Avenir
     Géopolitique

Cyber-Répression

Lutte et répression contre la cybercriminalité

Hack + Activism = Hacktivism, mais si ces acteurs là bénéficient de ma part d'indulgence, voire de soutien lorsque leurs actions ne polluent pas et ne détruisent rien, mais contibuent à l'information du public et à participent hacktivement au respect de l'individu, il n'en est pas de même de la part des états. Un grand nombre de campagnes ont été conduites, la surveillance du Net s'intensifie et le petit pirate ou le grand pollueur du Web, ainsi que les hacktivistes nobles et talentueux seraient tout de même bien mal inspirés de négliger la répression anti-cybercriminels !

Il est important de connaître ce qui est mis en place... et de relativiser, car à mon sens le Net et les systèmes d'information sont loin d'être des bastions imprenables :-)

L'Europe avec l'ENISA, considérant qu'avec l’expansion d’internet, la cybercriminalité est devenue une menace pour l’économie mondiale a organisé depuis les années 90 et intensifié ses recherches et publié de nombreux decrets pour lutter contre la cybercriminalité.

Cette lutte englobe de nombreux sujets : Protection des enfants, notamment la pédopornographie Confiscation des produits du crime, Interception des télécommunications, crime organisé, protection des données à caractère personnel, la diffusion de messages à caractère raciste, le piratage d'oeuvres d'auteurs, musique etc. Les escroqueries à la carte bancaire sont classées danger numéro un :

"Le ministère de l'Intérieur a rendu publique une étude sur la criminalité liée aux nouvelles technologies. Elle distingue les crimes informatiques, de type piratage, et les escroqueries facilitées par les nouvelles technologies.

Le préjudice global est estimé à plusieurs dizaines de millions de francs, les commandes frauduleuses constituant la grande majorité des problèmes."

Sont rarement spécifiées, mais sont l'une des principales cibles des cyberflics : Les actes d'intrusions et récupération de données, messages informatifs ou contestataires effectués par les Hacktivistes !

Toutes ces actions gouvernementales, dont certaines ne sont pas rendues publiques ne sont pas toujours en accord avec le droit fondamental, même le parlement européen le souligne !

Citation :

"Une lutte efficace contre la cybercriminalité requiert l’utilisation de techniques d’enquête nouvelles et la surveillance générale d’internet.

Cependant, ces nouvelles méthodes d’investigation et de contrôle des systèmes d’information se révèlent être attentatoires aux droits fondamentaux, en particulier au droit à l’anonymat et à la liberté d’expression.

Le Parlement considère qu’un équilibre doit être trouvé entre la protection des droits fondamentaux d’une part et la lutte contre la cybercriminalité d’autre part : il estime que la liberté de chacun ne doit pas servir de prétexte pour porter atteinte à l’intégrité des systèmes d’information ou pour diffuser des messages à caractère illicite. La lutte contre la criminalité ne doit pas non plus devenir l’occasion de restreindre les droits des citoyens dans le «cybermonde» naissant."

Il est bien évident que cela pose un problème d'éthique et de respect du droit, car par cybercriminels on englobe nombre d'acteurs dont les actes sont aussi disparates en faits qu'en gravité !

Entre lois et réalité

Les dispositions européennes peuvent se résumer ainsi, et l'on notera que le G8 s'est penché sur le sujet !

Le parlement a, entre autres, pris ces dispositions:

La convention sur la cybercriminalité du Conseil de l’Europe a voulu moderniser et harmoniser les législations nationales en les adaptant à l’univers informatique. Elle instaure en particulier :

• Une conservation rapide des données. Ce procédé implique pour le détenteur des données, notamment pour les fournisseurs de services, d’archiver celles-ci et de les protéger contre tout ce qui pourrait les altérer
• Une injonction de produire les données. Il s’agit d’une demande émanant des autorités répressives, destinée au détenteur afin que celui-ci leur communique les données
• Une divulgation rapide des données. Cette obligation consiste, au moment de l’injonction de conserver des données, en la communication par un détenteur d’éléments permettant aux autorités de connaître d’autres détenteurs potentiels de données
• La possibilité d’effectuer une perquisition et une saisie des données
• Une collecte des données. Il s’agit de donner aux autorités répressives la possibilité de demander à un fournisseur de services de procéder à une interception des données à des fins de copie

Cette convention instaure une coopération très large entre les autorités répressives des différents États signataires. Cependant, elle laisse la possibilité aux États de refuser une demande d’entraide dans plusieurs hypothèses :

• si l’infraction concernée est politique
• si son exécution est susceptible de provoquer un trouble à l’ordre public
• si elle ne répond pas aux exigences de la double incrimination

La convention renvoie également aux droits nationaux pour permettre à un État de refuser une demande. Elle autorise notamment un pays à ne pas donner suite à une demande d’interception des données relatives au contenu, même si cette technique est prévue par la législation interne.

