Allez au contenu, Allez à la navigation

Cybercriminalité : un défi à relever aux niveaux national et européen

9 juillet 2020 : Cybercriminalité : un défi à relever aux niveaux national et européen ( rapport d'information )

B. DES SERVICES SPÉCIALISÉS À ÉTOFFER

La forte dimension technique de la cybercriminalité a conduit à spécialiser certains services enquêteurs et certains magistrats. D'un bon niveau technique, ces services gagneraient toutefois à être étoffés, notamment sur le versant judiciaire qui apparaît particulièrement sous-doté.

1. La spécialisation des services enquêteurs

Les administrations en charge de la répression des infractions pénales, fiscales ou douanières se sont chacune dotées de leur service spécialisé.

a) Au sein de la police judiciaire

Depuis 2014, la direction centrale de la police judiciaire (DCPJ) du ministère de l'intérieur17(*) s'est dotée d'une sous-direction en charge de la lutte contre la cybercriminalité (SDLC).

Pôle de compétence nationale, la sous-direction emploie environ 130 personnes, dont une dizaine d'ingénieurs et de techniciens. Elle comprend notamment un bureau de coordination stratégique, un bureau de l'Internet, un bureau de la formation à la lutte contre la cybercriminalité, une division de l'anticipation et de l'analyse, ainsi que l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). Elle travaille en partenariat avec les autres administrations du ministère de l'intérieur et avec d'autres administrations centrales, telles que la direction générale de la concurrence, de la consommation et de la répression des fraudes ou la direction générale des douanes et des droits indirects. Elle constitue une entité aisément identifiable par ses partenaires institutionnels, par les acteurs de l'économie numérique et par les particuliers.

La SDLC joue un rôle important en matière de formation - 610 investigateurs ont déjà été formés à la lutte contre la cybercriminalité - et d'animation du réseau de « référents cybermenaces » qui s'est constitué au sein de la police judiciaire. Elle apporte de l'information aux services qui enquêtent sur le terrain et les aide à nouer des contacts avec les acteurs de l'Internet grâce à son répertoire de contacts réservés.

La SDLC est aussi une source d'expertise grâce à ses seize laboratoires d'investigation du numérique présents sur le territoire et grâce à sa section d'assistance technique, de recherche et de développement, chargée d'aider les services à exploiter les supports numériques et à concevoir de nouveaux outils d'investigation numérique. La division de la preuve numérique peut envoyer en renfort un groupe d'appui pour travailler sur les traces numériques.

La SDLC contribue aussi au développement d'outils tournés vers le grand public. À parité avec la gendarmerie, la SDLC gère la plateforme Pharos, qui recueille les signalements des internautes qui repèrent sur le web des comportements ou des contenus publics qu'ils estiment illégaux, et pilote le projet Thesee qui a vocation à recueillir des signalements et des plaintes en ligne. Elle dispose également d'une plateforme téléphonique chargée d'orienter les victimes d'escroquerie, qui a reçu 66 000 appels en 2019.

Sur certains dossiers complexes, la SDLC joue un rôle pleinement opérationnel. L'OCLCTIC comporte ainsi trois brigades chargées respectivement de la répression des atteintes aux systèmes de traitement automatisé de données (STAD), des escroqueries commises sur Internet et des atteintes aux systèmes de paiement. Lors de son audition par les rapporteurs, la sous-directrice, Catherine Chambon, a indiqué que la SDLC était saisie de 275 dossiers. Elle a précisé que la SDLC se saisissait systématiquement, soit seule, soit en cosaisine, des affaires de rançongiciel.

La brigade sur les fraudes aux technologies de l'information
de la préfecture de police

Au sein de la préfecture de police de Paris existe également une unité de police judiciaire spécialisée dans la lutte contre la cybercriminalité : la brigade d'enquête sur les fraudes aux technologies de l'information (BEFTI). Elle se saisit d'affaires relevant de l'accès ou du maintien frauduleux dans un système de traitement automatisé des données (STAD).

