JDNet. Pouvez-vous présenter le Cybercriminstitut?
Daniel Martin. Le Cybercriminstitut est une association car nous tenons à montrer que nous n'avons pas de but lucratif. Nos ressources proviennent des cotisations, des subventions publiques et privées et des prestations que nous seront amenés à fournir. En fait, le nom Cybercriminstitut est un raccourci pour Institut International de Hautes Etudes de la Cybercriminalité. Ses fondateurs font partis du réseau de personnes que j'ai côtoyé pendant vingt à trente ans. Ses membres proviennent d'horizons divers mais représentatifs de l'étendue de la question. Ils sont universitaires, diplomates, chefs d'entreprises, juristes, avocats, scientifiques, ou même pirates ayant défrayé la chronique. Chacun est à même de formuler des recommandations et de faire pression dans son domaine.

Pourquoi avoir créé une telle structure ?
En fait, le Cybercriminstitut est né de la multiplication des risques informatiques, des limites que nous imposent le cadre national et international et du manque d'information et d'éducation des entreprises et des particuliers. Il ne s'agit pas de faire peur, mais d'informer. Je voudrais qu'on arrête de parler de sécurité, c'est à dire de surveillance et de répression, pour parler d'assistance à la protection. Ce qui nous intéresse, ce sont les répercussions de la cybercriminalité sur la vie quotidienne, c'est à dire 98% du phénomène. Il s'agit de mettre en place des instruments de veille et d'évaluation de la menace, d'avertir de la nature des nouveaux risques et de proposer des ripostes, de former et de conseiller entreprises et particuliers, de réunir les intervenants au niveau national, européen et international et de faire du lobbying auprès des autorités. Pour cela, nous allons créer un site au cours du 1er trimestre 2001. Comme aux Etats-Unis, les entreprises et les particuliers pourront témoigner, de façon anonyme, sur les délits ou anomalies dont ils ont été victimes. Des commissions organisées autour de thèmes sensibles seront chargées de réunir les personnes intéressées et de mettre en place des outils. Enfin, un congrès annuel présentera les résultats de l'année.

Vous parlez de multiplication des risques. En quoi l'informatique et Internet génèrent-ils de nouveaux risques ?
Les problèmes de sécurité sont devenus cruciaux avec l'apparition des ordinateurs en réseau, mais surtout avec celle des micro-ordinateurs. L'arrivé des réseaux a fait augmenter le volume de la criminalité. Internet a mondialisé le problème et rendu la fraude instantanée. Les notions de temps et d'espace ont disparu. Enfin, la forte démocratisation des moyens informatiques a engendré une prolifération des risques. L'informatique est présente dans toute la société. Les cibles sont devenues polyvalentes et les vulnérabilités multiples. En même temps qu'augmentent les possibilités informatiques, les utilisations déviantes croissent. Elles touchent en priorité tous les moyens de paiement, les banques, les établissements financiers, les assurances et la grande distribution. La cybercriminalité peut même engendrer des problèmes politiques graves. D'où la nécessaire interpellation et implication des politiques dans ce problème.

Quels sont les risques que courent les PME et comment les prévenir ?
Aujourd'hui, les entreprises sont très dépendantes de l'informatique. 100 % d'entre elles indiquent qu'au delà d'une semaine sans système informatique, elles ne savent plus travailler. D'autre part, l'informatique est devenue si complexe que la plupart des gens ne savent plus comment elle fonctionne, ouvrant la porte à de nouvelles déviances. Par exemple, si la mise à jour par internet de logiciel est un nouveau service, elle permet également de s'introduire dans les ordinateurs et d'aller vérifier des informations.

Existe-t-il des statistiques sur les délits sur internet ?
C'est un des problèmes majeurs auquel Cybercriminstitut veut répondre. On estime que seulement 1%, voire 10% des cas de cybercriminalité sont traités par la gendarmerie, la police ou par la justice. En matière de piratage, l'année dernière on a traité en France 500 cas et en gros, 2.000 affaires liées aux infractions sur les télécommunication. Par contre les Américains annoncent que le Pentagone subit 10.000 tentatives de pénétration par semaine. Non seulement, on mélange un peu tout, mais on ne sait pas vraiment comment évaluer cette nouvelle menace. Aucune base internationale n'existe pour comparer l'évolution de cette criminalité. Chacun avance en ordre dispersé. Donc, il est temps, avant de proposer des remèdes, d'inventer un thermomètre. C'est le rôle de la commission « évaluation de la menace » du Cybercriminstitut et de notre site. En quatre mois, le site du FBI, l'International Fraud Complaint Center a reçu 18 000 plaintes.

