2014, l'année des pirates : quand l'Etat essaie de faire face mais passe largement à côté du problème<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Politique
2014, l'année des pirates : quand l'Etat essaie de faire face mais passe largement à côté du problème
©

La loi vs. les hackers

Les politiques commencent à prendre conscience du danger que représentent les pirates informatiques pour les particuliers, les entreprises, mais aussi pour la sécurité de l'Etat lui-même. Si en France les lois existent, les victimes ont bien souvent du mal à obtenir réparation.

Etienne  Drouard

Etienne Drouard

Etienne Drouard est avocat spécialisé en droit de l’informatique et des réseaux de communication électronique.

Ancien membre de la CNIL (Commission nationale de l'informatique et des libertés), ses activités portent sur l’ensemble des débats de régulation des réseaux et contenus numériques menés devant les institutions européennes, françaises et américaines.

Voir la bio »
Laure  de La Raudière

Laure de La Raudière

Laure de La Raudière est député de la 3eme circonscription d'Eure-et-Loir. Elle est également membre du bureau politique des Républicains (mai 2015), Secrétaire de la Commission des Affaires économiques de l’Assemblée nationale et membre titulaire de la Commission du dividende numérique.

Laure de La Raudière fait partie du collectif Numérique 2017-Tout numérique, une plateforme de débats sur les enjeux de transformation de l'économie et de la société à l'ère du numérique, pour que ces sujets soient au cœur de l’élection présidentielle de 2017. Elle contribue aujourd'hui à la réflexion numérique du programme de Bruno Le Maire.

 

Voir la bio »

Atlantico : Les stars hollywoodiennes, les particuliers, les banques, les grandes entreprises et même les Etats, ont constitué autant de cibles pour les hackers en 2014. Tout d'abord, pouvez-vous revenir sur les dispositifs légaux aujourd'hui en place pour lutter contre le piratage envers les particuliers ?

Etienne Drouard : Lorsqu'on diffuse des informations qui portent atteinte à l'intimité de la vie privée, après un piratage, cette diffusion est une infraction à la loi informatique et liberté passible de cinq ans de prison et 300.000 euros d'amende, une amende qui peut être multipliée par 5 lorsque l'auteur de l'infraction est une entreprise. Cela permet de sanctionner les conséquences d'une diffusion, dont certaines ont fait le tour de la planète et concernaient des comptes Facebook ou iCloud de stars.

>> Lire également 2014, l'année des pirates : la hacking, nouvelle arme de destruction massive

A noter que ceux-ci ont été piratés en trouvant les logins et les mots de passe des titulaires des comptes, et cela sans faire une tentative de toutes les variables (ce qu'on appelle une attaque en force brute), mais simplement en devinant les logins et les mots de passe, c'est-à-dire en faisant un peu de "social engineering" (recoupage d'informations) pour réduire le nombre de tentatives nécessaires à l'usurpation de l'identité de quelqu'un. Lorsqu'on utilise les identifiants de quelqu'un en sachant pertinemment qu'on n'a pas le droit de le faire, on tombe sous le coup de la loi Godfrain (loi n°88-19), du nom du député qui l'a faite voter en 1988. Cette loi sanctionne l'accès et le maintien frauduleux au sein d'un système ou terminal d'informations, ainsi que l'altération de ses données.

