Mémento en matière de lutte contre la cybercriminalité - Signor Anthony Version du 22/03/2022 (provisoire) - Super ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Mémento en matière de lutte contre la cybercriminalité Aspects de procédure et de droit pénal matériel Signor Anthony Version du 22/03/2022 (provisoire)
Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
Table des matières
Titre 1 : Aspects procéduraux et généralités .............................................................. 3
1. Compétence territoriale .................................................................................... 3
a. Cadre général ............................................................................................... 3
b. Application au réseau Internet....................................................................... 3
c. Limites et difficultés ....................................................................................... 5
2. La preuve digitale ............................................................................................. 5
3. Data retention ................................................................................................... 5
Titre 2 : Enquête pénale ............................................................................................. 7
1. La recherche conventionnelle ........................................................................... 7
a. Recueil de preuves par la police par la consultation de sites internet
accessibles au public ( «Patrouilles Internet –art 26 Loi/fonction de police) ........ 8
b. Recherche et saisie en milieu informatiques (article 39bis) .......................... 9
c. Extension de la recherche à partir d’un système informatique (article 88ter)
11
d. Inaccessibilité/blocage (article 39 bis§6 al.4 Cicr) ....................................... 11
e. Gel des données ( article 39ter et 39quater Cicr)........................................ 12
f. L’identification de l’utilisateur d’un service de communication électronique
(article 46bis) ..................................................................................................... 13
g. La repérage et la localisation des communications électronique (article
88bis) ................................................................................................................. 13
h. Contrôle visuel discret (articles 46quienquies -89ter).................................. 14
i. Interceptions secrètes de communications (article 90ter) ........................... 14
j. Les visites domiciliaires et perquisitions ...................................................... 15
2. Les méthodes particulières de recherche sur internet .................................... 15
a. L’observation ............................................................................................... 15
b. L’infiltration light .......................................................................................... 16
Titre 3 : Les infractions ............................................................................................. 16
1. La criminalité informatique générale ............................................................... 16
1.1. Calomnie / diffamation (443 et 444 CP) ................................................ 17
1.2. Harcèlement (442bis CP) et l’infraction à la législation sur les
communications électroniques (145 §3bis L.13/06/2005)............................... 17
1.3. Faux en écritures et usage (193 CP et s.) ............................................ 18
1.4. Violation du secret professionnel (458 CP)........................................... 18
1.5. Escroquerie (496 CP) / abus de confiance ........................................... 19
1.6. Blanchiment (505 al. 2 CP) ................................................................... 19
p. 1Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
1.7. Extorsion (Ransomware - rançongiciel) (470 CP et s.) ......................... 20
1.8. Usage illicite d’informations extraites d’un dossier judiciaire (460ter CP)
20
1.9. Provocation à commettre certains crimes ou délits .............................. 20
1.10. Racisme, xénophobie, négationnisme, propos haineux (Art. 20 Loi du
30 juillet 1981) ................................................................................................ 21
1.11. Sexisme (Art. 2 Loi du 22 mai 2014) ................................................. 21
1.12. Pédopornographie (383bis CP) ......................................................... 21
1.13. Attentat à la pudeur ........................................................................... 22
1.14. Voyeurisme (371/1 CP) ..................................................................... 23
1.15. Viol .................................................................................................... 23
1.16. Grooming (377quater CP) et cyberprédation (433bis/1 CP) .............. 23
1.17. Contrefaçon (Art. XI.293 CDE) .......................................................... 24
1.18. Violation de la vie privée et droit à l’image ........................................ 24
2. La criminalité informatique spécifique............................................................. 25
2.1. Le hacking (accès non autorisé à un système) (Art. 550bis CP) .......... 25
2.2. Le sabotage informatique (Art. 550ter CP) ........................................... 28
2.3. Le faux informatique (Art. 210bis CP) ................................................... 29
2.4. La fraude informatique (Art. 504quater CP) .......................................... 30
2.5. Refus d’information ou de collaboration (Art. 88quater, §3 CIC) .......... 31
2.6. Loi du 30 juin 1994 concernant la protection juridique des programmes
d’ordinateur (Art. 11)....................................................................................... 32
2.7. Loi 12 mai 2003 concernant la protection juridique des services à accès
conditionnel (Art. 6) ........................................................................................ 32
Titre 4 : Définitions ................................................................................................... 34
p. 2Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
TITRE 1 : ASPECTS PROCÉDURAUX ET GÉNÉRALITÉS
1. Compétence territoriale
a. Cadre général
L’article 3 du Code pénal dispose que : « L'infraction commise sur le territoire du
royaume, par des Belges ou par des étrangers, est punie conformément aux
dispositions des lois belges. »
Il y a lieu de faire application de la théorie de l’ubiquité objective. De manière
générale, une infraction relève de la compétence des juridictions belges,
énonce la Cour de cassation, lorsque l’un des éléments qui la constituent a,
en tout ou en partie, été accompli en Belgique.1
Exemples :
Escroquerie sur internet : Juridictions belges compétentes même si la remise des
fonds a eu lieu à l’étranger et que le site internet est situé à l’étranger.
La compétence peut également se justifier lorsque l’on a affaire à un délit continu :
lorsque la commission d’un délit s’étend sur le territoire de plusieurs Etats, il suffit
que la situation délictueuse se soit produite, à un moment donné, sur le territoire de
la Belgique pour que le juge belge soit compétent.
b. Application au réseau Internet
Internet peut être défini comme un réseau informatique mondial, accessible au
public. L’accès au réseau se fait par l’intermédiaire de fournisseurs d’accès internet
(FAI, ou ISP, Internet Service Provider). Dès lors les frontières politiques ne sont pas
d’application et il y lieu à prendre l’ensemble du globe en considération.
