Cyberdélinquance financière : des infractions dangereuses mais pourtant faciles à prévenir

Blanchiment d’argent, escroquerie par SMS surtaxés, manipulation de cours de bourse sur Internet : ces techniques simples sont en pleine expansion et font de plus courir des risques juridiques aux victimes. Le point sur ces formes de cybercriminalité et comment s’en protéger.

Parmi les différents thèmes évoqués cette année dans le rapport 2006 du CLUSIF (Club de la Sécurité de l'Information Français), une tendance est particulièrement intéressante : il s'agit du développement d'une cyberdélinquance financière, facilitée notamment par le spam, sur Internet mais aussi sur téléphone mobile.

Si l'objectif des cybercriminels a toujours été de diffuser des contenus illicites, de pénétrer ou détruire des systèmes, ou encore de voler des informations, il apparaît que la dimension économico-financière prend désormais une importance grandissante.

Trois tendances illustrent cette évolution : le recrutement de mules pour blanchir l'argent de la cybercriminalité, l'escroquerie par spamming de téléphones mobiles et la manipulation de cours de bourse sur Internet. Ces trois tendances ont toutes en commun de commencer par du spamming et d'avoir pour objectif de récolter des fonds illégalement.

Les nouvelles formes de la cyberdélinquance financière

La première tendance constatée est la multiplication de spams dont l'objet est de recruter des particuliers pour récupérer l'argent provenant de la cybercriminalité, et le retransmettre ensuite aux auteurs des infractions. Ainsi, les autorités constatent qu'il est de plus en plus fait appel à ces "mules" pour blanchir les fonds du phishing ou d'autres fraudes sur Internet. En effet, la difficulté pour le cyberdélinquant financier est de récupérer discrètement le produit de ses délits. Concrètement, le recrutement des mules se fait au moyen d'e-mails massivement envoyés, qui proposent de véritables «contrats de travail» pour se livrer à cette activité d'intermédiaire.

La seconde tendance est le SPIT (Spam over IP Telephony). Cette escroquerie, simple et redoutablement efficace, consiste à appeler massivement des téléphones portables. Un message, ou simplement le numéro affiché sur le portable du destinataire, invite ce dernier à rappeler l'émetteur de l'appel. La victime va donc rappeler ce numéro qui, bien évidemment, est surtaxé. Le délinquant récolte ainsi le produit de tous les appels, quasiment sans risque. En effet, du côté de la victime, il est rare que des plaintes soient déposées, dans la mesure où le préjudice subi (quelques euros) semble faible comparé à l'apparente complexité d'engager une procédure. Pour l'auteur, les profits sont énormes, compte tenu du nombre très élevé de victimes.

La troisième tendance repose toujours sur le spam et consiste à manipuler les cours de bourse : l'auteur de l'infraction adresse massivement des messages invitant les personnes, grâce à différents stratagèmes, à acheter des actions d'une entreprise. Grâce à cette manipulation artificielle des cours de l'action, l'auteur, qui a préalablement acheté ses titres à bas prix, peut les revendre bien plus cher. Cette technique est intéressante pour l'auteur car il reste relativement anonyme et il n'a pas besoin d'intermédiaires occultes pour récupérer les produits de l'infraction.

Ces trois tendances ne représentent encore qu'un nombre limité de cas, mais compte tenu du risque imminent de voir ces comportements se développer davantage et devenir extrêmement préoccupants, il convient de s'interroger sur les véritables risques juridiques induits et les moyens de se protéger efficacement.

Mules, investisseurs... Les auteurs-victimes doivent se protéger juridiquement

Les risques courus par les «cerveaux» de ces infractions sont assez clairs et trouvent leurs sources dans les dispositions classiques du code pénal, qu'il s'agisse de l'escroquerie ou de la manipulation de cours.

La question du risque est bien plus délicate en ce qui concerne les tiers, impliqués "malgré eux" dans la commission de l'infraction, comme par exemple les "mules" recrutées par des annonces alléchantes, ou les personnes qui ont acheté des actions suite aux spams reçus et contribué ainsi à la manipulation de cours.

La réponse se trouve encore dans les fondamentaux des codes civil et pénal, mais son application concrète est plus délicate à préciser. En effet, tout participant à une infraction est susceptible de voir sa responsabilité engagée sur le terrain pénal de la complicité, voire sur celui de la faute civile, la frontière s'appréciant au cas par cas. Tout dépendra de savoir si la personne a agi intentionnellement et consciente de participer à une infraction, auquel cas sa complicité sera très probablement reconnue, ou si elle a simplement été imprudente, auquel cas sa responsabilité ne pourra qu'être limitée à la réparation civile. Quoiqu'il en soit, pour éviter de voir sa responsabilité engagée, la personne doit pouvoir démontrer qu'elle a agi en "bon père de famille" et qu'elle n'a commis aucune faute. Pour ce faire, il conviendra notamment qu'elle démontre qu'elle a pris les renseignements et les précautions nécessaires avant de répondre à l'offre qui lui était faite. Une telle preuve implique que des éléments écrits soient conservés, tels que des courriers, constats d'huissier ou traces de demandes de renseignement. Surtout, lorsque la personne réalise qu'elle a pu se livrer à une activité potentiellement illégale, même malgré elle, elle a tout intérêt à prendre les devants en allant consulter un professionnel du droit qui pourra déterminer avec elle de l'opportunité de dénoncer les faits aux autorités et le faire de la façon la plus pertinente.

Les véritables victimes ont le devoir de se manifester

Face à une cybercriminalité variée, de plus en plus organisée et masquée, les victimes ont paradoxalement tendance à se manifester de moins en moins.

Ce faisant, ces infractions sont peu risquées mais extrêmement rentables. Il est donc particulièrement important d'inverser la tendance et que les victimes s'unissent pour dénoncer pénalement ce type de comportements, afin de freiner leur développement.

De même, concernant la manipulation de cours de bourse sur Internet, les véritables victimes, outre les acheteurs abusés, sont les entreprises cibles de ces manipulations. Or, fréquemment, ces entreprises tentent d'apporter une réponse judiciaire quand il est trop tard, c'est-à-dire après la commission de l'infraction. Pourtant une politique rigoureuse de contrôle de l'information sur Internet permettrait de prévenir ce type de dommages. Les entreprises devraient procéder à des opérations de constat et d'identification systématique des contenus diffusés sur Internet risquant de porter atteinte à leurs intérêts. Surtout, elles ne doivent plus hésiter à porter plainte dès qu'elles ont connaissance de faits délictueux.

En conclusion, il semble que seule une action concertée et efficace des victimes permettra de freiner le développement de la cyberdélinquance financière. Surtout, les victimes françaises ont la «chance» de disposer d'une procédure pénale qui leur accorde beaucoup de droits et un véritable rôle d'acteur à jouer dans la conduite de la procédure pénale. Dès lors, pèse sur elles un véritable devoir d'alerte et d'action face aux agissements qui pourraient les atteindre.

Eric Barbry, directeur du pôle "Communication électroniques", Alain Bensoussan Avocats.
Vincent Dufief, département "Sécurité des systèmes d'information", Alain Bensoussan Avocats.