Le développement des nouvelles technologies de l’information, de la communication et de la vulgarisation de l’internet a provoqué des bouleversements majeurs, tant au niveau de la communication à l’échelle mondiale, qu’au niveau du droit applicable.
Cependant, face aux nouveaux enjeux de cybercriminalité, en RDC, la poursuite et la répression de cette forme de criminalité moderne rencontre des nombreux obstacles à cause de droit pénal obsolète qui est vieux de plus de quarante ans et qui malgré de multiples lois additionnelles, le législateur n’a toujours pas pensé en cette matière. Il serait mieux que le législateur régule cette matière afin de prévenir le pire pouvant survenir dans le cybermonde.
L’internet connut indubitablement comme étant un accélérateur de progrès, est également un des plus gros vecteurs de commission des comportement criminels avec plusieurs nouvelles variétés telles que : les accès et maintiens frauduleux dans un système informatique (le système de paiement), les atteintes aux données informatiques nées de la technologie internet et d’autres infractions classiques commises à travers l’espace virtuel. La cybercriminalité a trouvé dans les services bancaires informatisés un terrain fertile afin de s’étendre dans le monde et en particulier au Congo dont le législateur n’a toujours pas légiféré sur la cybercriminalité.
L’irruption de ce nouveau phénomène criminel dénommé cybercriminalité, ces agissements sont susceptibles d’entrainer une perte financière considérable au sein d’un système économique et financier d’un Etat. Cette menace qui fait peser la cybercriminalité sur le secteur financier et économique suscite désormais une attention élevée et un contrôle permanent.
Cependant, dans le domaine financier, c’est évidement la crainte de détournements massifs, de vols de données ou d’atteintes majeures à la continuité d’activité des établissements qui préoccupent les régulateurs des banques, de même que les conséquences systématiques que pourraient avoir de telles attaques. L’enjeu est majeur car le secteur financier joue un rôle clé dans le fonctionnement de l’économie, au point que l’atteinte d’un établissement pourrait avoir des conséquences néfastes sur les opérations économiques courantes d’un pays entier.
La cybersécurité est un système d’information permettant de résister à des évènements issus du cyberespace, susceptible de compromettre la disponibilité, l’intégralité ou la confidentialité des données traités et stockées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
La cybersécurité fait appel à des techniques de sécurité des systèmes d’informations et d’appui sur la lutte contre cybersécurité et la mise en place d’une cyberdéfense.
La cybercriminalité et les actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux sociaux ou les systèmes d’information comme moyens de réalisation d’un crime ou un délit, ou les ayant pour cible.
Dans la ville de Kinshasa, les banques opèrent des transactions financières électroniques et offrent à leurs clients des cartes prépayées pour la monnaie électronique sans oublier des opérateurs téléphoniques : Airtel money, Orange, Mpesa. Dans le contexte actuel, les banques sont dotées d’ordinateurs et ont informatisé leurs services, ce qui a créé une réforme de l’activité des banques dans le fait de l’offre des produits [1].
Cependant, les services bancaires informatisés n’ont pas eu que des effets positifs.
Il en résulte aussi des effets négatifs dont l’espace numérisé qu’offrent les NTIC notamment l’internet, est de plus en plus le lieu pour commettre des agissements répréhensibles de toutes sortes, attentatoires tant aux intérêts des particuliers qu’à ceux de la chose publique.
Le législateur congolais dans le souci de moderniser le cadre légal du système de paiement et des instruments de paiement a promulgué la loi numéro 18/019 du 9 juillet 2018 relative aux systèmes de paiement et de règlement titres qui contient des dispositions pénales en vue de la protection de ceux-ci « Système de paiement et instruments de paiement ». En principe, seule la loi crée les infractions et détermine les peines qui leur sont applicable [2].
En vertu du principe « nullum crimen, nulla poena sine lege », il est de notoriété publique que la République Démocratique du Congo est devenue un bastion de toutes sortes d’escroqueries et d’insécurité financière (transfert imaginaire de fond, fausse loteries, faux et usages de faux). Il s’avère que le pays de Lumumba n’a pas une législation spécifiquement bâtie pour une lutte contre la cybercriminalité. La législation congolaise est suffisamment dense pour y trouver de quoi condamner certaines infractions liées aux nouvelles technologies « face aux nouveaux enjeux de cybercriminalité », le décret du 30 janvier 1940 portant le Code pénal congolais n’est pas totalement dépassé parce que plusieurs textes plus récents renforcent l’arsenal législatif sans toutefois être consacrés spécifiquement a la question.
