Alors que Cyberpolice publiait le 4 juillet dernier « Le phishing : quand l'internaute mord à l'hameçon », le parlementaire Michel Dreyfus-Schmidt déposait, le même jour, au Sénat, une proposition de loi tendant à la pénalisation de l'usurpation d'identité numérique sur les réseaux informatiques.

:: Innovation pénale ::

En effet, le sénateur propose d'insérér après l'article 323-7 du code pénal, l'article 323-8 suivant : « Est puni d'une année d'emprisonnement et de 15 000 euros d'amende, le fait d'usurper sur tout réseau informatique de communication l'identité d'un particulier, d'une entreprise ou d'une autorité publique. » Par ailleurs, « les peines prononcées se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l'infraction à l'occasion de laquelle l'usurpation a été commise. »

Le parlementaire rappelle qu'en France « depuis quelques mois, plusieurs campagnes publiques (pilotées par le ministère de l'éducation - www.protegetonordi.com [NDLR : Voir l'article du 4 juin 2005 « La semaine de la sécurité informatique : c'est parti ! »]) ou privées (notamment lancées par la Fédération bancaire française) ont été mises sur pied afin de sensibiliser la population sur les dangers de l'usurpation d'identité numérique. Car le phénomène s'amplifie. Selon l'Observatoire de la cyberconsommation, l'hexagone est passé l'an dernier de la dixième à la cinquième place des pays les plus touchés, derrière les États-Unis qui occupent le premier rang mondial. »

Les cas d'usurpation d'identité via Internet les plus connus sont liés au phishing (pour plus de détail sur cette fraude, voir l'article « Le phishing : quand l'internaute mord à l'hameçon »).

:: Monde réel / monde virtuel ::

Dans le cadre juridique actuel, il y a une différence entre l'usurpation d'identité dans le monde réel et dans le monde virtuel.

Ainsi dans le premier cas, celui qui prend l'identité d'un tiers dans le but de le faire passer pour un délinquant, ou celui qui utilise une fausse identité dans un acte authentique ou un document administratif destiné à l'autorité publique, ou encore celui qui prend un faux nom pour se faire délivrer un extrait de casier judiciaire est passible de poursuites judiciaires.

Concernant le monde virtuel, en revanche, les tribunaux font face à un vide juridique. Le « phisheur » n'existe pas juridiquement. Les juridictions sanctionnent donc le fraudeur sur une autre base légale : le délit d'accès frauduleux à un système de données informatiques (article 323-1 et suivant du code pénal). Mais la protection de l'internaute n'est pas assurée.

En fait, cette situation est aisément compréhensible : le sénateur Dreyfus-Schmidt explique que « certaines données numériques qui ont trait à l'identité d'un individu, comme un mot de passe d'un compte personnel sur l'internet par exemple, ne sont pas considérées comme des éléments constitutifs de l'identité juridique d'une personne. Or ces dernières sont le lieu d'usurpations d'identités bien réelles. »

:: Une prise de conscience internationale ? ::

Après la signature par le Président Georges Walter Bush d'un texte prévoyant un alourdissement des sanctions pénales aux Etats-Unis le 16 juin dernier, après une action similaire du gouvernement britannique dès le mois de mai, la France doit à son tour emboîter le pas et protéger les victimes de l'usurpation de leur identité numérique sur les réseaux informatiques. D'autant que les citoyens effectuent de plus en plus de démarches (administratives, bancaires, commerciales) dématérialisées sur Internet.

La proposition sénatoriale a été renvoyée à la commission des Lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale du Sénat. Le texte est donc loin d'être prochainement débattu par les parlementaires.

Le portail internet américain Yahoo! a fermé tous les salons de discussion créés par des utilisateurs et n'autorise plus de nouvelles ouvertures. Cette suppression pure et simple des "chat rooms" vise à lutter contre la pédophilie sur Internet.

Mais cette action ressemble davantage à une réaction. En effet, la chaîne de télévision texane KPRC a récemment diffusé un reportage présentant l'utilisation des espaces de discussion de Yahoo! par des pédophiles. Des individus avaient ainsi créé des salons intitulés notamment "des filles de 13 ans et moins pour des gars plus vieux" ou "des filles de 13 ans et plus pour des hommes beaucoup plus vieux". Et ces salons se trouvaient dans la rubrique "Education" !

Lors des traques contre ces prédateurs sexuels, les enquêteurs prouvent que nombreux sont ceux sur Internet qui approchent les enfants via des espaces de discussion. Leur présence dans les "chat rooms" est pourtant rarement aussi explicite au travers des titres. D'où la fermeture de l'ensemble des salons.

Par ailleurs, des dérives ont été constatée lors de l'utilisation des webcams.

Cette mauvaise publicité a conduit les sponsors de Yahoo! à demander la fermeture des espaces et à ne plus utiliser ses services publicitaires. D'un point de vue financier, le manque à gagner était donc très conséquent pour la société cotée en bourse.

Mary Osako, porte-parole de Yahoo!,  a annoncé que restent ouverts uniquement les salons de discussion créés par la société.

Le lecteur de l'article aura l'impression de lire Fi@t Lux, le roman que la rédaction de Cyberpolice vous présentait en 2002.

Au programme de l'histoire qui vient de se dérouler ces derniers jours en Israël : espionnage économique, déstabilisation industrielle, ramification européenne, impact politique, le tout au coeur d'un pays à la pointe des technologies militaires sensibles, situé dans la poudrière proche-orientale.

Pourtant, ce ne sont pas ces dernières technologies qui sont visées, mais des parties du secteur industriel israélien traditionnel.

:: D'une simple affaire de famille... ::

Tout débute en novembre 2004 par une plainte d'un écrivain israélien, Amnon Jacont, qui a constaté que des passages entiers de ses livres, qui ne sont pas encore publiés, sont diffusés sur Internet. Les enquêteurs découvrent dans l'ordinateur de l'écrivain, un cheval de Troie. Les policiers remontent la piste du programme informatique jusqu'à son gendre, Michaël Haephrati, 41 ans, informaticien, vivant en Grande-Bretagne et en Allemagne.

Le système mis au point lui permettait d'avoir accès à l'ensemble des informations contenues sur le disque dur de l'ordinateur de son beau-père.

Mais la surprise des enquêteurs est d'autant plus grande que cette affaire d'espionnage  familial prend une ampleur industrielle.

:: ... au démantèlement d'un vaste système d'espionnage économique ::

Michaël Haephrati et son épouse Ruth Brier-Haephrati louaient le programme informatique à des sociétés privées d'investigation qui, elles-mêmes, revendaient des informations industrielles piratées à leurs clients.

Des sociétés de téléphonie mobile, de télévision par satellite et un importateur de véhicules auraient notamment demandé à des agences privées d'espionner leur concurrent. Une société de logiciels aurait été également informée des données présentes sur l'ordinateur d'un journaliste économique. Mais la saisie des matériels informatiques par les policiers pourrait amener d'autres révélations. Selon la presse britannique, 80 entreprises israéliennes auraient été vicitimes d'espionnage.

Pour le moment, 9 compagnies de détectives sont mises en causes.

:: Des interpellations en série ::

La police israélienne a procédé à une vingtaine d'interpellations de grands patrons de sociétés. Mais, au moins soixante suspects intéressent les services de police. Interpol et la police londonienne ont soutenu les enquêteurs de Tel-Aviv en arrêtant le couple Haephrati à Londres, pour être extradé.

:: Guerre économique ::

La guerre économique fait rage. Mais avec l'utilisation des nouvelles technologies et des réseaux informatiques, elle est devenue depuis quelques années une véritble guerre économique numérique. Tout est bon pour arriver à la victoire financière.

Cette affaire d'espionnage industrielle est dévoilée à un moment où l'économie israélienne n'est pas en grande forme et pourrait bien avoir des conséquences politiques intérieures si des ramifications sont découvertes à l'étranger. Le programme informatique de Michaël Haephrati est peut-être utilisé actuellement par d'autres sociétés...

:: Retour sur la notion de "cheval de Troie" ::

Un cheval de Troie (version numérique) est un programme informatique caché qui peut être mis en oeuvre via un programme « officiel » attrayant placé sur un CD-Rom ou tout simplement dans un message électronique.

Généralement, un cheval de Troie sert à ouvrir une brèche dans le système de sécurité de votre ordinateur. Un pirate pourra alors prendre le contrôle de votre machine. Une fois installé sur un ordinateur, le "horse trojan" travaillera à votre insu et transmettra un grand nombre d'informations : vos mots de passe, informations sensibles, etc.

Cyberpolice vous présentait, le jour de son adoption, la Convention sur la cybercriminalité (23 novembre 2001) débattue au Conseil de l'Europe ainsi que le protocole additionnel à la Convention sur la cybercriminalité, relatif à l'incrimination d'actes de nature raciste et xénophobe commis par le biais de systèmes informatiques (adopté le 28 janvier 2003).

Il aura fallu attendre, toutefois, le 19 mai 2005 pour que le Parlement français autorise l'approbation de ces deux textes juridiques inédits, suite au dépôt d'un projet de loi.

Dans le cadre des débats parlementaires, le rapporteur de la Commission des affaires étrangères de l'Assemblée nationale, Jean-Marc Nesmé, retrace rapidement l'histoire de cette convention originale en droit international : « Le Conseil de l'Europe a adopté une première recommandation sur la criminalité informatique en 1989, suivie en 1995 d'une seconde, consacrée aux aspects procéduraux. Ces textes recommandaient l'élaboration d'une convention internationale sur la cybercriminalité. Le conseil de l'Europe a élaboré cette convention entre 1997 et 2000. Ouverte à la signature le 23 novembre 2001, elle constitue le premier texte de droit international visant à garantir la sécurité du réseau internet et de ses utilisateurs. »

Tout au long du rapport parlementaire, le député UMP de Saône-et-Loire présente une synthèse très intéressante de l'état des lieux de la cybercriminalité :
- Tout d'abord, il s'agit d'un sujet qui mérite une « réponse forte des pouvoirs publics »;
- Ensuite, la Convention et le protocole additionnel sont de vraies nouveautés dans le droit international;
- Enfin, la France n'a pas attendue ces textes pour lutter contre le phénomène croissant de la cybercriminalité.

Le projet de loi, discuté et approuvé le 10 mars 2005 par l'Assemblée nationale, est ensuite soumis à la Chambre Haute.

Le sénateur Robert Del Picchia, dans son rapport rendu au nom de la Commission des affaires étrangères, de la défense et des forces armées du Sénat, présente, sur le fond, les mêmes éléments que son collègue député. Ainsi, pour la commission sénatoriale, « l'adoption de la convention de Budapest sur la cybercriminalité et du protocole additionnel sur la diffusion de propos et de matériels raciste et xénophobe par le biais de systèmes informatiques est d'une importance capitale et la France peut jouer un rôle exemplaire en les ratifiant ».

Le 12 mai 2005, le Sénat discute et adopte, dans les mêmes termes, le texte gouvernemental.

A ce jour, la France, signataire des textes dès le premier jour, ne les a toujours pas approuvé officiellement. Il est vrai que l'actualité politique européenne et intérieure de ces derniers jours est quelque peu mouvementée.

Espérons malgré tout que le pouvoir exécutif fera rapidement connaître cette position au Conseil de l'Europe... même si dans les faits, l'implication de la France et des services de gendarmerie, police et douaniers est réelle.

>> Pour en savoir plus

- Loi n° 2005-493 du 19 mai 2005 autorisant l'approbation de la convention sur la cybercriminalité et du protocole additionnel à cette convention relatif à l'incrimination d'actes de nature raciste et xénophobe commis par le biais de systèmes informatiques (format pdf, 30 ko)
- Rapport de Jean-Marc Nesme, fait au nom de la commission des affaires étrangères de l'Assemblée nationale (format pdf, 234 ko)
- Rapport de Robert Del Picchia, fait au nom de la commission des affaires étrangères, de la défense et des forces armées du Sénat (format pdf, 296 ko)

Le Government Accountability Office (GAO), organisme dépendant du Congrès américain chargé de mener des audits, a rendu public, le 26 mai dernier, un rapport présentant le rôle et les attributions du Department of Homeland Security (DHS) dans le domaine de la cybersécurité. L'enquête a été conduite de juillet 2004 à avril 2005.

Le Homeland Security Act du 25 novembre 2002 et la politique fédérale étatsunienne qui en découle, ont créé le DHS.

Au travers de ce rapport intitulé « Criticial Infrastructure Protection : Departement of Homeland Security faces challenges in fulfilling cybersecurity responsibilities », le GAO a cherché à déterminer le rôle et les responsabilités du DHS dans la protection des infrastructures américaines « critiques », le niveau et l'adéquation des efforts du Department pour assumer pleinement ses fonctions. Enfin, le GAO s'est attaché à examiner les défis auxquels est confronté le DHS dans le domaine de la cybersécurité.

Afin de répondre à ses missions et au plan « National strategy to secure cyberspace » développé par l'administration Bush (que Cyberpolice vous présentait le 11 mars 2003 dans l'article « Le cyberespace revu par la nouvelle stratégie américaine »), le Department of Homeland Security a créé en juin 2003 une National Cyber Security Division chargée essentiellement de coordonner les actions de cybersécurité des infrastuctures sensibles.

Après avoir dressé une typologie des cyberattaques possibles, le Government Accountability Office reconnaît que le DHS a entrepris de nombreux efforts. Toutefois, des éléments essentiels ne sont toujours pas résolus.

Pour cela, le GAO se réfère aux 13 points cités par le Homeland Security Act de 2002, à savoir :

- Développer un plan national pour la protection des infrastructures sensibles, incluant la cybersécurité,

- Développer des partenariats avec les autres agences fédérales, les gouvernements des Etats et locaux, et le secteur privé,

- Favoriser le partage de l'information entre le public et le privé concernant les cyberattaques, les menaces et les vulnérabilités,

- Développer et renforcer les moyens de détection et d'analyses,

- Fournir et coordonner les efforts de planification et les réponses en cas d'incident,

- Identifier et les menaces et vulnérabilités cybernétiques,

- Soutenir les efforts pour réduire les menances et les vulnérabilités détectées,

- Promouvoir et soutenir la recherche visant à renforcer la sécurité du cyberespace,

- Promouvoir la concience de cybersécurité

- Favoriser l'éducation et la formation à la cybersécurité,

- Accroître la cybersécurité au niveau fédéral, des administration d'Etat et locales,

- Renforcer au niveau international la sécurité du cyberespace,

- Intégrer la cybersécurité à la sécurité nationale.

Selon le GAO, le DHS n'a toujours pas développer un bilan des vulnérabilités et des menaces au niveau national, ni de planification des solutions de secours pour le gouvernement et l'industrie en cas d'imprévus, qui incluerait également un plan de rétablissement des fonctions essentielles d'Internet.

Par ailleurs, il continue d'éprouver les plus grandes difficultés à mettre en place un partenariat avec les autres agences fédérales, les administrations d'Etat et locales et le secteur privé. Une carence majeure a été également détectée dan le domaine du partage et de la diffusion du renseignement.

Au terme des 75 pages du rapport, le bilan est donc très mitigé, voire même mauvais. Un grand travail reste à effectuer par le DHS sur des points fondamentaux.

:: Pour plus d'informations ::

- Rapport du Government Accountability Office
- Site du Government Accountability Office
- Site du Department of Homeland Security