Cette année 2014, la loi a été complétée avec une disposition : jusqu'à présent le droit français ne sanctionnait pas le vol de données, en effet l'on en était resté à une stricte interprétation de la notion de vol, c'est-à-dire la soustraction frauduleuse de la chose d'autrui. Pour un juriste la chose est un bien matériel, donc pendant longtemps le droit français a considéré que le vol de données n'existait pas, par conséquent on n'arrivait à sanctionner ce vol qu'au nom de l'abus de confiance, ou de l'escroquerie. Cependant, cela nécessitait qu'il y ait eu un comportement caché, donc lorsque le pirate était un inconnu, il ne pouvait pas y avoir d'abus de confiance, et s'il ne volait pas d'argent, il n'y avait pas d'escroquerie. Cela laissait un pan entier non sanctionné par le droit. La loi a été complétée cette année pour sanctionner l'extraction frauduleuse de données, c'est-à-dire le fait de dupliquer une information de l'endroit où elle se trouve vers un endroit où elle ne doit pas se trouver. Cela a été accompli dans le cadre de la loi de lutte contre le terrorisme. Cela signe la fin de trente ans de vide juridique sur le vol de données, et permet de couvrir les situations où le vol de données n'est pas crapuleux ou, n'est pas le fait d'une personne connue de sa victime.

Cette année toutes ces affaires de piratage chez des personnes privées ont soulevé un certain nombre de questions et devraient conduire les utilisateurs a être plus prudents dans la gestion de leurs identifiants et mots de passe, que ce soient ceux de leur mobile, (qui donnent accès à tout : carnet d'adresses, photos etc) ou que ce soient ceux des applications ou des services. Mais ce qui nécessite toujours d'être adapté, c'est la perception qu'ont les juges du caractère grave de cette délinquance astucieuse. En effet, on a souvent reproché aux magistrats d'être fascinés que tel jeune homme soit parvenu à rentrer dans tel système d'informations, mais maintenant les magistrats ont compris que ce genre de personne était un délinquant, qu'il en ait conscience ou non. Dans tous les cas la victime n'aura pas la certitude qu'une peine sera appliquée en réparation, et en France celles-ci sont ridiculement basses par rapport au préjudice causé.

De plus, en règle générale, les personnes attrapées n'ont pas les moyens de rembourser et ne sont pas condamnées à de lourdes peines de prison. Toutes les personnes qui sont victimes d'une usurpation d'identité, d'un vol de leur carte bancaire, n'ont, pour l'instant, pas vraiment accès au droit, dans le sens où la découverte de l'auteur est aléatoire, le temps de la procédure est long, et, une fois que toutes ces barrières ont été franchies, la peine n'est pas à la hauteur du préjudice.

Laure de La Raudière : Le fait de hacker un système est interdit par la loi, passible de peines importantes (jusqu’à 10 ans de prisons si le délit est commis en bandes organisées). La loi récente de lutte contre le terrorisme a doté les services de sécurité de moyens de lutte et d’investigation complémentaires. Je ne pense d’ailleurs pas que l'on ait besoin de dispositions législatives supplémentaires. Ce dont nous avons besoin, c'est d’une prise de conscience de chaque citoyen, de chaque entreprise  quant à la transformation numérique que nous vivons et aux enjeux associés.

Le politique lui-même n’a pas pris la mesure des changements. Nous sommes en train de vivre une révolution extrêmement rapide et en profondeur de notre société. Que ce soit dans le champ économique ou dans le champ sociétal, le numérique crée des opportunités formidables mais peut également créer de nouveaux risques. La première action des politiques doit être de la pédagogie : quels enjeux du numérique, comment l’utiliser mais aussi comment se protéger efficacement contre des piratages. Cela signifie : responsabiliser les entreprises et les citoyens sur les risques encourus à l'heure du numérique. Dans une étude récente la CNIL tirait la sonnette d’alarme : près de 40% de la population n'a toujours pas mis en place de code confidentiel sur son portable. Oui, il faut communiquer sur ces enjeux. Concernant les d'entreprises, beaucoup ne sont pas conscientes et particulièrement les PME, du risque de se voir pirater leur savoir-faire pour des gens malintentionnés.

Les dispositions légales sont-elles similaires lorsque la victime est une entreprise ?

Etienne Drouard : Oui, ce sont les mêmes. La victime est le titulaire d'un système d'informations, et le législateur n'a pas voulu différencier ici les personnes morales des personnes physiques.

