Par Myriam Quéméner, magistrat
La criminalité économique et financière a pris désormais une connotation « cyber » comme toutes les activités illicites avec le développement d’Internet et des réseaux numériques. En effet, la croissance rapide de la connectivité mondiale a pour conséquence une montée en puissance de la criminalité informatique qui constitue l’une des dix formes recensées de criminalité grave ayant une dimension transfrontalière[1].
Tel Janus, le numérique a aussi sa face plus sombre en offrant aussi des opportunités nouvelles pour les délinquants en général et notamment dans le domaine économique et financier.
Bitcoins, monnaies virtuelles, cloud computing, big data, autant de termes qui surgissent dans cet écosystème numérique dans leurs dimensions juridique et stratégique. La dématérialisation des transactions permet aussi un accroissement de l’anonymat des échanges, facilitant ainsi le passage à l’acte des cyberdélinquants[2].
Ainsi, les cyberfraudes, les escroqueries aux faux ordres de virement ciblent les données personnelles échangées et monnayées sur des marchés parallèles, « les Darknets ». Ces nouveaux fonctionnements constituent des défis majeurs pour le droit pénal et la procédure pénale qui est désormais un droit en mouvement qui tente de s’adapter à la cyber mondialisation de cette délinquance. Si le droit pénal classique tant matériel que processuel répond partiellement à ces nouveau défis, le législateur est intervenu pour l’adapter et le moderniser en introduisant de nouvelles techniques d’enquête comme l’infiltration et la captation de données qui sont par ailleurs soumises aux exigences du Conseil constitutionnel et des cours européennes. Complexifiée par cet écosystème numérique, la lutte contre la criminalité économique et financière nécessite aussi la création d’instances spécialisées tant sur le plan national avec par exemple le nouveau procureur de la République financier qu’au niveau international avec Interpol et Europol qui consacrent des moyens supplémentaires à ces cyberinfractions qui ont souvent des ramifications internationale. La police mais aussi la justice sont à un tournant historique sans précédent et s’investissent en urgence dans ce domaine numérique pour préserver à la fois l’ordre public économique et les droits et libertés fondamentaux.
Comment agit cette cyberdélinquance financière, quelles sont ses modes opératoires et comment la combattre ?
Des réponses à ces questions sont nécessaires et l’Etat[3] a mis en place une véritable stratégie de lutte contre ce phénomène qui vise à anticiper de manière efficace les risques numériques. Les initiatives sont nombreuses pour mieux protéger les internautes et lutter contre ces fléaux. On peut citer un rapport publié en juin 2014 aux ministres de l’Intérieur et de l’Economie, à la Garde des Sceaux et à la secrétaire d’Etat chargé du Numérique[4].
Le caractère souvent occulte de cette délinquance s’accorde parfaitement avec la dématérialisation des transactions qui réduit souvent de façon significative les possibilités d’identification des auteurs d’infractions économiques et financières. Ainsi, le cybercrime ne cesse de se développer et de déjouer les parades mises en place par les entreprises[5]. Les vols d’identité, les escroqueries, les fraudes diverses, les cyberattaques visant à anéantir les systèmes économiques ou les destructions de données progressent fortement tous les ans malgré les nombreux systèmes de protection constamment créés. Par ailleurs, les vulnérabilités des réseaux aggravées par le biais de cyberattaques permettant la récupération de données bancaires et financières inquiètent les États qui mettent en place des stratégies de cybersécurité[6]. Ainsi par exemple en France, face à l’intensification préoccupante des cybermenaces à travers le monde, le gouvernement a décidé d’accélérer le développement des capacités nationales de cyberdéfense et de cybersécurité. En février 2014, le Premier ministre a qualifié « d’enjeu stratégique majeur » la sécurité des systèmes d’information des infrastructures vitales du pays et a précisé qu’au-delà des intérêts économiques des États, c’est la vie elle-même des citoyens qui peut désormais être mise en danger du seul fait d’une attaque contre les systèmes d’information[7] et causer des préjudices financiers.
