Lecture: 18 min
N6739BZM
Citer l'article
Créer un lien vers ce contenu
par Michel Séjean, Professeur agrégé de droit privé et sciences criminelles
le 22 Septembre 2023
Mots-clés : cybersécurité • cybercriminalité • LOPMI • OSINT • rançongiciel • cyberdéfense • darkweb • deepweb • Godfrain • STAD • LPM
La croissance des innovations technologiques est exponentielle. Il en est de même du nombre de textes qui composent le droit de la cybersécurité, c’est-à-dire de l’ensemble des textes ayant pour but de limiter les occurrences et les conséquences des incidents de sécurité informatique. Mais en technologie comme en droit, la nouveauté n’est pas toujours synonyme de progrès. Les quatre couches du cyberespace fournissent une illustration des rapports entre cybersécurité et lutte contre la cybercriminalité.
Les trois piliers de la cybersécurité en témoignent : qu’il s’agisse de la sécurité des systèmes d’information, de la lutte contre la cybercriminalité ou encore de la cyberdéfense, les inventions technologiques contribuent tout autant à la sécurité qu’à la criminalité [1]. En effet, les innovations menacent les trois dimensions de la cybersécurité, à savoir la disponibilité, la confidentialité et l’intégrité des systèmes, des données et des réseaux [2]. Il faut dire que la cybercriminalité est lucrative : pour la seule année 2021, elle aurait rapporté à ses auteurs plus de six mille milliards de dollars [3], c’est-à-dire 190 000 dollars par seconde ! Encore faut-il préciser qu’il est difficile de définir la cybercriminalité, même si la définition donnée par l’Union européenne, inspirée du rapport Breton & Watin-Augouard [4], est, selon nous, la plus juste dans le cadre du présent dossier. Elle vise les « infractions pénales commises à l'aide de réseaux de communications électroniques et de systèmes d'informations ou contre ces réseaux ou systèmes » [5].
Tandis que la cybercriminalité explose, les règles de droit, pour leur part, ruissellent à la surface de tous les écosystèmes. Le déluge est si fort qu’il sature les capacités des usagers du droit à absorber les règles nouvellement venues. Certes, cette inflation normative n’est pas propre à la cybersécurité. Toutes matières confondues, le Secrétariat général du Gouvernement (SGG) compte, au 25 janvier 2023, 45,3 millions de « mots Légifrance consolidés » dans notre droit positif, soit un quasi-doublement en vingt ans (+ 98,7% par rapport à 2002) [6]. Promise par notre actuelle Première ministre Élisabeth Borne, la « sobriété normative » soulève ainsi des attentes nourries. C’est particulièrement vrai en droit de la cybersécurité, à condition de préciser que toutes les cartes ne sont pas entre les mains de la France. Dans une infographie frappante, le groupe de réflexion Bruegel a ainsi recensé que l’Union européenne compte actuellement soixante-huit textes publiés en son Journal Officiel dans le domaine du numérique, vingt-sept propositions issues de la Commission européenne en cours de processus législatif, et au moins neuf projets d’initiatives mentionnés par la même Commission [7]. La centaine de textes unionaux [8] en droit du numérique n’est plus très loin.
Ce déluge de textes sur la cybersécurité est-il une réponse satisfaisante au déchaînement de la cybercriminalité ? Tout dépend des contours que l’on assigne à la cybercriminalité. Faut-il, par exemple, en exclure l’espionnage, le sabotage et la déstabilisation, comme le fait le document interministériel intitulé « Revue stratégique de cyberdéfense » [9] ? Le cas échéant, la cybercriminalité serait cantonnée à la délinquance crapuleuse en ligne. Or, ce serait ignorer une grande partie des situations de cybersécurité menacées par des attaques.
Dès lors, quel point de vue adopter pour observer les grandes tendances des menaces que la cybercriminalité fait peser sur la cybersécurité ? Sur ce point, le Général Watin-Augouard apporte une réponse utile à l’introduction du présent dossier, lorsqu’il écrit que « le périmètre de la cybercriminalité se superpose à celui de l'espace numérique, qui est souvent présenté de manière pédagogique en quatre couches » [10]. D’où une observation des tendances actuelles sur la couche matérielle (I.), la couche des protocoles (II.), celle des logiciels (III.) et celle des données (IV.).