Chaque appareil connecté au réseau peut être identifié par le biais d’une adresse IP
(IPv4, composée de chiffres : 91.176.44.224, IPv6 composée de chiffres et de
lettres : 2001:db8::001). Cette adresse est fournie par le fournisseur d’accès Internet
et permet l’utilisation du réseau.
L’adresse IP interagis avec un serveur DNS qui permet la communication entre les
machines et l’accès aux noms de domaines (exemple : www.premier.be )
Le fournisseur d’accès internet ainsi que d’autres informations relatives peuvent être
facilement obtenus par l’intermédiaire d’un WHOIS, qui va extraire les données
publiques relatives à soit une adresse IP, soit un nom de domaine.
Aussi bien les ordinateurs personnels que les serveurs sont reliés à Internet par le
biais d’une adresse IP. Lorsqu’un serveur est accessible, il fait généralement l’objet
1Cass ., 4 octobre 2017, r .G . P . 17 .138 .F . ; Cass ., 7 juin 2011, Pas., 2011, p . 1625, N.C ., 2012,
p . 68, obs . S . Dewulf ; Cass ., 26 mai 2009, Pas., 2009, p . 1316 ; Cass . (chambres réunies), 23
décembre 1998, Pas.,1998, p . 1256 ; Cass ., 4 février 1986, Pas., 1986, i, p . 671 . (Voy. F. KUTY,
Principes généraux du droit pénal Belge – Tome 1, p. 419)
p. 3Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
d’une fourniture de service par hébergeur qui met à disposition des machines
(exemple : OVH)
Un WHOIS effectué sur who.is avec le domaine premier.be permet de dégager les
informations suivantes :
Domain: premier.be
Status: NOT AVAILABLE
Registered: Fri Jan 19 2001
Registrant:
Not shown, please visit www.dnsbelgium.be for webbased whois.
Registrar Technical Contacts:
Organisation: Kanselarij van de Eerste Minister Chancellerie du Premi
er Ministre
Language: nl
Phone: +32.25010555
Registrar:
Name: Kanselarij van de Eerste Minister - Externe Communicatie Chanc
ellerie du Premier Ministre - Communication Externe
Website: http://www.belgium.be
Nameservers:
dns1w.fgov.be
dns2s.belgium.be
dns3a.westeurope.cloudapp.azure.com
Keys:
keyTag:53116 flags:KSK protocol:3 algorithm:RSA-SHA1 pubKey:AwEAAanJSKW
X/CCIVuD4Z22nGJlsaJPstxkAAOkMHewEGU0YqDUgNCb0zO2f6XxztvVMnVyN/NjHybX41zflf6XLON2
JFmaHdDHNapT0Zmm+ciZLYFVkvgBK6S/Ogc/s+w11KfNbaxsiokbibc0Q/8lYI/Biv6W1nDrcAscie03
uI3eEpBb/9UvU5v0x9pbapPZShySfiDSpXF0szeeJ7LvbWkODawP28kgUmKavmzoGsmlDbjT24ha+1Bl
Nyqa/f/mEaDw27EVAKD1gw2KRXRwYcBDAD/Cf0PrnCAVoteA4+KhvQsH2ttyhCos2hlXeBtq48ZPA7Cj
9D6ApcQLx+zKU0Ns=
Flags:
clientTransferProhibited
Please visit www.dnsbelgium.be for more info.
Information Updated: 2021-09-22 07:28:05
Une telle recherche peut également être effectuée sur une adresse IP, permettant
ainsi également d’obtenir une localisation approximative.
p. 4Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
Un fournisseur d’accès internet est tenu de répondre aux demandes des autorités
judiciaires, y compris les opérateurs de services de communications électroniques
(Google, Facebook, etc.).2
La jurisprudence donne une définition assez large de fournisseur d’accès à Internet :
« Toute personne qui, sur le territoire belge, met à disposition ou offre un service qui
consiste en la transmission de signaux de communications électroniques par
l'intermédiaire de réseaux de communications électroniques, ou qui consiste à
permettre aux utilisateurs d'obtenir, de recevoir ou de faire circuler des informations
via un réseau de communications électroniques ».
c. Limites et difficultés
Une adresse IP n’est pas si difficile à masquer ou à détourner.
L’usage d’un proxy permet à un ordinateur de de se servir d’une adresse IP d’une
autre ordinateur afin de masquer l’adresse IP source. L’utilisation d’un VPN (Virtual
Private Network) va également poser le même type de problème.
L’utilisation du réseau TOR (surcouche à Internet) qui permet l’accès au darkweb
permet également à un utilisateur de naviguer de manière anonyme.
D’autre part, dans de moyennes ou grosses structures, une seule adresse IP est
allouée et un nombre important de machines peuvent s’y connecter en passant par
un routeur. L’identification devra donc s’effectuer en deux temps, la première
permettant de localiser la personne à qui l’adresse est attribuée, et la seconde la
machine utilisée, connectée au routeur.
En pratique, une difficulté majeure sera la géolocalisation des services avec lesquels
traiter, ce qui va de facto contribuer à une fragmentation de la preuve numérique.
