Les défis du traitement judiciaire de la cybercriminalité

La cybercriminalité couvre traditionnellement les cyberattaques, visant les systèmes informatiques eux-mêmes, mais également les infractions ayant pour vecteur principal ou étant considérablement facilitées par l'usage d'un réseau de communication.

Si toutes les juridictions peuvent connaitre de faits de cyberdélinquance, le tribunal de grande instance de Paris bénéficie toutefois d'une compétence concurrente nationale en matière de cyberattaques.

Les contours d'une politique pénale de lutte contre la cyberdélinquance sont en voie de consolidation, toutefois les moyens humains consacrés demeurent trop limités et l'organisation judiciaire toujours en quête de maturité.

Seront présentées dans un premier temps les caractéristiques principales de la cybercriminalité avant d'aborder succinctement l'organisation judiciaire actuelle et les relations des acteurs judiciaires avec ceux de la cybersécurité.

Une cybercriminalité polymorphe et délicate à appréhender par le prisme judiciaire traditionnel

Le périmètre pénal de la cybercriminalité est un véritable défi intellectuel.

L'angle traditionnel des qualifications pénales est en effet peu adapté. Par exemple, les atteintes aux systèmes de traitement automatisé de données (STAD) recouvrent en réalité plus d'une dizaine de « phénomènes cyber » différents, tels le cyberespionnage, le cybersabotage, le rançongiel…

En conséquence, les outils statistiques traditionnels sont quasi inopérants pour apprécier les évolutions des phénomènes au cas par cas.

Une approche nouvelle, sous l'angle de la classification des phénomènes cyber constatés, semble nécessaire aujourd'hui.Une approche nouvelle, sous l'angle de la classification des phénomènes cyber constatés, semble nécessaire aujourd'hui.

Une cybercriminalité polymorphe et évolutive

La cybercriminalité, qui d'ailleurs recouvre en réalité une majorité de délits, a pour caractéristiques principales d'être polymorphe et très évolutive.

Une classification délicate

Les phénomènes cyberdélinquants sont traditionnellement classifiés en deux catégories distinguant l'objet de l'infraction.

La cyberdélinquance au sens strict couvre les phénomènes pénaux dont l'objet est l'atteinte à un système de traitement automatisé de données (STAD) et fait l'objet de la première catégorie. La seconde regroupe les phénomènes qui ont pour vecteur principal un STAD ou ont été facilités par son utilisation, il s'agit de la cyberdélinquance au sens large et la plus fréquente.

Infractions ayant pour objet un système de traitement automatisé de données

Ces infractions visent à porter atteinte aux STAD, comme par exemple le cyber-sabotage. Ces infractions, notamment réprimées par les articles 323-1 à 323-4 du Code pénal, représentent la cyberdélinquance au sens strict. Dans la pratique, cette catégorie est divisée entre :

• les phénomènes de haute intensité qui se caractérisent par une atteinte aux intérêts fondamentaux de la Nation, une dimension internationale, une haute technicité, ou un nombre important de victimes avérées ou supposées ;
• les phénomènes de basse intensité qui se caractérisent par l'absence d'atteinte aux intérêts fondamentaux de la Nation ou un degré de complexité moindre.

Infractions ayant pour vecteur principal ou ayant été grandement facilitées par un système de traitement automatisé de données

Elles couvrent l'utilisation d'un STAD qui a grandement facilité la préparation, l'accomplissement ou la tentative d'une infraction principale n'ayant pas pour objet un STAD. Ces infractions mixtes couvrent également la lutte contre les activités illicites sur l'internet sombre (Darkweb).

Phénomène évolutif : les nouveaux métiers de la cybercriminalité

La cybercriminalité ne semble pas connaître la crise, bien au contraire de nouveaux « métiers » fleurissent régulièrement, faisant naître le concept de « Crime as a Service », par analogie avec les services informatiques traditionnels tels que le « Platform as a Service » ou le « Software as a Service ».

Sans prétendre à l'exhaustivité, on peut citer pêle-mêle les locations/ventes d'infrastructures comme des Botnets (réseau d'ordinateurs ou d'objets connectés¹ « zombies », sous le contrôle d'un serveur dit Command & Control), de maliciels divers (parfois avec une rémunération au pourcentage sur les sommes dérobées comme certains rançongiciels), des services de Crypter/Packer (augmentant la furtivité des maliciels), de Money mules (personne qui transfère de l'argent acquis illégalement pour le compte de tiers) ou encore de Mixer/Blender (facilitant le blanchiment des cryptomonnaies).

Les cryptomonnaies ont d'ailleurs permis de nombreuses opportunités pour les cybercriminels, que ce soit en les dérobant directement au préjudice des plateformes d'échanges ou des particuliers, mais également en détournant la puissance de calcul de terminaux afin de « miner » des cryptomonnaies au bénéfice de l'attaquant (le Cryptojacking étant le plus gros phénomène en 2018).

Plus original encore, il existe des compagnes de recrutement via des annonces d'emploi pour des administrateurs de Darknets, comme ci-dessous pour Liberty Market  :

Nous cherchons à recruter un membre, homme ou femme, qui possède une bonne orthographe. Vous devrez être familier avec la gestion ergonomique des pages web. il faudra que vous puissiez vous connecter au moins une heure et demie, quatre fois par semaine. Vous serez en charge de la correction des posts du forum et responsable de leur bonne lisibilité. Vous devrez aussi corriger des ouzaines de posts à chaque connexion. Vous aurez votre propre tableau de bord afin que vous puissiez travailler en toute autonomie.

Source : www.ladn.eu

Dans la même veine, on relèvera un service de type « Tag Telegram », où des personnes sont simplement rémunérées pour réaliser des tags dans des zones urbaines prédéterminées, comprenant des indications techniques pour rejoindre une discussion Telegram d'un dealer.

Les malédictions de la cybercriminalité : chiffre noir, brouillard statistique et phénomène du « going dark »

Le traitement judiciaire de la cybercriminalité est rendu plus difficile en raison de plusieurs facteurs, notamment un nombre important d'infractions qui ne sont pas portées à la connaissance de la justice (A), d'une mauvaise évaluation des infractions qui sont connues de la justice (B) et enfin des techniques d'obfuscation de plus en plus élaborées, utilisées par les cybercriminels pour se soustraire aux autorités judiciaires (C).

Le chiffre noir de la cybercriminalité

Certains phénomènes cybercriminels de haute intensité, comme le cyber-espionnage ou le cyber-sabotage, sont peu judiciarisés, du fait de leur nature particulièrement sensibles². Surtout, la publicité d'une cyber-attaque réussie à l'encontre d'une entreprise peut porter atteinte à sa réputation et sa santé économique. Le règlement européen pour la protection des données personnelles (RGPD) change la donne, dès lors que les violations de données personnelles conduisent à une obligation de notification dans les 72h à la Commission nationale de l'informatique et des libertés (CNIL)³.

Concernant les particuliers, les raisons du chiffre noir sont diverses, du fait d'un caractère parfois imperceptible de l'infraction ou d'un sentiment erroné de l'inutilité de la plainte, souvent couplé à de faibles préjudices matériels. Une meilleure sensibilisation semble nécessaire, d'où l'importance du dispositif national d'assistance aux victimes d'actes de cybermalveillance⁴.

Le brouillard statistique de la cybercriminalité

A l'absence de définition juridique de la cybercriminalité de laquelle découle une difficulté à déterminer un champ infractionnel précis, s'ajoute la dispersion des infractions concernées au sein de plusieurs catégories de NATAFF⁵, ne permettant pas d'obtenir des données fines quant aux poursuites.

En effet, certaines infractions peuvent certes être identifiées par la NATINF (Nature de l'infraction), permettant l'exploitation des données du casier judiciaire national, mais elles ne seront être isolées au stade des poursuites dans la mesure où l'exploitation des données du SID⁶-Cassiopée⁷ s'effectue principalement par le biais de la NATAFF, nomenclature d'enregistrement des procédures à l'arrivée au parquet⁸.

La future plateforme THESEE⁹ (projet porté par le Ministère de l'intérieur) est susceptible d'améliorer la connaissance statistique pour certains phénomènes de cybercriminalité. La récente loi de Programmation pour la Justice (LPJ) insère d'ailleurs de nouvelles dispositions afin d'encadrer la plainte en ligne¹⁰.

Le phénomène du « going dark »¹¹, massif en cybercriminalité

La libéralisation du chiffrement a contribué à améliorer sensiblement le niveau global de cybersécurité, mais a provoqué de manière collatérale des difficultés propres aux investigations judiciaires.

La banalisation des applications de messageries instantanées chiffrées avec des protocoles particulièrement robustes comme ceux dits End to end est un défi actuel pour le régime des interceptions judiciaires. De même, la généralisation du chiffrement de type full disk sur les terminaux informatiques, dont les ordiphones, a également rendu délicate l'exploitation forensique. Enfin, les architectures réseaux de type TOR (The Onion Router) participent à l'obfuscation des comportements criminels sur les Darknets.

Demain, la fusion annoncée entre les applications de messageries et les cryptoactifs ne manque pas d'inquiéter les professionnels¹².

Une organisation judiciaire en quête de maturité

Seront ici abordés l'organisation judiciaire actuelle ainsi que les relations des acteurs judiciaires avec les acteurs de la cybersécurité.

Constats sur l'organisation judiciaire actuelle

Sans pouvoir détailler ici les multiples compétences territoriales de l'autorité judiciaire en matière de cybercriminalité, il sera souligné le rôle primordial du tribunal de grande instance de Paris bénéficiant depuis la loi du 3 juin 2016 d'une compétence concurrente nationale en matière d'atteintes aux STAD et crime de sabotage informatique¹³.

Cette réforme a permis de consolider la création en 2015 d'une section dite « F1 » du parquet de Paris dédiée au traitement de certaines affaires de cybercriminalité, notamment les plus complexes. Les effectifs de cette section sont toutefois modestes¹⁴. Le constat est plus inquiétant au siège avec l'absence notamment de juge d'instruction véritablement spécialisé. Des dépêches de centralisation du traitement de certains phénomènes de cybercriminalité sont à relever, produites par la mission de lutte contre la cybercriminalité de la direction des affaires criminelles et des grâces (DACG) du ministère de la justice¹⁵.

Au-delà, les juridictions interrégionales spécialisées (JIRS) connaissent de plus en plus de contentieux de la cybercriminalité, notamment liée à la criminalité organisée¹⁶. Une réflexion est également en cours concernant la pratique des « cyber-référents » dans les tribunaux.

Relations des acteurs judiciaires avec les acteurs de la Cybersécurité

L'administration centrale Direction des affaires criminelles et des grâces (DACG), via la mission précitée, participe aux travaux stratégiques du centre de coordination des crises cyber (C4), instauré suite à la Revue stratégique de Cyberdéfense de février 2018¹⁷.

La DACG fait également partie du conseil d'administration du GIP (groupement d'intérêt public) ACYMA¹⁸ (responsable du site internet cybermalveillance.gouv.fr), participe à plusieurs évènements de cybersécurité comme le Forum international de Cybersécurité (FIC), et collabore à divers groupes de travail interministériel, en liaison avec l'ANSSI¹⁹.

Conclusion

La bataille contre la cybercriminalité ne peut se gagner seule et tous les acteurs impliqués doivent joindre leur effort. Le levier judiciaire doit gagner en maturité mais des progrès récents sont à souligner. La coopération internationale est aussi un facteur clé de ce succès, avec l'aide d'entités telles qu'EUROPOL, EUROJUST et INTERPOL. Sur le plan de l'accès à la preuve numérique, les yeux sont désormais tournés vers Bruxelles où se jouent en ce moment les négociations des futurs textes européens « E-EVIDENCE ».

 

---

 

Citer cet article : MARTINON J., « Les défis du traitement judiciaire de la cybercriminalité », LIREC (n°59 « Les risques et l'environnement numérique »), INHESJ, 2019.

 

---

 

Crédit photo : Dlanor S - unsplash.com

Pour en savoir plus

• Revue stratégique de Cyberdéfense
• État de la menace cyber (rapport DMISC 2018)
• Dispositif d'assistance aux victimes  d'actes de malveillance
• Plateforme PERCEV@L

Articles parus ou en cours de publication

• Article relatif à la conférence précitée du 1^er juin 2018 d'Aix en Provence, dans la revue Dalloz IP/IT [en cours de publication]
• Article relatif aux conséquences du RGPD au sein du ministère de la justice, dans la revue Dalloz IP/IT [en cours de publication]
• Actes du séminaire « Cryptoactifs » organisé le 1^er février 2019 (voir infra), revue Dalloz IP/IT [en cours de publication]
• « Les implications juridiques et technologiques post Safe Harbour », Revue de la gendarmerie nationale, décembre 2016 (p14-20)
• https://en.calameo.com/read/00271929281c96342ba48

Organisation de séminaires

• « Les Cryptoactifs : la justice pénale à l'épreuve des cryptomonnaies », 1^er février 2019 (public de 150 personnes, organisation fermée et réservée à des acteurs régaliens)
• « Nanotechnologies, biotechnologies, informatiques et sciences cognitives (NBIC) : généalogie des enjeux de sécurité et de justice », co-organisé avec l'Institut national des hautes études de sécurité et de justice (INHESJ) à l'automne 2017 (voir p.5)