Dossier Cybercrimi nalité - 4 | 2016 - Schweizerische ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
PSC info
Dossier
4 | 2016 Cybercriminalité
éditorial cybercriminalité
Chère lectrice, cher lecteur,
Situation actuelle et
L’énergie qu’il faut
déployer pour pra tendances de la
cybercriminalité
tiquer le vol et et
le mensonge sur
Inter
net, pour y
simuler des senti
ments ou pour y Interview de Stéphane Koch
déverser sa haine,
PSC
semble sans limites.
Monsieur, monde physique. Nombre d’actions
Les propos tenus par Stéphane Koch Sur votre site www.intelligentzia.ch, vous criminelles qui se déroulent par le biais
dans notre interview m’ont fait prendre résumez vos services de la façon suivante : de l’utilisation des TIC (technologies de
une nouvelle fois conscience que l’édu « Conseil & formation en intelligence l’information et de la communication),
cation est l’une des clés pour prévenir économique et gestion stratégique de respectivement d’internet, ont une base
efficacement la criminalité sur Internet. l’information, stratégies numériques et ancrée dans le monde physique (que ce
Détenir une compétence médiatique est réseaux sociaux, sécurité de l’informa soit au niveau de l’utilisation d’un ser
décisif pour savoir comment se protéger, tion ». Les éléments de votre formation veur, ou d’un ordinateur ou encore d’un
ne pas croire tout ce qu’on voit ou ce sont également impressionnants et se périphérique mobile), donc en relation
qu’on lit, et pour comprendre comment rapportent tous aux médias numériques avec un potentiel « for juridique » (base
fonctionnent les dispositifs de commu sous les aspects les plus divers. Vous légale liée à l’emplacement d’un ser
nication numériques. Cette protection êtes donc pour nous l’interlocuteur idéal veur/ordinateur dans le monde physi
passe par l’amélioration du niveau de pour une interview visant à présenter à que). Les principales différences rési
connaissances des utilisatrices et des nos lecteurs la thématique « Criminalité dent dans l’asymétrie entre le peu de
utilisateurs. sur et via Internet », mettant bien sûr moyens nécessaires pour mettre en
l’accent sur les mesures de prévention œuvre une action cybercriminelle et
La police municipale de Zurich a engagé de la criminalité et les poursuites péna l’impact important que celle-ci peut
un dialogue soutenu avec la population, les. avoir, tant au niveau financier que par
en se servant systématiquement des Mais tout d’abord une question générale rapport au nombre de personnes ou
médias sociaux. Depuis quelque temps, en introduction : d’entreprises qui peuvent être touchées
la population peut suivre le travail par une action unique. Une autre forme
policier des deux iCoPs Jean Patrick et Quelle est la différence entre la crimi d’asymétrie se situe au niveau de la
Eleni Moschos, en se servant des média nalité « normale » et la cybercriminalité, lutte contre les actions cybercriminel
sociaux. Tous les deux sont en contact et comment le Web a-t-il modifié la les, même si l’organisation et la diffu
étroit avec des jeunes et des jeunes criminalité ? sion de ces actions (fraude en ligne,
adultes de Zurich et environs, et se font La différence se situe principalement c yberattaque, cyberextorsion, etc.)
ainsi l’écho de la population, qui sou au niveau de la dématérialisation de demandent peu de moyens aux cyber
haite davantage de transparence et de notre société. Dès lors, la cybercri criminels. Ce que les autorités concer
confiance. minalité représente globalement une nées vont devoir entreprendre pour
continuité ou une adaptation des formes lutter contre ces formes de cybercri
Nos meilleurs vœux pour de criminalité que l’on trouve dans le minalité va – à l’inverse – demander
la nouvelle année 2017. énormément de ressources, que ça soit
au niveau humain, en temps, ou au
Martin Boess Stéphane Koch, niveau technique. De plus, c’est aussi
Directeur PSC conseiller et extrêmement contraignant au niveau de
formateur en la justice. Les lieux physiques entre
communication et l’organisation et la mise en œuvre d’une
stratégie numé action cybercriminelle, ainsi que ceux
rique, spécialiste liés à l’emplacement des victimes de
DR
de la sécurité de l’information, cette action ne sont pas nécessaire
spécialiste de réputation numérique ment les mêmes et peuvent être ré
et réseaux s ociaux. partis dans différentes zones géogra
phiques du monde qui ne bénéficieront
2 PSC info 4 | 2016
ascyther5/123RF
« La cybercriminalité adapte des formes de criminalité que l’on trouve dans le monde réel. »
pas nécessairement d’accords d’entrai de crime, par exemple), l’évolution du Quels sont, d’après votre estimation,
de judiciaire. Un autre changement domaine des TIC a compliqué d’autant les principaux secteurs de délits sur
majeur est qu’aujourd’hui les cyber
l’investigation numérique. Des cyber Internet, ou plus précisément, quels
criminels peuvent toucher leurs victi criminels chevronnés sont tout à fait sont selon vous les délits basés sur
mes potentielles chez elles, sans pour capable de modifier, d’altérer, voire Internet qui entraînent les plus grands
autant avoir à fracturer leurs apparte d’effacer des traces numériques. Et si dommages dans notre pays ?