Créée en février 1994, la BEFTI emploie aujourd'hui vingt-cinq policiers spécialisés. Compétente sur le ressort de Paris et de la petite couronne, elle est composée de trois groupes « enquêtes et initiative » et d'un groupe d' « assistance ».

Elle apporte une assistance technique et matérielle aux autres services de la police judiciaire et aux commissariats du ressort. Elle contribue également à la diffusion d'une culture de cybervigilance et de cybersécurité auprès du grand public et des professionnels du secteur informatique.

b) Au sein de la gendarmerie

Au sein de la gendarmerie, c'est le centre de lutte contre les criminalités numériques (C3N) qui est chargé de piloter la lutte contre la cybercriminalité. Il est l'héritier du département de lutte contre la cybercriminalité, créé en 1998 au sein du service technique de recherches judiciaires et de documentation de la gendarmerie.

Le C3N assume d'abord une mission de pilotage et d'appui spécialisé de l'action de la gendarmerie dans le domaine de la lutte contre la cybercriminalité.

Il peut également mener lui-même, ou coordonner, des investigations d'ampleur nationale. Lors de son audition, le général Jean-Philippe Lecouffe a indiqué que le C3N suivait une soixantaine d'affaires. Il traite en moyenne une centaine de dossiers chaque année et revendique un taux d'élucidation de 54 %, chiffre en baisse depuis la prise en compte des dossiers de rançongiciel, qui restent un point noir en matière d'élucidation.

Le C3N exerce également un rôle de veille en surveillant en permanence l'Internet pour détecter les infractions qui y sont commises et collecter des preuves. Il centralise les comptes rendus de police judiciaire émis par les unités de gendarmerie, ce qui lui permet d'évaluer les menaces et de procéder à des regroupements d'affaires traitées localement.

Le C3N est aussi en mesure d'apporter une assistance 24 heures sur 24 aux unités territoriales de la gendarmerie grâce à son guichet unique qui facilite les relations entre les enquêteurs et les opérateurs de téléphonie ou les fournisseurs d'accès à Internet.

Le C3N emploie actuellement 33 militaires. En 2020, l'effectif autorisé a été porté à 56 militaires (12 officiers et 44 sous-officiers), ce qui autorisera prochainement de nouvelles affectations. Le C3N anime un réseau de correspondants en technologie numérique (réseau CyberGend), qui compte aujourd'hui 5 300 gendarmes capables de conseiller leurs collègues et de procéder à certaines expertises, l'analyse d'un téléphone portable par exemple. Il s'appuie également sur 102 sections opérationnelles qui disposent, dans chaque département, d'enquêteurs en technologie numérique et de spécialistes des systèmes d'information. Il dispose enfin de neuf groupes régionaux pour traiter les cas les plus complexes ou les plus graves et envisage d'en créer deux supplémentaires pour compléter son implantation sur le territoire.

Au total, environ 5 500 gendarmes bénéficient d'une expertise en matière de cybercriminalité ; l'objectif de la gendarmerie est de faire passer ce chiffre à 7 000 d'ici à 2022.

Est par ailleurs rattaché au C3N le centre national d'analyse des images de pédopornographie (CNAIP) : il centralise, pour le compte de la police et de la gendarmerie, les fichiers saisis au cours des enquêtes, travaille à l'identification des victimes et des auteurs de ces contenus et fournit, le cas échéant, des images illicites aux agents habilités à réaliser des enquêtes sous pseudonyme.

c) Au sein du ministère de l'économie

Les services chargés à Bercy de la lutte contre la fraude contribuent aussi à la lutte contre la cybercriminalité.

(1) Les douanes

Au sein des douanes, la direction nationale du renseignement et des enquêtes douanières (DNRED) dispose, depuis 2009, de sa propre structure de lutte contre la cybercriminalité, appelée service des cyberdouanes ou encore cellule Cyberdouane. Ce service a remplacé le centre de recueil et d'analyse de l'Internet douanes (CRAIDO), créé en 1998. Il s'est notamment fait connaître auprès du grand public en septembre 2014 en démantelant un trafic de cannabis sur Internet et en récupérant une centaine de plants entreposés à Laval.