Est-ce que l'on peut parler sur Internet de crime organisé ?
Oui, il existe à un certain niveau, une criminalité organisée. Plusieurs affaires nous montrent qu'il y a des gang qui s'intéressent aux gains et à l'information. La banque du Vatican s'est ainsi fait pirater par vingt personnes qui tentaient d'extorquer 7 milliards de francs. La tentative a échoué, mais la technique, utilisée avec de petites sommes, fonctionnait. Ils ont éveillé les soupçons parce qu'ils cherchaient la complicité d'un directeur de banque en Suisse. Les Américains, eux, se vantent de recruter parmi les meilleurs pirates des spécialistes pour aider la NSA, via Echelon, ou le FBI. Les nouveaux guerriers de l'Amérique comme ils les appellent !

Quels sont les recours judiciaires contre les cybercriminels ?
Les articles du code pénal ne prévoient que des peines légères en matière de délits informatiques. Elles ne s'appliquent qu'en cas de hold-up informatique et ne tiennent pas compte du volume de la fraude. Les juges sont mal formés et les fonctionnaires de police aussi. En plus, c'est à la partie plaignante de prouver la culpabilité de l'auteur. Un des buts de Cybercriminstitut est précisément de fournir une aide aux victimes par des conseils appropriés. Il faut certainement créer, en parallèle, une formation spécialisée dans la police et trouver du matériel, y compris avec des partenariats avec des constructeurs.

Quel peut être le rôle de l'Etat face à la cybercriminalité ?
L'Etat ne peut pas tout réglementer. Il ne peut fixer qu'un cadre dans lequel travailler de manière sûre. Le secteur public commence d'ailleurs à travailler avec les fournisseurs d'accès autour du problème de la traçabilité. Dans les années qui viennent, ceux-ci vont devoir stoker les informations à caractère technique. Les Belges viennent d'adopter une loi qui obligent les fournisseurs d'accès à garder les adresses IP de connexion pendant douze mois. Ce n'est pas trop, lorsqu'on connaît les problèmes d'entraide judiciaire entre pays ! A terme, il faudrait un accord pour essayer d'harmoniser les durées pendant lesquelle on peut stocker des données, de façon à rendre efficace l'entraide judiciaire. Mais tous les problèmes ne seront pas réglés pour autant. Qui va payer pour ce stockage, qui pourra avoir accès à ces données et comment ? Cela ne règle pas non plus le cas des délits commis à l'étranger. La perquisition transfrontière reste une énorme difficulté. A chaque fois que le conseil de l'Europe, le G8 ou l'Union européenne ont tenté de se mettre d'accord sur le sujet, ils n'y sont jamais parvenus. Les intérêts nationaux, souveraineté oblige, prennent le dessus.

Toutes ces mesures ne vont elles pas à l'encontre de la confidentialité des données personnelles ?
Oui, bien sûr ! On avait montré le chemin avec la CNIL dès 1978. Aujourd'hui, il va falloir trouver de nouvelles réponses. Pourquoi pas avec des organisations administratives indépendantes, façon CADA ou CSA ? Il faudra également trouver un terrain d'entente sur les droits de l'homme et la protection des libertés individuelles au niveau international. L'Occident a des valeurs que ne partagent tous les pays. La Chine, qui n'est pas dans l'OMC, abrite encore trop de contrefacteurs qui restent impunis. Le rôle de Cybercriminstitut est d'alerter l'opinion et, fort de sa représentativité, d'entrer en relation avec les organismes officiels pour essayer d'avoir une action positive.

Quel est le calendrier de Cybercriminstitut ?
Nous nous sommes fixés jusqu'en mars 2001 pour clore notre tour de table. Les commissions, elles, sont créées. Nos premières publications arriveront en septembre 2001. La première portera sur le sujet «Echelon et les grandes oreilles». La seconde traitera de «la mesure de la culture sécuritaire des entreprises». Le dernier thème portera sur «l'évaluation de la menace», couplé avec un grand congrès à Paris fin 2001. Une manière de trouver un référentiel statistique commun à l'Europe pour mesurer le cybercrime.