INHESJ

Les défis du traitement judiciaire de la cybercriminalité

Fil d'Ariane

Les défis du traitement judiciaire de la cybercriminalité
24mai.19

Jacques Martinon, magistrat judiciaire à la tête de la la mission de prévention et de lutte contre la cybercriminalité, apporte un éclairage sur le traitement judiciaire de la cybercriminalité dans la Lettre d'information sur les risques et les crises (LIREC) n°59.

La cybercriminalité couvre traditionnellement les cyberattaques, visant les systèmes informatiques eux-mêmes, mais également les infractions ayant pour vecteur principal ou étant considérablement facilitées par l'usage d'un réseau de communication.

Si toutes les juridictions peuvent connaitre de faits de cyberdélinquance, le tribunal de grande instance de Paris bénéficie toutefois d'une compétence concurrente nationale en matière de cyberattaques.

Les contours d'une politique pénale de lutte contre la cyberdélinquance sont en voie de consolidation, toutefois les moyens humains consacrés demeurent trop limités et l'organisation judiciaire toujours en quête de maturité.

Seront présentées dans un premier temps les caractéristiques principales de la cybercriminalité avant d'aborder succinctement l'organisation judiciaire actuelle et les relations des acteurs judiciaires avec ceux de la cybersécurité.

Une cybercriminalité polymorphe et délicate à appréhender par le prisme judiciaire traditionnel

Le périmètre pénal de la cybercriminalité est un véritable défi intellectuel.

L'angle traditionnel des qualifications pénales est en effet peu adapté. Par exemple, les atteintes aux systèmes de traitement automatisé de données (STAD) recouvrent en réalité plus d'une dizaine de « phénomènes cyber » différents, tels le cyberespionnage, le cybersabotage, le rançongiel…

En conséquence, les outils statistiques traditionnels sont quasi inopérants pour apprécier les évolutions des phénomènes au cas par cas.

Une approche nouvelle, sous l'angle de la classification des phénomènes cyber constatés, semble nécessaire aujourd'hui.Une approche nouvelle, sous l'angle de la classification des phénomènes cyber constatés, semble nécessaire aujourd'hui.

Une cybercriminalité polymorphe et évolutive

La cybercriminalité, qui d'ailleurs recouvre en réalité une majorité de délits, a pour caractéristiques principales d'être polymorphe et très évolutive.

Une classification délicate

Les phénomènes cyberdélinquants sont traditionnellement classifiés en deux catégories distinguant l'objet de l'infraction.

La cyberdélinquance au sens strict couvre les phénomènes pénaux dont l'objet est l'atteinte à un système de traitement automatisé de données (STAD) et fait l'objet de la première catégorie. La seconde regroupe les phénomènes qui ont pour vecteur principal un STAD ou ont été facilités par son utilisation, il s'agit de la cyberdélinquance au sens large et la plus fréquente.

Infractions ayant pour objet un système de traitement automatisé de données

Ces infractions visent à porter atteinte aux STAD, comme par exemple le cyber-sabotage. Ces infractions, notamment réprimées par les articles 323-1 à 323-4 du Code pénal, représentent la cyberdélinquance au sens strict. Dans la pratique, cette catégorie est divisée entre :

  • les phénomènes de haute intensité qui se caractérisent par une atteinte aux intérêts fondamentaux de la Nation, une dimension internationale, une haute technicité, ou un nombre important de victimes avérées ou supposées ;
  • les phénomènes de basse intensité qui se caractérisent par l'absence d'atteinte aux intérêts fondamentaux de la Nation ou un degré de complexité moindre.
Infractions ayant pour vecteur principal ou ayant été grandement facilitées par un système de traitement automatisé de données

Elles couvrent l'utilisation d'un STAD qui a grandement facilité la préparation, l'accomplissement ou la tentative d'une infraction principale n'ayant pas pour objet un STAD. Ces infractions mixtes couvrent également la lutte contre les activités illicites sur l'internet sombre (Darkweb).

