14 oct 2008

Mentir, falsifier, tromper, escroquer

Catégorie : Sécurité Tags : misc 0 Commentaire

Retrouvez cet article dans : Misc 21

Sur les quelques 60000 délits enregistrés par l’OCLCTIC en 2004, 83,24% concernaient la falsification et l’usage de cartes de crédits, 14,13% l’escroquerie par utilisation de numéro de cartes bancaires. Parmi les délits restants on relève la pédopornographie, la diffamation, l’atteinte aux systèmes de traitement automatisé de données (STAD), la contrefaçon, la diffusion de programmes informatiques permettant de fabriquer de fausses cartes bancaires. Dénominateur commun de ces délits : l’usage du mensonge 1, de la falsification 2, au service de la tromperie 3, de l’escroquerie.
Plus que tout autre, le médium numérique peut être manipulé. A l’image du secret, le faux et le mensonge font partie du côté obscur de l’être humain, de la société. Mais à la différence de celui-ci, ils ne se cachent pas. Le mensonge a ceci de particulier qu’il cherche toujours à imiter la vérité et peut être pratiqué en pleine lumière.

1 – TROMPER LES INDIVIDUS

1.1 – Escroquerie : le phishing et le scam 419

Le phishing est une escroquerie bancaire (commerciale) en ligne, forme relativement élaborée d’imitation de la réalité. Les auteurs des mails se font passer pour une banque (mensonge, tromperie) ou un établissement de crédit, une entreprise, un commerce et demandent aux internautes d’actualiser leurs coordonnées bancaires sur des sites web (faux bien sûr). L’escroquerie use du mensonge, trompe l’internaute et crée un faux qui est la réplique de sites officiels.
L’escroquerie est définie aux articles L 313-1 à 313-3 du Code Pénal comme " Le fait, soit par l’usage d’un faux nom, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique et de la convaincre à remettre des fonds, des valeurs ou un bien quelconque ou à fournir un service ou à consentir un acte opérant obligation ou décharge ". Les sanctions sont de 5 ans de prison et 375 000 € d’amende (10 ans de prison et 1 000 000 € d’amende si l’escroquerie est commise en bande organisée). La tentative d’escroquerie est punie des mêmes peines. Exemples d’escroquerie : faire croire à un gain à une loterie, demander de téléphoner pour soi-disant mettre à jour la carte SIM…
Dans le phishing, à l’escroquerie s’ajoutent les délits de contrefaçon (atteinte aux droits d’auteur par reproduction du site, atteinte au droit des marques).
Les plus grandes entreprises sont victimes de cette forme de fraude. Même si les poursuites sont difficiles, relevons la première condamnation en France pour phishing d’un jeune escroc qui avait détourné 20 000 € à ses victimes en les attirant sur un faux site du Crédit Lyonnais. Il a été condamné à 1 an de prison avec sursis et 8500 € d’amende (tribunal correctionnel de Strasbourg, 2 septembre 2004).
Le scam 419 ou scam africain est une autre forme d’escroquerie construite sur le mensonge, imitation de la réalité moins élaborée que le phishing mais plus largement répandue. C’est ainsi qu’à l’échelle planétaire parmi les hoax les plus répandus actuellement sur Internet, le scam africain se répand. Majoritairement nigérian, il est une forme de fraude 4 qui joue pleinement sur le mensonge 5 et a pour but unique de soutirer de l’argent à ses victimes. Le scam africain est aussi appelé " 419 scam " (fraude 419) car il viole la section 419 du code pénal nigérian qui condamne l’escroquerie. En 2001 aux États-Unis 2 600 personnes avaient porté plainte pour le scam 419. Selon le FBI, 1 arnaque sur 10 marchent. Le mensonge que constitue le contenu du mail n’est pas en lui-même condamnable. Mais l’intention de nuire l’est. Car le scam 419 est une escroquerie. Mais il est parfois affaire criminelle, certaines transactions se terminant par des kidnappings avec demande de rançon, voire des meurtres. Selon le Département d’Etat américain, 25 meurtres ou disparitions d’américains à l’étranger seraient à lier à la fraude 419.
Les exemples et formes d’escroquerie sont nombreux. Janvier 2002 (USA) un jeune californien de 17 ans est arrêté pour fraude. Il avait mis en place un système en ligne attirant des investisseurs en leur faisant miroiter des retours sur investissements de 125 à 2500 % selon la durée du placement. Il avait soutiré ainsi
1 million de dollars à près de 1000 personnes. La fraude peut aller beaucoup plus loin. Juillet 2002, USA, condamnation d’un escroc qui a soutiré 50 millions de dollars à 13 000 investisseurs de 60 pays en 2 ans ! Un site (www.triwestinvest.com) attirait les investisseurs à qui l’on offrait là encore des taux d’intérêts de 120% sans aucune prise de risque. Le site web, principal outil de la fraude, invitait les " investisseurs " à envoyer de l’argent à Belize. Le mensonge consistait ici à faire croire à des gains incroyables.
La crédulité des victimes n’est en rien un fait permettant d’exonérer les escrocs des sanctions qu’ils encourent.