Pour améliorer l’entraide entre les différents États, le G8 a mis en place un réseau d'information en matière de lutte contre la cybercriminalité accessible 24 heures sur 24. Le Conseil a adopté, dès juin 2001, une recommandation dans laquelle il demande aux États qui ne participent pas au réseau d’y adhérer. Les principes de ce réseau ont été adoptés lors de la réunion des ministres de la justice et des affaires intérieures à Washington DC les 9 et 10 décembre 1997. L’objectif de ce projet est d’établir une structure destinée à traiter très rapidement les différents types de criminalité liés à la haute technologie.

Sur le site Europa sont publiés les avis et décrets, il est important d'en prendre connaissance.

La peste numérique :-p

Le plan anti cybercriminalité du gouvernement français

Dominique de Villepin, ministre de l’Intérieur, et Thierry Breton, ministre des Finances ont présenté un lot de mesures destinées à lutter contre la cybercriminalité.

Pour le gouvernement, cette peste numérique est l’un de ses «six chantiers prioritaires» pour accroître la sécurité de tous. «L'Internet est un espace de liberté qui est devenu le prolongement du monde réel et peut notamment être utilisé pour commettre tous types d'actes délictuels.» Tout y passe dans l'introduction de cette présentation : la vente de médicaments interdits ou sans ordonnance, pédophilie, terrorisme, prostitution, PC zombie dopé au virus, piratage, xénophobie, désinformations et diffamation de personnes, escroquerie, etc.

De ce méli-mélo, quelles sont les mesures vraiment adoptées pour rendre le Net français propre ?

En juin 2005 le Parlement français a adopté la convention internationale sur la cybercriminalité. Le texte facilite les procédures et les poursuites d'un pays signataire à l'autre.

"Accès illégal à un système d'information, interception, destruction ou altération de données informatiques, atteinte au fonctionnement d'un système informatique, diffusion de logiciels de piratage, trafic de mot de passe, pornographie infantile sur Internet... Dans la convention sur la cybercriminalité du Conseil de l'Europe, datant du 23 novembre 2001, tous ces actes sont reconnus comme des infractions pénales. Ce qui implique que leurs auteurs seront poursuivis et punis par la quarantaine de pays signataires. Dont la France, où le texte est entré en vigueur le 23 mai dernier, en même temps qu'un protocole additionnel à cette convention.

Ce deuxième texte pénalise spécifiquement les actes de racisme, xénophobie, antisémitisme et négationnisme commis sur Internet. Certains pays, comme les Etats-Unis qui invoquent le premier amendement à leur constitution protégeant la liberté d'expression, ne voulaient en effet pas signer la convention si cette catégorie de cybercrime y était incluse. D'où un texte à part pour ceux que cela intéressaient malgré tout...

Le Parlement français a voté le 19 mai un projet de loi faisant entrer les dispositions des deux textes en droit français. Le but : harmoniser ce que recouvre la notion de cybercriminalité et faciliter les procédures et la coopération internationale en vue de poursuites judiciaires. «C'est le seul texte international, aujourd'hui, à peu près bien ficelé sur la cybercriminalité», estime Mathieu Lerondeau du Forum des droits sur l'Internet. Le texte prévoit notamment une procédure d'extradition simplifiée entre Etats signataires, dans la mesure où l'infraction commise est punie d'au moins un an de prison dans le pays qui demande l'extradition. Il permet la mise en place de points de contact dans chaque pays, qui fonctionnent comme un réseau d'échange d'informations. Chacun d'eux recueille ainsi des preuves pour le compte d'un autre et les lui communique.

Conservation des données personnelles pendant trois mois

Concrètement, un pays peut demander, pour ses propres besoins judiciaires, des données d'identification à un autre pays. Par exemple, pour un cas de phishing contre des banques françaises. Si le message électronique à l'origine du phishing a été expédié depuis un pays membre de la convention, la France peut demander que la justice de ce pays ordonne la conservation de données au fournisseur d'accès, afin de remonter à l'expéditeur. La conservation de données est d'ailleurs un point délicat de la convention.

«Le texte avait été contesté, reconnaît Matthieu Lerondeau. On disait qu'il ouvrait la voie à des comportements privatifs de liberté.» Le titre 2 de la convention est ainsi consacré à la «conservation rapide de données informatiques stockées». Là encore, il s'agit d'alléger les procédures. «Jusque-là, les Etats avaient besoin d'une commission rogatoire internationale. Tout cela pouvait aller très très lentement, jusqu'à trois mois, soit le temps moyen de conservation dans certains pays.» Avec la convention, la demande d'un pays est quasi-immédiatement suivie d'effet. Le pays sollicité peut faire geler des données, auprès d'un prestataire technique, pour un maximum de trois mois pour les besoins d'une enquête.

Pas de grandes surprises quant aux infractions recensées, cependant. La plupart sont déjà prévues dans le droit français. «Et il n'est pas sûr que le spam rentre dans le cadre, estime Matthieu Lerondeau, sauf s'il y a atteinte à l'intégrité d'un système ou une intrusion.»

Autre limite, les délais de ratification. Signée en novembre 2001, la convention n'a pour l'instant été ratifiée que par onze pays, la France étant le dernier en date. Les Etats-Unis et le Canada n'en font toujours partie. Et les premières entrées en vigueur ne date que de juillet 2004 (pays Baltes, Albanie). C'est encore plus limité pour le protocole sur le racisme, puisque trois pays seulement l'ont ratifié.»

