JDNet.
Pouvez-vous présenter le Cybercriminstitut?
Daniel Martin.
Le
Cybercriminstitut est une association car nous tenons à montrer
que nous n'avons pas de but lucratif. Nos ressources proviennent
des cotisations, des subventions publiques et privées et des
prestations que nous seront amenés à fournir. En fait, le
nom Cybercriminstitut est un raccourci pour Institut International
de Hautes Etudes de la Cybercriminalité. Ses fondateurs font
partis du réseau de personnes que j'ai côtoyé pendant vingt
à trente ans. Ses membres proviennent d'horizons divers mais
représentatifs de l'étendue de la question. Ils sont universitaires,
diplomates, chefs d'entreprises, juristes, avocats, scientifiques,
ou même pirates ayant défrayé la chronique. Chacun est à même
de formuler des recommandations et de faire pression dans
son domaine.
Pourquoi
avoir créé une telle structure ?
En
fait, le Cybercriminstitut est né de la multiplication des
risques informatiques, des limites que nous imposent le cadre
national et international et du manque d'information et d'éducation
des entreprises et des particuliers. Il ne s'agit pas de faire
peur, mais d'informer. Je voudrais qu'on arrête de parler
de sécurité, c'est à dire de surveillance et de répression,
pour parler d'assistance à la protection. Ce qui nous intéresse,
ce sont les répercussions de la cybercriminalité sur la vie
quotidienne, c'est à dire 98% du phénomène. Il s'agit de mettre
en place des instruments de veille et d'évaluation de la menace,
d'avertir de la nature des nouveaux risques et de proposer
des ripostes, de former et de conseiller entreprises et particuliers,
de réunir les intervenants au niveau national, européen et
international et de faire du lobbying auprès des autorités.
Pour cela, nous allons créer un site au cours du 1er trimestre
2001. Comme aux Etats-Unis, les entreprises et les particuliers
pourront témoigner, de
façon anonyme, sur les
délits ou anomalies dont ils ont été victimes. Des commissions
organisées autour de thèmes sensibles seront chargées de réunir
les personnes intéressées et de mettre en place des outils.
Enfin, un congrès annuel présentera les résultats de l'année.
Vous parlez
de multiplication des risques. En quoi l'informatique et Internet
génèrent-ils de nouveaux risques ?
Les
problèmes de sécurité sont devenus cruciaux avec l'apparition
des ordinateurs en réseau, mais surtout avec celle des micro-ordinateurs.
L'arrivé des réseaux a fait augmenter le volume de la criminalité.
Internet a mondialisé le problème et rendu la fraude instantanée.
Les notions de temps et d'espace ont disparu. Enfin, la forte
démocratisation des moyens informatiques a engendré une prolifération
des risques. L'informatique est présente dans toute la société.
Les cibles sont devenues polyvalentes et les vulnérabilités
multiples. En même temps qu'augmentent les possibilités informatiques,
les utilisations déviantes croissent. Elles touchent en priorité
tous les moyens de paiement, les banques, les établissements
financiers, les assurances et la grande distribution. La cybercriminalité
peut même engendrer des problèmes politiques graves. D'où
la nécessaire interpellation et implication des politiques
dans ce problème.
Quels sont
les risques que courent les PME et comment les prévenir ?
Aujourd'hui,
les entreprises sont très dépendantes de l'informatique. 100
% d'entre elles indiquent qu'au delà d'une semaine sans système
informatique, elles ne savent plus travailler. D'autre part,
l'informatique est devenue si complexe que la plupart des
gens ne savent plus comment elle fonctionne, ouvrant la porte
à de nouvelles déviances. Par exemple, si la mise à jour par
internet de logiciel est un nouveau service, elle permet également
de s'introduire dans les ordinateurs et d'aller vérifier des
informations.
Existe-t-il
des statistiques sur les délits sur internet ?
C'est
un des problèmes majeurs auquel Cybercriminstitut veut répondre.
On estime que seulement 1%, voire 10% des cas de cybercriminalité
sont traités par la gendarmerie, la police ou par la justice.
En matière de piratage, l'année dernière on a traité en France
500 cas et en gros, 2.000 affaires liées aux infractions sur
les télécommunication. Par contre les Américains annoncent
que le Pentagone subit 10.000 tentatives de pénétration par
semaine. Non seulement, on mélange un peu tout, mais on ne
sait pas vraiment comment évaluer cette nouvelle menace. Aucune
base internationale n'existe pour comparer l'évolution de
cette criminalité. Chacun avance en ordre dispersé. Donc,
il est temps, avant de proposer des remèdes, d'inventer un
thermomètre. C'est le rôle de la commission « évaluation de
la menace » du Cybercriminstitut et de notre site. En quatre
mois, le site du FBI, l'International Fraud Complaint Center
a reçu 18 000 plaintes.
