Village de la Justice www.village-justice.com

Cybercriminalité : une atteinte à la vie privée et aux données personnelles ? Par Landry Ebouah, Juriste.
Parution : jeudi 22 juillet 2021
Adresse de l'article original :
https://www.village-justice.com/articles/cybercriminalite-une-atteinte-vie
Reproduction interdite sans autorisation de l'auteur.

A l’heure du big data, de l’open data, du cloud, des objets connectés, des smartphones, les failles de sécurité constituent un moyen de pénétration dans les systèmes de traitement automatisé. Ainsi en mai 2017, les cyberattaques utilisant les ransomwares (ou rançongiciels) Wannacry et NotPetya, inédites par leur dimension massive, ont touché plusieurs centaines de milliers de systèmes d’information (parmi lesquels des entreprises multinationales et des administrations).

Ces attaques consistaient à exploiter une faille de sécurité du système d’exploitation Windows pour y installer ces ransomwares, ces derniers permettant de chiffrer les fichiers contenus dans l’ordinateur et d’afficher un message de rançon [1].

Certaines atteintes à la vie-privée et aux données personnelles peuvent s’effectuer par le biais de logiciels insérés à l’insu des victimes dans leurs différents outils informatiques en vue de les espionner.

Le logiciel n’est pas défini par la loi mais seulement par un arrêté déjà ancien relatif à l’enrichissement de la langue Française [2] de façon suivante : « ensemble des programmes, procédés et règles, et éventuellement de la documentation, relatifs au fonctionnement d’un ensemble de traitement de données ou software ». Ou encore c’est un bien immatériel très particulier, fruit d’une création intellectuelle.

L’affaire qui secoue l’actualité en ce moment hormis la quatrième vague de la pandémie du coronavirus est l’espionnage de masse réalisée par le logiciel Israélien « Pegasus ». Il a été créé par une société Israélienne du nom de NSO Group, et plusieurs Etats en seraient client.

Selon les révélations d’un consortium de 17 médias que le journal « Le Monde » a relayé le 18 juillet dernier, le logiciel espion Pegasus aurait espionné des journalistes dont le célèbre journaliste de Médiapart Edwy Plenel, des avocats, des militants et des responsables politiques dont potentiellement le Président de la République Française Emmanuel Macron, l’ancien Premier Ministre Edouard Philippe et de nombreux pays dont la France [3].

Ce logiciel, ayant été détourné de sa fonction première et principale qui est de traquer les terroristes une fois introduit dans un smartphone, permet d’en récupérer les messages, photos, contacts et même d’écouter les appels de son propriétaire. Il y aurait plus de 50 000 numéros de téléphones possiblement touchés par ce logiciel.

Tout ceci constitue une véritable atteinte à la vie-privée et aux données personnelles des personnes concernées victimes de ce logiciel [4].

En outre, l’utilisation de ce logiciel à de mauvaises fins pourrait rentrer dans la catégorie dite de cybercriminalité et/ou cyberespionnage. En effet, les infractions servant de base légale à la répression de la cybercriminalité ont toutes pour point commun d’utiliser les systèmes et réseaux numériques tantôt en tant qu’objets de l’infraction, tantôt encore en tant que supports de l’infraction, ou encore en tant que moyens de l’infraction.

Qu’est-ce-que la cybercriminalité ?

« La cybercriminalité », également appelée criminalité informatique, consiste en la réalisation de délits commis à l’aide d’équipements informatiques et d’Internet. Parmi les exemples classiques de cybercriminalité, il est possible de citer la diffusion de virus informatiques, le téléchargement illégal, les actes de phishing, le vol d’informations personnelles telles les données bancaires ou données à caractère personnelles.

En outre, la cybercriminalité est une délinquance protéiforme, dont l’ampleur reste difficile à évaluer. Ses auteurs comme ses victimes présentent des profils variés : de simples particuliers, des organisations criminelles, des États peuvent être impliqués.

Il est cependant certain que la cybercriminalité représente une menace croissante en raison de la place grandissante qu’occupe le numérique dans nos économies et nos sociétés.

Lorsque les systèmes et réseaux numériques sont l’objet de l’infraction, les atteintes aux systèmes de traitement automatisé de données, les infractions en matière de fichiers ou de traitements informatiques et enfin la cryptologie constituent aujourd’hui le cœur des incriminations.

En 2019, il y a eu 54 signalements d’incidents empêchant la victime d’accéder au contenu de ses fichiers pour demander une rançon. En 2020, ce type d’attaque est monté à 192. Les groupes cybercriminels ciblent désormais davantage les collectivités locales, le secteur de l’éducation, le secteur de la santé et les entreprises de services numériques, les hommes politiques etc.