1.2 - L’usurpation d’identité, la fausse identité

En avril 2005 Microsoft a été victime d’une usurpation d’identité (accompagnée d’une contrefaçon de site). Les utilisateurs recevaient des courriers électroniques portant signature de Microsoft les invitant à accéder au site de mise à jour de l’éditeur (en cliquant sur un lien inclus dans le message). Ceux-ci étaient redirigés vers un site pirate ayant toute l’apparence du site officiel de Microsoft, d’où ils risquaient de télécharger un trojan (Troj/DSNX-05) à la place du patch annoncé.
Les diverses formes de fraude jouent de l’utilisation de la fausse identité qui serait aujourd’hui parmi les dénominateurs communs des délits et des crimes. La fausse identité lèserait ainsi de nombreux acteurs de la société : services de l’Etat, sécurité sociale, entreprises, personnes privées. La fraude liée à l’usage de fausse identité représenterait 10% du déficit de la sécurité sociale. 90% des amendes dressées par la SNCF ne seraient jamais payées faute d’identifier les fraudeurs munis de faux documents. Les faux billets d’avion et fausses identités coûteraient 30 millions d’euros chaque année à Air France 6. On ignore encore à ce jour l’identité réelle de 17 des 19 terroristes du 11 septembre 2001. La fausse identité (inventée, usurpée) est un phénomène international et qui ne concerne pas qu’Internet ou le courrier électronique. Le marché du faux représente un business rentable (un passeport, un permis de conduire, une carte grise, tout est disponible au marché noir, moyennant quelques milliers d’euros). Dans le monde réel la fausse identité est répandue. Dans le monde virtuel, elle est à la portée de chacun d’entre nous. Il est très facile de se fabriquer une identité sur Internet et ceci de manière tout à fait légale. On parle alors de pseudonymat pour qualifier l’identité numérique qu’est l’adresse électronique.
La CNIL a pour sa part qualifié l’adresse électronique de donnée à caractère personnel. Son usurpation, c’est-à-dire prendre l’identité d’un autre individu afin de se faire passer pour lui (on parle aussi d’usurpation d’e-mail, de falsification d’adresse e-mail) est donc un délit. L’usurpation d’identité peut avoir de multiples finalités : reproduire un nom patronymique dans un nom de domaine (cybersquatting), hoax, escroquerie…
Quand l’usurpation a un motif financier, on peut retenir le délit d’escroquerie (article 313-1 du Code Pénal). L’usurpation d’identité caractérise le délit, c’est-à-dire que le caractère intentionnel n’est pas à démontrer.
Les sanctions encourues pour usage illicite de fausse identité sont de 3 ans de prison si l’acte est commis en bande organisée. Dans la pratique, les peines généralement effectuées sont de 4 mois avec sursis.
Quand elle sert à commettre un forfait, la falsification d’adresse
e-mail d’un expéditeur vient aider à la constitution d’une infraction et se trouve sanctionnée par les tribunaux français comme accès frauduleux à un système d’information (Articles 323-1 et s. du Code Pénal, loi Godfrain de 1986 et loi Perben II).
La propagation des vers informatiques via les courriers électroniques use de leur capacité à formater des e-mails élaborés, en fabriquant un faux champ expéditeur à partir d’adresses collectées sur la machine infectée, ce qui donne ainsi toute l’apparence que le courrier provient d’une personne connue et a pour effet de faire baisser la vigilance du destinataire.
L’usurpation d’identité peut prendre des formes très malicieuses, perverses, dangereuses pour les mineurs qui sont approchés et peuvent être victimes des pédophiles. Ces derniers maîtrisent l’usage de la fausse identité comme technique de tromperie facilitant l’approche. Se créant une personnalité, une identité inventée de toutes pièces, ils peuvent se faire passer pour des enfants, des adolescents et gagner la complicité des enfants. La fausse identité est alors au service du crime.
D’autres encore lancent des annonces sur les groupes de discussion ou des sites web, se faisant passer pour de belles jeunes femmes blondes en quête du grand amour, photos à l’appui, dans le seul but de soutirer de l’argent à des hommes crédules. Cette manœuvre frauduleuse (user d’une fausse identité, mise en scène,…) relève de l’escroquerie. Chacun a la possibilité de mentir sur son identité, nominative ou visuelle.