I. La couche matérielle
La couche des appareils et infrastructures physiques qui forment la structure du cyberespace est souvent oubliée, à cause de l’imaginaire qui entoure l’internet. Réseaux sans fil, internet « en nuage » (cloud), protocoles de transmission de données par AirDrop et autres références célestes font oublier que le cyberespace n’existe pas sans de lourdes infrastructures, à commencer par les ordinateurs, les serveurs, les répéteurs, les câbles sous-marins, les antennes-relais, etc. Il y est autant question de cybersécurité que de « cybersûreté », lorsqu’il s’agit de la sécurité d’immeubles comme des centres de données. Lorsque ces appareils ou ces infrastructures sont endommagés, le fonctionnement du réseau est compromis, voire arrêté. Pour ce qui est des câbles sous-marins, qui transmettent la quasi-intégralité des communications intercontinentales, une coupure involontaire (incident de pêche) ou volontaire (acte de sabotage) peut entraîner un désastre [11]. La guerre en Ukraine a ravivé les craintes des coupures volontaires des câbles [12]. À cet égard, notre législation n’est pas démunie, puisque l’article L. 81 du Code des postes et des communications électroniques prévoit cinq ans d’emprisonnement et une amende de 75 000 euros pour quiconque rompt volontairement un câble sous-marin ou lui cause une détérioration qui pourrait interrompre ou entraver les communications électroniques. Certes, le préfixe « cyber » n’apparaît dans aucune de ces dispositions, et les câbles sous-marins n’ont pas attendu internet pour être déployés, mais l’infraction réprimée par le Code des postes et des communications électroniques fait entièrement partie, selon nous, de la cybercriminalité. Il en va de même pour les destructions volontaires infligées au réseau : lorsqu’elles sont susceptibles de porter atteinte aux intérêts fondamentaux de la Nation, elles constituent un acte de sabotage (C. pén., art. 411-9 N° Lexbase : L1746AMM).
On le voit, il est indispensable d’inclure les infractions relatives à la couche matérielle du cyberespace si l’on veut avoir une idée plus juste des grandes tendances de la criminalité qui menacent la cybersécurité. La même observation vaut pour la couche des protocoles.
II. La couche des protocoles
Les échanges de données sur le cyberespace dépendent de protocoles, dont le plus connu est le TCP/IP. En sa première partie (Transfert Control Protocol (TCP)), il permet la transmission de paquets de données. Quant à sa seconde partie, l’Internet Protocol (IP), elle définit les numéros d'identification ainsi que les adresses des appareils connectés. Enfin, le protocole DNS (Domain Name System) définit les noms de domaines. Tous peuvent être affectés par une attaque, telle qu’une usurpation d'adresse IP (IP spoofing) ou de nom de domaine (DNS spoofing ou DNS cache poisoning). Ces infractions entrent dans le champ de la loi « Godfrain » de 1988 [13]. Il peut également en résulter des atteintes à la personnalité, comme l’usurpation d'identité numérique [14].
Signe que les atteintes à la couche des protocoles sont une tendance du moment, la nouvelle loi de programmation militaire (2024-2030) intègre des dispositions sur la vulnérabilité du protocole DNS au sein du Code de la défense, sous la forme de mesures préventives. C’est ainsi que l’article L. 2321-2-3 N° Lexbase : L3720MIM prescrit aux hébergeurs, aux fournisseurs d’accès à internet (FAI) et aux « registrars » [15] des mesures de filtrage de noms de domaines en cas de menace susceptible de porter atteinte à la sécurité nationale. Par ailleurs, une autre disposition permet à l’ANSSI d’agir auprès des fournisseurs de systèmes de résolution de noms de domaine qui conservent temporairement les « données de cache », c’est-à-dire les correspondances entre les adresses IP et les noms de domaines [16].
III. La couche logique
La tendance la plus lourde en ce qui concerne la couche logique est certainement l’exploitation des vulnérabilités de la chaîne d’approvisionnement. L’actualité est foisonnante en la matière.
