La cybercriminalité

Le terme « cybercriminalité » a été inventé à la fin des années quatre-vingt-dix, alors qu’Internet se répandait en Amérique du Nord. Un sous-groupe des pays du G8 fut formé suite à une réunion à Lyon, en France, afin d’étudier les nouveaux types de criminalité encouragés par, ou migrant vers, internet. Ce « groupe de Lyon » employait alors « cybercriminalité » pour décrire, de manière relativement vague, tous les types de délits perpétrés sur internet ou les nouveaux réseaux de télécommunications dont le coût chutait rapidement.

En même temps, et à l’initiative des membres du groupe de Lyon, le Conseil de l’Europe commença à rédiger un projet de Convention sur la Cybercriminalité [1]. Cette convention, rendue publique pour la première fois en 2000, prévoyait un nouvel ensemble de techniques de surveillance que les organismes chargés de l’application de la loi estimaient nécessaires pour combattre la « cybercriminalité ». Comment la cybercriminalité était-elle définie? La version finale de cette convention, adoptée en novembre 2001 après les évènements du 11 septembre, n’en proposait pas de définition. Le terme était plutôt utilisé comme une sorte de fourre-tout pour désigner les nouveaux problèmes auxquels se trouvaient confrontés la police et les agences de renseignement, et découlant des performances toujours meilleures des ordinateurs, de la baisse du coût des communications, et du phénomène Internet. La convention énumère les différentes dispositions et les domaines exigeant une nouvelle législation :

Titre 1 - Infractions contre la confidentialité, l’intégrité et la disponibilité des données et systèmes informatiques.

Titre 2 - Infractions informatiques [falsification et ¬fraude].

Titre 3 - Infractions se rapportant au contenu [pornographie].

Titre 4 - Infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes.

Titre 5 - Autres formes de responsabilité et de sanctions [aide et complicité, responsabilité des personnes morales].

Cybercriminalité : la boîte de Pandore

Les dispositions relatives aux crimes sont en réalité très brèves, la majeure partie de la Convention traitant de droit procédural et de coopération internationale. Pour que les poursuites aboutissent, il fallait trouver de nouvelles techniques pour réunir des preuves, assurer leur intégrité, et les partager par delà les frontières. Les injonctions de conservation rapide de données stockées, les mandats électroniques, le recueil de données en temps réel, l’archivage des données relatives au trafic : autant de mesures qui impliquaient une intrusion dans les libertés civiques. Une dépendance croissante des traités mutuels d’assistance légale, même quand il ne s’agissait pas d’un cas de double incrimination, ouvrait une boîte de Pandore d’accusations criminelles possibles selon tous les régimes du monde. Alors que la Convention sur la Cybercriminalité énumère clairement les problèmes propres aux enquêtes criminelles au niveau mondial, elle ne propose toujours pas de solution pour protéger la vie privée et les droits humains.

À l’origine, il régnait une grande confusion. La notion de cybercriminalité était appliquée à de nouveaux types de criminalité, comme la cyberpornographie - c’est-à-dire la diffusion de photographies violant les lois de certains pays (mais pas tous) relatives à la pornographie inacceptable et l’exploitation des personnes. Comme internet ignore les frontières, il était devenu beaucoup plus facile de diffuser des contenus à l’étranger, parfois de manière complètement anonyme. Pénétrer dans les systèmes informatiques, ou les « pirater », constituait aussi un nouveau crime, alors que de nombreux pays ne le considérait pas encore comme une infraction criminelle. La Convention sur la Cybercriminalité visait entre autres à établir et harmoniser les dispositions qui devaient être intégrées dans la législation des pays signataires, afin de lutter de manière bien coordonnée contre cette nouvelle activité criminelle. Les jeux d’argent en ligne soulevaient un autre problème : des champs de courses virtuels fleurissaient sur internet, et bien que les pays aient des approches très différentes, suffisamment de pays développés intégraient les revenus tirés des jeux d’argent dans les budgets nationaux et les économies du tourisme, de sorte que l’émergence de concurrents virtuels, opérant depuis des paradis fiscaux, suscitait une réelle inquiétude.

Archivage des données informatiques, cryptographie : deux grands problèmes de sécurité en question

Avant que la Convention sur la Cybercriminalité ne soit rendue publique, des défenseurs des libertés civiques du monde entier se battaient déjà contre différentes initiatives nationales visant à introduire l’archivage obligatoire des données informatiques, ou le stockage des données de connexion sur les télécommunications et le trafic Internet, à des fins d’enquêtes criminelles. L’archivage des données de connexion faisait partie d’un ensemble de mesures de contrôle présentées dès 1992 par le FBI comme nécessaires pour combattre le crime sur la nouvelle « autoroute de l’information » - comme on appelait alors Internet. Pendant toutes les années quatre-vingt-dix, des activistes d’internet, des experts techniques, et des entreprises privées avaient œuvré ensemble contre l’imposition de mesures de contrôle de la cryptographie, y compris des projets de dépôt des clés auprès d’un tiers de confiance, dans lesquels le gouvernement aurait détenu une copie de toutes les clés cryptographiques afin d’enquêter et de trouver plus facilement des preuves sur les activités criminelles. Le projet le plus célèbre fut le « Clipper Chip » américain, qui prévoyait non seulement que le gouvernement détienne les clés de chiffrement, mais qui proposait aussi un algorithme fermé ou propriétaire qu’aucun expert n’était autorisé à analyser ni tester. La sécurité est une course aux armements, dont les algorithmes et les mesures de surveillance nécessaires à son succès sont attaqués aussi rapidement qu’ils sont mis en place. En conséquence, les seules mesures de sécurité auxquelles les experts font confiance sont celles qui ont été exposées aux attaques et qui ont survécu. À l’origine, la cryptographie relevait du domaine des experts de l’armée et de la sécurité nationale, mais de plus en plus les civils

...