C’est le cas de l’ordonnance de 1987 sur l’informatique au Zaïre, qui prévoit par exemple de punir tout vol ou destruction, partielle ou complète, de la « banque de données de l’Etat » de même la loi du 16 octobre 2002 sur les télécommunications punies par les intrusions dans les correspondances électroniques.
Mais face à l’évolution rapide des technologies et des techniques des cybercriminels qui vont de pair. Certains chercheurs estiment que les lois congolaises sont dépassées.
L’étude se borne de réfléchir premièrement sur le système de finance et économique à l’épreuve de la cybercriminalité (I), puis L’ analyse des aspects spécifiques et originaux de la fraude liée a l’informatique (II).
I. Le système de finance et économique à l’épreuve de la cybercriminalité.
L’évolution de l’internet a ouvert de nouvelles perspectives de nuire qui ont pour conséquence d’occasionner d’énormes pertes financières et de mettre en difficulté le système économique et financier d’un Etat [3].
A ce niveau, non seulement il faut ressortir les dispositions pénales relatives aux atteintes aux systèmes de paiement (A), mais aussi celles relatives aux atteintes aux cartes de paiement, aux instruments et aux procédés électroniques de paiement contenues dans la loi numéro 18 /019 du 09 juillet 2018 (B).
A. Les infractions spécifiques aux systèmes de paiement.
Avant de pouvoir examiner différentes atteintes aux systèmes de paiement, il convient préalablement de définir la notion du système de paiement en droit congolais (1) Afin de dégager différentes dispositions pénales les consacrant (2).
1. Notions sur le système de paiement en droit congolais.
Une définition légale doit être présentée premièrement, enfin de dégager l’importance de celui-ci.
Définition légale.
L’article 3 point 35 de la loi sous examen définit le système de paiement comme un : « Système permettant de transférer des fonds, régi par des procédures formelles standardisées et des règles communes pour le traitement, la compensation ou le règlement d’opérations de paiement » [4].
En définitive, au regard cette définition, il y a lieu de conclure qu’un « système de paiement couvre l’ensemble des instruments, organismes et procédures ainsi que les systèmes d’information et de communication utilisés pour donner des instruments et transmettre, entre débiteurs et bénéficiaires, des informations sur les paiements et procéder leur règlement » Il peut désigner à la fois un système, tel que défini précédemment, ou, au niveau national, l’ensemble constitué par les instruments de paiement, les infrastructures, les établissements, les conventions, les lois, etc... permettant le transfert des fonds.
L’importance d’un système de paiement.
Les activités de paiement repose sur des arrangements facilitant les transferts des fonds entre les participants (les intermédiaires qui se connectent directement à l’opérateur central entre eux) ce sont ces arrangements, inclus les réseaux qui relient les participants, les systèmes de transmission des messages ainsi que l’infrastructure des contrats, de règles et de procédures, qui constituent un système de paiement
Etant donné que des systèmes de paiement sûrs et efficients sont essentiels au bon fonctionnement d’un système financier puisque leur solidité représente une préalable clé au maintien et au renforcement de la stabilité financière, ils ont une fonction commune de transferts de fonds ou de titres et constituent une partie vitale de l’infrastructure économique et financière d’un pays - il y a en effet lieu de noter que les opérations financière (crédits, de changes etc.) [5] et monétaires se réalisent par l’entremise des banques et autres institutions financière [6] d’où la RDC a annoncé depuis 2002 un vaste chantier de réforme du secteur financier national, étant entendu qu’un système financier performant contribue efficacement à la croissance économique l’un des volets de cette réforme est la modernisation des systèmes de paiement.
Puisque le système de paiement congolais évoluait autrefois dans un cadre juridique et institutionnel inadapté au regard des évolutions de l’environnement financier international et des attentes de différentes parties prenantes notamment en termes d’élargissement de l’éventail des instruments et services de paiement, de qualité et de réduction des coûts des services de paiement ainsi que de sécurité des opérations de paiement par voie scripturale ou par voie de monnaie électronique, les services financiers sont de plus en plus accessibles grâce aux opérateurs téléphoniques et le paiement mobile connait une explosion spectaculaire.