La délinquance profite des réseaux numériques et contribue au développement de comportements illicites en matière économique et financière[8] avec par exemple ce que l’on nomme désormais le cyberblanchiment qui est étroitement lié au recours croissant aux technologies de l’information comme Internet.
Ces phénomènes ont contribué à l’essor de la criminalité économique et financière désormais internationale et sont donc complexes à juguler. L’Europe n’a pas pu éviter l’installation durable sur son sol d’une criminalité économique très performante[9].
On constate aussi de plus en plus de vols de données personnelles[10] notamment bancaires, de multiples escroqueries numériques, de piratages massifs, de manipulations de cours de bourse, d’attaques informatiques dénommées cyberattaques, d’atteintes à l’e-réputation, d’espionnage industriel par les systèmes d’information. L’époque est non plus aux classiques braquages mais aux cambriolages numériques, moins risqués et plus lucratifs. En effet, l’économie moderne n’a pas échappé à l’informatisation et à la numérisation de la société qui est aussi une source de profits. L’ensemble du champ juridique en subit désormais l’influence. Tel est le cas en particulier du droit pénal[11] quel que soit son champ d’application qu’il s’agisse du droit pénal général, du droit pénal spécial ou du droit pénal des affaires ou plus largement du droit économique et financier. Les délinquants utilisent l’informatique qui leur permet de faire des opérations frauduleuses plus rapidement sans tenir compte de leur localisation, bafouant ainsi les règles traditionnelles de la compétence territoriale résultant du principe de la souveraineté étatique. En effet, le droit pénal, droit régalien par essence, est devenu l’un des domaines les plus directement concernés par l’internationalisation du droit, notamment en raison du processus de la « globalisation économique »[12] et de la dématérialisation de transactions.
Une criminalité économique et financière complexifiée par le recours au numérique
Outre le fait que cette délinquance est difficile à appréhender et à mesurer[13], elle s’est encore complexifiée en raison du recours aux réseaux informatiques et aux technologies numériques qui sont désormais utilisées pour commettre les infractions économiques et financières. Ignorant les frontières, sa nature internationale rend difficile l’usage des droits étatiques et conduit à l’établissement d’un flou juridique à l’échelle internationale[14].
Le développement de l’économie, des échanges et des capitaux au-delà des frontières nationales de chaque État a créé les bases d’un marché mondial qui ouvre de nouvelles opportunités pour l’action de structures criminelles. Ces dernières sont capables d’exploiter les différentes conditions économiques, sociales, politiques et juridiques des différents domaines territoriaux, pour consolider des investissements et des trafics illégaux facilités notamment grâce à l’extension et à la modernisation des moyens de communication, disponibles à des coûts toujours plus réduits, comme le montre de manière emblématique « la diffusion capillaire d’Internet »[15].
En effet, les technologies numériques utilisées de surcroît souvent dans un contexte international favorisent parfaitement la dissimulation des infractions qui vont alors être encore plus difficiles à être connues des autorités policières et judiciaires. Des réseaux criminels se livrant au blanchiment par exemple utilisent des outils informatiques de dernière génération et jonglent avec un nombre croissant d’intermédiaires et d’opérateurs tels les fournisseurs d’accès, les opérateurs, les plate-formes d’échanges par exemple. Ces technologies numériques permettent de déguiser les transferts en paiements commerciaux dans le cadre de supermarchés fictifs ce qui rend souvent impossible la traçabilité des opérations pour remonter jusqu’aux « têtes de réseaux ». Enfin les innovations juridiques permettant d’estomper la provenance et la destination des capitaux douteux ainsi que l’identité de leurs propriétaires réels existent sous la forme de procédures et de dispositifs divers visant à faciliter la formation et le fonctionnement en toute apparente légalité des réseaux de blanchiment. Car le droit mis à la disposition de l’opacité organisée participe lui aussi au travers de multiples strates (écrans, comptes spéciaux, représentations juridiques variées – trustees (fiducies), cabinets d’affaires –, domiciliation fiscale fictive) à la puissante protection des donneurs d’ordre et de leurs mandants. Ces habiles montages juridiques rendent complexes les investigations policières et judiciaires qui n’aboutissent que difficilement et souvent trop lentement en raison d’une coopération internationale souvent insuffisante entre les autorités concernées[16].
Le crime organisé s’affranchit aujourd’hui des contraintes géographiques et juridiques pour saisir des opportunités, notamment avec des opérations de blanchiment.
Au sein d’un réseau international, la technologie utilisée a pour fonction première d’optimiser tant la dissimulation que la valorisation du capital suspect à l’échelle du monde[17]. Ce type de blanchiment organisé comprend non seulement des équipements matériels et une variété d’établissements (bancaires ou non) mais intègre aussi les dernières innovations de l’ingénierie financière. Au départ, les transferts de fonds illégaux ont comme vecteurs d’opérations de puissants réseaux télématiques reliés à des places offshore : l’utilisation des réseaux informatiques pour le blanchiment de l’argent sale est dans la norme des choses ; d’une part, le blanchiment a nécessairement un caractère international, les lieux de production de la drogue étant très éloignés des régions de consommation ; d’autre part, la multiplication des sites et la mise en place de cloisonnements et de barrières protégeant le secret des mouvements de fonds sont relativement faibles ; enfin, la présence de nombreux opérateurs interposés – fournisseurs d’accès, etc., et les possibilités de déguiser les transferts en paiements commerciaux dans le cadre de supermarchés fictifs, rendent difficile de remonter les filières
Par ailleurs avec la vulgarisation des modes opératoires cybercriminels, il n’est pas nécessaire de disposer de compétences techniques pour lancer une « cyberattaque ». Le niveau d’expertise requis pour un projet cybercriminel n’a plus du sens du moment où il est possible aujourd’hui d’acheter librement en ligne les logiciels espions les plus élaborés ainsi que les données collectées par ces mêmes logiciels informations bancaires et informations personnelles En outre, il est aussi faisable de commander un acte cybercriminel ponctuellement auprès de prestataires spécialisés qui viennent chacun apporter leur savoir-faire, chaque maillon générant des bénéfices dont le montant répond uniquement aux lois de l’offre et de la demande, la rareté d’une compétence augmentant les prix en conséquence. Il en est par exemple du botnet[18] qui peut être loué pour faire des opérations frauduleuses.
La fragilité des infrastructures informatiques et des systèmes d’information des États et des entreprises n’est plus à démontrer et ce malgré l’importance des mesures de sécurité mises en œuvre et des moyens dont disposent les entités concernées. Selon Alain Bauer, « Toute menace crédible d’atteinte à l’intégrité de ces réseaux confère un poids et un impact criminels très fort à ses auteurs[19]. »
Aujourd’hui, de nombreuses failles de sécurité existent et peuvent être exploitées par les cybercriminels pour récupérer l’argent et donc commettre des actes de criminalité financière. Récemment, une faille Heartbleed[20] a été découverte dans plusieurs versions du logiciel Open SSL, sur lequel s’appuie une grande partie de la sécurité du Web. Le protocole SSL chiffre les données utilisées lors d’un achat sur Internet par exemple, afin d’empêcher que des informations telles que vos données bancaires, vos identifiants ou vos mots de passe ne puissent être récupérés par des personnes qui ne devraient pas pouvoir y accéder. Concrètement la faille Heartbleed rend possible la récupération d’informations confidentielles sur un serveur[21]. Les banques et certains sites institutionnels sensibles sont évidemment en ligne de mire[22]. La Réserve fédérale américaine et l’autorité de supervision des institutions financières ont très vite enjoint les banques du pays à appliquer les correctifs nécessaires pour préserver les intérêts de leurs clients, et le fisc canadien a même fermé son portail Internet le temps de vérifier que la sécurité des données ne courait aucun risque : peine perdue pour environ 900 contribuables, dont les données ont été dérobées par des pirates, a fait savoir le service des impôts canadien.
Le déploiement dans le milieu professionnel des terminaux mobiles tels les téléphones, les smartphones, les tablettes amplifient les risques auxquels sont confrontées les entreprises. La question de la confidentialité des informations est dès lors posée non seulement à travers le matériel dont sont propriétaires les entreprises, mais également les équipements personnels des salariés, qui souhaitent de plus en plus utiliser leurs propres appareils sur leur lieu de travail. La consultation de sites Internet sur un poste de travail, avec notamment en ligne de mire les courriels, constitue une difficulté plus ancienne. L’analyse des actes d’ingérence survenus ces dernières années montre que les attaquants cherchent soit à entrer dans le serveur des entreprises et des grands groupes industriels en utilisant des failles de protection, le plus souvent d’origine humaine, soit à capter de l’information en s’appropriant des équipements nomades (ordinateur portable, clé USB, smartphone, etc.)[23].
L’émergence du « cloud computing[24]» s’est aussi imposée comme un des enjeux majeurs pour les directions des systèmes d’information (DSI), le stockage des informations et la disponibilité des services constituant une problématique phare pour les acteurs du secteur, confrontés à des doutes récurrents sur la sécurité des solutions proposées. Cet item figure parmi les trois cibles privilégiées par les hackers ou les attaquants, avec les informations sensibles à valeur commerciale et l’atteinte à l’image d’institutions ou de grands groupes, selon le Club de la sécurité de l’information français. Cette technologie, sans cesse davantage prisée pour des raisons de facilité et de coût par les entreprises et les consommateurs qui veulent héberger leurs données sensibles sur des serveurs extérieurs, constitue aussi un nouveau défi, eu égard au risque d’intrusion qu’elle génère[25].
Parallèlement, le nouveau marché des objets connectés en pleine expansion[26] peut être un facilitateur permettant la récupération de données ensuite monnayables. Appliqué au secteur de l’automobile, au domaine médical ou à des systèmes techniques du quotidien, il a révolutionné les modes de vie, en accentuant le recours à la robotisation et à l’automatisation. On estime qu’en 2020, ce chiffre dépassera les 50 milliards d’objets connectés Comme les données déjà présentes sur Internet, ces nouvelles techniques posent la question de la sécurisation de ces outils intelligents mais aussi de leur contrôle, car l’usurpation de profils Internet susceptibles de favoriser des prises de contrôle à distance peut être facilitée.
Il est nécessaire et urgent de mettre en place une réelle cyberpolitique publique de lutte contre la cybercriminalité[27]. Il convient d’inciter tous les acteurs à se mettre en ordre de marche de façon plus cohérente et constructive pour lutter contre ce fléau avec le souci de répondre au besoin légitime de protection des cybervictimes.
[1] Art. 83, paragraphe1 du TFUE.
[2] M.Quéméner,Criminalité économique et financière à l’ère numérique, Economica, 2015
[3] Guide de bonnes pratiques de l’informatique ; ANSSI, http://www.ssi.gouv.fr
[4] Min. Justice, communiqué, 30 juin 2014
[5] A. Bauer, «La globalisation du crime», Pouvoirs 1/ 2010 (n° 132), p. 55. URL :www.cairn.info/revue-pouvoirs-2010-1-page-5.htm.DOI :10.3917/pouv.132.0005
[6] Site de l’Agence nationale de sécurité des systèmes d’information (ANSSI): http://www.ssi.gouv.fr
[7] http://www.gouvernement.fr/gouvernement/bilan-de-12-mois-d-actions-pour-une-france-numerique
[8] P. Broyer, «La lutte contre le blanchiment face au développement des nouvelles technologies de l’information et de la communication », in Rapport moral sur l’argent dans le monde, 1998, Association d’Économie financière, Montchrestien, 2000,p. 68-79.
[9] H. Boullanger, La criminalité économique en Europe, PUF, coll. Criminalité internationale, 2002,p. 240.
[10] Panorama du Clusif, 2014, https://www.clusif.asso.fr
[11] A. Lepage, «Internet : un nouvel espace de délinquance », AJ Pénal juin 2005, p. 217 et s., spéc. p. 217.
[12] M. Delmas-Marty, « Les processus d’internationalisation du droit pénal (criminalité économique et atteintes à la dignité de la personne) », Archives de politique criminelle 1/ 2001 (n° 23), p. 123-129. URL www.cairn.info/revue-archives-de-politique-criminelle-2001-1-page-123.htm.
[13] J. Cartier-Bresson, C. Josselin, S. Manacorda, Les délinquances économiques et financières transnationales et globalisation : analyses et mesures du phénomène, IHESI, 2001.
[14] A. Bautzmann, «Lecture critique», Revue internationale et stratégique 2/ 2001 (n° 42), p. 171-175. URL : « www.cairn.info/revue-internationale-et-strategique-2001-2-page-171.htm. DOI : 10.3917/ris.042.0171 Le droit du cyberespace face aux nouvelles réalités géostratégiques.
[15] L. Picotti, « Section I – Droit pénal général », Revue internationale de droit pénal, 3/ 2006 (Vol. 77), p. 613-621. URL : www.cairn.info/revue-internationale-de-droit-penal-2006-3-page-613.htm. DOI : 10.3917/ridp.773.0613.
[16] C. Cutajar, «La description du processus de blanchiment», in Le blanchiment des profits illicites, Presses universitaires de Strasbourg, Collections de l’Université Robert Schuman, Centre de Droits des Affaires, 2000, 18-29.
[17] B. Castelli, «Une autre mondialisation: les mutations du blanchiment contemporain », Mondes en développement 3/ 2005 (no 131), p. 111-130. URL : www.cairn.info/revue-mondes-en-developpement-2005-3-page-111.htm. DOI : 10.3917/med.131.0111.
[18] Le terme « bot » est le diminutif de robot. Les criminels distribuent des logiciels malveillants (également appelés programmes malveillants) capables de transformer un ordinateur en « bot » ou « zombie ».
[19] A. Bauer, «Rapport au Président de la République et au Premier ministre ; Déceler, Étudier, Former : une voie nouvelle pour la recherche stratégique », Cahiers de la sécurité, 2008, Supplément au n° 4.
[20] Site de la CNIL : http://www.cnil.fr/linstitution/actualite/article/article/faille-de-securite-heartbleed-comment-reagir
[21] http://www.cert.ssi.gouv.fr.
[22] A. Fournier, « Heartbleed : les banques françaises tentent de rassurer », Le Monde, 14.04.2014 à 16 h 53, mis à jour le 14.04.2014 à 19 h 27.
[23] http://www.intelligence-economique.gouv.fr/dossiers-thematiques/securite-economique.
[24] Informatique en nuage.
[25] Toutefois, certains professionnels d’Internet (notamment OVH) ont conçu des clouds sécurisés, intégrant des solutions de cryptologies.
[26] E. Freyssinet, https://www-cairn-info.biblionum.u-paris2.fr/publications-de-Freyssinet-ةric–102088.htm, L’internet des objets : un nouveau champ d’action pour la cybercriminalité, https://www-cairn-info.biblionum.u-paris2.fr/publications-de-Freyssinet-Éric–102088.htm, cairn-info.biblionum.u-paris2.fr/revue-realites-industrielles.htm, Annales des Mines – Réalités industrielles 2013/2 (mai 2013).
[27] F.Chopin «Les politiques publiques de lutte contre la cybercriminalité, AJ Pénal Dalloz 2009, p. 101