1.3 – Fausses informations

L’abondance et la propagation à grande échelle du faux, du mensonge auraient des effets pernicieux. La fausse information décrédibilise, dit-on, l’Internet. Les fausses alertes émoussent la vigilance et les vraies alertes perdent en efficacité car l’on n’y fait plus attention. La crainte du faux véhiculé à grande échelle n’est cependant pas phénomène récent. " On n’a dit que peu de choses sur les mensonges imprimés dont la terre est inondée (…). On donnera ici seulement quelques règles générales pour précautionner les hommes contre cette multitude de livres qui ont transmis les erreurs de siècle en siècle " 7.
L’Internet et tous les outils de communication (courriers électroniques, blogs, tchats, forums…) ont bien sûr multiplié les possibilités de diffusion, d’échange, de circulation de l’information.
Où est le vrai ? Où est le faux ? Vivrait-on dans l’incertitude permanente de l’identité et de l’intention de l’autre, l’incertitude quant à la véracité des contenus ?
En semant la confusion dans les esprits, les différentes formes de hoax qui incitent les internautes à reprendre à leur compte et propager de fausses informations, que ce soit par mail, SMS, contribuent à décrédibiliser les sources d’information car elles multiplient les sources de mensonges. Peut-on se fier aux messages qui nous parviennent par e-mail ? Le scam africain véhicule ses mensonges dans l’intention de nuire, mais certains y donnent crédit. Les rumeurs, les chaînes de solidarité, les promesses de bonne ou mauvaise fortune, l’annonce de faux virus, les fausses pétitions propagent de fausses informations et démentir une rumeur revient à la propager. Les légendes urbaines qui circulent sur Internet ont l’efficacité des gros mensonges : un requin qui attaque un hélicoptère, un chat qui pèse plus de 100 kilos… photos à l’appui. Ces fausses nouvelles colportées devraient être perçues comme des fables et des canulars, mais par leur habillage, leur trop grande imitation de la réalité, elles peuvent prêter à confusion, induire en erreur : en jouant sur l’usurpation d’identité, en imitant dans leur présentation des sources d’information fiables.
Le canular n’est pas en soit incriminé. Poursuivrait-on des romanciers pour leurs créations et leur imagination ?
Mais pour autant création et divulgation de fausses informations peuvent être incriminées. En voici quelques exemples de manière non exhaustive :