Le service recueille et exploite tous les renseignements utiles dans la lutte contre les fraudes sur Internet en matière de trafics de marchandises prohibées, réglementées ou fortement taxées. Ses agents effectuent une veille sur Internet afin d'établir des liens entre différents sites, forums ou mots-clefs et de cartographier les fraudes complexes. Ils cherchent à identifier les personnes physiques ou morales qui se cachent derrière un site de vente en ligne, une adresse électronique ou un pseudonyme sur un site de petites annonces, un forum, un blog ou un réseau social.

Comme le notaient Albéric de Montgolfier et Philippe Dallier dans un rapport au titre de la commission des finances du Sénat de 2013, Cyberdouane mène donc une véritable « action sur l'offre », là où les contrôles douaniers plus classiques cherchent à agir sur les flux18(*).

Lorsque les constatations douanières effectuées par Cyberdouane débouchent sur une enquête judiciaire, le parquet peut saisir le service national des douanes judiciaires (SNDJ) pour mener les investigations. Dirigé par un magistrat, ce service emploie des officiers de douane judiciaire (ODJ) habilités à mener des enquêtes sur l'ensemble du territoire.

(2) Tracfin

Depuis 2006, le service de traitement du renseignement et d'action contre les circuits financiers (Tracfin) est un service autonome à compétence nationale, compétent en matière de renseignement financier. Si sa mission porte majoritairement sur les circuits financiers clandestins, le blanchiment et le financement du terrorisme, il peut aussi être saisi dans des dossiers en lien avec la cybercriminalité.

Tracfin reçoit des déclarations de soupçon adressées par des banques, des notaires, des agents immobiliers, etc., par d'autres administrations ou par ses homologues étrangers. Il peut procéder à une transmission judiciaire afin que des poursuites soient diligentées lorsqu'un dossier dont il est saisi présente un aspect pénal.

La cellule spécialisée sur la cybercriminalité au sein de Tracfin demeure de dimension modeste (trois agents, qui devraient bientôt être renforcés par un quatrième) au regard de l'effectif total du service (170 agents). Son activité porte surtout sur les blockchains, le dark net et la pédopornographie.

Lors de son audition, Maryvonne Le Brignonen, directrice générale de Tracfin, a souligné la qualité des relations entre son service et le système bancaire, tout en notant que le produit de la cybercriminalité s'échappe souvent très vite dans des pays moins régulés, rendant plus difficile le suivi de ces mouvements financiers frauduleux.

(3) Le service national des enquêtes

Institué en 2009, le service national des enquêtes (SNE) dépend de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).

Il mène des enquêtes visant à la recherche et à la constatation des infractions au droit national et communautaire ainsi qu'à la collecte d'informations économiques en matière de qualité et de sécurité des biens et services, de loyauté des transactions, de protection des intérêts des consommateurs, de bon fonctionnement des marchés et d'équilibre des relations commerciales entre entreprises.

Le SNE comprend un centre de surveillance du commerce électronique, doté de près de soixante-dix agents, et une unité de renseignement. Ses efforts se concentrent surtout sur la surveillance des secteurs de la vente de billets d'avion en ligne et de la réservation d'hôtel en ligne.

2. Du côté de l'autorité judiciaire

Au sein de l'appareil judiciaire, la nécessité d'une spécialisation s'est également imposée : depuis l'entrée en vigueur de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement et améliorant l'efficacité et les garanties de la procédure pénale, l'article 706-72-1 du code de procédure pénale confie au procureur de la République, au pôle de l'instruction, au tribunal correctionnel et à la cour d'assises de Paris une compétence concurrente nationale en matière d'atteintes aux systèmes de traitement automatisé de données (STAD) et d'atteintes aux intérêts fondamentaux de la Nation (ce qui peut couvrir des hypothèses de cyber-sabotage).

Au sein du parquet, cette compétence est confiée à la section J3, anciennement dénommée section F1, ou section cybercriminalité.