Est-ce
que l'on peut parler sur Internet de crime organisé ?
Oui,
il existe à un certain niveau, une criminalité organisée.
Plusieurs affaires nous montrent qu'il y a des gang qui s'intéressent
aux gains et à l'information. La banque du Vatican s'est ainsi
fait pirater par vingt personnes qui tentaient d'extorquer
7 milliards de francs. La tentative a échoué, mais
la technique, utilisée avec de petites sommes, fonctionnait.
Ils ont éveillé les soupçons parce qu'ils cherchaient la complicité
d'un directeur de banque en Suisse. Les Américains, eux, se
vantent de recruter parmi les meilleurs pirates des spécialistes
pour aider la NSA, via Echelon, ou le FBI. Les nouveaux guerriers
de l'Amérique comme ils les appellent !
Quels sont
les recours judiciaires contre les cybercriminels ?
Les
articles du code pénal ne prévoient que des peines légères
en matière de délits informatiques. Elles ne s'appliquent
qu'en cas de hold-up informatique et ne tiennent pas compte
du volume de la fraude. Les juges sont mal formés et les fonctionnaires
de police aussi. En plus, c'est à la partie plaignante de
prouver la culpabilité de l'auteur. Un des buts de Cybercriminstitut
est précisément de fournir une aide aux victimes par des conseils
appropriés. Il faut certainement créer, en parallèle, une
formation spécialisée dans la police et trouver du matériel,
y compris avec des partenariats avec des constructeurs.
Quel peut
être le rôle de l'Etat face à la cybercriminalité ?
L'Etat
ne peut pas tout réglementer. Il ne peut fixer qu'un cadre
dans lequel travailler de manière sûre. Le secteur public
commence d'ailleurs à travailler avec les fournisseurs d'accès
autour du problème de la traçabilité. Dans les années qui
viennent, ceux-ci vont devoir stoker les informations à caractère
technique. Les Belges viennent d'adopter une loi qui obligent
les fournisseurs d'accès à garder les adresses IP de connexion
pendant douze mois. Ce n'est pas trop, lorsqu'on connaît les
problèmes d'entraide judiciaire entre pays ! A terme, il faudrait
un accord pour essayer d'harmoniser les durées pendant lesquelle
on peut stocker des données, de façon à rendre efficace
l'entraide judiciaire. Mais tous les problèmes ne seront pas
réglés pour autant. Qui va payer pour ce stockage, qui pourra
avoir accès à ces données et comment ? Cela ne règle pas non
plus le cas des délits commis à l'étranger. La perquisition
transfrontière reste une énorme difficulté. A chaque fois
que le conseil de l'Europe, le G8 ou l'Union européenne ont
tenté de se mettre d'accord sur le sujet, ils n'y sont jamais
parvenus. Les intérêts nationaux, souveraineté oblige, prennent
le dessus.
Toutes
ces mesures ne vont elles pas à l'encontre de la confidentialité
des données personnelles ?
Oui,
bien sûr ! On avait montré le chemin avec la CNIL dès 1978.
Aujourd'hui, il va falloir trouver de nouvelles réponses.
Pourquoi pas avec des organisations administratives indépendantes,
façon CADA ou CSA ? Il faudra également trouver un terrain
d'entente sur les droits de l'homme et la protection des libertés
individuelles au niveau international. L'Occident a des valeurs
que ne partagent tous les pays. La Chine, qui n'est pas dans
l'OMC, abrite encore trop de contrefacteurs qui restent impunis.
Le rôle de Cybercriminstitut est d'alerter l'opinion et, fort
de sa représentativité, d'entrer en relation avec les organismes
officiels pour essayer d'avoir une action positive.
Quel est
le calendrier de Cybercriminstitut ?
Nous
nous sommes fixés jusqu'en mars 2001 pour clore notre tour
de table. Les commissions, elles, sont créées. Nos
premières publications arriveront en septembre 2001. La première
portera sur le sujet «Echelon et les grandes oreilles». La
seconde traitera de «la mesure de la culture sécuritaire des
entreprises». Le dernier thème portera sur «l'évaluation de
la menace», couplé avec un grand congrès à Paris fin 2001.
Une manière de trouver un référentiel statistique commun à
l'Europe pour mesurer le cybercrime.
|