Concernant ce dernier paragraphe : Faut-il en conclure que le racisme et la ségrégation entraînant comme on le sait, entre autres l'exclusion du monde du travail, est considérée comme moins grave que télécharger une musique ?

La dérive, les abus, le dérisoire

La perquisition d'un ordinateur hébergé à l'étranger nécessite des démarches incompatibles avec le niveau de réactivité nécessaire. La menace planant sur le Wild Wide Web est aujourd'hui suffisamment sérieuse pour que soit convoquée une conférence du G8, intitulée Sécurité et confiance dans le cyberespace.

"Plutôt que l'instauration d'un cybergendarme du Net, on prône à Paris un renforcement de la coopération entre les instances existantes. Pas question d'obliger un fournisseur d'accès français à répondre aux injonctions du FBI", expliquait-on sous couvert d'anonymat lors d'une réunion préparatoire. Et de mettre en avant le besoin de protection de la vie privée que remet en cause le pistage des internautes et l'utilisation non contrôlée des informations personnelles.

Une préoccupation louable mais bien tardive. La libéralisation de la cryptographie en France n'est en effet toujours pas achevée.

Etats-Unis juin 2005

Un petit Western ?Paru sur ZDnet

La CIA conclue une grande manœuvre électronique pour contrer les vils cyber terroristes. L'excellent blog Cyber police revient sur une petite sauterie organisée par les services secrets de l'Oncle Sam, La Central Intelligence Agency. Baptisée "Horizon Silencieux" cette manœuvre, qui a durée 72 heures, a permis de tester les capacités de détection et de protection contre des attaques informatiques. Des attaques comparables aux attentats du 11 septembre 2001.

Le scénario était le suivant : "2010. Des organisations anti-américaines, parmi lesquelles se trouvent des pirates anti-mondialistes, mènent des actions cybernétiques contre les intérêts états-uniens." Pourquoi dater la simulation en 2010 ? Chaque jour l'Oncle Sam se fait attaquer. Résultat de ce grand jeu de rôle ? Vous n'avez qu'à bosser à la CIA et vous le saurez !

Américains et russes s'allient contre les cybercriminels

Dans une opération commune le FBI et le Ministère de l'Intérieur Russe ont stoppé un groupe d'internautes ayant diffusé des images pornographiques et pédophiles. Les images étaient fabriquées dans la ville de Nizhniy Novgorod. Elles étaient ensuite envoyées à Moscou, où le chef du groupe, un homme de 23 ans, les diffusait sur Internet. Les deux entités judiciaires continuent à traquer les membres de ce réseau.

S'ils pouvaient aussi, en sus, s'allier pour «sauver la planète»

Site Down, l'opération anti piratage mondiale a montré de bien piètres résultats !

Site Down, voilà le nom de la vaste opération qui secoue une partie de la planète. L'action s'est déroulée sur une dizaine de pays afin de mettre la main sur plusieurs groupes de pirates. Ont été mises à contribution les autorités australiennes, belges, canadiennes, françaises, allemandes, danoises, israéliennes, portugaises, néerlandaises, britanniques et américaines.

On reproche aux personnes recherchées, entre autres méfaits, d'avoir mis en circulation des films dont le dernier épisode de la Guerre des Etoiles, des jeux et des logiciels On ne sait jamais très bien comment les estimations se font, mais l'on évoque ici un chiffre de 50 millions de dollars de préjudice.

Pour mener à bien ses investigations, le ministère public de San Francisco explique que le FBI a mis en place des serveurs pièges. En somme, des serveurs qui comptent pour du leurre : l'enjeu fut d'inciter les indélicats à stocker quelques œuvres pirates bien au chaud. Il fut alors bien plus aisé de remonter à la source et de constituer un lot de preuves.

Dans le lot des groupes visés, on évoque RiSCISO, Myth, Tda, Lnd, Goodfellaz, Hoodlum, Vengeance, Centropy, Wasted Time, Paranoid, Corrupt, Gamerz, AdmitOne, Hellbound, Kgs, Bbx, Khg, Nox, Nfr, Cdz, Tun et Bhp. Quatre personnes ont été interpellées aux Etats-Unis, ce qui est relativement faible face à l'ampleur de l'opération qui a concerné plusieurs états fédérés. Rappelons que Georges deubeuliou Bush a signé le mois dernier une loi qui permet une sanction de dix ans maximum pour ceux ou celles qui auront distribué un film ou une chanson avant sa sortie commerciale !

Justice ou exemples ?

On voit depuis trois ans publiés des verdicts accompagnés de sanctions pénales aussi injustes que partiaux : Les mêmes peines de prison infligées à un pirate de musique ou un lamer notoire ayant infecté le Net de virus et autres vermines destructrices...

Cela laisse perplexe quant à la mise en place effective et efficace d'une certaine sécurité. C'est honteux, en contradiction avec le bon sens commun, et pour le moins ridicule !

Malicia

---