Pour ne prendre qu’un exemple parmi d’autres, à l’été 2023, Pôle Emploi a été victime de ce que l’on appelle une « attaque par rebond », c’est-à-dire une attaque qui passe par la chaîne d’approvisionnement. En langue anglaise, on parle volontiers d’attaque sur la supply chain. L’idée est aussi simple que redoutable : pour atteindre une cible, il est souvent plus efficace de s’en prendre à un prestataire ou à un sous-traitant que d’attaquer directement la cible. Selon un rapport publié en juin 2023 par l’agence européenne de cybersécurité (ENISA), les attaques par rebond concernaient, en 2022, entre 39 % et 62 % des entités [17]. En outre, elles représentaient en 2021 la deuxième méthode la plus utilisée pour infiltrer une organisation : 17 % des cas, contre seulement 1 % en 2020 [18] !
En l’occurrence, la première victime de l’acte de malveillance n’est pas Pôle Emploi, mais son prestataire de numérisation de documents, l’entreprise Majorel. Cette entreprise utilise un logiciel de transfert de données (MOVEit), qui comportait une vulnérabilité documentée dès le mois de juin 2023. Un programme malveillant intitulé Cl0p s’est chargé d’exfiltrer les données qui transitaient par MOVEit, dont celles de Majorel.
Pour Pôle Emploi, le préjudice réputationnel sera important. Est-ce au public de retenir toutes les subtilités de la chaîne d’approvisionnement ? Assurément non: pour l’opinion, peu importe à qui Pôle Emploi a transféré les données que chaque allocataire lui a confiées. Ce n’est pas la réputation de Majorel qui souffrira le plus, ni celle de MOVEit, mais bel et bien celle de Pôle Emploi. En effet, c’est à l’entité à qui l’on confie ses données d’être vigilante sur leur utilisation par des prestataires et des sous-traitants. Et c’est précisément pour cela que la gestion de la chaîne d’approvisionnement doit faire l’objet d’attentions particulières en matière de cybersécurité. Ce n’est pas pour rien que l’agence européenne de la cybersécurité s’est fendue d’un rapport sur les bonnes pratiques en matière de cybersécurité des chaînes d’approvisionnement, publié le 13 juin 2023 [19] ! L’on retrouve ici le thème du devoir de vigilance, né en dehors du domaine de la cybersécurité, qui fait que les marques de fast fashion sont tenues responsables de l’effondrement de l’immeuble Rana Plaza au Bangladesh, où les habits étaient fabriqués dans des conditions épouvantables. Les marques ont eu beau prétendre qu’elles ne connaissaient même pas l’existence de ce sous-traitant, tellement la chaîne d’approvisionnement était longue : le mal était fait, et ce fut l’une des causes ayant permis l’émergence du devoir de vigilance que l’on retrouve aujourd’hui dans le droit de la cybersécurité.
Quoi qu’il en soit, les atteintes à la couche « logique » sont principalement réprimées par la loi « Godfrain » précitée (C. pén., art. 323-1 N° Lexbase : L6507MG4, s.). La loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) [20] y a apporté des modifications, en traitant enfin de la gravité des cyberattaques, en particulier lorsque la cible est un établissement de santé ou un opérateur d’importance vitale [21]. Le nouvel article 323-4-2 du Code pénal N° Lexbase : L6510MG9 prévoit une peine de dix ans d’emprisonnement et de 300 000 € d’amende pour les infractions prévues aux articles 323‑1 à 323‑3‑1 N° Lexbase : L0414IZD ayant pour effet d’exposer autrui à un risque immédiat de mort ou de blessures de nature à entraîner une mutilation ou une infirmité permanente ou de faire obstacle aux secours destinés à faire échapper une personne à un péril imminent ou à combattre un sinistre présentant un danger pour la sécurité des personnes.
L’autre apport de la LOPMI en matière de protection de la couche logicielle renforce le volet répressif. Un nouvel article 323-3-2 du Code pénal N° Lexbase : L6508MG7 instaure une responsabilité pénale des plateformes [22] qui n’accordent leur accès qu’aux personnes ayant recours à des techniques d'anonymisation, comme c’est le cas pour les darknets, et qui permettent sciemment la cession de produits manifestement illicites.
Enfin, illustrant les rapports complexes entre renforcement de la cybersécurité et lutte contre la cybercriminalité, la LOPMI a créé un article dans le Code des assurances qui a donné lieu à d’intenses discussions [23]. À l’origine, il était question d’interdire l’assurabilité du paiement de rançons en cas d’attaques par rançongiciels. Des débats nourris ont finalement évité de prendre position sur ce point, aboutissant plutôt à faire du dépôt de plainte dans les 72 heures de la découverte de l’atteinte à un STAD un préalable au versement d'une indemnisation. Mais la licéité du versement d’une rançon et de son assurabilité ne veut pas dire que l’acte soit anodin : les Américains ont pour habitude d’inscrire sur la liste noire des soutiens au terrorisme toute entreprise qui cède à cette extorsion, et il peut en résulter l’interdiction de participer à des transactions commerciales libellées en dollars américains, entre autres sanctions handicapantes dans le domaine des échanges internationaux.