Quand elles émanent de professionnels dans l’exercice de leur métier, les fausses informations sont susceptibles de sanctions. Tel peut être le cas d’un journaliste qui crée de toutes pièces une information ou d’une entreprise qui en attaque une autre via une campagne de désinformation sur Internet. Pour la première fois en France le 9 janvier 2004, la 11ème chambre du tribunal correctionnel condamnait le dirigeant d’une société (Phillips Beverage Company) à 100 000 euros d’amende pour " diffusion de fausses informations en matière boursière pour agir sur le cours des titres " d’une société concurrente, sur le fondement de l’article L 465 et s. du Code Monétaire et Financier (qui punit le délit de 2 ans de prison (7 en cas de délit aggravé) et 1 500 000 euros d'amende ou le décuple des profits réalisés). Le dernier alinéa de l'article L. 465-1 punit des mêmes peines que celles prévues pour le délit d'initié le délit de communication d'informations fausses ou trompeuses, c'est-à-dire " le fait, pour toute personne, de répandre dans le public par des voies et moyens quelconques des informations fausses ou trompeuses sur les perspectives ou la situation d'un émetteur dont les titres sont négociés sur un marché réglementé ou sur les perspectives d'évolution d'un instrument financier admis sur un marché réglementé, de nature à agir sur les cours ". Depuis la loi de sécurité quotidienne précitée, l'article 421-1 du code pénal qualifie même d'actes de terrorisme l'ensemble des délits prévus à l'article L. 465-1 du code monétaire et financier.
Mentir à la CNIL est perçu comme un délit d’entrave. La loi 92-1336 du 16 décembre 1992 condamne le délit d'entrave à l'action de la CNIL (refus de vérification sur place, dissimulation ou destruction de pièces, falsification de données avant le contrôle de la CNIL) d’un an de prison et 15 000 € d'amende. La première mise en application de ce texte est intervenue le 17 mai 2002, lorsque le tribunal correctionnel de Paris a jugé que le fait de mentir à la CNIL constituait une entrave à son action. L’Association spirituelle de l’église de Scientologie d’Île-de-France (Asesif) et son dirigeant ont été condamnés à plus de 10 000 euros d’amende pour avoir faussement affirmé à la Cnil qu’elle avait radié les personnes qui s’étaient opposées à figurer dans son fichier. En 1997, la Cnil avait été saisie par un particulier pour obtenir la radiation de ses coordonnées des fichiers de l’émanation de la Scientologie.
Un " délit de dénonciation mensongère " est inscrit dans la loi LCEN en son article 6-1-4 qui sanctionne toute personne dénonçant auprès d’un hébergeur un contenu comme illicite à seule fin d’en obtenir le retrait ou le blocage de l’accès : " Le fait, pour toute personne, de présenter aux [hébergeurs] un contenu ou une activité comme étant illicite dans le but d'en obtenir le retrait ou d'en faire cesser la diffusion, alors qu'elle sait cette information inexacte, est puni d'une peine d'un an d'emprisonnement et de 15 000 € d'amende ".
Quand les fausses informations diffusées mettent en cause des personnes existant réellement. Il peut alors y avoir diffamation en imputant à quelqu’un un fait, vrai ou faux. L’article 29 de la loi sur la Presse du 29 juillet 1881 est ainsi rédigé : " Toute allégation ou imputation d’un fait qui porte atteinte à l’honneur ou à la considération de la personne ou du corps auquel le fait est imputé est une diffamation ". La diffamation est punie d’une amende de 12 000 € à 45 000 € et d’une année de prison pour diffamation à raison de l’origine, ethnie, race, religion, sexualité, handicap.
L’image manipulée ment. La divulgation de fausse information peut aussi s’appuyer sur l’utilisation de montages photographiques réalisés sans autorisation de leur auteur, auquel cas il y a atteinte aux droits d’auteur (articles
L 121-1 et s., articles L 122-1 et s. du Code de la Propriété Intellectuelle). La loi Perben est venue renforcer les sanctions de la contrefaçon, portant ainsi les peines à 3 ans de prison et 300 000 € d’amende. Des sanctions civiles peuvent être prononcées, en sus des sanctions pénales, sous forme de dommages et intérêts afin de réparer le préjudice subi par la victime. Les montages photographiques peuvent aussi porter atteinte à l’image des personnes (mettre un individu dans un environnement dans lequel il ne s’est jamais trouvé, mettre un visage sur un corps différent…). L’article 226-8 du Code Pénal punit d’un an de prison et 15 000 € d’amende le fait de publier, par quelque voie que ce soit, donc notamment via un site web, le montage réalisé avec " l’image d’une personne sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un montage (..) ".
Enfin l’article 27 8 de la loi du 29 juillet 1881 sur la liberté de la Presse prévoit également que " la publication, la diffusion ou la reproduction, par quelque moyen que ce soit, de nouvelles fausses, (…) falsifiées ou mensongèrement attribuées à des tiers lorsque, faite de mauvaise foi, elle aura troublé la paix publique, (…) sera punie d’une amende de 45 000 € (…) ".

1.4 - En matière commerciale : tromperie et publicité mensongère

La publicité est mensongère quand elle contient des éléments faux. Elle est " trompeuse " quand elle est de nature à induire en erreur le consommateur moyen, ce qui ne veut pas dire pour autant qu’elle contienne des éléments faux.
Le terme " moyen " est ambigu et peut prêter à interprétations différentes.
Les actes de tromperie sont sanctionnés par l’article L 213-1 du Code de la Consommation 9.
L’article 213-1 10 réprime et sanctionne de 2 ans de prison et 37 500 € d’amende le fait de " tromper ou tenter de tromper le contractant par quelque moyen que ce soit… sur la matière, l’espèce, l’origine, les qualités substantielles… l’aptitude à l’emploi " d’un produit. Il y a donc volonté d’induire le consommateur en erreur. L’infraction de tromperie pour être constituée nécessite un élément matériel (un fait de nature à induire en erreur), et un élément intentionnel (l’auteur de l’acte a conscience du fait que la chose n’a pas la qualité qu’elle aurait dû avoir).
Un exemple de condamnation pour tromperie nous est fourni par l’affaire ayant mis en cause la société EMI Music France. Suite à la mise sur le marché d’un CD de Liane Foly (" au fur et à mesure "), l’association CLCV (Consommation Logement Cadre de Vie) a assigné en justice la société EMI Music France. L’association s’insurgeait contre le caractère trompeur et de nature à induire en erreur de la mention " ce CD contient un dispositif technique limitant les possibilités de copie ". Le CD s’avérait en fait illisible sur certains autoradios, lecteurs PC ou Mac. Le TGI de Nanterre par un jugement du 24 juin 2003 a constaté que la société EMI Music France avait trompé les acheteurs en omettant de les informer des restrictions d’utilisation et condamné la société à verser 10 000 € de dommages et intérêts à l’association.
La publicité mensongère pour sa part est sanctionnée par l’article L 121-1 du Code de la consommation : " Est interdite toute publicité comportant, sous quelque forme que ce soit, des allégations, indications ou présentations fausses ou de nature à induire en erreur, lorsque celles-ci portent sur un ou plusieurs des éléments ci-après ; existence, nature, composition, qualités substantielles (…) propriétés, prix et conditions de vente de biens ou services qui font l'objet de la publicité, conditions de leur utilisation, résultats qui peuvent être attendus de leur utilisation, motifs ou procédés de la vente ou de la prestation de services, portée des engagements pris par l'annonceur, identité, qualités ou aptitudes du fabricant, des revendeurs, des promoteurs ou des prestataires ". Les peines sont les mêmes que celles prévues à l’article L 213-1 du Code de la Consommation ci-avant mentionné.
Un exemple récent de publicité mensongère nous est donné dans le domaine des télécommunications. En janvier 2005, France Télécom lançait une campagne de publicité annonçant une baisse de 20% de ses tarifs d’appel de téléphone fixe vers mobiles Orange. L’association UFC-Que Choisir a saisi la justice pour publicité mensongère. Le TGI de Paris a ordonné le 10 mai 2005 le versement à l’UFC de 20 000 € de dommages et intérêts. La publicité en cause est interdite et chaque infraction constatée coûtera 10 000 € d’astreinte à France Télécom. La publicité faite par FT présente en effet un caractère trompeur de nature à induire le consommateur en erreur. La baisse annoncée ne concernait en effet qu’un nombre limité d’appels, ceux dépassant 5 minutes.
Précisons enfin :

Que tous les supports de publicité sont répréhensibles : les sites Internet, les courriers électroniques, un bon de commande…
Qu’il est interdit au professionnel mais également au particulier de mentir sur les qualités d’un produit mis en vente. Un particulier peut donc être condamné dans le cas des petites annonces (sur des forums, dans les sites de ventes aux enchères, en omettant volontairement une information, en trompant sur les qualités d’un produit, en proposant une image trompeuse…).

1.5 - Le social engineering

Sous ce terme sont regroupés un ensemble de techniques utilisées par les hackers pour amener une personne à révéler son mot de passe ou lui extorquer toute information utile facilitant l’intrusion dans un système. L’objectif est de tromper la vigilance de l’utilisateur, en usant de diverses ruses dont l’usurpation d’identité est la principale (" se faire passer pour "). Le contact avec la personne auprès de qui le hacker veut extorquer des informations est établi par mail ou encore plus simplement par téléphone.
Le social engineering est donc la phase qui précède l’action intrusive du hacker dans le système. La démarche (le fait de se prévaloir abusivement d’une qualité, mise en scène pour inspirer la confiance) s’apparente à celle de l’escroquerie (article 313-1 du Code Pénal). Pour qu’il y ait escroquerie, il faut encore qu’il y ait préjudice.