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié un rapport qui alerte à propos de cette progression, et explique ses causes. Selon ce rapport, aucun secteur ni zone géographique n’est épargné [5].

I) Typologie des différents cyber-délinquants.

A) Le hacker.

Il exploite les failles dans une procédure d’accès des données pour casser un système informatique et y dérober ou détruire de l’information. Il va soit voler des informations qui étaient protégées dans un système informatique soit les modifier ou encore les copier frauduleusement.

A titre d’illustration, des hackers ont procédé à une campagne de ransomware (logiciel de rançon qui crypte des données personnelles) qui a infecté 300 000 ordinateurs en quelques heures et engendré, pour les entreprises victimes, plus d’un milliard de dollars de pertes financières [6].

Aussi, un hacker a-t-il été condamné par le Tribunal Correctionnel de Lyon le 27 mai 2008 pour avoir modifié la page d’accueil du site Internet de la Fédération du Rhône du Front national en le « défaçant » par l’insertion de commentaires décalés [7].

B) Les crackers.

Le cracker n’est autre qu’un pirate informatique en mesure de couvrir plusieurs domaines de spécialisations. Ses compétences peuvent l’amener à « cracker » les protections diverses d’un ordinateur afin de s’y introduire et ainsi voler des données.

Toutefois, cet acte est généralement assimilé à du hacking. Par conséquent, on retient surtout du cracker sa capacité à casser les multiples protections d’un logiciel ou partagiciel, d’une application ou même d’un système d’exploitation sous licence.

Egalement, ils sont spécialisés dans le cassage des codes de protection anti-copie des logiciels qui sont sous licence des jeux. Ce qui permet ensuite aux personnes qui téléchargent les jeux ou ces logiciels d’en bénéficier gratuitement alors qu’elles sont sous licence. C’est en gros une sous-catégorie de hacker qui se spécialise sur soit la copie de logiciel voire le cassage de ces codes de logiciels qui seront utilisés gratuitement alors qu’elles sont payantes.

C) Le crasher.

Il rentre dans un système informatique afin de le détruire ou de le saboter. Pour cela, il va utiliser deux moyens principaux : la technique du déni de service ou denial of service.

La technique du déni de service ou denial of service : c’est l’arrêt de toute fonctionnalité informatique. Tel a été le cas dans une affaire ayant occupé le parquet de Paris en juin 2018 et qui concernait l’Office des Postes et de Télécommunication de la Polynésie Française (OPT).

Le parquet de Paris a ouvert une enquête pour déni de service affectant depuis le début de l’année 2018 le principal fournisseur d’accès à internet, le fameux OPT. Il s’agissait d’attaque par réflexion qui est une technique servant à usurper une adresse mail pour interroger un certain nombre de serveurs repartis dans le monde et qui répondront légitiment à cette adresse IP.

Cette adresse IP usurpée sera destinataire d’un nombre important d’informations et sous le poids de cet afflux énorme d’informations venant d’autres ordinateurs arrivera à saturation.

Ce qui aura pour conséquence une défaillance des serveurs informatiques en Polynésie.

Un internaute sous pseudonyme revendiquait sur internet être l’auteur de cette attaque par déni de service et il justifiait ses attaques du fait des tarifs qu’il considérait comme étant trop élevés. Il y avait une très grande distorsion entre les motivations du délinquant et son pouvoir de nuisance. Il demandait ainsi la somme de 300 dollars de bitcoins pour cesser ces attaques.

Des investigations ont été menées par le parquet de Paris qui a lui-même désigné la DGSI sur les éléments techniques qui lui ont été remis par la société victime de cette attaque et uniquement par les constatations de source ouverte. Le cyber-délinquant a finalement été identifié et interpellé au mois de juillet reconnaissant les faits.

Lors de sa garde à vue et de l’enquête, il a indiqué que pour réaliser cette attaque il avait seulement fait une location du temps avec un hébergement d’internet à hauteur de 60 dollars.

Ce sont des attaques peu coûteuses à réaliser et qui peuvent survenir assez fréquemment, mettant ainsi les entreprises dans un état de vulnérabilité. Le constat est que de grands effets néfastes peuvent être causés par l’utilisation de matériels assez simples et accessibles à tous.

II) D’autres outils peuvent être utilisés par les cybers-délinquants.

A) Les chevaux de Troie.

Ce sont des logiciels qui permettent d’ouvrir « la porte » dans un ordinateur et qui permettent de prendre le contrôle à distance de cet ordinateur et d’y activer un certain nombre de programmes nocifs que l’on appelle des « Malwares ».

L’outil en lui-même n’est pas nocif mais sera utilisé comme véhicule du programme nocif appelé Malwares. Il est vital pour les entreprises qui font de la cybersécurité de se protéger en concevant des anti-virus et des programmes qui vont permettre de bloquer ces chevaux de Troie.

B) La menace des logiciels espions sur la vie-privée et les données personnelles.

Ces logiciels vont s’introduire dans un système informatique pour recueillir à des fins commerciales ou de surveillances le profil d’un utilisateur au vu de sa navigation ou pour recueillir ses informations personnelles. Typiquement, un logiciel espion qui va être sur votre ordinateur ne va pas détruire des informations ni altérer des programmes. Au contraire, il va faire en sorte que tout reste exactement dans l’état précédant l’attaque, tout en lui permettant de lire un certain nombre d’informations confidentielles.

Tel est le cas du logiciel Pegasus qui est un programme de surveillance et qui permet de prendre à distance le contrôle d’un téléphone par exemple et d’y lire les données qui sont inscrites par son utilisateur.

Comment marche un logiciel espion ? Le téléphone qui est la cible de l’attaque va recevoir une adresse sur laquelle il faudra cliquer et à ce moment-là, le logiciel va par la suite contourner la sécurité du téléphone et s’y engouffrer afin de capter toutes les données de l’utilisateur. Ce logiciel espion israélien prendrait le contrôle des iPhone et appareils sous Android en exploitant des failles de sécurité.

Dans l’affaire qui secoue l’actualité concernant ce logiciel, quasi indétectable, régulièrement mis à jour et terriblement efficace dans sa moisson de renseignements, Pegasus, le logiciel espion utilisé par des États pour espionner militants et journalistes, s’approche de l’outil ultime du Cyberespionnage. Les personnes ou entités ciblées auraient été choisies individuellement, par des gouvernements et des services de renseignement.

En effet, le journal « Le Monde » épingle notamment comme client de ce logiciel espion le Maroc, le Togo, le Rwanda, Bahreïn, la Hongrie, le Mexique ou encore l’Inde. Par ailleurs, il faut noter que cette société est informée que la plupart des clients achèteraient ce logiciel pour se livrer une surveillance illégale de soit leurs opposants politiques ou leurs populations.

C) Les botnets.

Ce sont des systèmes constitués par un ensemble de machines, d’ordinateurs, téléphones et autres appareils. L’ensemble des machines est affecté par un même logiciel malveillant.

Et l’ensemble de ses machines vont se connecter à un système de commande et de contrôle.

En vérité aujourd’hui, tous les systèmes de logiciels malveillants vont utiliser cette architecture en botnets qui permet de rapatrier de l’information vers les cybers-attaquants, permettant de transmettre des ordres vers les fameuses machines infectées.

On est tout simplement sur des attaques informatiques qui vont être démultipliées par le nombre de machines infectées. Les différentes informations qui vont être rapatriées vers les cybers-attaquants sont les données qui sont confidentielles et les ordres qui sont transmis via cette architecture en botnets sont des ordres d’exécution d’une action sur la machine comme le téléchargement d’une mise à jour de logiciels malveillants.

D) Les virus informatiques.

C’est un programme qui inclut en général dans un format de fichiers utilisés et qui est stocké sur un ordinateur à l’insu de son utilisateur. Et ce programme informatique ou ce code informatique est susceptible de s’auto-exécuter à un moment précis ou de s’exécuter lors du lancement de logiciel. Le but de ce virus est de rendre le système informatique hors d’usage en détruisant certains fichiers ou en saturant les ressources de la machine.

Sur ce point, il convient de s’attarder sur l’utilisation du rançon-logiciel, une fraude informatique largement répandue : les cybercriminels introduisent un logiciel malveillant dans le système informatique d’une entreprise, cryptent les fichiers qui s’y trouvent ou soustraient des données confidentielles puis exigent le paiement d’une rançon pour que la restriction soit levée ou que les données ne soient pas divulguées, à un concurrent par exemple.

Aux termes d’un avis du 1er octobre 2020, le Bureau du contrôle des avoirs étrangers du Trésor américain (Office of Foreign Assets Control) a expressément indiqué que les entreprises qui paieraient une rançon à des cybercriminels faisant eux-mêmes l’objet de sanctions américaines (par exemple, des cybercriminels ressortissants de Corée du Nord ou d’Iran), ainsi que les tiers ayant facilité le paiement d’une telle rançon (assureurs, établissement bancaires, etc.), pourraient se voir infliger de lourdes sanctions. La vigilance est donc de mise pour les entreprises en raison notamment de l’extraterritorialité de la législation américaine.

III) Ouverture d’une enquête par le Parquet de Paris suite à l’affaire Pegasus.

L’informatique est la science du traitement automatique de l’information reposant sur des procédés de recueil, de tri, de conservation, de communication et d’utilisation faisant appel à des programmes d’ordinateurs. Son apparition et son développement ont marqué la criminalité : les matériels, programmes et données informatiques se prêtent, comme objet, produit ou moyen du délit, à des faits aussi divers que le vol, l’abus de confiance, l’escroquerie, le recel, la contrefaçon, la pédopornographie ou encore l’espionnage et, comme élément de preuve, à toute infraction (trafic de stupéfiants, extorsion, blanchiment, etc.) dont les traces de la préparation, de la commission ou du profit qui en est tiré sont susceptibles de s’y trouver imprimées.

Depuis novembre 2019, une tendance qui consiste à faire pression sur la victime en exfiltrant ses données et en la menaçant de les publier sur un site Internet, est en hausse.

Cette démarche est appelée la double extorsion, car le chiffrement est précédé d’une exfiltration de données.

En outre, les atteintes intentionnelles à la sécurité des systèmes d’information atteignent des niveaux jamais égalés. Ainsi, une étude de Moody’s indique que les cyber-attaques contre les institutions financières ont connu une augmentation de 238 % dans le monde entre février et avril 2020. Les tentatives d’extorsion de données personnelles ont, quant à elles, été multipliées par neuf. Par ailleurs, selon une autre enquête « Enduring from Home : Covid-19’s Impact on Business Security », 24 % des entreprises interrogées ont indiqué devoir supporter des coûts imprévus pour faire face à des incidents de cybersécurité depuis le début de la pandémie [8].

Par ailleurs, en ce qui concerne l’affaire Pegasus, le parquet de Paris a ouvert une enquête, mardi 20 juillet 2021, sur l’espionnage de journalistes français dont l’infiltration de téléphones par le logiciel Pegasus pour le compte de l’Etat marocain, qui le conteste. Cette enquête a été ouverte pour une longue liste de dix infractions dont « atteinte à la vie privée », « interception de correspondance », « accès frauduleux » à un système informatique et « association de malfaiteurs ». Elle fait suite à la plainte déposée par le site Mediapart, dont deux journalistes ont été espionnés, à laquelle doit s’ajouter une plainte similaire du Canard enchaîné.

L’enquête vise également d’autres infractions d’atteintes à un système informatique, telles que l’introduction, l’extraction et la transmission frauduleuses de données, qui peuvent être potentiellement reprochées aux utilisateurs de Pegasus. Elle concerne aussi la « mise à disposition et détention d’un équipement » permettant des atteintes à un système de données et « l’offre et la vente sans autorisation d’un dispositif de captation de données », qui visent cette fois potentiellement la commercialisation du logiciel et les intermédiaires impliqués [9].

A noter pour finir que face à la multiplication des cyberattaques, Le Président Emmanuel Macron avait présenté le jeudi 18 Février 2021 la stratégie française en matière de cybersécurité, après un échange par visio-conférence avec les directeurs des hôpitaux de Dax et Villefranche-sur-Saône, récemment victimes de rançongiciels, a annoncé l’Elysée.

Le chef de l’Etat a annoncé une enveloppe d’un milliard d’euros, dont 720 millions de fonds publics, pour renforcer la filière et tripler son chiffre d’affaires à 25 milliards d’euros en 2025 [10].

Landry Ebouah Juriste IP/IT

[1Cyberdroit : le droit à l’épreuve de l’internet Christiane Féral-Schuhl.

[2Arrêté du 22 décembre 1981 sur l’enrichissement du vocabulaire de l’informatique, JO 17 Jan.1982, n° complémentaire, P.293.

[3Le figaro : Tout savoir sur Pegasus, ce logiciel dévoyé pour espionner journalistes et activistes.

[4Le Monde : « Projet Pegasus » : comment savoir si l’on a été infecté par le logiciel de surveillance ?

[5Organiser un exercice de gestion de crise cyber.

[6Cyberattaque WannaCry, Comm. UE, Renforcer la cybersécurité en Europe, 12 sept. 2018.

[7TGI Lyon, ch. corr., 27 mai 2008, obs. É. A. Caprioli, préc.

[8Malwarebytes, Enduring from Home, Covid-19’s Impact on Business Security, p. 5.

[9Affaire Pegasus : le parquet de Paris ouvre une enquête sur l’espionnage de journalistes.

[10Cybersécurité : Macron présente la stratégie française.