2. La preuve digitale
Lors de la rédaction des PV, il va falloir garder à l’esprit l’équilibre entre l’explication
technique et l’intelligibilité de l’information. Il conviendra de préserver une certaine
discrétion quant aux techniques utilisées.
Il faudra ainsi être attentif à expliquer à l’avance la technologie utilisée et la manière
avec laquelle cette dernière s’articule et est exploitée au regard de la législation en
vigueur. Ainsi des données stockées sur un appareil, récupérées avant l’envoi et le
chiffrement sur le réseau, ne constitue pas une interception, s’agissant de données
présentes sur la mémoire de la machine. (Voy. Affaire Encrochat, jurisprudence UK,
England and Wales, Court of Appeal).3
3. Data retention
2 Voy. Affaire Yahoo (Cass 18/01/2011) et Affaire Skype 19/02/2019)
3 « We have concluded that the only substantial question which the judge was required to answer was
whether the EncroChat material was stored by or in the telecommunications system when it was
intercepted. Like him, we consider that these communications were not being transmitted but stored
at that time». ( lire point 79 Arrêt EWCA –5 février 2021)
p. 5Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
Le « data retention » où la rétention de données est une pratique des fournisseurs
d’accès Internet de de communication électronique constant en le stockage de
données de ses utilisateurs. Ce qui permet en pratique de pouvoir en effectuer
l’exploitation à des fins judidiciaires.
La data retention dispose d’un cadre dans une directive 2006/24/CE du 15 mars
2006 sur la conservation de données générées ou traitées dans le cadre de la
fourniture de services de communications électroniques accessibles au public ou de
réseaux publics de communications. En droit belge, il s’agira de l’article 126 de la loi
du 13 juin 2005 relative aux communications électroniques, qui prévoit une
obligation de conservation des données.
L’article 19 de la convention sur la cybercriminalité du 23 novembre 2001 prévoit une
obligation pour les états signataires de prévoir des mesures d’investigations en droit
interne relativement à l’exploitation des données détenues par toutes personnes
connaissant des systèmes informatiques.
Ces données permettent l’identification, le relevé de l’historique des connexions,
l’équipement utilisé ainsi que la localisation.
Cette pratique a cependant été mise à mal par un arrêt de la CJUE du 6 octobre
2020, lequel, dans le cadre civil, vient impacter l’enquête pénale sous le couvert du
respect de la vie privée.
Ainsi, Le droit de l’Union s’oppose à la conservation généralisée et indifférenciée de
données relatives au trafic et à la localisation. Toutefois, à titre préventif, pour la lutte
contre la criminalité grave et la prévention des menaces graves contre la sécurité
publique «une conservation ciblée des données relatives au trafic et des données de
localisation est admissible mais doit être limitée au strict nécessaire en ce qui
concerne les catégories de données à conserver, les moyens de communication
visées, les personnes concernées ainsi que la durée de conservation retenue» (
point 147 de l’arrêt)
Cependant, la notion de « criminalité grave » ne fait pas l’objet d’une définition, ce
qui mène à une insécurité juridique, ainsi qu’une paralysie des enquêtes.
Un arrêt de la Cour constitutionnelle du 22 avril 2021 vient également mettre à mal le
principe de data retention.
D’autre part, la chambre ses mises en accusations d’Anvers a cependant prévu un
régime transitoire, dans l’attente d’une adaptation législative, dans un arrêt du 17
mai 2021 :
« Tout d’abord, il convient de noter que l’arrêt de la Cour constitutionnelle du
22.04.2021 n’est opposable aux opérateurs qu’à partir de sa publication au Moniteur
belge. Ce n’est pas le cas ici.
L’article 126 de la loi relatives aux communications électroniques reste donc en
vigueur, sauf que le juge national ne peut plus l’appliquer dans la mesure où il
impose aux fournisseurs une obligation générale et indifférenciée de conserver les
p. 6Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
données relatives au trafic et à la localisation. Cela signifie simplement que les
fournisseurs ne sont à présent plus obligés de conserver ces données.
Cela ne signifie pas que toutes les données relatives au trafic et à la localisation
collectées par les fournisseurs en vertu des articles 126 (et 127) de la loi relative aux
communications électroniques (LCE) doivent être immédiatement annulées et
retirées de chaque dossier pénal.
Dans son arrêt du 6 octobre 2020, la Cour de justice ne considère pas que les
simples conservation et utilisation de données de télécommunications sans
réglementation stricte constituent une atteinte aux droits de l’homme tellement
essentielle qu’elle dépasse la gravité d’un éventuel délit.
Le § 167 de la Cour de justice est particulièrement pertinent sur ce sujet. Il stipule :
In that regard, it is permissible for Member States to specify in their legislation that
access to traffic and location data may, subject to those same substantive and
procedural conditions, be permitted for the purpose of combating serious crime or
safeguarding national security where that data is retained by a provider in a manner
that is consistent with Articles 5, 6 and 9 or Article 15(1) of Directive 2002/58 ;
À cet égard, il est loisible aux États membres de préciser dans leur législation que
l’accès aux données relatives au trafic et aux données de localisation peut, sous
réserve des mêmes conditions de fond et de procédure, être autorisé aux fins de la
lutte contre les formes graves de criminalité ou de la sauvegarde de la sécurité
nationale, lorsque ces données sont conservées par un fournisseur d’une manière
conforme aux articles 5, 6 et 9 ou à l'article 15(1) de la directive 2002/58.
En bref, lorsque les fournisseurs conservent des données de manière légitime, les
États membres peuvent prévoir la possibilité d’accéder à ces données. L’arrêt de la
Cour de justice laisse donc l’article 88bis C.i.cr. intact. Si l’article 126 LCE est
annulé, l’article 88bis C.i.cr. revivra même dans une version plus ancienne et plus
large qu’aujourd'hui. Les enquêteurs peuvent demander ce que les opérateurs
conservent.
[…] »4
En conclusion la Cour se réfère à l’article 19 de la convention sur la cybercriminalité
du 23 novembre 2001 ainsi que l’article 32 du Titre préliminaire du code de
procédure pénale pour dire que le fait de demander aux opérateurs des données,
est compatible avec le test Antigone.
TITRE 2 : ENQUÊTE PÉNALE
1. La recherche conventionnelle
La plupart des moyens d’enquête usuels peuvent être utilisés dans le cadre de la
recherche et la poursuite des infractions commises sur et par l’intermédiaire
d’Internet. Certains sont cependant propres aux moyens techniques utilisés.
4 Anvers, 17 mai 2021, K/1106/2021
p. 7Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
a. Recueil de preuves par la police par la consultation de sites internet
accessibles au public ( «Patrouilles Internet –art 26 Loi/fonction de
police)
Conformément à l’article 26 de la loi sur la fonction de police, le services de police
peuvent accéder aux lieux ouverts au public et y réaliser des missions judiciaire.
Les services de police peuvent donc naviguer sur Internet, comme n’importe quel
utilisateur du réseau, afin de rechercher des éléments de peuvent permettant de
faire avancer une enquête.
Les ressources ou sites disponibles sur Internet peuvent être subdivisés en 3
catégories :
- Les sources ouvertes sont accessible en permanence au public
- Les sources semi-ouvertes sont accessible au public par le biais d’un
enregistrement (exemple : forum de discussion)
- Les sources privées
En pratique, il sera fait usage de l’exploitation des résultats de moteurs de
recherche, de profils Facebook, de la lecture d’un fil de discussion dans un forum ou
en encore l’utilisation de services tels que Google Maps ou Google Street View.
La police peut avoir recourt sur Internet à une identifié fictive, pour autant que le nom
utilisé ne soit pas vraisemblable, ainsi l’usage d’un nom d’utilisateur « Michel
Dupont », constituerait en une infiltration, contrairement à « Chocolat 214 » qui ne
fait pas référence à une identité.
Ainsi, les services de police peuvent effectuer des vérifications ciblées en vue d’une
arrestation.
La Cour de cassation, dans un arrêt du 28 mars 2017 s’est prononcée sur la
question : « Les services de police peuvent rassembler toutes les preuves sur les
sites accessibles au public sur Internet, de la même manière que le public peut avoir
accès à ces sites et nonobstant l’application des dispositions du Code d’instruction
criminelle relatives aux méthodes particulières de recherche et aux recherches et
pratiques d’écoute sur Internet. À cet égard, l’utilisation d’un alias peut relever du
mode normal de la consultation de pages d’Internet, sous réserve que cette
utilisation ne consiste pas à endosser une identité fictive crédible et que l’alias utilisé
n’est pas de nature à provoquer la commission d’une infraction. »5
Exemple : une victime voit que son vélo est mis en vente sur Ebay. La victime avertit
la police qui dispose alors de deux solutions, sans intervention d’un magistrat :
- Soit la victime donne rendez-vous pour la transaction; La police intervient
- Soit la police crée un alias/pseudo (un profil anonyme non crédible) et donne
ensuite rendez-vous avec comme finalité l’arrestation de l’auteur du vol.
Un outil intéressant permet de de consulter une page internet telle qu’elle se trouvait
à une date donnée, il s’agit de « WayBackMachine » : https://archive.org/web/ . Les
5 Cass. (2e ch.), 28 mars 2017, P.16.1245.F.
p. 8Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
pages y sont automatiquement archivées et ce sont des informations disponibles
publiquement.
Remarque : lors de recherches sur Internet, il est possible via l’accès aux serveurs
de lire les données de connexion des utilisateurs. Il est donc déconseillé d’accéder à
des sites internet frauduleux, gérés par des suspects qui n’ont pas encore été
arrêtés, sans précaution. En effet, le réseau informatique de la justice dispose de sa
propre signature web qu’il est possible de repérer facilement dans les historiques de
connexions d’un site Internet, s’agissant d’une adresse IP gérée par le
gouvernement. Ainsi une connexion directe via un ordinateur du SPF peut être
repérée par le suspect et donc attirer son attention.
b. Recherche et saisie en milieu informatiques (article 39bis)
L’article 39bis du Code d’instruction criminelle prévoit la recherche dans les
systèmes informatiques saisis : « […] La recherche dans un système informatique
ou une partie de celui-ci qui a été saisi, peut être décidée par un officier de police
judiciaire.
Sans préjudice de l'alinéa 1er, le procureur du Roi peut ordonner une recherche
dans un système informatique ou une partie de celui-ci qui peut être saisi par lui.
Les recherches visées aux alinéas 1er et 2 peuvent uniquement s'étendre aux
données sauvegardées dans le système informatique qui est soit saisi, soit
susceptible d'être saisi. A cet effet, chaque liaison externe de ce système
informatique est empêchée avant que la recherche soit entamée. […] »
Le système informatique peut être défini comme : « Tout système permettant le
stockage, le traitement ou la transmission de données ». Par exemple : un laptop,
une unité centrale, un smartphone, etc.