2 – TROMPER LES SYSTEMES

2.1 – Atteintes aux STAD

La piraterie consiste à tromper un système en se faisant passer pour un usager légitime. Il faut au hacker tromper la vigilance du gardien.
DNS spoofing, IP spoofing, Web spoofing sont autant de techniques reposant sur l’usurpation d’adresses, d’identité. Ces pratiques qui visent à tromper les systèmes relèvent des textes sanctionnant les atteintes aux STAD : Code Pénal, Chapitre III " Des atteintes aux systèmes de traitement automatisé de données ", articles 323-1 à 323-7.

L’article 323-1 condamne le fait d’accéder et se maintenir frauduleusement, c’est-à-dire sans droits, dans un système. Les peines vont jusqu’à 3 ans de prison et 45 000 € d’amende.
L’article 323-2 sanctionne le fait d’entraver ou fausser le fonctionnement d’un STAD de 5 ans de prison et 75 000 € d’amende.
L’article 323-3 condamne le fait d’introduire frauduleusement des données ou supprimer ou modifier frauduleusement des données. Le délit est puni de 5 ans de prison et 75 000 € d’amende.
L’article 323-3-1 condamne le fait de détenir ou d’offrir des moyens permettant les délits cités dans les articles 323-1 à 323-3 et sanctionne de la même manière que les délits.
Les articles 323-4 à 323-7 sanctionnent la préparation des délits, l’intention, prévoient des peines complémentaires telles qu’interdiction des droits civiques, civils, de famille, d’exercer dans la fonction publique, la fermeture des établissements ayant servi à commettre les faits, des sanctions pour les personnes morales.

2.2 - Le spam-indexing

L’opération consiste à tromper les robots pour obtenir le meilleur positionnement possible dans un moteur par rapport à un mot clef. L’une des techniques les plus anciennes consiste à écrire le mot clef de nombreuses fois en blanc sur fond blanc. L’internaute ne voit rien mais le robot du moteur oui, l’idée étant d’augmenter l’indice de densité. Rappelons que le choix des mots clefs est important : le propriétaire du site doit choisir des mots clefs en rapport avec le site, ne pas reprendre des noms de marques sur lesquels il n’a aucun droit (ce qui constituerait une contrefaçon de marque, c’est-à-dire l’utilisation illégale d’une marque déposée, portant ainsi atteinte à un droit privatif), des noms de personnes connues, etc. autant d’actes pouvant entraîner des poursuites civiles ou pénales. Les abus ont été nombreux dans le choix des mots clefs insérés dans les balises " keywords ".
La lutte pour un meilleur référencement ne permet pas tous les abus, tous les mensonges, toutes les tromperies.
Face au spamdexing les moteurs de recherche sont en droit d’invoquer une infraction pénale, celle d’atteinte au fonctionnement des systèmes de traitement automatisé de données (STAD) prévue à l’article 323-2 du Code Pénal : " Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données " 11. Le spamdexing entrave en effet le fonctionnement et fausse les résultats d’un système (le robot du moteur).
Entraver, c’est perturber le fonctionnement du système (par exemple spamming, attaques de type DOS). Fausser, c’est faire produire au système un résultat différent de celui qui était attendu.
Mais si le spamdexing vise à promouvoir des sites marchands, on peut alors considérer qu’il trompe également le consommateur (publicité trompeuse) et crée un préjudice à l’égard des titulaires des sites concurrents (concurrence déloyale, c’est-à-dire détournement de la clientèle d’un concurrent en utilisant des procédés contraires aux usages professionnels. Articles 1382 et 1383 du Code Civil).
Le cloacking qui est une variante du spamdexing (créer des pages spécifiques à chaque robot mais invisibles pour les utilisateurs) tomberait sous l’effet des mêmes articles.
Le Googlebombing, technique consistant à créer une constellation de sites renvoyant les uns vers les autres vise le même objectif d’augmentation artificielle de la notoriété d’un site et de l’élévation de sa pertinence. La sanction pouvant pénaliser ces sites réside dans l’inscription par les moteurs sur des listes noires et leur déréférencement.