Et qu'en est-il des Etats ? Comment peuvent-ils se protéger de ce genre d'attaques ?

Etienne Drouard : Les Etats-Unis se sont protégés en créant le "Cyber Command", l'Etat major informatique de l'armée américaine, preuve et incarnation d'une cyber-guerre, ils sanctionnent aussi l'atteinte portée à des infrastructures dites "vitales" de la nation, y compris informatiques. La France leur a emboité le pas, avec la notion d'"opérateurs d'infrastructures vitales" ou "OIV3, ces OIV font partie des secteurs des télécoms, de l'énergie, des transports publics etc. On ne les connaît pas, car leur liste est confidentielle, ils sont traités par une administration appellée l'Agence Nationale des Systèmes d'Informations (L'ANSSI) qui s'assure du respect par ces opérateurs d'un certain nombre de procédures, d'un cahier des charges de sécurité informatique, de la formation d'une communauté de spécialistes des systèmes d'informations chez ces OIV afin qu'ils se prémunissent d'atteintes à leurs activités par le biais d'une attaque informatique. Nous avons-nous aussi en France, pour l'Etat mais aussi pour des entreprises privées dont le fonctionnement est nécessaires à la nation, une protection particulière qui passe par la prévention, puisque dans ce genre de cas la réparation sera impossible (par exemple en cas d'accident nucléaire etc). Il s'agit notamment de l'accompagnement particulier de ces entreprises dont on ne peut pas dire le nom, bien qu'on se doute que l'on y trouve Orange, la SNCF etc. Et parmi ces OIV, on trouve bien-sûr des ministères. Tout cela a été retenu par une loi.

Quelles sont les politiques de coopération européenne et internationale à ce sujet ?

Etienne Drouard : Il existe une coopération policière, judiciaire et informatique entre les Etats. Les mécanismes traditionnels de coopération internationale contre la délinquance fonctionnent aussi en matière d'informatique : Interpol, Europol par exemple. A part cette coopération, il y a aussi des traités qui ont été passés, notamment une convention du Conseil de l'Europe sur la lutte contre la cybercriminalité, qui établit que les Etats n'ont pas l'obligation de passer par la voie diplomatique pour se poser des questions en matière d'enquêtes informatiques et peuvent avoir une coopération d'urgence. Cette convention a été ratifiée par la France et a été transposée en droit français en 2005. Elle prévoit aussi que les Etats s'accordent pour conserver une trace des connexions internet pour une durée d'au moins 6 mois. Ainsi les Etats qui n'ont pas légiféré sur la traçabilité des utilisateurs s'engagent à le faire pour que l'on ne se retrouve pas victime de piratage sans aucune trace permettant l'identification des personnes. Alors, peut-on espérer une coopération plus large ? Oui, avec une possibilité de sanction à l'international des personnes commentant ces infractions. Pour l'instant chaque Etat dans lequel se trouve une victime, peut poursuivre un pirate informatique, par contre au niveau policier et judiciaire, c'est le niveau de coopération internationale qui va déterminer si l'on bénéficie de l'aide d'un Etat étranger pour poursuivre ou extrader. On retombe dans un schéma similaire aux domaines du trafic de drogues ou des crimes financiers internationaux.

Laure de La Raudière : Actuellement un projet de règlement européen sur la protection des données personnelles est en cours de discussion. La question de la responsabilité des entreprises qui stockent et utilisent des données personnelles, comme par exemple les opérateurs de cloud, fait partie du débat. Si cela aboutit, les entreprises pourraient alors être pénalisées, en cas d’attaque, si elles n'apportaient pas une garantie de sécurité sur les données personnelles de leurs clients. N’imaginons pas sur ces sujets une loi franco-française ! L'objectif de sécurisation que l'on impose aux entreprises doit être le même dans tous les pays européens, afin d'éviter une distorsion de concurrence qui serait pénalisante pour les acteurs français.