ments. Et il en va de même pour les on prend en compte que chaque ordina Il n’est pas facile de répondre, car tous
entreprises. Le cybercriminel n’est qu’à teur impliqué dans une activité cyber les délits ne sont pas signalés, que ça
un clic de souris de sa victime. Et dans criminelle peut représenter une scène soit au niveau des individus ou celui des
le cas de fraude en ligne, les dommages de crime en tant que tel, et qu’un certain entreprises. Parfois on hésite à signa
causés peuvent facilement dépasser la nombre d’ordinateurs concernés par ler que l’on a été victime d’une fraude
valeur des biens qui se trouveraient « cette activité » appartiendront à des en ligne, d’un chantage, ou d’un vol de
physiquement dans un d omicile donné. particuliers innocents (leurs ordina données. Mais actuellement les ten
Dans un cas de sextorsion, par exemple, teurs mal protégés, ou infectés, ayant tatives de phishing visant à injecter
la victime pourrait ressentir un trau été utilisés à l’insu de leurs proprié un ransomware dans les ordinateurs
matisme psychologique identique à taires), on prend alors toute la mesure des particuliers et des entreprises
celui d’une agres
sion physique, sans de la complexité de l’investigation semblent occuper la première place du
pour autant avoir directement été numérique. Donc, oui, le web a fonda podium (90% des attaques par phishing
physiquement agressée. De plus, para mentalement modifié la criminalité, contiennent un logiciel de rançon).
doxalement et en opposition aux scien d’autant plus que les gens n’ont pas été Europol a d’ailleurs annoncé que ces
ces forensiques classiques, domaine formés à détecter le pendant « cyber logiciels de rançon sont considérés
dans lequel l’évolution des technologies nétique » des formes de la criminalité comme une menace prioritaire au
a facilité l’investigation (recherche de classique, alors que « l’intervention » niveau européen. Les « fraudes au
traces, utilisation de l’ADN, reconstitu de la police, elle, est devenue beaucoup président » occupent aussi une place
tion et numérisation en 3D des scènes plus compliquée. importante par rapport au montant des
PSC info 4 | 2016 3
cybercriminalité
wk1003mike/Shutterstock.com
« 90% des attaques par phishing contiennent un logiciel de rançon. »
fonds détournés. D’autres types de iveau local ou global. En mars 2016,
n d’entreprises (bancaires ou autres), etc.
fraudes, aussi basées sur l’usurpation des sites Web suisses de banques et de Ce qui fait la différence entre un pays et
d’identité et l’ingénierie sociale, sont commerces en ligne avaient été victi un autre, ce sont les moyens que ce
fortement présentes sur les réseaux mes d’un groupe cybercriminel nommé pays va mettre en œuvre pour lutter
sociaux. A ce titre, l’usurpation d’iden Armada, qui avait réussi à bloquer contre la cybercriminalité ou d’autres
tité n’étant pas, en tant que telle un l’accès à leurs services suite au refus formes d’attaques initiées par le biais
délit pénal, ça facilite le travail des des entreprises concernées de payer la des réseaux connectés, ainsi que le
cybercriminels. rançon demandée par les cybercrimi niveau de « conscience » de ses citoyens
nels. En septembre 2016, « Internet » a et des entreprises. Et dans ce domaine
Y a-t-il des délits qui touchent plus connu l’attaque par DDOS la plus im la Suisse est à la traîne ! Il y a des
particulièrement la Suisse et si oui, portante jamais observée (Mirai bot manquements considérables dans les
comment peut-on l’expliquer ? net). Sa particularité résidait dans le moyens de lutte contre la cybercrimi
La Suisse est considérée comme un fait que pour mener à bien leur offen nalité, et le niveau de connaissance et
pays riche, dont les citoyens ont un bon sive, les cybercriminels se sont servis de réactivité des entreprises et des
niveau de vie. Dès lors, elle est globale d’environ 400 000 caméras connectées individus est largement insuffisant. En
ment plus ciblée que d’autres pays : à travers le monde, dont les « accès ad ce qui concerne les moyens, c’est un
attaques sur les infrastructures criti ministrateurs » par défaut n’avaient pas problème politique. La Suisse est victi
ques, attaques par déni de services été modifiés par leurs propriétaires. me de son fédéralisme, à l’heure où le
distribué (DDOS), qui, même quand Une attaque similaire, dont les effets se monde est interconnecté, et fait peu de
elles se déroulent à l’étranger, affec sont aussi fait ressentir en Suisse, a eu cas des frontières physiques, culturelles
tent les entreprises et les utilisateurs lieu le mois suivant. Mais ce n’est là et linguistiques. Seule Zurich possède
en Suisse, étant donné la répartition qu’un exemple, auquel on peut ajouter une brigade autonome de lutte contre
mondiale des infrastructures internet les attaques par tentative de phishing, la cybercriminalité (les autres cantons
et leur interdépendance en terme de le blocage de l’accès aux fichiers ont dans la majorité des cas une unité
connectivité. Ce type d’attaque (DDOS), numériques – des particuliers ou des de lutte contre la criminalité informa
suivant son importance, est à même de entreprises – par des « logiciels de tique, qui opère en soutien des autres
freiner voire de bloquer l’accès à de rançon » (ransomwares, qui bloquent services de polices), et la majorité des
multiples services qui dépendent de l’accès aux fichiers jusqu’à ce que la magistrats ne sont pas formés aux TIC
l’accès à internet, que ça soit à un rançon soit payée), les vols de données (technologies de l’information et de la
4 PSC info 4 | 2016
cybercriminalité
communication) et les dossiers s’empi n’évolueront pas. A l’heure actuelle, il reformuler la question, on pourrait dire
lent. Pour ce qui est des entreprises et n’y a quasiment rien dans l’enseigne que c’est le potentiel de profit qui définit
des particuliers, le manque de cons ment scolaire primaire, secondaire, ou la cible. Les entreprises seront donc
cience et de connaissances fait que la dans celui des hautes écoles, qui puisse une cible importante, mais l’accumula
Suisse représente – en toute logique – permettre à tout un chacun d’intégrer tion de petits profits par la multiplica
un terrain privilégié pour les cybercri les connaissances nécessaires pour tion des attaques sur les particuliers
minels. Le 22e rapport semestriel de comprendre, assimiler et maîtriser la génère beaucoup de revenu tout en
MELANI (Centrale d’enregistrement et transformation numérique de notre créant un risque minime pour les
d’analyse pour la sûreté de l’informa société (l’ensemble de ces connais
cybercriminels (chaque ordinateur indi
tion) illustrait bien cette situation, son sances est regroupée sous la déno viduel touché étant une nouvelle affaire
thème prioritaire était « la gestion des mination de « littératie numérique », pour la police et la justice). Il est im
lacunes de sécurité ». Comme le disait l’Europe quant à elle a mis en place le portant de comprendre néanmoins que
récemment Guillaume Poupard, direc programme de formation en culture la majorité des fraudes demandent une
teur général de l’Agence nationale numérique « DLit2.0 Curriculum »). intervention ou une « collaboration » de
française de la sécurité des systèmes http ://www.digital-literacy2020.eu/content/ la victime. Dès lors le facteur de réus
d’information, l’Anssi : « Au sein des sections/index.cfm/secid.59 site d’un grand nombre de ces fraudes
entreprises, il y a évidemment un res en ligne repose sur le manque de
ponsable de la sécurité des systèmes Y a-t-il en Suisse des catégories spécifi connaissance ou l’inconscience de l’uti
d’information : il est indispensable, mais ques de victimes ? Y a-t-il des personnes, lisateur. Il ne faut pas non plus négliger
pas suffisant. L’idée, c’est vraiment de se des groupes ou des institutions particuliè le fait que certains gouvernements (ou
dire que chacun est acteur de cette rement menacés par la cybercriminalité ? groupes soutenus par des gouverne
c ybersécurité : le PDG, le directeur juri Le comportement des cybercriminels ments) ont parfois des comportements
dique, le directeur financier... Chacun a est assez logique : ils cherchent à opti cybercriminels et, qu’à ce titre, les ins
un rôle à jouer, y compris l’intérimaire, miser le rendement de leurs actions titutions ou certains pôles stratégiques
généralement oublié dans les procé criminelles et vont donc s’attaquer au peuvent représenter des cibles de
dures, alors qu’il a souvent accès aux plus faible. En terme de cybercrimina choix. La récente attaque sur la société
systèmes. » Cette situation, qui fragilise lité, ça signifie que les attaques viseront RUAG en est un bel exemple : les atta
l’économie du pays, respectivement sa en premier lieu les ordinateurs - ou au quants ont utilisé un logiciel espion (un
compétitivité et donc sa croissance, ne tres outils ou périphériques informa malware) pour s’infiltrer dans les ser
changera pas, tant que les mentalités tiques – les moins bien protégés. Pour veurs de RUAG et piller son patrimoine
Weerapat Kiatdumrong/123RF
« Les cybercriminels tentent d’optimiser leur rendement et vont donc s’attaquer au plus faible. »
PSC info 4 | 2016 5
cybercriminalité
neydt/123RF
«Les Hacktivists sont une sorte de Black Blocs numériques, tel que le mouvement Anonymous, avec des revendications d’ordre
sociétal et politique.»
intellectuel et industriel. Les instiga « State sponsored hackers » (compor tout ce petit monde représente à la fois
teurs de cette cyberattaque – qui n’ont tements criminels – officieusement – la diversité et la complexité des acteurs
toujours pas été formellement identi soutenus par un Etat, ou nationalistes du monde numérique. Cette complexité
fiés à ce jour – ont pu agir plusieurs soutenant de facto leur pays par des est encore accrue par le fait qu’au
mois avant que l’on finisse par détecter actions offensives) ; les « Hacktivists » jourd’hui, les cybercriminels ont des
leur présence. (forme de Black Blocs numériques, tel comportements d’entrepreneurs, et
que le mouvement Anonymous, avec certains entrepreneurs (ou des gouver
Avez-vous des connaissances sur les des revendications d’ordre sociétal et nements) ont parfois des comporte
criminels ? S’agissant de la « criminalité politique. A la base, ce ne sont pas des ments de cybercriminels. On observe
hors ligne », il existe des groupes de criminels, mais la nature de leurs com aussi la présence de « cybercriminels à
criminels spécialisés et des mobiles portements peut l’être) ; les « Cyber temps partiel », qui agissent épisodi
bien définis. Peut-on observer la même criminels » (extension et d
éveloppement quement dans l’obscurité, tout en étant
chose au niveau de la cybercriminalité et des activés criminelles classiques dans au grand jour employés par des entre
si oui, sous quelles formes ? le monde cybernétique) ; les « Script prises, car ils évaluent que la prise de
Il n’est pas évident de dresser un « état kiddies » (adolescents généralement, risque est minime par rapport aux
des lieux » de la cybercriminalité qui ou personnes utilisant des programmes gains potentiels (théorie des oppor
soit exhaustif, car c’est un domaine informatiques créés par d’autres – et tunités en criminologie, Walsh, 1986). Il
polymorphe qui se compose de nuance possédant un potentiel d’attaques – car y a aussi ceux qui cherchent des failles
de gris. Par exemple, il n’y a pas les eux-mêmes ne possèdent pas le niveau de sécurité pour les revendre – entre
« hackers » et le reste du monde. Tout d’expertise pour les développer) ; autres – sur le Darknet (marché gris de
un ensemble de « courants » sont pré les « Cyber-mercenaires » (personnes la cybercriminalité). Ils ne commettront
sents et il est important de les définir et monnayant leurs connaissances infor pas de crimes eux-mêmes, mais four
de les catégoriser : il y les « Black matiques. « L’affaire Giroud » en est un niront les « armes et les munitions »,
Hats » (comportement criminel) ; les exemple. En 2014, cet encaveur valai respectivement les ressources néces
« White Hats » (comportement éthique, san a été accusé d’avoir embauché un saires à leur mise en œuvre à des
hackers éthiques, utiles à la société, ils cyber mercenaire pour aller voler des c ybercriminels (entre autres). C’est un
font remonter des failles de sécurité) ; documents l’incriminant sur les ordina marché très lucratif, et peu risqué.
les « Grey Hats » (un peu des deux) ; les teurs de deux journalistes). En résumé, Certaines failles de sécurité peuvent se
6 PSC info 4 | 2016
cybercriminalité
revendre plusieurs centaines de mil données entre des périphériques Si vous deviez conseiller à un avocat
liers de francs. A ce titre, le marché connectés à des éléments de notre spécialisé dans la protection des
gris des failles de sécurité fournit non quotidien, où le frigo connecté ne pose données des stratégies dans le domaine
seulement les cybercriminels, mais pas trop de problème, mais une pompe de la cybercriminalité, quelles seraient
aussi des entreprises, des gouverne à insuline, un pacemaker, une voiture, vos recommandations pour les actions
ments et leurs services de renseigne ou encore la serrure d’un appartement, de poursuite pénale en Suisse ?
ments. Certains gouvernements ont eux, oui), on assiste à une augmentation Il doit y avoir une vraie réflexion au ni
alloué un budget spécifiquement dédié à importante des cas de criminalité éco veau pénal, et elle ne doit pas être
l’achat de ce type de ressources (failles nomique en rapport avec le domaine du l’œuvre uniquement de juristes et de la
de sécurité, ou vulnérabilités inconnues numérique. Le problème est que – « politique ». Dans le domaine des TIC,
des concepteurs des logiciels, pour comme expliqué à la question 3 – la le système de milice a atteint ses limi
lesquelles il n’existe pas de parade ou police et la justice n’arrivent pas à ob tes. Il est nécessaire que les profes
de correctif, et qui par leur nature per tenir les ressources qui leur seraient sionnels – du secteur public et du
mettent d’accéder à des programmes, nécessaires pour être en mesure de secteur privé – qui, dans leur pratique,
respectivement des ordinateurs en traiter la multitude de cas qui se pré luttent contre la cybercriminalité, puis
contournant les mesures de sécurité sentent à eux. Et les cas suisses ne se sent exposer les problèmes auxquels
présentes. Ce type de faille est aussi limitent pas aux frontières de la Suisse, ils sont confrontés. Les connaissances
appelé 0Day, ou vulnérabilité Zero day). ils nécessitent la plupart du temps une lacunaires des politiques en matière de
En 2012, le Dr Michael McGuire, du collaboration au niveau européen ou société de l’information (y compris dans
John Grieve Centre, a tenté de dresser mondial. Cette collaboration est sou les commissions spécialisées), impac
un portrait de la relation potentielle vent soumise à des demandes d’en tent extrêmement négativement sur
entre le crime organisé et la cyber traide judiciaire qui vont prendre du leur capacité à comprendre les problè
criminalité, dans une étude nommée : temps, et cette latence profite pleine mes liés à la lutte contre la cyber
« Organised Crime in the Digital Age ». ment aux cybercriminels. Il existe bien criminalité. Par exemple, début 2013,
Selon cette étude, 80% des groupes la Convention sur la c ybercriminalité du Me François Charlet, un avocat spécia
c ybercriminels reposeraient sur une
Conseil de l’Europe, qui est entrée en lisé dans la protection des données, et
forme de structure organisée, sans vigueur en Suisse en 2012, mais tous moi-même, avions été invités par un
pour autant que ces groupes organisés les pays ne l’on pas signée, et les parti politique pour partager quelques
appartiennent tous à une organisation cybercriminels exploitent logiquement réflexions sur les problématiques liées
criminelle classique. 43% des mem ce genre de failles. Ils chargent des aux TIC. Suite à cette réunion, il était
bres de ces organisations cybercrimi spécialistes du domaine juridique ressorti que la pénalisation de l’usur
nelles avaient plus de 35 ans, et 29% d’évaluer quelles seront – légalement – pation d’identité était un dossier priori
moins de 25 ans. La moitié des groupes les meilleures bases a rrière pour l ancer taire. En 2016, ce qui a progressé, c’est
comprennent une structure de six per leurs attaques. uniquement le nombre de victimes ! Il
sonnes ou plus, avec un quart compre
nant 11 ou plus. 25% des groupes actifs
ont agi pendant moins de six mois.
www.cybercrimejournal.com/
broadhurstetalijcc2014vol8issue1.pdf
Vous avez également une formation en
lutte contre la criminalité économique.
Pouvez-vous nous parler de la lutte
contre la criminalité économique sur
Internet ? Quels en sont les points forts
ou quels devraient-ils être ? De quels
moyens dispose-t-on pour les pour
rangizzz/123RF
suites pénales et lesquels font défaut ?
Avec la montée en puissance de l’utili
sation des TIC, la dématérialisation
croissante des services et l’émergence « La police et la justice nécessitent une collaboration au niveau européen ou mondial,
de l’internet des objets (de plus en et des demandes d’entraide judiciaire qui vont prendre du temps ; les cybercriminels
plus de connexions et d’échanges de le savent. »
PSC info 4 | 2016 7
cybercriminalité
en va de même avec les fuites de ment condamnés pour le viol, mais le des utilisateurs. Si on prend le phishing,
données : l’Europe a mis en place la juge ne prendra pas en compte le fait par exemple, ça fait près d’un quart de
Directive NIS « Network Security and
d’avoir filmé et partagé le viol, alors siècle que le Web existe, et on n’a tou
Information » qui entrera en vigueur que le fait de filmer un viol en vue de jours pas appris aux utilisateurs à lire
en 2018 (www.riskinsight-waves tone. partager devrait – dans l’intention – correctement un lien internet (URL),
com/2016/03/8822/). Elle contient une être considéré pénalement comme un dont la manipulation est l’élément de
obligation de déclaration aux autorités acte de cruauté ! Le jugement devrait base sur lequel repose la fraude.
compétentes en cas de piratage aussi prendre en compte une obligation
d’infrastructures considérées comme légale de retrait des contenus incri Quel est le rôle du Darknet dans la cyber
étant critiques, d’intrusion dans les minés du Net, sous peine d’une autre criminalité ? La police a-t-elle une chance
systèmes informatiques, ainsi que sanction en cas d’échec. En résumé, de détecter les crimes dans le Darknet
l’obligation, pour les entreprises victi pour que la loi évolue, il faut que les ou faudrait-il modifier la l égislation ?
mes de fuite de données, de signaler mentalités évoluent. Il est nécessaire La problématique représentée par ce
leur cas aux régulateurs nationaux, et que les autorités concernées déve que l’on nomme le Darknet n’est pas
aux personnes touchées, sous trois loppent une conscience de la victime uniquement un problème de législation.
jours. Elle impose aussi aux acteurs et des traumatismes potentiels qui Les outils qui permettent l’anonymat,
concer nés de prendre les mesures résultent d’une agression en ligne, et et que l’on associe généralement au
nécessaires pour assurer une sécurité du stress posttraumatique dû au risque Darknet sont les mêmes outils que
efficace de leurs infrastructures. La de réapparition des contenus humi ceux utilisés par les défenseurs des
Suisse – que certains présentent comme liants pour la victime. Cette évolution droits humains ou par des journalistes
le futur coffre numérique du monde – des mentalités est aussi nécessaire dans des pays non démocratiques pour
se doit d’appliquer au plus vite de telles pour que les magistrats comprennent rapporter des cas d’atteintes aux liber
directives. mieux les contraintes liées au travail tés individuelles, ou pour dénoncer les
Au niveau des particuliers, là aussi d’enquête de la police en rapport avec mauvais agissements de certains gou
la justice est à la traîne et nombre de le Net. Par exemple « l’investigation vernements ou des cas de corruption.
magistrats ne semblent pas être secrète », qui autorise l’utilisation d’une Pour résumer, ces outils sauvent aussi
connectés avec les réalités de notre identité d’emprunt (dont la réglementa des vies. Donc la solution ne passe pas
société… connectée. J’ai traité des tion a été harmonisée au niveau fédéral par un affaiblissement des techno
cas de sextorsion et de revenge porn et est entrée en vigueur en 2005), doit logies (de chiffrement par exemple),
(pratique qui consiste à diffuser des
être plus facile à mettre en œuvre. elle passe par l’amélioration du niveau
images intimes, à caractère sexuel, du d’expertise et une meilleure collabo
conjoint sans le consentement de De quelle manière la criminalité sur ration et un meilleur échange d’infor
celui-ci), et dans le cas du revenge porn, Internet va-t-elle évoluer ? Peut-on mations entre les différents services
selon le code pénal suisse, la victime – s’attendre à de nouveaux types de délits ? de police et de justice, tant au niveau
suivant son âge – pourrait être poten Le spécialiste en criminologie Michael national qu’international. De plus, les
tiellement considérée comme coupable McGuire définit la cybercriminalité faits nous ont prouvé que le Darknet
de création et de diffusion de contenus comme étant la quatrième ère de la n’est pas un espace impénétrable : en
à caractère pornographique. Non seule criminalité. Pour ma part, je pourrais 2013, le FBI a réussi à fermer « Silk
ment on ne reconnaît pas son statut de résumer la question par « plus de Road » une des plus grandes places de
victime, mais l’agresseur ne risque pas crimes et moins de moyens pour les
commerce illégal du Darknet. Puis il a
grand-chose non plus. Dans le canton combattre ». Il ne faut néanmoins pas réussi à infiltrer – dès le début de son
de Vaud, en 2013, un homme reconnu accepter l’augmentation de la cyber lancement – Silk Road 2.0 pour le
coupable de la diffusion de vidéos in criminalité comme une fatalité. Mais il fermer en 2014. Aujourd’hui, une nou
times de son ex-copine, sur un site faut se donner les moyens de la com velle version du site existe, et connaît
pornographique, n’a été condamné
battre. Et plus encore que les moyens un développement florissant, surtout
qu’à 50 jours amende avec sursis financiers, légaux et policiers, c’est la dans la vente de drogues. Mais quoi de
(les femmes représentent plus de 80% « connaissance » qui est et sera tou différent avec le monde physique ? On
des victimes). Il en va de même lorsque jours le « nerf de la guerre » contre ces n’a pas réussi à y éradiquer la vente de
qu’une femme se fait violer : si les formes de criminalité. Au final, les drogue non plus. Ce que je veux dire,
agresseurs filment la scène et la par cybercriminels utilisent les mêmes tech c’est qu’avec les moyens et le niveau
tagent dans un groupe WhatsApp – nologies que nous. Une grande majorité d’expertise adéquat, la police est en
comme c’est déjà arrivé – ou sur le Net, des cyberattaques et des fraudes en mesure de lutter sur tous les fronts
le ou les agresseurs seront éventuelle ligne reposent sur la méconnaissance technologiques.
8 PSC info 4 | 2016
cybercriminalité
scanrail/123RF
« Avec les moyens et le niveau d’expertise adéquat, la police est en mesure de lutter sur tous les fronts technologiques. »
Quels sont les principaux conseils pour existants ou à venir. Il est aussi de la majorité des gens acceptent la res
se protéger de la cybercriminalité ? responsabilité de l’Etat d’identifier les ponsabilité de devoir s’informer sur les
Quitte à me répéter : l’utilisateur, qu’il menaces que les entreprises et les
médicaments qu’on leur aura prescrit,
s’agisse d’un individu ou d’une per citoyens ne peuvent pas être en mesure ou sur la composition des aliments
sonne morale, doit fondamentalement d’identifier. Il faut mettre en place des qu’ils vont consommer, ou encore sur le
améliorer son niveau de connaissance. structures gouvernementales, qui utili mode d’utilisation et le fonctionnement
Rien ne pourra se faire sans cela. seraient les ressources disponibles du véhicule qu’ils vont utiliser. Ils re
L’Etat, quant à lui, doit lui mettre à dans le secteur privé, pour proacti chignent, mais acceptent néanmoins de
disposition les moyens pour pouvoir le vement rechercher les menaces à venir s’adapter au tri des déchets et aux
faire. Que cela passe par l’instruction (failles 0-day / vulnérabilité Zero day), « nouvelles règles » liées à l’évolution et
publique, les entreprises, et pourquoi évaluer le matériel utilisé dans les in aux changements qui surviennent dans
pas l’armée (on pourrait imaginer une frastructures stratégiques du pays notre monde physique. Ce n’est pour
formation dispensée pendant l’école (hardware, software, firmware). Le tant pas différent avec les TIC ! E lles
de recrue). En France, par exemple, futur de la sécurité économique de la sont à la base de la transforma tion
l’Institut national des hautes études de Suisse, de sa capacité d’innovation et numérique de notre société, et le mon
la sécurité et de la justice (INHESJ) et la de croissance, est à ce prix. Au niveau de virtuel n’en est que la « réalité »
Délégation interministérielle à l’intel légal, les entreprises qui ne protègent dématérialisée. Ça reste quand même
ligence économique (D2IE) se sont pas suffisamment leurs données doi la société, notre société, celle dans la
engagés dans une démarche partena vent être pénalisées. quelle on vit, et non un « espace virtuel »
riale visant à former des « Conféren L’utilisateur, quant à lui, a pour res à part de celle-ci, comme l’a dit Edgard
ciers en sécurité économique » issus du ponsabilité de comprendre les outils Morin : « dans une société complexe, il
monde économique : entreprises, pôles, qu’il utilise. Il n’est plus acceptable faut adopter une pensée complexe ». Je
clusters, consultants, etc. L’objectif est d’être dans cette forme de déni de res me permettrais de reformuler son pro
de délivrer un message général, unifor ponsabilité vis-à-vis de technologies pos par « prendre le temps d’apprendre
misé et cohérent sur la sécurité éco que l’on utilise au quotidien. Alors que à vivre avec son temps, pour ne pas
nomique et de promouvoir les outils dans notre société physique, la grande exister hors du temps ».
PSC info 4 | 2016 9
cybercriminalité
Qui lutte contre la cyber •
•
Représentation de la violence
Racisme, extrémisme
criminalité et protège les
• Atteinte à l’honneur, menaces
• Escroquerie, criminalité économique
• Intrusion non autorisée dans un
structures numériques en s ystème informatique
• Diffusion de virus informatiques,
Suisse ? détérioration de données
Les contenus suspects repérés sur
Inter net peuvent être signalés sur le
La stratégie du Conseil fédéral pour une Suisse site www.cybercrime.ch (formulaire).
numérique et son impact sur la sécurité de la Le SCOCI est un centre de compé
tences à disposition du public, des auto
population rités et des fournisseurs d’accès Inter
net pour toute question juridique ou
technique concernant la cybercrimi
Le Conseil fédéral a adopté en avril f ixer des limites d’âge et à établir des nalité. En tant que service national
2016 la stratégie « Suisse numérique », restrictions pour la remise de vidéos chargé de coordonner la lutte contre
qui doit permettre de tirer pleinement et de jeux électroniques (mise en la c ybercriminalité, il est aussi l’inter
parti de l’expansion du numérique. Il œuvre d’ici fin 2017) locuteur des services étrangers homo
est capital, dans une société informée • Analyse de l’évolution de la sécurité logues.
et démocratique, que les habitants de et du traitement des données (big Pour plus d’informations :
notre pays puissent utiliser les techno data), évaluation des conséquences www.cybercrime.admin.ch
logies de l’information et de la commu pour la société et réexamen du cadre
nication modernes de manière compé légal actuel (mise en œuvre d’ici
tente et sûre dans leur vie quotidienne. mi-2018) Centrale d’enregistrement et
Dans le cadre de cette stratégie Pour plus d’informations :
d’analyse pour la sûreté de
doivent notamment être mises en œ uvre www.bakom.admin.ch/bakom l’information (MELANI)
différentes mesures ayant trait à la MELANI fonctionne en tant que modèle
sécurité : de coopération entre le Département
• Organisation d’une consultation sur Service de coordination de la fédéral des finances (DFF), représenté
une révision de la loi sur les télécom lutte contre la criminalité sur par l’Unité de pilotage informatique de
munications visant à doter la Confé Internet (SCOCI) la Confédération (UPIC), et le Départe
dération d’instruments pour protéger Le SCOCI est rattaché à une division prin ment fédéral de la défense, de la pro
les jeunes contre les risques inhé cipale de l’Office fédéral de la police tection de la population et des sports
rents aux services de télécommuni (fedpol) : la Police judiciaire fédérale. (DDPS), représenté par le Service de
cation. Les fournisseurs d’accès Le SCOCI effectue des recherches renseignement de la Confédération
Internet seront tenus de conseiller
actives non ciblées sur Internet. Les (SRC).