3 - LA COOPERATION INTERNATIONALE CONTRE LA CYBERCRIMINALITE

La lutte contre la cyberdélinquance repose à la fois sur la mise en place de législations nationales, de solutions techniques de sécurité fiables, d’outils policiers adaptés, sans omettre la sensibilisation et la formation des utilisateurs.
Mais dans cette lutte, la dimension internationale reste l’élément clef : le problème de l’usurpation d’identité, de l’escroquerie via utilisation de sites web ou du courrier électronique, n’est pas national. L’escroquerie n’a pas de frontières. Comment atteindre et poursuivre efficacement par exemple les auteurs d’escroquerie dans le cas du scam 419 ? Dans les sites d’enchères, il y aurait 1 arnaque pour 10 000 transactions. Même si elles peuvent porter plainte, les victimes sont bien démunies face à cette escroquerie internationale. Les démarches ont peu de chances d’aboutir (faute de pouvoir remonter à la source du délit) et les victimes n’ont que peu de recours.
Toute répression se heurte au principe de territorialité de la loi pénale et les moyens de coopération policière et judiciaire, y compris à l’échelle européenne, ne sont pas encore en mesure de répondre à la demande des victimes de manière satisfaisante. Le problème est d’autant plus vrai que les préjudices financiers subis par les victimes sont de faible montant.
Pour lutter plus efficacement, il faut donc plus de coopération et harmoniser les législations. Ce sont ces deux aspects que traite la Convention sur la Cybercriminalité (STCE n° 185) 12 adoptée le 8 novembre 2001 par le Conseil des ministres du Conseil de l’Europe, ouverte à la signature le 23 novembre 2001 à Budapest à l’occasion de la Conférence Internationale sur la Cybercriminalité et entrée en vigueur le 10 juillet 2004.
Il s’agit là de la première convention à vocation universelle contre la cybercriminalité : elle veut harmoniser la législation des États signataires en définissant des infractions pénales communes. Les principales infractions mentionnées à la Convention sont les atteintes à la confidentialité, à l’intégrité, à la disponibilité des données et des systèmes informatiques, la falsification et la fraude informatique, les atteintes à la propriété intellectuelle.
Son objectif est de mener " une politique pénale commune destinée à protéger la société de la criminalité dans le cyber-espace " au moyen de législations appropriées, c’est-à-dire reposant sur les mêmes principes et incriminant des comportements de manière similaire, et au travers de l’amélioration de la coopération. La Convention appelle à une coopération entre les États et l’industrie privée. Elle souhaite donner une réalité à la coopération policière et judiciaire internationale (rendre plus efficaces les enquêtes, les procédures pénales, la collecte des preuves électroniques d’une infraction pénale). Cette coopération repose notamment sur la mise en œuvre d’un " Réseau 24/7 " de points de contacts, joignables 24 heures sur 24 et 7 jours sur 7, " afin d’assurer la fourniture d’une assistance immédiate pour des investigations concernant les infractions pénales liées à des systèmes et données informatiques ou pour recueillir les preuves sous forme électronique d’une infraction pénale " (chapitre III. Titre 3. Article 35).
Mais les intentions louables de la convention ne sont-elles pas vouées à l’échec ? Le 19 mai 2005, le Parlement français a adopté la loi n° 2005-493 autorisant l’approbation de la convention sur la cybercriminalité et du protocole additionnel à cette convention relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais de systèmes informatiques. Ce texte est entré en vigueur le 23 mai 2005. A l’échelle internationale, l’impact de cette initiative reste toutefois très limité car seuls 11 États dont la France (sur 42 pays signataires) ont ratifié la convention. Parmi les pays signataires membres du conseil de l’Europe, l’Allemagne, l’Italie, l’Espagne, le Royaume-Uni par exemple n’ont pas encore ratifié le texte. Parmi les signataires non-membres du conseil, l’Afrique du Sud, le Canada, le Japon, les États-Unis n’ont pas encore ratifié le texte. Parmi les non-signataires, se trouve la Russie. Il apparaît ainsi totalement illusoire d’envisager à court ou moyen terme une réelle coopération internationale en matière de lutte contre la cybercriminalité sur la base de ce texte.

CONCLUSION

Si le mensonge est présenté ici dans ses utilisations nuisibles, n’oublions pas qu’il peut aussi être outil de protection. Certains mensonges sont nécessaires ou utiles. Les pots de miel qui simulent (et donc mentent) sont une manière de tromper le pirate, un leurre pour l’attirer et le tromper. Cet outil est légal.
Enfin, divulguer de fausses informations peut être utile pour préserver son anonymat. Ainsi est-il préférable de ne pas donner sa véritable identité quand on est sollicité par un site marchand ou quand un enfant est amené à fournir des informations personnelles sur Internet au travers de tchats ou de forums.