C’est dans cette vision que le législateur s’est doté d’une loi organisant le fonctionnement de ce système puisque celle-ci vise combler ces insuffisances qui entravent le développement harmonieux du secteur financier et introduit des innovations majeures se rapportant, d’une part, au fonctionnement du système de paiement électronique conformément à l’article 1er de la dite loi qui dispose que « la présente loi fixe les règles relatives aux systèmes de paiement et de règlement titres en République Démocratique du Congo » et d’autre part, aux instruments de paiement, conformément aux dispositions des articles 122 points et 10 et 202 points 14 de la constitution.
Il faut également signaler que le développement économique repose de façon cruciale sur l’infrastructure qui rend les interconnexions entre les acteurs efficientes, stables et fiables, cette infrastructure est constituée par l’ensemble des systèmes techniques, institutions, règles et procédures définissant le champ d’action au sein duquel les acteurs négocient et opèrent des transactions commerciales et financières.
A ce jour, la cybercriminalité n’a pas de définition légale qui soit véritablement établie. L’Organisation des Nations Unies la définit assez largement comme étant « tous faits illégaux commis au moyen d’un système, d’un réseau informatique ou en relation avec un système informatique » [7]. Alimentée par l’explosion du numérique ainsi que la démocratisation de l’accès à l’informatique, cette forme de délinquance est encadrée juridiquement en France depuis la loi relative à l’informatique, aux fichiers et aux libertés du 6 janviers 1978.
La criminalité informatique est polymorphe et touche aussi bien les Etats que les entreprises et les particuliers au niveau mondial.
Aujourd’hui, l’impact économique de la cybercriminalité est colossal puisqu’en 2018 son coût a atteint 600 milliards de dollars à travers le monde, soit 0,8% du produit intérieur brut (PIB) mondial [8]. Les cyberattaques se diversifient tout en se complexifiant, amplifiant leurs conséquences financières.
II. Analyses des aspects spécifiques et originaux de la fraude liée a l’informatique.
Le développement des nouvelles technologies rend plus complexe les traitements judiciaire des infractions de toute nature. Cela est dû principalement au fait que les instruments juridiques à la disposition des pays pour y faire face sont divers et ont été touchés par ce phénomène de façon différente. Certains faits pouvant être commis hors du territoire national ou s’inscrivant dans un contexte plus large de criminalité organisée et rendent parfois l’indentification des auteurs difficile [9] il n’en reste pas moins que la fraude liée l’informatique présente les mêmes caractéristiques technologiques et est liée aux mêmes questions fondamentales.
Il est évident que la condition première de l’existence de la fraude liée à l’informatique est l’apparition des technologies de l’information et des communications et de leur diffusion dans tous les secteurs de l’activité économique, mais également la création de nouvelles valeurs économiques susceptibles d’être commercialisées.
Les enjeux liés à l’internet sont multiples car ce dernier doit prendre en compte en même temps la protection des droits fondamentaux et des libertés individuelles et prendre en compte la responsabilité des intermédiaires techniques, leurs compétences et leurs lois applicables au regard du droit international. La question de propriété et plus particulièrement du droit d’auteur, de droit à l’information, de droit à la vie privée est apparue dès le début de la presse.
Un milieu technologique et sociologique commun.
Le délinquant « informatique » utilise une connaissance et ses compétences à manier une technologie nouvelle. Dès lors, se pose le problème d’un nouveau type de délinquant qui s’apparente au vu de son statut social au délinquant à col blanc.
L’une des conséquences de l’apparition de cette technologie a été l’émergence de services fondés sur l’information. Dès lors, le développement de cette industrie est tributaire de la prestation qui sera accordée à l’information qui en est sa matière première. L’information, base et objet de transactions commerciales, devient dès lors une valeur économique, comme les conséquences de ce phénomène n’ont pas encore fait l’objet d’une analyse globale, les règles et le choix de la protection (pénale ou civile) à accorder sont incertaines.
La question de la criminalité d’une telle protection a été partagée par la plupart des pays, d’autant plus que les raisons avancées pour ce faire peuvent être différentes (politique pour développer une industrie naissante ou politique pour protéger des valeurs économiques).
Les atteintes au système informatique.
La cybercriminalité est une notion polymorphe qui peut concerner les infractions classiques commises par le biais des nouvelles technologies, comme de nouvelles infractions, nées de l’essence même de ces nouvelles technologies.