En règle générale, il sera préférable de solliciter l’appui du FCCU ou du RCCU lors
des perquisitions où du matériel informatique sera exploité.
De manière pratique, il y a lieu de distinguer 4 situations :
- La recherche dans un système informatique saisi avec connexion
coupée (39bis §2 al. 1)
Ce premier cas de figure vise du matériel qui a fait l’objet d’une saisie
conventionnelle. Le cas le plus fréquent est l’exploitation sommaire d’un smartphone
par les services de police, directement saisi. L’autre cas d’application le plus courant
est la consultation d’un ordinateur saisi, la lecture des données présentes sur le
disque : photos, vidéos, fichiers divers, historique internet. Ce devoir peut être
réalisé par l’OPJ.
L’exploitation des données vise également tous les messages qui y sont enregistrés,
tout ce qui est accessible directement, sans connexion. Par exemple : les
conversations Messenger, Whatsapp, les emails, etc.
La messagerie vocale peut échapper à cette exploitation si les données doivent être
lues sur un serveur distant, enregistrées chez l’opérateur. Ainsi, il sera nécessaire
de faire appel au juge d’instruction qui devra faire réaliser le devoir sous le couvert
p. 9Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
des articles 90ter ou 88 ter. Si les messages sont d’une certaine manière stockés
dans l’appareil, l’exploitation est possible comme n’importe quelle donnée présente
dans le système.
Cette manière de faire, bien que pratique, n’est cependant pas recommandée par le
FCCU qui préférera travailler avec une copie du système, ce qui évite l’altération
éventuelle des données dues à la consultation.
Il y aura lieu de veiller dans le cadre d’une exploitation sommaire d’un appareil, de
couper toutes les connexions entrantes et sortantes, notamment par l’activation du
« mode avion ».
- La recherche dans un système informatique qui pourrait être saisi avec
connexion coupée (39bis §2, al. 2)
Ce deuxième cas de figure vise du matériel dont la saisie est possible, par exemple,
un ordinateur d’un cybercafé utilisé par un client, dans une entreprise par un
travailleur, etc. Il pourra faire l’objet d’une exploitation moyennant la directive d’un
magistrat (PR ou JI). La connexion Internet devra être coupée avant l’exploitation.
Le responsable du système informatique dans lequel les recherche auront lieu devra
être informé de celles-ci dans les plus brefs délais, à moins que son adresse ne
puisse être raisonnablement trouvée. Un résumé des données qui ont été copies,
rendues inaccessibles ou retirées devra également lui être communiqué.
Il sera possible conformément à l’article 39bis §6 al. 4 de rendre certaines données
inaccessibles.
- La recherche telle que prévue dans les deux premiers cas, mais où il est
nécessaire de supprimer des protections, forcer une sécurité
Cette situation vise un système informatique protégé par un mot de passe où un
autre mécanisme de verrou. Le magistrat va pouvoir solliciter des services de police
spécialisés (FCCU, RCCU) la suppression des protections du système. En l’espèce,
il s’agira de trouver un mot de passe de connexion ou contourner la sécurité d’accès
à un appareil, une clé de chiffrement, l’usage de fausse clef, fausse qualité etc.
En parallèle des moyens de protections par mot de passe, les données biométriques
sont devenues un moyen de verrou de plus en plus répandu. Ainsi, la question de la
contrainte vis-à-vis d’un suspect qui refuse de déverrouiller son appareil s’est posée.
La doctrine considère que l’usage proportionné de la force, telle que prévue à
l’article 37 de la loi sur la fonction de police, permet aux policiers de forcer, de la
même manière que lors de la tryptique, un suspect à déverrouiller son téléphone en
y mettant son doigt ou par extension son visage le cas échéant.6 L’usage de la force
doit bien évidemment être proportionné, raisonnable et dans un objectif légal.
Si le suspect refuse de donner ses codes d’accès, il faudra se référer à l’article
88quater du Code d’instruction criminelle qui oblige quiconque, en ce compris le
suspect, de fournir des informations relatives au fonctionnement du système ou à
6 J Kerkhofs et P. Van Linthout dans Cybercrime 3.0, p. 462
p. 10Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
l’accès de celui-ci (§1). Mais également quiconque, à l’exclusion du suspect, de
mettre lui-même le système en fonctionnement, soit une obligation de coopération
(§2). Et finalement, celui qui refuse de fournir collaboration commet une infraction :
« Celui qui refuse de fournir la collaboration ordonnée aux §§ 1er et 2 ou qui fait
obstacle à la recherche ou à son extension dans le système informatique, est puni
d'un emprisonnement de six mois à trois ans et d'une amende de vingt-six euros à
vingt mille euros ou d'une de ces peines seulement.
Si la collaboration visée à l'alinéa 1er peut empêcher la commission d'un crime ou
d'un délit ou peut en limiter les effets et que cette collaboration n'est pas fournie, les
peines sont un emprisonnement de un à cinq ans et une amende de cinq cents
euros à cinquante mille euros. » (§3)7
L’infraction visée par cette disposition concerne, comme l’indique le premier
paragraphe, un ordre du juge d’instruction. (voir la section 2.5. dans le traitement
des infractions plus bas)
- La recherche sur le réseau
La recherche sur le réseau consistera en une extension de la recherche du système
informatique saisi. Ce devoir doit nécessairement être validé par le juge d’instruction,
il sera procédé dans ce cas par mini-instruction conformément à l’article 88ter du
Code d’instruction criminelle. (L’article 39bis §4 a été annulé par la Cour
constitutionnelle)
c. Extension de la recherche à partir d’un système informatique (article
88ter)
L’article 88ter du Code d’instruction criminelle permet au juge d’instruction d’étendre
la recherche dans un système informatique : « Le juge d'instruction peut étendre la
recherche dans un système informatique ou une partie de celui-ci, entamée sur la
base de l'article 39bis, vers un système informatique ou une partie de celui-ci qui se
trouve dans un autre lieu que celui où la recherche est effectuée ».