Ce changement de dénomination est la conséquence de la réorganisation décidée par le procureur de la République de Paris, Rémi Heitz, au début de l'année 2020. Autrefois rattachée à la deuxième division du parquet chargée de l'action publique spécialisée, la section cybercriminalité est désormais intégrée à la troisième section qui traite les affaires relevant de la juridiction interrégionale spécialisée (JIRS) ou de la juridiction nationale de lutte contre la criminalité organisée (Junalco), c'est-à-dire des affaires se caractérisant, respectivement, par leur grande ou par leur très grande complexité dans le domaine de la criminalité organisée ou financière19(*).

Au titre de sa compétence nationale, la section J3 peut se saisir des affaires de cybercriminalité complexes, où qu'elles se produisent sur le territoire, les parquets locaux demeurant compétents pour le reste du contentieux. Elle est seule compétente pour les infractions commises dans le ressort du parquet de Paris.

En pratique, elle exerce sa compétence nationale dans quatre hypothèses :

- en cas de pluralité d'auteurs ou de victimes sur le territoire, de manière à éviter la conduite d'enquêtes parallèles par plusieurs parquets locaux ;

- lorsque l'affaire présente une dimension internationale forte, la section J3 étant rompue aux procédures de coopération judiciaire européenne et internationale ;

- en raison de la technicité ou de la complexité du mode opératoire ;

- eu égard à la qualité de la victime, par exemple s'il s'agit d'un opérateur d'importance vitale, d'un ministère ou encore d'un sous-traitant de l'armement.

À ce jour, la section J3 a ouvert 249 enquêtes sur le fondement de cette compétence nationale, dont 225 sont toujours en cours. Ces affaires à dimension nationale ne représentent qu'une minorité des 2 757 affaires dont elle était saisie au début du mois de juin 2020.

La section J3 est avant tout compétente pour les atteintes aux STAD. Comme l'a expliqué aux rapporteurs Alice Chérif, cheffe de la section, son intégration dans la Junalco lui permettra d'intervenir plus facilement dans les dossiers où le numérique a été utilisé comme un moyen pour commettre l'infraction, sans qu'il y ait nécessairement eu une atteinte aux STAD.

Une augmentation du nombre de saisines se heurterait cependant rapidement à une contrainte d'effectifs : la section J3 ne compte en effet que trois magistrats (ils n'étaient que deux jusqu'en septembre 2019), bénéficiant de l'appui d'un assistant spécialisé20(*) dont l'apport technique est précieux pour faciliter la compréhension des faits. Au sein du pôle de l'instruction, quatre magistrats sont spécialisés dans la lutte contre la cybercriminalité ; deux de leurs collègues prennent en charge certains dossiers sans se consacrer entièrement à cette thématique.

En conséquence, comme l'a admis Alice Chérif, la section J3 adapte le nombre de ses saisines à sa capacité à les traiter. Elle renonce régulièrement à se saisir de dossiers dont la complexité pourrait pourtant justifier une centralisation parisienne.

Depuis 2019, chaque parquet local dispose d'un référent cyber, la liste de ces référents étant tenue par la direction des affaires criminelles et des grâces (DACG) à la Chancellerie. Il s'agissait auparavant d'une pratique qu'il a été décidé de systématiser l'an dernier. Le parquet de Paris a rassemblé une première fois l'ensemble de ces référents et prévoit de les réunir régulièrement afin de contribuer à l'animation de ce réseau.

3. Des services qui mériteraient d'être étoffés

Les professionnels entendus par les rapporteurs ont souligné la qualité du travail fourni par les services chargés de lutter contre la cybercriminalité. Alice Chérif a fait observer que si le parquet pouvait, en principe, requérir les services de l'ANSSI ou commettre des experts en informatique, les services d'enquête avaient en réalité les moyens techniques de mener eux-mêmes la plupart des investigations.

De nombreux exemples ont été donnés au fil de ce rapport d'affaires résolues par l'action de la justice et des services d'enquête. Il n'y a donc pas d'impunité en matière de cybercriminalité, même si la justice française se heurte encore trop souvent à la difficulté d'appréhender les auteurs d'infractions lorsque ceux-ci se trouvent à l'étranger, sur le territoire d'États peu coopératifs.