leur clientèle sur les mesures visant dossiers créés sont analysés et les cas MELANI s’adresse à deux groupes
à protéger la jeunesse et de bloquer relevant du pénal sont transmis aux de clients : Le cercle ouvert est à dispo
les contenus pornographiques pédo autorités de poursuite compétentes en sition des particuliers utilisant un ordi
philes (mise en œuvre d’ici fin 2016). Suisse et à l’étranger. Les contenus sur nateur et Internet ainsi que des PME en
• Examen des possibilités pour pro Internet sont considérés comme rele Suisse.
téger la sphère privée des consom vant du pénal dans différents cas de Son offre :
mateurs de médias numériques, spé figure (liste non exhaustive) : • Informations sur les dangers et les
cialement les enfants et les jeunes, • Pornographie dure (actes sexuels mesures possibles en rapport avec
dans le cadre de la révision de la loi avec des enfants ou des animaux, l’utilisation des technologies de l’in
sur la protection des données (mise actes sexuels violents) formation et de la communication
en œuvre d’ici fin 2016) • Pornographie légale accessible aux modernes (p. ex. : Internet, banque en
• Nouvelle loi visant à renforcer la mineurs et proposée sans mesure de ligne) ;
protection de la jeunesse contre les protection des enfants ni contrôle • Rapports sur les tendances et les
contenus inappropriés qui oblige à d’âge évolutions principales dans le d
omaine
10 PSC info 4 | 2016cybercriminalité
des technologies de l’information et
de la communication en relation avec Formes fréquentes de
cyberdélinquance
les incidents et les événements ob
servés ;
• Formulaire permettant aux utilisa
teurs de signaler les incidents dont
ils sont victimes. Du fait de sa longue expérience en la matière, la
Le cercle fermé est réservé à différents
PSC est souvent le premier interlocuteur des
exploitants d’infrastructures critiques citoyens préoccupés. Agissant aussi comme
à l’échelon national (p.ex. : fournisseurs conseiller de premier recours et de guichet virtuel
d’énergie, entreprises de télécommuni
cation, banques). MELANI a vocation à
pour les victimes d’un délit sur Internet, la PSC
protéger ces infrastructures vitales, en passe en revue les éléments qui pourraient
particulier quand ces dernières dépen constituer une plainte ou indique à qui s’adresser
dent du bon fonctionnement des infra
structures d’information et de commu
auprès de la police. En parlant avec les victimes,
nication. elle peut en outre collecter de précieux
Pour plus d’informations : renseignements sur les stratégies des
www.melani.admin.ch
malfaiteurs, ce qui lui permet ensuite d’actualiser
ses messages de prévention en fonction des
Le rapport « Sûreté de l’information – diverses formes de cyberdélinquance.
Situation en Suisse et sur le plan
international » est établi semestriel
lement. Le dernier numéro en date La PSC décrit ici les délits qui lui sont le Romance scam
(2016/I) a été publié fin octobre. Il plus souvent rapportés par la popula Le mensonge de l’amour des escrocs
présente les principaux incidents tion, soit parce que les personnes qui au mariage sur Internet
survenus au cours du premier se appellent sont elles-mêmes lésées, Les expressions anglaises de romance
mestre au plan national et interna soit parce qu’elles soupçonnent qu’un scam et de love scam désignent un cer
tional. Il consacre son point fort à de leurs proches, parent ou ami, pour tain type de fraude sur Internet. Cette
l’expansion de la cyber-extorsion. rait l’être. arnaque vise des personnes qui recher
chent ardemment un ou une partenaire.
Unité de pilotage informatique de la Confédération UPIC
Service de renseignement de la Confédération SRC
Désir et amour font le Elle est particulièrement sournoise
bonheur des vautours
Centrale d’enregistrement et d’analyse pour la sûreté de
l’information MELANI
parce qu’en plus d’aller jusqu’à ruiner
www.melani.admin.ch
On sait que les filous utilisent la Toile une victime, elle la laisse le cœur brisé.
pour prendre les pigeons dans leurs Comment ça marche ?
SÛRETÉ DE L’INFORMATION
SITUATION EN SUISSE ET SUR LE PLAN INTERNATIONAL filets. Pour qu’une personne tombe
dans le panneau, il suffit qu’elle avale Mode opératoire
Rapport semestriel 2016/I (janvier à juin)
tous les bobards qu’on lui raconte et Sur des sites de rencontre et des ré
rien n’est plus simple lorsque la victime seaux sociaux, les escrocs se présen
est prête à y croire. Cette disposition à tent comme des soupirants transis
se faire avoir naît d’un manque, donc d’amour (hommes ou femmes), et ce,
d’un besoin subjectif. Un besoin d’ar bien évidemment sous de fausses iden
gent, de prestige, de proximité physique tités. Ils couvrent leurs victimes de
ou psychique. compliments et de serments puis
28 OCTOBRE 2016
Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI)
Les deux formes d’escroquerie ou essaient de leur soutirer de l’argent
de chantage décrites ici fonctionnent avec des histoires bouleversantes.
http://www.melani.admin.ch
avec ces besoins et visent par consé Prenons un exemple : sur un site de
quent des personnes à la recherche de rencontres, un certain Bob Tyler1 se
www.melani.admin.ch > Documentation
> Rapports > Rapports sur la situation chaleur humaine ou de plaisir physique, présente comme ingénieur, bien de sa
> Rapport semestriel 2016/1 même si elles présentent chacune des
profils très différents. 1 Noms fictifs
PSC info 4 | 2016 11cybercriminalité
res perdent toute traçabilité et l’argent
est perdu. La confiance des victimes a
été totalement ébranlée et elles éprou
vent un vif sentiment de honte.
Mode opératoire de type « haute école
de l’escroquerie »
Et comme si cela ne suffisait pas déjà,
les mensonges et les tromperies vont
plus loin ! La victime qui ne paie pas ou
qui ne veut plus payer est assaillie de
fausses lettres de la police ou de la
stokkete/123RF
justice qui lui font croire que l’auteur du
délit va pouvoir être arrêté. Elle est
convaincue que pour cela, il lui faut
Romance scam : ce cyberdélit est particulièrement sournois, parce que la victime se de nouveau avancer de l’argent. On lui
retrouve ruinée et le cœur brisé. fait croire qu’un enquêteur spécialisé
d’Interpol a identifié Bob Tyler et qu’il
personne et avec une belle situation. Internet ne sont souvent pas connus, sait ainsi que Danièle Chappuis a été sa
C’est ainsi qu’il e ntre en contact avec raison pour laquelle les mensonges victime. Pour récupérer son argent,
Danièle Chappuis2, vivant à N. Après sont encore plus difficiles à reconnaître. cette dernière doit procéder à tels paie
quelques échanges, il devient très Une fois l’escroc certain d’avoir créé ments à la douane et au ministère de la
insistant et lui déclare t oute sa flamme : une dépendance émotionnelle suffi Justice de Dubaï. Il arrive ainsi que la
à le lire, elle est la femme de sa vie. samment forte chez sa victime et que la victime soit escroquée deux fois et
Madame Chappuis n’est pas très mé perspective d’une rencontre dans la vie qu’au lieu de recevoir de l’aide, elle
fiante sur Internet et ne sait peut-être réelle se concrétise, il commence à ra s’endette encore davantage. Les au
pas combien il est facile de créer des conter tous ses problèmes : accidents, teurs de ces délits sont inventifs, inno
profils inventés de toutes pièces. Elle maladies, difficultés avec des autorités, vants, persévérants, patients, rompus à
n’imagine pas non plus que des adres urgences familiales et professionnel toutes les astuces et très au fait de tou
ses électroniques et des numéros de les. Alors que M. Tyler affirme être en tes les possibilités qu’offrent Internet.
téléphone ne peuvent en rien garantir route pour la Suisse, il annonce qu’il En dernière analyse, comme nous
le pays d’origine de leurs interlocu doit impérativement faire un détour par l’avons dit, cette activité criminelle peut
teurs. Par ailleurs, Madame Chappuis a Dubaï pour des raisons professionnel s’avérer extrêmement rentable.
envie d’une relation et aime cet échange les. Or, il ne peut conclure un marché
romantique comme elle n’en a pas c onnu dans cette ville que s’il est en mesure Mesures de prévention contre
depuis longtemps. Ainsi donc, la chance d’avancer une certaine somme d’argent. le romance scam
lui sourit enfin et elle est convaincue de Hélas, pour toutes sortes de raisons, Avoir confiance, c’est bien mais il vaut
vivre désormais un grand amour ! Les M. Tyler ne peut disposer immédiate parfois mieux être sur ses gardes. Dans
love scammers (littéralement auteurs ment de cet argent. Mme Chappuis les escroqueries commises par Inter
d’escroqueries à l’amour) sont passés aurait-elle la gentillesse de lui virer ce net, la prévention est d’autant plus im
maîtres dans l’art de séduire, de com montant le plus rapidement possible portante que les auteurs des délits ne
plimenter et d’embobiner. Ainsi, plus afin qu’il puisse ensuite enfin venir la courent quasiment aucun risque d’être
Mme Chappuis tchatte et téléphone avec retrouver ? Il n’est pas rare que de tels identifiés. Les personnes informées qui
M. Tyler, plus elle se convainc de l’authen mensonges permettent à ces filous sont à la recherche d’un ou une par
ticité des sentiments de son corres d’encaisser plusieurs centaines de mil tenaire identifient assez bien une arna
pondant. Pourquoi sinon quelqu’un se liers de francs avant que leurs victimes que parce que le mode opératoire de
donnerait autant de peine ? On dit que réalisent que ce n’était pas leur cœur celle-ci est très standard. C’est la rai
l’amour rend aveugle, mais pas seule qui était convoité, mais leur argent. son pour laquelle il est important de
ment. Avec l’arnaque à l’amour s’ajoute Et comme les courriels, les numé faire connaître cette forme d’escroque
le fait que les mécanismes spécifiques ros de téléphone et les profils sont rie. Et dans tous les cas, ce conseil vous
de mystification et de tromperie sur falsifiés ou anonymisés, que les paie évitera bien des déconvenues :
ments ont été faits par Western Union Ne remettez jamais de l’argent à
2 Noms fictifs ou Moneygram, les opérations financiè des gens que vous ne connaissez pas
12 PSC info 4 | 2016Vous pouvez aussi lire