Aujourd’hui, cette menace se fait de plus en plus insidieuse, les enjeux n’en sont plus les mêmes, et elle devient un risque majeur, en particulier pour des acteurs donc les réseaux susceptibles de contenir des informations monnayables, comme les entreprise ou les Etats, qui présentent l’avantage de fournir des blocs entiers d’informations potentielles, contrairement au piratage d’entités individuelles.
En effet, de plus en plus, la cybercriminalité, à l’origine conçue comme une succession de défis à la sécurité des réseaux, qualifiée de proof of concept par nombreux auteurs [10] se teinte d’une coloration mafieuse, donnant naissance à de véritables « marchés noirs » d’informations piratées, allant des atteintes la propriété intellectuelle et artistique au vol de données, nous avons choisi d’analyser les atteintes que subissent les structures comme les entreprises ou les états.
Menaces contre les entreprises.
Les entreprises, avec l’avènement du commerce électronique et les transactions effectuées en ligne, sont sujettes à de nombreux fléaux. Nous examinerons seulement deux menaces parmi la foule de risques qu’encourent les entreprises. En effet, le hameçonnage est tout d’abord une usurpation de l’entreprise qui peut en souffrir (A) Ensuite, l’entreprise est particulièrement touchée par le vol de ses données par le biais des nouvelles technologies de l’information et de la communication (B)
- Le hameçonnage, une forme d’usurpation d’identité.
L’usurpation de l’identité d’une entreprise existe depuis longtemps déjà en effet, la contrefaçon ou l’usage d’un nom de domaine semblable une entreprise sont des techniques qui portent atteinte sa propriété intellectuelle. Cependant, l’internet et la multiplication des transactions en ligne a amené les cybercriminels à développer une nouvelle technique pour usurper l’identité de l’entreprise : le hameçonnage.
Le hameçonnage, traduit de l’anglais piching, désigne métaphoriquement le procédé criminel de vol d’identité par courriel. Il s’agit « d’aller à la pêche de renseignements personnels dans un étang d’utilisateurs internet sans méfiance » [11] pour l’Office québécois de la langue française, le hameçonnage peut être défini ainsi : envoi massif d’un faux courriel, apparemment authentique, utilisant l’identité d’une institution financière ou d’un site commercial connu, dans lequel on demande aux destinataires, sous différents prétextes, de mettre à jour leurs coordonnées bancaires ou personnels, en cliquant sur le lien menant vers un faux site web, copie conforme du site de l’institution ou de l’entreprise, ou le pirate récupérer ces informations, dans le but de l’utiliser pour détourner des fonds son avantage.
L’apparence d’authentique est la difficulté qu’il faut soulever. En effet, il s’agit d’une véritable usurpation d’identité de l’entreprise ou de l’organisme qui a elle-même pour but l’usurpation de l’identité du destinataire.
Cependant, il faut distinguer le hameçonnage qui désigne un moyen d’escroquerie par internet de l’usurpation de l’identité de l’entreprise par internet de l’usurpation de l’identité de l’ entreprise, le hameçonnage n’a pas pour finalité d’usurper l’identité de l’entreprise, il s’agit d’un moyen pour escroquer les clients de cette dernière. Les entreprise souffrent de ce type de procédé. En effet, l’usurpation a lieu à deux niveaux.
Tout d’abord, il y a usurpation de la marque de l’entreprise, puisque le but du hameçonnage est de créer l’illusion de cette entreprise. Ensuite, il y a usurpation de l’interface du site web de l’entreprise, puisque pour amener les destinataires à croire dans l’identité de l’entreprise, l’apparence du site web sera recréée comme appât cette usurpation d’interface peut même aller jusque la copie de l’identité de l’adresse internet.
- Vol d’informations sensibles [12].
Au-delà du risque constitué par l’usurpation de leur identité, les entreprises sont particulièrement vulnérables à travers leur interface internet à plusieurs niveaux.
En effet, plusieurs de données peuvent faire l’objet d’attaques, principalement dans une perspective de vol de ces données. Parmi les données les plus sensibles selon nous, se trouvent les données techniques relatives aux innovations de l’entreprise, et les données à caractère personnel de leurs clients, qui par exemple ont pu fournir leur numéro de carte bancaire lors d’une opération de commerce en ligne. Les motivations des attaquants sont diverses, puisque les attaques peuvent provenir de l’intérieur même de l’entreprise, comme de l’extérieur.