Il faut une décision écrite et motivée selon le prescrit légal.
Le système informatique vers lequel l’extension est dirigée doit se trouver dans un
autre lieu et ne peut dépasser les accès dont dispose la personne qui fait l’objet de
la mesure. Le juge d’instruction pourra également autoriser la suppression des
protections ou le déverrouillage des codes d’accès (« hacking ») si nécessaire.
L’exploitation des données se fera en concert avec les enquêteurs et le
FCCU/RCCU.
d. Inaccessibilité/blocage (article 39 bis§6 al.4 Cicr)
Le procureur du Roi ou le juge d’instruction peut décider de rendre certaines
données inaccessibles, après en avoir pris copie.
7 Voy. Arrêt Cass4 février 2020 + Cour Const. –Voir VDM Ed 2021 p 864 -865
p. 11Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
- Données formant l’objet de l’infraction( par exemple en cas de pornographie
enfantine)art 383bis, §1er (matériel à caractère pédopornographique),
- Données contraires à l’ordre public ou aux bonnes mœurs
- Données constituant un danger pour l’intégrité des systèmes informatiques ou
pour des données informatiques (virus)
Il peut même autoriser, en cas d’extrême urgence, oralement l’OPJ à utiliser tous les
moyens techniques pour rendre ces données inaccessibles. Cette même possibilité
est prévue en cas de menace de commettre une infraction terroriste (articles 137,
§3, 6) ou incitation à commettre une telle infraction art 140bis (incitation à commettre
une infraction terroriste) à confirmer par écrit, «dans les meilleurs délais» avec
mention des motifs.
Il est donc possible de bloquer un site Internet, permettant d’éviter l’utilisation de
données infractionnelles ou encore faire cesser l’infraction en dehors des finalités de
l’enquête.
Exemple : bloquer un site Internet qui publie des messages haineux, qui publie du
contenu à caractère pédopornographique, qui divulgue des informations sensibles,
qui propose du contenu contrefait, hameçonnage, etc.
En pratique afin d’effectuer le blocage d’un site Internet, il y aura lieu à adresser un
réquisitoire motivé à un des intermédiaires responsable de la diffusion : gestionnaire
de serveur DNS, hébergeur, ou FAI, sur base de l’article 39bis §6 al. 4.
Le blocage DNS sera uniquement local pour les serveurs auquel il est attaché, il
s’agira notamment des opérateurs et fournisseurs d’accès Internet. Ainsi, un blocage
DNS sera imparfait et ne concernera qu’un nom de domaine bien spécifique, par
exemple www.thepiratebay.org célèbre plateforme de téléchargement, pourra
contourner le blocage en proposant une nouvelle adresse. Pareillement, il sera
toujours possible d’y accéder par le biais de l’adresse IP.
Le blocage chez le FAI ne rendra le site innaccessible que pour les abonnés du
service.
Enfin un blocage chez l’hébergeur « à la source » va permettre de rendre le site
inaccessible de manière globale, la difficulté étant que la plupart des services
d’hébergement web (Exemple : OVH), se trouvent en dehors de la Belgique, voir
même en dehors de l’espace Schengen.
e. Gel des données ( article 39ter et 39quater Cicr)
Ces deux articles proviennent directement de l’exécution de la convention du
Conseil de l’Europe du 23 novembre 2001 sur la cybercriminalité.
Il s’agira de s’adresser à un opérateur, un gestionnaire, en vue d’une conservation
rapide des données.
Depuis la Belgique, il sera fait application de l’article 39ter qui permet à tout OPJ de
requérir une personne physique ou morale de conserver en Belgique et à l’étranger
des données informatiques particulièrement susceptibles de disparition. Il faut, sauf
p. 12Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
urgence, une décision écrite et motivée et la durée de conservation est de 90 jours
renouvelables.
Depuis l’étranger, les autorités peuvent demander en Belgique, la conservation des
données dans le même cadre, pendant une durée d’au moins 60 jours. Un magistrat
peut sans attendre, communiquer certaines informations techniques d’indentification
de l’opérateur si nécessaire.
Le FCCU dispose à cet égard d’un point de contact central accessible à toute heure
du jour et de la nuit, tous les jours, en application de l’article 32 de la Convention de
Budapest.
f. L’identification de l’utilisateur d’un service de communication
électronique (article 46bis)
Il est possible d’adresser un réquisitoire d’identification à un opérateur ou fournisseur
d’accès Internet, afin de recueillir des informations sur un utilisateur du service ou
une adresse IP.
L’opération s’effectue généralement en deux temps, il y aura une première phase
permettant l’identification d’une adresse IP :
L’adresse IP est soit fixe, soit dynamique. Dans ce dernier cas, le numéro IP est une
adresse mobile qui est attribuée, à un moment donné, à un utilisateur lors d’une
connexion internet
1. Quelle adresse IP ou qui a ouvert le compte hotmail, FB, Twitter…?
2. Quelle adresse IP a envoyé un e-mail ?
3. Quelle adresse IP a réservé ce logement sur Airbnb ou ce taxi sur Uber?
4. Quelle adresse IP a alimenté le compte FB, Ebay tel jour ? ou a envoyé un
message à partir du compte «johntheripper@gmail.com» ?