IV. La couche cognitive
La couche des données, dite couche cognitive et parfois couche « sémantique » ou « informationnelle » est la plus sensible de toutes aux grincements qui peuvent se produire entre cybersécurité et lutte contre la cybercriminalité. Le meilleur terrain pour en juger à l’heure actuelle est certainement celui du moissonnage de données en sources ouvertes, que l’on désigne souvent par l’acronyme anglais OSINT (Open Source Intelligence) [24]. Il s’agit d’une discipline qui effectue des campagnes de collecte et de stockage de données librement accessibles en ligne afin de faire émerger, par leur croisement, du renseignement économique, sécuritaire, stratégique, etc.
Prenons l’exemple d’une entreprise qui souhaite se renseigner avant de recruter une personne-clé. Elle commandera une enquête en ligne qui, par le croisement de données relatives à la personne qui candidate, en dressera un premier portrait ou activera des signaux d’alerte. Les réseaux sociaux seront particulièrement scrutés, y compris par le moyen de faux profils : tant que ces faux profils n’ont aucune interaction avec la cible (pas de « likes » sur les réseaux, pas de messages à destination de la cible), l’on reste dans une démarche d’OSINT. Mais la pratique s’est industrialisée, s’appuyant désormais sur des robots qui écument non seulement le web, mais aussi le deep web et le dark web. En collectant chaque donnée comme s’il s’agissait d’une goutte d’eau, les robots créent des lacs de données dans lesquels peuvent se trouver des informations provenant d’une fuite ou d’une cyberattaque. Dans notre exemple, l’entreprise pratique l’OSINT pour des fins qui ne sont pas illégitimes : peut-elle néanmoins se trouver en situation de commettre un recel de vol de données ? Le risque est réel. Comment pourrait-il en être autrement ? Si le droit français acceptait le moissonnage à grande échelle des trois webs, il se créerait immédiatement un marché commercial de données obtenues illicitement, encore plus florissant que celui qui existe déjà !
Toutefois, il reste de nombreux problèmes liés au manque d’encadrement clair des pratiques d’OSINT. Ainsi, lorsqu’un prestataire de tests d’intrusion veut se comporter comme un véritable pirate avec le consentement du maître des systèmes qui souhaite découvrir ses propres vulnérabilités – on parle de hacker éthique, et en l’occurrence de « pentester » – peut-il fouiller le dark web à la recherche de données obtenues illicitement, ce qui lui permettrait d’élaborer des courriels d’hameçonnage taillés sur mesure pour inciter le destinataire, ainsi mis en confiance, à cliquer sur le lien qui va déployer le programme malveillant ? On parle d’hameçonnage pédagogique, à des fins de sensibilisation, et cette pratique fait l’objet d’une convention entre le « pentesteur » et l’entreprise désireuse de connaître ses vulnérabilités techniques et humaines. Mais quelle que soit la convention passée entre le prestataire et le client, elle n’a pas le pouvoir d’écarter l’application du droit pénal !
Autre exemple de ces zones grises de l’OSINT : des enquêteurs scrutent les trois webs, dans le cadre d’une veille de menaces numériques, et ils créent un lac de données avant que ces dernières ne disparaissent du dark web. En effet, les fuites illicites de données sont disponibles sur le dark web pendant un trait de temps avant d’être retirées. Vis-à-vis du droit des données personnelles, ces collectes massives de données se font sans finalité particulière. Mais en pratique, il existe un objectif opérationnel : les enquêteurs espèrent que de futures fuites de données pourraient être croisées avec ce lac de données et fassent émerger la menace qui, sans ce croisement, serait passée inaperçue. En phase administrative ou en phase pré-judiciaire, les services de renseignement et les forces de l’ordre peuvent-ils procéder à la constitution de lacs de données ? Et si oui, pendant combien de temps les données peuvent-elles transiter par leurs services ? C’est tout un cycle de la donnée qu’il faut ici redéfinir. Alors, espérons-le, il sera possible de dire que la cybersécurité et la lutte contre la cybercriminalité sont des mots qui vont très bien ensemble.