Phénomène évolutif : les nouveaux métiers de la cybercriminalité

La cybercriminalité ne semble pas connaître la crise, bien au contraire de nouveaux « métiers » fleurissent régulièrement, faisant naître le concept de « Crime as a Service », par analogie avec les services informatiques traditionnels tels que le « Platform as a Service » ou le « Software as a Service ».

Sans prétendre à l'exhaustivité, on peut citer pêle-mêle les locations/ventes d'infrastructures comme des Botnets (réseau d'ordinateurs ou d'objets connectés1 « zombies », sous le contrôle d'un serveur dit Command & Control), de maliciels divers (parfois avec une rémunération au pourcentage sur les sommes dérobées comme certains rançongiciels), des services de Crypter/Packer (augmentant la furtivité des maliciels), de Money mules (personne qui transfère de l'argent acquis illégalement pour le compte de tiers) ou encore de Mixer/Blender (facilitant le blanchiment des cryptomonnaies).

Les cryptomonnaies ont d'ailleurs permis de nombreuses opportunités pour les cybercriminels, que ce soit en les dérobant directement au préjudice des plateformes d'échanges ou des particuliers, mais également en détournant la puissance de calcul de terminaux afin de « miner » des cryptomonnaies au bénéfice de l'attaquant (le Cryptojacking étant le plus gros phénomène en 2018).

Plus original encore, il existe des compagnes de recrutement via des annonces d'emploi pour des administrateurs de Darknets, comme ci-dessous pour Liberty Market  :

Nous cherchons à recruter un membre, homme ou femme, qui possède une bonne orthographe. Vous devrez être familier avec la gestion ergonomique des pages web. il faudra que vous puissiez vous connecter au moins une heure et demie, quatre fois par semaine. Vous serez en charge de la correction des posts du forum et responsable de leur bonne lisibilité. Vous devrez aussi corriger des ouzaines de posts à chaque connexion. Vous aurez votre propre tableau de bord afin que vous puissiez travailler en toute autonomie.

Source : www.ladn.eu

Dans la même veine, on relèvera un service de type « Tag Telegram », où des personnes sont simplement rémunérées pour réaliser des tags dans des zones urbaines prédéterminées, comprenant des indications techniques pour rejoindre une discussion Telegram d'un dealer.

Les malédictions de la cybercriminalité : chiffre noir, brouillard statistique et phénomène du « going dark »

Le traitement judiciaire de la cybercriminalité est rendu plus difficile en raison de plusieurs facteurs, notamment un nombre important d'infractions qui ne sont pas portées à la connaissance de la justice (A), d'une mauvaise évaluation des infractions qui sont connues de la justice (B) et enfin des techniques d'obfuscation de plus en plus élaborées, utilisées par les cybercriminels pour se soustraire aux autorités judiciaires (C).

Le chiffre noir de la cybercriminalité

Certains phénomènes cybercriminels de haute intensité, comme le cyber-espionnage ou le cyber-sabotage, sont peu judiciarisés, du fait de leur nature particulièrement sensibles2. Surtout, la publicité d'une cyber-attaque réussie à l'encontre d'une entreprise peut porter atteinte à sa réputation et sa santé économique. Le règlement européen pour la protection des données personnelles (RGPD) change la donne, dès lors que les violations de données personnelles conduisent à une obligation de notification dans les 72h à la Commission nationale de l'informatique et des libertés (CNIL)3.

Concernant les particuliers, les raisons du chiffre noir sont diverses, du fait d'un caractère parfois imperceptible de l'infraction ou d'un sentiment erroné de l'inutilité de la plainte, souvent couplé à de faibles préjudices matériels. Une meilleure sensibilisation semble nécessaire, d'où l'importance du dispositif national d'assistance aux victimes d'actes de cybermalveillance4.

Le brouillard statistique de la cybercriminalité

A l'absence de définition juridique de la cybercriminalité de laquelle découle une difficulté à déterminer un champ infractionnel précis, s'ajoute la dispersion des infractions concernées au sein de plusieurs catégories de NATAFF5, ne permettant pas d'obtenir des données fines quant aux poursuites.

En effet, certaines infractions peuvent certes être identifiées par la NATINF (Nature de l'infraction), permettant l'exploitation des données du casier judiciaire national, mais elles ne seront être isolées au stade des poursuites dans la mesure où l'exploitation des données du SID6-Cassiopée7 s'effectue principalement par le biais de la NATAFF, nomenclature d'enregistrement des procédures à l'arrivée au parquet8.

La future plateforme THESEE9 (projet porté par le Ministère de l'intérieur) est susceptible d'améliorer la connaissance statistique pour certains phénomènes de cybercriminalité. La récente loi de Programmation pour la Justice (LPJ) insère d'ailleurs de nouvelles dispositions afin d'encadrer la plainte en ligne10.

Le phénomène du « going dark »11, massif en cybercriminalité

La libéralisation du chiffrement a contribué à améliorer sensiblement le niveau global de cybersécurité, mais a provoqué de manière collatérale des difficultés propres aux investigations judiciaires.

La banalisation des applications de messageries instantanées chiffrées avec des protocoles particulièrement robustes comme ceux dits End to end est un défi actuel pour le régime des interceptions judiciaires. De même, la généralisation du chiffrement de type full disk sur les terminaux informatiques, dont les ordiphones, a également rendu délicate l'exploitation forensique. Enfin, les architectures réseaux de type TOR (The Onion Router) participent à l'obfuscation des comportements criminels sur les Darknets.

Demain, la fusion annoncée entre les applications de messageries et les cryptoactifs ne manque pas d'inquiéter les professionnels12.

Une organisation judiciaire en quête de maturité

Seront ici abordés l'organisation judiciaire actuelle ainsi que les relations des acteurs judiciaires avec les acteurs de la cybersécurité.

Constats sur l'organisation judiciaire actuelle

Sans pouvoir détailler ici les multiples compétences territoriales de l'autorité judiciaire en matière de cybercriminalité, il sera souligné le rôle primordial du tribunal de grande instance de Paris bénéficiant depuis la loi du 3 juin 2016 d'une compétence concurrente nationale en matière d'atteintes aux STAD et crime de sabotage informatique13.

Cette réforme a permis de consolider la création en 2015 d'une section dite « F1 » du parquet de Paris dédiée au traitement de certaines affaires de cybercriminalité, notamment les plus complexes. Les effectifs de cette section sont toutefois modestes14. Le constat est plus inquiétant au siège avec l'absence notamment de juge d'instruction véritablement spécialisé. Des dépêches de centralisation du traitement de certains phénomènes de cybercriminalité sont à relever, produites par la mission de lutte contre la cybercriminalité de la direction des affaires criminelles et des grâces (DACG) du ministère de la justice15.

Au-delà, les juridictions interrégionales spécialisées (JIRS) connaissent de plus en plus de contentieux de la cybercriminalité, notamment liée à la criminalité organisée16. Une réflexion est également en cours concernant la pratique des « cyber-référents » dans les tribunaux.

Relations des acteurs judiciaires avec les acteurs de la Cybersécurité

L'administration centrale Direction des affaires criminelles et des grâces (DACG), via la mission précitée, participe aux travaux stratégiques du centre de coordination des crises cyber (C4), instauré suite à la Revue stratégique de Cyberdéfense de février 201817.

La DACG fait également partie du conseil d'administration du GIP (groupement d'intérêt public) ACYMA18 (responsable du site internet cybermalveillance.gouv.fr), participe à plusieurs évènements de cybersécurité comme le Forum international de Cybersécurité (FIC), et collabore à divers groupes de travail interministériel, en liaison avec l'ANSSI19.

Conclusion

La bataille contre la cybercriminalité ne peut se gagner seule et tous les acteurs impliqués doivent joindre leur effort. Le levier judiciaire doit gagner en maturité mais des progrès récents sont à souligner. La coopération internationale est aussi un facteur clé de ce succès, avec l'aide d'entités telles qu'EUROPOL, EUROJUST et INTERPOL. Sur le plan de l'accès à la preuve numérique, les yeux sont désormais tournés vers Bruxelles où se jouent en ce moment les négociations des futurs textes européens « E-EVIDENCE ».

 


 

Citer cet article : MARTINON J., « Les défis du traitement judiciaire de la cybercriminalité », LIREC (n°59 « Les risques et l'environnement numérique »), INHESJ, 2019.

 


 

Crédit photo : Dlanor S - unsplash.com

Pour en savoir plus

Articles parus ou en cours de publication

  • Article relatif à la conférence précitée du 1er juin 2018 d'Aix en Provence, dans la revue Dalloz IP/IT [en cours de publication]
  • Article relatif aux conséquences du RGPD au sein du ministère de la justice, dans la revue Dalloz IP/IT [en cours de publication]
  • Actes du séminaire « Cryptoactifs » organisé le 1er février 2019 (voir infra), revue Dalloz IP/IT [en cours de publication]
  • « Les implications juridiques et technologiques post Safe Harbour », Revue de la gendarmerie nationale, décembre 2016 (p14-20)
  • https://en.calameo.com/read/00271929281c96342ba48

Organisation de séminaires

Notes

  1. Un cas célèbre étant le Botnet issu du maliciel Mirai en 2016, ayant servi à des attaques DDos (Distributed Denial of Service) touchant notamment OVH et Dyn, cette dernière affectant une partie critique d'Internet au niveau de la gestion des services DNS (Domaine Name System).
  2. La doctrine américaine est différente à cet égard, au vu de l'activisme récent du Department of Justice (DoJ).
  3. Voir le cas d'Airbus en janvier 2019.
  4. https://www.cybermalveillance.gouv.fr/
  5. « Nature de l'affaire » : codification utilisée lors de l'enregistrement au Bureau d'Ordre des tribunaux. L'enregistrement est en général fait par des agents du Bureau d'Ordre, et ne correspond pas à une qualification juridique fixée par un magistrat.
  6. SID : Système d'information douanier
  7. Cassiopée : Chaine Applicative Supportant le Système d'Information Oriente Procédure pénale Et Enfants
  8. Seuls les postes NATAFF B81 Entrée ou maintien irrégulier dans un système informatique et B82 Dégradation, destruction ou vol de données ou de fichiers informatiques, correspondant aux atteintes aux STAD, sont susceptibles d'être exploités utilement, mais renvoient à une acception extrêmement étroite de la cybercriminalité.
  9. THESEE : Traitement harmonisé des enquêtes et des signalements d'e-escroqueries
  10. Nouvel article 15-3-1 du code de procédure pénale.
  11. Cette expression d'origine militaire fait référence à la perte soudaine des communications de l'adversaire pouvant être analysées, au profit de moyens de communications indétectables.
  12. Voir le lancement du réseau Telegram Open Network (TON) et la cryptomonnaie Gram par l'entreprise TELEGRAM, annoncé pour le dernier trimestre 2019, suite à une levée de fonds de 1,7 milliards de dollars.
  13. Nouvel art. 706-72-1 C. proc. pén.
  14. Actuellement deux magistrats, ainsi qu'un assistant spécialisé et un greffier.
  15. Dépêches des 10 mai 2017 et 22 juin 2018 concernant d'une part la mise en œuvre opérationnelle de la compétence nationale concurrente du parquet de Paris en matière d'atteintes aux systèmes de traitement automatisé de données (STAD) et le traitement judiciaire des "rançongiciels", et d'autre part la centralisation du traitement des "fraudes aux réparations informatiques".
  16. Ex : le démantèlement de la Main noire, une plateforme du Darknet.
  17. http://www.sgdsn.gouv.fr/evenement/revue-strategique-de-cyberdefense/
  18. ACYMA : Action contre la cybermalveillance
  19. ANSSI : Agence nationale de la sécurité des systèmes d'information

Derrière cet article

Jacques Martinon En savoir plus

Jacques Martinon

Fonction Chargé de cours à Science-Po Paris
Discipline Droit public