Par exemple, un réquisitoire est adressé à Google concernant une adresse mail.
Une adresse IP de connexion sera retournée sur laquelle un WHOIS sera réalisé
afin d’identifier le fournisseur d’accès à Internet utilisé.
Une réquisitoire sera ensuite adressé au fournisseur d’accès Internet afin d’obtenir
l’attribution de cette adresse à un moment précis, ce qui permettra l’identification et
la localisation de l’utilisateur.
g. La repérage et la localisation des communications électronique (article
88bis)
L’article 88bis permet au juge d’instruction de repérer et localiser les
communications électroniques, par une décision motivée. Cette demande peut faire
l’objet d’une mini-instruction.
Ce procédé permet d’obtenir le listing des communications entrantes et sortantes,
l’activité d’un compte, le nombre de connexion, ainsi que la localisation de l’origine
ou de la destination des communications électroniques.
p. 13Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
En parallèle, il est possible de saisir les données de facturation, qui reprennent les
historiques de connexion, sans forcément avoir recours à 88bis si ces données sont
saisies dans le cadre d’une perquisition.
Le prescrit de l’article 88bis requiert une décision écrite, motivée et limitée dans le
temps pour 2 mois au maximum, mais renouvelable.
h. Contrôle visuel discret (articles 46quienquies -89ter)
Le procureur du Roi ainsi que le juge d’instruction peuvent recourir au contrôle visuel
discret, cependant chacun dispose de prérogatives particulières, les moyens les plus
attentatoires des libertés individuelles étant réservés au juge d’instruction.
Ainsi, le juge d’instruction peut pénétrer partout, ouvrir des objets malgré le refus ou
à l’insu du propriétaire, ayant droit ou occupant, pareillement pour les systèmes
informatiques.
Le procureur du Roi, quant à lui, peut y avoir recours dans le cadre de l’article 90ter
et 324bis, en tenant compte du principe de subsidiarité. Il peut pénétrer partout, sauf
le domicile et ses dépendances ainsi que les locaux professionnels, il peut faire
ouvrir des objets mais ne peut pas un système informatique (pour ce dernier cas, il
devra avoir recourt à un juge d’instruction).
i. Interceptions secrètes de communications (article 90ter)
p. 14Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
En matière de téléphonie, l’article 90ter vise les écoutes. En matière informatique, il
fait davantage référence à l’interception de messages liés à une application ou un
serveur de messagerie : Whatsapp, Skype, Messenger, Telegram, etc. Mais
également les mails stockés sur un serveur distant (webmail).
La loi du 25 décembre 2016 élargit l’article 90ter en fusionnant en une seule
disposition les interceptions des communications, qui englobe maintenant toutes les
formes de communications. On fait alors référence à un nouveau concept voisin des
écoutes : « l’interception des données » ou « hacking légal ».
L’interception, la prise de connaissance, l’exploration d’un système informatique se
réalise à l'aide de moyens techniques –dans un but secret (ce qui signifie à l’insu
des utilisateurs) : travailler sur l’appareil du suspect, placer une balise digitale sur un
smartphone/PC ou serveur du suspect afin de prendre connaissance des
communications privées même si elles sont cryptées.
C’est le juge d’instruction qui ordonne les écoutes sur base de l’article 90ter, le
procureur du Roi peut cependant y avoir recours en cas de flagrant délit, tant que la
situation perdure, pour des infractions bien spécifiques (terrorisme, prise d’otage,
détention arbitraire, extorsion)
j. Les visites domiciliaires et perquisitions
Les visites domiciliaires et les perquisitions sont un moyen de mettre la main sur du
matériel informatique à saisir dans le but d’une exploitation.
En cas d’exploitation informatique à venir, un appui du FCCU/RCCU peut s’avérer
nécessaire lors de la perquisition. L’intérêt de leur présence est de permettre
l’exploitation directe du matériel sur place déjà allumé qui contiendrait des données
éventuelle utiles à la poursuite de l’enquête et qui pourraient être perdues si la
machine est mise hors tension. (La mémoire RAM d’un ordinateur peut être
exploitée, mais cette dernière est vidée en cas de mise hors tension)
Il est déconseillé d’avoir recours à une visite domiciliaire sur consentement dans le
cadre de la recherche d’infraction de détention d’images à caractère
pédopornographique en raison du risque de refus du suspect et la destruction de
preuves.
2. Les méthodes particulières de recherche sur internet
Les méthodes particulières de recherche peuvent également être menée, avec
certains aménagements, sur Internet, au même titre que n’importe quel moyen
d’investigation. Il s’agira de l’observation et l’infiltration light.
a. L’observation
L’article 47sexies dispose que : « § 1er. L'observation au sens du présent code est
l'observation systématique, par un fonctionnaire de police, d'une ou de plusieurs
personnes, de leur présence ou de leur comportement, ou de choses, de lieux ou
d'événements déterminés. »
p. 15Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
Pour qu’il y ait observation systématique, il faut qu’elle dure plus de 5 jours
consécutifs ou plus de 5 jours sur un mois, ou des moyens techniques sont utilisés.
Le placement d’une caméra est considéré comme un moyen technique, ce n’est pas
le cas de l’utilisation d’Internet ou d’une ordinateur.