Il convient ici d’identifier les localisations des données sensibles pour savoir comment et par quels chemins elles sont accessibles. Une entreprise de commerce en effet, au-delà de son interface en ligne accessible sur le réseau internet, réseau fermé interne à l’entreprise. En général les informations sensibles ne seront pas accessibles à tous mais seulement un nombre restreint de personnes, principalement employés de l’entreprise, et elles seront donc à cet effet placées sur l’intranet. Or, entre l’intranet et l’internet des communications sont possibles, des passerelles peuvent exister, ce qui représente un danger pour ces données.
D’abord, et dans une perspective « traditionnelle » le vol d’informations peut se faire par des voies internes, ainsi un employé de l’entreprise cible peut se voir contacter par les pirates pour délivrer ses informations de connexion à l’intranet de l’entreprise, en échange d’argent le plus souvent. Un employé de cette même entreprise peut être lui-même le pirate, auquel cas il se servira de ses propres codes d’accès s’il a un niveau de responsabilité suffisant pour accéder aux informations sensibles stockées sur le réseau.
On retrouve souvent cette configuration dans le cas d’employés licenciés, qui savent qu’ils vont quitter l’entreprise et nourrissent un certain ressentiment à son égard, ou d’anciens employés qui bien que n’appartenant plus l’entreprise, possèdent toujours leurs autorisations d’accès et en usent à mauvais escient.
A son insu, un employé peut également être victime d’espionnage, si des logiciels malveillants sont installés sur son ordinateur personnels dont il se sert pour accéder au réseau interne de l’entreprise par exemple, ou il peut être piégé par des techniques telles que le hameçonnage précédemment décrit qui vont l’induire en erreur et l’amener à révéler ses informations d’accès. Le vol d’information peut également être commis de manière plus nouvelle, par des voies externes, principalement par le biais d’internet.
Ainsi, les pirates peuvent s’infiltrer par des portes laissées ouvertes dans le réseau, et accéder ainsi aux informations qu’ils recherchent. Ils peuvent également utiliser des logiciels malveillants qui vont leur permettre de répliquer les autorisations d’accès en falsifiant les certificats afin de passer au travers des différentes étapes de sécurisation, qui sont d’autant plus efficaces qu’elles sont nombreuses et variées.
Ensuite, des pirates peuvent vouloir lancer des attaques pour voler des informations relatives l’innovation, c’est ce qu’on qualifiera d’espionnage industriel. Comme l’espionnage industriel traditionnel, le but des pirates, qui vont se trouver à la solde d’un concurrent ou à la solde du plus offrant, est de voler l’innovation technique de la cible, en restant le plus discret possible afin de l’égaler sinon de le doubler. Des informations de la plus haute importance peuvent se trouver sur les serveurs du réseau de l’entreprise, et même si ces informations ne sont pas directement en ligne ou ne l’ont pas été que pour une période brève, les pirates ont plusieurs moyens d’y accéder. Ils peuvent suivre les chemins qui ont été précédemment ouverts grâce aux caches ou grâce à la négligence humaine.
Enfin, les pirates peuvent vouloir s’attaquer aux données concernant la clientèle de l’entreprise cible.
Menaces contre les Etats.
- Le cyberterrorisme.
Parmi les menace liées aux nouvelles technologies de l’information et de communication, une sorte de crime se démarque par sa dangerosité et sa complexité le cyber terrorisme.
Parler de cyber terrorisme est cependant assez délicat, puisqu’il s’agit d’une notion émergente dont la conceptualisation est assez complexe [13] pour Benoit Gagnon, le cyber terrorisme peut définir comme « une attaque préméditée et politiquement motivée contre l’information, les systèmes informatiques, les logiciels et les données, résultant ainsi en une violence contre des cibles non combattantes » [14].
Le cyber terrorisme se caractérise également par la virtualité des attaques, à la différence d’attaquer physiquement des serveurs informatiques, avec des bombes par exemple comme c’est le cas pour le « technoterrorisme » il faut aussi différencier le cyber terrorisme de l’« hacktivism » fusion entre les notions de hacking et d’activism, qui désigne l’utilisation du piratage informatique dans une fin politique. La frontière est alors très mince, se situant dans la mens rea de l’attaque informatique.
Le cyber terrorisme désignerait alors « la convergence entre le terrorisme traditionnel et les réseaux » [15].
