans le but de faire pression sur l'Australie dans un contexte de tensions diplomatiques et commerciales. Le gouvernement australien a annoncé, le 30 juin 2020, que le pays allait investir plus de 800 millions d'euros au cours des dix prochaines années pour renforcer sa cybersécurité.
2. Du côté des victimes
a) Les particuliers
Personne n'est à l'abri de la cybercriminalité qui concerne, comme on l'a vu, un grand nombre de particuliers : ils ont représenté l'an passé 90 % des victimes qui se sont tournées vers le dispositif Cybermalveillance.gouv.fr .
Les personnes âgées, moins familières de l'univers du numérique, apparaissent particulièrement vulnérables, de même que les plus jeunes qui, quoiqu'étant des digital natives , manquent de maturité pour repérer certains comportements suspects.
Très présents sur Internet, les plus jeunes constituent en particulier des proies faciles pour les prédateurs sexuels. La pratique du grooming consiste pour un adulte à gagner la confiance d'un mineur, et parfois aussi de ses parents, afin d'en abuser sexuellement. Les réseaux sociaux, les forums de discussion, les jeux vidéo en ligne offrent de multiples occasions de contacts entre les victimes et leurs futurs agresseurs qui se font parfois passer eux-mêmes pour des enfants ou des adolescents pour obtenir un rendez-vous avec le mineur.
Le mode opératoire retenu est parfois fort simple : en 2017, le tribunal correctionnel de Poitiers a par exemple condamné un pédocriminel de 28 ans qui entrait en relation avec ses victimes en proposant ses services en tant que baby-sitter dans des petites annonces postées sur le site Le Bon Coin. Ses méfaits ont été interrompus lorsqu'une jeune victime a expliqué à ses parents ce qu'elle avait subi.
b) Les entreprises et les administrations
Des grandes entités publiques et privées sont également la cible de cybercriminels, occasionnant parfois un préjudice considérable, comme le montre l'actualité récente.
Au mois de février 2020, Bouygues Construction, la filiale de BTP du groupe éponyme, a été la victime d'un rançongiciel qui a bloqué son système informatique pendant plusieurs semaines. Les hackers ont exigé une rançon de dix millions de dollars et ont menacé de rendre publiques les données qu'ils avaient cryptées s'ils n'obtenaient pas satisfaction.
Le mois suivant, c'est la ville de Marseille et la Métropole Aix-Marseille-Provence qui ont été victimes d'une attaque, à la veille du premier tour des élections municipales. Les perturbations ont été telles que la municipalité s'est demandé si elle serait en mesure d'imprimer les listes d'émargement nécessaires à l'organisation du scrutin ! La tenue de l'état-civil, la comptabilité, différents services aux habitants ont été affectés de manière prolongée, le retour à la normale n'étant intervenu qu'au cours du mois de mai.
En novembre 2019, c'est le système informatique du CHU de Rouen qui a été paralysé pendant plusieurs jours, entraînant des perturbations dans son fonctionnement administratif. Si la réactivité du personnel hospitalier a évité que la santé des patients soit mise en danger, la présence d'un nombre croissant d' appareils connectés dans les hôpitaux ne permet pas d'écarter totalement le risque que la continuité des soins aux patients soit un jour menacée par une attaque informatique.
c) Les opérateurs d'importance vitale
Une attention particulière est portée à la sécurité des opérateurs d'importance vitale (OIV), compte tenu de leur rôle dans la continuité de la vie de la Nation.
Le code de la défense précise que les opérateurs d'importance vitale sont des opérateurs publics ou privés qui gèrent ou utilisent, au titre de leur activité, un établissement, un ouvrage ou une installation dont le dommage, l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement, d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.
Une liste de deux cents OIV, gardée confidentielle pour des raisons de sécurité, a été établie, couvrant les secteurs de l'alimentation et de l'approvisionnement en eau, des transports, de l'énergie, de la santé ou encore de la défense.
Le dispositif de sécurité des OIV intègre une dimension de cybersécurité, placée sous la responsabilité de l'ANSSI ( cf . infra ).
* 11 Cyber crimes : un flic 2.0 raconte , par Pierre et Abigaelle Penalba, Albin Michel, Paris, janvier 2020.