Une observation doit également être considéré comme systématique si elle revêt un
caractère internationale, ou que cette dernière est réalisée par les unités spéciales.
L’observation est ordonnée par le procureur du Roi pour des infractions ounissables
de minimum 1 an, à renouveler tous les 3 mois. Les PVs reprenant les différentes
phases de l’observation sont versés au dossier confidentiel.
b. L’infiltration light
L’infiltration light est une méthode particulière de recherche spécialement prévue
pour Internet, y compris le Darkweb.
L’article 46sexies dispose que : « § 1er. Dans la recherche des crimes et délits, si
les nécessités de l'enquête l'exigent et que les autres moyens d'investigation ne
semblent pas suffire à la manifestation de la vérité, le procureur du Roi peut
autoriser les services de police visés à l'alinéa 2 à entretenir, le cas échéant sous
une identité fictive, des contacts sur Internet avec une ou plusieurs personnes
concernant lesquelles il existe des indices sérieux qu'elles commettent ou
commettraient des infractions pouvant donner lieu à un emprisonnement
correctionnel principal d'un an ou à une peine plus lourde »
Le procureur du Roi peut autoriser par décision écrite et motivée, un ou plusieurs
fonctionnaires de police à entretenir des contacts sur Internet avec une ou plusieurs
personnes, sous une identité fictive. La décision est à renouveler tous les 3 mois et
si un avocat ou un médecin est soupçonné, il faut l’autorisation d’un juge
d’instruction ainsi qu’un avertissement de l’ordre professionnel.
Il est également possible d’autoriser la commission d’infractions, sans qu’il ne
s’agisse de provocation. L’infraction ne dois pas être plus grave que celle pour
laquelle la mesure est utilisée. Il est également possible d’avoir recours à un expert
civil, par exemple un spécialiste du langage des hackers.
Cette méthode est efficace notamment pour lutter contre le phénomène de
« grooming », ou encore le trafic d’images à caractère pédopornographique.
TITRE 3 : LES INFRACTIONS
La loi pénale dans son sens large dispose d’un nombre spécifique d’infractions liés à
la cybercriminalité. Si des infractions particulières telles que le hacking ou le
« grooming » sont exclusivement commises avec internet, des préventions plus
classiques telles que le harcèlement ou l’escroquerie sont également concernées.
1. La criminalité informatique générale
De nombreuses infractions peuvent rentrer dans cette catégorie :
p. 16Mémento en matière de lutte contre la cybercriminalité – Anthony SIGNOR
Calomnie / diffamation / injure, harcèlement, faux en écritures de droit commun,
escroqueries diverses (sauf fraude informatique), violation du secret professionnel,
atteintes à la vie privée, violation du secret des lettres, jeux de hasard, extorsion
(Ransomware), usage illicite d’informations extraites d’un dossier, association de
malfaiteurs, blanchiment, pornographie infantile.
Les réseaux sociaux sont un terrain fertile à la commission de ce type d’infractions.
1.1. Calomnie / diffamation (443 et 444 CP)
Ces infractions sont généralement mises en évidence par l’usage de réseaux
sociaux, de forums de discussions.
La diffamation et la calomnie consistent dans le fait d’imputer méchamment à une
personne déterminée, de manière publique, un fait précis dont la preuve légale n’est
pas rapportée et qui est de nature à porter atteinte à son honneur ou attiser le
mépris du public. Il y a diffamation lorsque la preuve n’est pas admise, ou impossible
à apporter et calomnie lorsque la preuve contraire peut être rapportée.
La question du délit de presse s’est naturellement posée au regard de la forme prise
par la publication de messages sur les réseaux sociaux. Le Tribunal correctionnel de
Liège a cependant dit dans un jugement du 7 septembre 2018 qu’ : « Un prévenu
était poursuivi pour avoir commis, sur Facebook, des faits d’injures, atteintes à
l’honneur, harcèlement et menace d’attentat contre les personnes ou les propriétés,
à l’encontre d’une personnalité politique locale. Le tribunal correctionnel de Liège a
estimé qu’en un temps où les individus communiquent essentiellement de façon
virtuelle par les réseaux sociaux, l’interprétation extensive du délit de presse
découlant de la jurisprudence de la Cour de cassation n’est pas conforme à la
volonté du constituant. »
La calomnie ou la diffamation est punie d’une peine de 8 jours à 1 an
d’emprisonnement et une amende de 26 à 200€.
1.2. Harcèlement (442bis CP) et l’infraction à la législation sur les
communications électroniques (145 §3bis L.13/06/2005)
Le harcèlement par internet est généralement en concours avec l’infraction reprise à
l’article 145 §3bis de la loi du 15 juin 2005 relative aux communications
électroniques, incriminant le fait d’importuner ou de provoquer des dommages par
un service de communication électronique. Cette dernière est régulièrement libellée
en « harcèlement téléphonique ».
L’infraction à la loi sur les télécommunication est plus facile à démontrer que le
harcèlement classique, ses éléments constitutifs étant bien plus limités, s’agissant
simplement d’utiliser un moyen de communication en vue d’importuner ou causer
des dommages, alors que le harcèlement requiert une répétition dans le temps, le
fait d’affecter gravement la tranquillité, mais également l’élément moral qui implique
que l’auteur aurait dû savoir que son comportement devait affecter la victime.
L’infraction de harcèlement prend de plus en plus de place sur Internet et provoque
des dommages de plus en plus importants, principalement chez les jeunes.
p. 17Vous pouvez aussi lire