[1] V. spéc. la tribune de P. Lecomte, Nouvelles technologies : “Le danger est de ne plus pouvoir différencier innovation et progrès”, Le Monde, 1er septembre 2023.
[2] V. spéc. la définition de la cybersécurité donnée par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), site ssi.gouv.fr, rubrique Glossaire, V° Cybersécurité : « État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense ».
[3] Le Figaro avec AFP, La cybercriminalité a coûté plus de 6000 milliards de dollars en 2021, 10 mai 2022.
[4] Th. Breton, rapporteur M. Watin-Augouard, Chantier sur la lutte contre la cybercriminalité, 1er février 2005 [en ligne].
[5] Communication de la Commission au Parlement européen, au Conseil et au Comité des Régions - Vers une politique générale en matière de lutte contre la cybercriminalité, 2007, COM/2007/0267 final [en ligne].
[6] V. spéc. C. Eoche-Duval, Inflation normative – Avec 45,3 millions de mots, quel pari de “sobriété normative” ?, JCP G, 21, 29 mai 2023, act. 625.
[7] K. Zenner, J. Scott Marcus et K. Sekut, A Data Set on EU Legislation for the Digital World, site internet Bruegel, 20 juill. 2023.
[8] L’adjectif « communautaire » ne se justifiant plus l’entrée en vigueur du Traité de Lisbonne, hormis pour les matières relevant des matières du Traité Euratom. De même qu’existent les adjectifs national, régional, départemental, ou encore cantonal, l’adjectif « unional » est celui qui qualifie le mieux ce qui provient de l’Union européenne ; v. en ce sens R. Loljeeh, Chronique Jurisprudence française intéressant le droit de l'Union - Les mots du droit de l'Union dans la bouche du juge judiciaire français, RTD Eur. 2013.292, qui évoque les recherches de la Commission française de terminologie des affaires étrangères, dont nous n’avons cependant pas retrouvé les références.
[9] SGDSN, Revue stratégique de cyberdéfense, 12 février 2018, p. 11 s., sgdsn.gouv.fr.
[10] M. Watin-Augouard, Introduction au Livre II sur la lutte contre la cybercriminalité, in M. Séjean (dir.), Le Code de la cybersécurité, Dalloz, 2ème éd., 2023.
[11] V. parmi d’autres, Outre-mer : sans câble sous-marin, par d’internet, 12 avril 2023 [en ligne].
[12] V. spéc. G. Renouard, Comment la guerre en Ukraine transforme l’écosystème mondial des câbles internet, La Tribune, 28 juillet 2023.
[13] Loi n° 88-19, du 5 janvier 1988, relative à la fraude informatique, dite loi « Godfrain » ; v. spéc. C. pén., art. 323-2 N° Lexbase : L0871KCA.
[14] C. pén., art. 226-4-1, al. 2 N° Lexbase : L8548LXU.
[15] Les registrars sont des bureaux d’enregistrement de noms de domaines.
[16] C. défense, L. 2321-3-1, spéc. al. 1 et 2 N° Lexbase : L3722MIP.
[18] Ibid.
[19] ENISA, Good practices for Supply Chain Cybersecurity, enisa.europe.eu, 13 juin 2023.
[20] Loi n° 2023-22, du 24 janvier 2023, d'orientation et de programmation du ministère de l'intérieur N° Lexbase : L6260MGX.
[21] V. déjà, appelant à une réforme en ce sens, M. Watin-Augouard « Le droit pénal ne prévoit pas de circonstances aggravantes lorsque sont visées des infrastructures qui contribuent à la santé publique. Il me semble aujourd’hui nécessaire d’en créer au sein de la loi Godfrain », Souveraine.tech, 6 mai 2022 [en ligne].
[22] Elles sont ici entendues au sens du droit de la consommation, v. spéc. C. conso., art. L. 111-7, I N° Lexbase : L4973LAG.
[23] C. assur., art. L. 12-10-1 N° Lexbase : L6577MGP.
[24] En français, l’on parle parfois de renseignement en source ouverte (ROSO).
© Reproduction interdite, sauf autorisation écrite préalable
newsid:486739
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.