À l'échelle nationale, on constate une montée en puissance des moyens consacrés à la lutte contre la cybercriminalité, qui est cohérente avec la place croissante du numérique dans la vie quotidienne de nos concitoyens et dans l'activité économique. La gendarmerie notamment s'est fixé des objectifs volontaristes pour accroître encore ses capacités dans les deux ans qui viennent. Le renforcement des moyens d'investigation apparaît indispensable pour faire face au développement de la criminalité dans l'univers numérique.

Par priorité, ce sont les moyens du parquet spécialisé qui mériteraient d'être considérablement augmentés. Un effectif de trois magistrats pour traiter les affaires de dimension nationale et internationale et animer un réseau de référents est notoirement insuffisant. Les effectifs du parquet spécialisé mériteraient d'être décuplés pour être portés au niveau de ceux des grands États européens les plus engagés dans ce domaine.

Si la spécialisation est nécessaire, elle ne doit pas être poussée à l'excès, compte tenu du caractère transversal de la cybercriminalité. Il est souhaitable que les équipes en charge de la cybercriminalité demeurent intégrées à des services de plus grande dimension afin que des compétences variées puissent être mobilisées pour traiter une affaire. Comme l'indique la direction générale de la gendarmerie nationale dans les réponses écrites qu'elle a adressées aux rapporteurs, il ne faut « pas aboutir à une trop grande spécialisation pour éviter de cloisonner une matière que l'on pense bien trop souvent hermétique aux techniques d'investigation classiques. C'est le cas pour le phénomène du jackpotting21(*), où les techniques traditionnelles de terrain donnent plus de résultats que les investigations techniques ».

Indispensable pour traiter les dossiers les plus complexes, la centralisation doit s'accompagner d'une diffusion de la culture cyber sur l'ensemble du territoire, tant il est vrai que cette dimension est aujourd'hui présente dans un très grand nombre d'affaires qui ne peuvent pas toutes remonter à l'échelon central. Il convient donc d'encourager les efforts qui visent à former un plus grand nombre d'agents à ces problématiques et à constituer des réseaux de référents qui sont autant de relais pour une action efficace sur le terrain.

À cet égard, il est permis de se demander si une spécialisation de certains parquets régionaux, par exemple au niveau des JIRS, ne serait pas utile pour épauler le parquet de Paris qui pourrait ainsi se concentrer sur les affaires d'une très grande complexité ou particulièrement sensibles.

Il convient également d'approfondir les liens entre les services en charge de la lutte contre la cybercriminalité et le secteur privé. Les rapporteurs ont constaté que ces liens étaient déjà étroits. Le ministère de l'intérieur en particulier a mis en place des groupes de contact depuis 2015 afin de favoriser le dialogue avec les entreprises du numérique. L'objectif est notamment que les réquisitions judiciaires gagnent en efficacité : beaucoup de temps est économisé lorsque l'enquêteur sait de quelles informations dispose l'entreprise qu'il sollicite, dans quels délais elle peut les lui fournir et s'il parle le même langage que son interlocuteur.


* 17 La DCPJ concourt à l'exercice des missions de police judiciaire sur l'ensemble du territoire, ainsi qu'à la prévention et à la répression des formes spécialisées, organisées ou transnationales de la délinquance et de la criminalité.

* 18 Voir le rapport d'information n° 93 (2013-2014) « Les douanes face au commerce en ligne : une fraude fiscale importante et ignorée », d'Albéric de Montgolfier et Philippe Dallier au nom de la commission des finances.

* 19 La section J1 traite de la criminalité organisée et la section J2 de la criminalité financière.

* 20 Lors de l'audition organisée par les rapporteurs le 5 juin 2020, ce poste était vacant, le capitaine de police qui l'occupait ayant quitté ses fonctions sans être immédiatement remplacé.

* 21 Technique de piratage des distributeurs automatiques de billets.