1 Mentir c’est faire sciemment une assertion contraire à la vérité ou tromper par omission en taisant la vérité, ne pas révéler ses intentions réelles de manière à induire en erreur. Il y a dans le mensonge volonté, intention. " Il y a deux sortes de mensonges : celui de fait, qui regarde le passé, celui de droit qui regarde l’avenir. Le premier a lieu quand (…) on parle sciemment contre la vérité des choses. L’autre a lieu quand (…) on montre une intention contraire à celle qu’on a " (Rousseau, Émile, II.)
2 Le faux est ce qui est contraire à la vérité ou n’est pas ce qu’il parait être (transforme l’apparence des faits, des situations, des objets).
3Tromper, c’est induire en erreur en usant du mensonge, de dissimulation, de ruse.
4 La fraude est une action faite de mauvaise foi dans l’intention de tromper.
5 " Le mensonge cherche toujours à imiter la vérité ", Fustel de Coulanges, La Cité antique, II, X.
6 Tous ces chiffres sont publiés dans Christophe Naudin, " La fausse identité, danger croissant et ignoré ", Note d’alerte n°4, Département de Recherche sur les Menaces Criminelles Contemporaines. http://www.drmcc.org
7 Voltaire, Mélanges historiques, " Mensonges imprimés ", XXII.
8 Article modifié par ordonnance n° 2000-916 du 19 septembre 2000 art. 3 (JORF 22 septembre 2000) en vigueur le 1er janvier 2002.
9 Code de la consommation, Livre II, Titre 1°, Chapitre III, Fraudes et falsifications, Section 1 " Tromperie " (Articles L213-1 à L213-2). Section 2. " Falsifications et délits connexes " (Articles L213-3 à L213-4).
10 Loi nº 92-1336 du 16 décembre 1992, Ordonnance nº 2000-916 du 19 septembre 2000.
11 Ordonnance nº 2000-916 du 19 septembre 2000, art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002. Loi nº 2004-575 du 21 juin 2004 art. 45 II Journal Officiel du 22 juin 2004.
12 Texte consultable sur le site de la DCSSI. http://www.ssi.gouv.fr/fr/reglementation/185.html
ou sur le site du Conseil de l’Europe http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CL=FRE

Retrouvez cet article dans : Misc 21

Posté par (La rédaction) | Signature : Daniel Ventre | Article paru dans

Laissez une réponse

Vous devez avoir ouvert une session pour écrire un commentaire.

Aller au contenu »

S'abonner à UNIX Garden

Catégories

Il y a actuellement
1,073 articles/billets en ligne.

Archives

Articles secondaires
15/3/2009
Smart Middle Click 0.5.1 : ouvrez les liens JavaScript dans des onglets
Tout d’abord, un petit raccourci utile : quand vous voulez ouvrir un lien dans un onglet, plutôt que d’utiliser le menu contextuel, cliquez simplement dessus avec le bouton du milieu. Hop, c’est ouvert ! C’est simple et diablement efficace, parfois un peu trop…...
Voir l'article...

30/10/2008
Google Gears : les services de Google offline
Lancé à l’occasion du Google Developer Day 2007 (le 31 mai dernier), Google Gears est une extension open source pour Firefox et Internet Explorer permettant de continuer à accéder à des services et applications Google, même si l’on est déconnecté....
Voir l'article...

7/8/2008
Trois questions à...
Alexis Nikichine, développeur chez IDM, la société qui a conçu l’interface et le moteur de recherche de l’EHM....
Voir l'article...

11/7/2008
Protéger une page avec un mot de passe
En général, le problème n’est pas de protéger une page, mais de protéger le répertoire qui la contient. Avec Apache, vous pouvez mettre un fichier ~~.htaccess~~ dans le répertoire à protéger....
Voir l'article...

6/7/2008
hypermail : Conversion mbox vers HTML
Comment conserver tous vos échanges de mails, ou du moins, tous vos mails reçus depuis des années ? mbox, maildir, texte… les formats ne manquent pas. ...
Voir l'article...

6/7/2008
iozone3 : Benchmark de disque
En fonction de l’utilisation de votre système, et dans bien des cas, les performances des disques et des systèmes de fichiers sont très importantes....
Voir l'article...