Le politique a-t-il pris l'ampleur de la menace que peut représenter le hacking ?

Etienne Drouard : Je pense que les politiques sont totalement incrédules quand ils on l'occasion d'entendre les montants représentés par les infractions informatiques. Cela représente quelque chose qui ne se voit pas mais pour lequel les nombres de zéros s'alignent, en dizaine de milliards de pertes. C'est difficile de les sensibiliser quand on ne dispose pas d'études nationales, en France on manque de chiffres car les entreprises victimes ne vont pas suffisamment se plaindre, ne sont pas toutes conscientes, et n'ont aucune idée du montant du préjudice car elles n'ont pas connaissance de l'usage qui est fait de leurs données. Quand il s'agit d'un brevet ou d'un détournement de fonds, on sait combien ça coûte, mais quand cela concerne la prise d'informations qui constituaient un avantage concurrentiel, il sera trop tard pour faire le lien entre le vol et la stratégie révélée. L'évaluation est difficile, mais il me semble qu'il faut continuer à les former à ce sujet, d'ailleurs il y a un cercle "défense – sécurité" qui existe et réunit des parlementaires, et dans lequel ils peuvent venir écouter parler de ces sujets, cela permet de passer de cinq initiés à vingt ou trente familiers, c'est indispensable parce que l'informatique n'est pas bien claire, internet peut être dangereux et le piratage semble loin pour eux. De plus les affaires ne sont pas assez nombreuses pour dire qu'il s'agit d'une part importante de l'activité judiciaire. On est donc obligé de convaincre avec des chiffres de victimisation mais le législateur ne se sent pas plus concerné que ça pour pousser à l'adoption d'outils de coopération internationale plus puissants.

Laure de La Raudière : Beaucoup d’hommes et de femmes politiques voudraient empêcher que cela ait lieu, et imagine avoir la solution miracle au détour d’un amendement sur une loi ! Mais ce n'est pas avec des bouts de texte législatifs que l'on y parviendra. Cela ne sert à rien de construire des digues de sable à l'heure du numérique. Il faut apprendre à vivre avec. Et à se protéger des risques du monde « virtuel et numérique », comme on a appris à se protéger dans le monde « réél et physique ». Que ce soit au sujet du piratage ou plus largement au sujet de la transformation des modèles économiques, il faut faire prendre conscience à chacun des acteurs qu'ils ont une obligation de se protéger. Les entreprises et les particuliers ont bien mis en place des serrures et des verrous pour se protéger physiquement des agressions. Il faut aujourd'hui mettre des verrous virtuels pour protéger avec différents niveaux de sécurité leur site informatique. Et cela jusqu'à la moindre PME.  Il faut aussi responsabiliser les acteurs qui détiennent les données personnelles d'autrui et les obliger à se protéger contre les intrusions extérieures. Et l'Etat doit donner l'exemple avec les données personnelles qu'il possède.

Une approche législative est-elle suffisante pour lutter contre le piratage informatique ? Comment le politique peut-il s'en emparer ?

Etienne Drouard : Je pense que l'approche gouvernementale doit être plus forte. Par exemple, on peut regretter que seulement un cas sur dix mille arrive devant les tribunaux, alors que la loi prévoit un à cinq ans de prison. Pour moi, la connaissance interministérielle de ce que représente la sécurité informatique dans le monde agricole, de l'éducation, de la sécurité ou des finances, doit faire l'objet d'une prise de conscience. Ce n'est pas le Parlement qui ira signer un traité international sur la coopération informatique, par contre le gouvernement, doit être formé, actif et conscient du sujet. On ne peut absolument pas parler de vide juridique, par contre on peut parler de difficulté à faire appliquer la loi parce que l'on se retrouve tout de suite à l'international. Ce n'est pas tant l'arsenal législatif qui fait défaut mais l'action publique intergouvernementale pour que l'on puisse avoir une fluidité de coopération équivalente à la fluidité des données.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !