Le dernier rapport de l’entreprise américaine de sécurité informatique Symantec¹ est alarmant. Il annonce une augmentation de 42% des attaques ciblées pour l’année 2012, dont 31% étaient dirigées contre des PME. Un pirate a développé une attaque qui, à elle seule, aurait infecté 600’000 ordinateurs Mac. La totalité des attaques en ligne aurait augmenté de 30%. Chaque seconde dans le monde, dix-huit internautes seraient victimes de piratage. De la demande de rançon au cyber-espionnage, les cybercriminels redoublent d’inventivité pour atteindre leurs buts.

Et la Suisse n’est pas en reste. Ainsi, en mai 2012, le réseau informatique du Département fédéral des affaires étrangères se fait attaquer². En octobre de la même année, c’est à un portail de l’immobilier que des escrocs s’en prennent³. En mars 2013, une société informatique basée en Suisse qui lutte contre le spam est la cible d’une attaque de grande envergure, paralysant un grand nombre de sites Internet⁴.

Même avec les précautions qu’il faut appliquer à l’interprétation de ce type de rapport, émanant d’une société de sécurité, force est de constater que la tendance est plutôt à l’augmentation des cas de cybercriminalité en Suisse et dans le monde.

On peut alors se demander ce que fait la police pour lutter contre cette criminalité virtuelle, dont les impacts sont supportés par la société. Quels sont les moyens à sa disposition ? Quelle barrière érige-t-elle entre les citoyens et les cybercriminels ?

La police représente la force coercitive de la justice, elle-même influencée par la politique et les normes sociales en vigueur. Il faut se demander, au niveau organisationnel, si les structures juridiques et judiciaires en place permettent effectivement d’affronter les crimes et délits commis sur Internet. En effet, ces autorités, aussi bien locales que nationales, constituent les outils principaux des États du monde entier. Mais ces instruments sont-ils adéquats ?

Pour appréhender globalement la problématique de la cybercriminalité, il est important de comprendre de qui et de quoi dépend le maintien de l’ordre dans le cyberespace.

L’augmentation toujours croissante d’utilisateurs d’Internet implique l’adoption de nouvelles pratiques par les professionnels de nombreux domaines ; tant au niveau technique, organisationnel, managérial que juridique.

Les acteurs de la Toile évoluent dans un monde virtuel qui inspire à la fois un immense sentiment de liberté et une sensation de vertige. En effet, l’architecture même du réseau a de quoi donner le tournis aux plus conformistes. Internet fait fi des frontières et enjambe les différences culturelles avec une facilité déconcertante. Et c’est là que la vague technologique fait ressentir toute sa force aux États et à leurs gouvernants en ébranlant le solide pilier de leur souveraineté. Car si le réseau est mondial, il s’étend sur environ deux cents souverainetés différentes.

Les utilisateurs d’Internet sont tous les jours plus nombreux⁵. L’outil a pénétré quasiment tous les niveaux de la société. Et les personnes malfaisantes l’ont bien compris. Leur pouvoir de nuisance est grand, à l’instar de leur impunité actuelle.

La difficulté des États à punir les criminels du virtuel est due principalement à la notion de territorialité. Tous les protagonistes sont ancrés dans des territoires limités et bien déterminés, régis par des lois et des coutumes propres, qu’il est aisé d’appliquer à l’intérieur des frontières. Cependant, dès qu’il y a un élément d’extranéité, les procédures se complexifient grandement.

Les obstacles procéduraux transfrontières sont là pour protéger les droits des individus et des citoyens et pour garantir la souveraineté des États sur leur territoire. Malheureusement, ils ralentissent ainsi de manière significative les actions d’application de la loi entreprises par les autorités et les forces de l’ordre.

Alors même qu’Internet accélère les pratiques et annihile la notion de distance, la voie juridique et légale semble, par sa lenteur, un moyen inapproprié d’appréhender les problèmes.

De nombreux pays sont conscients de cette difficulté et la traitent quotidiennement. Afin d’améliorer l’efficacité de leurs forces de l’ordre, les États se mobilisent pour trouver des solutions communes, sans empiéter sur leur souveraineté et en tentant de respecter au mieux la liberté de leurs citoyens.

Les enquêtes mènent de plus en plus souvent les inspecteurs des polices judiciaires à réaliser des investigations sur la Toile. Un rapport⁶ du Comité de la Convention Cybercriminalité liste les défis auxquels les forces de l’ordre doivent faire face aujourd’hui:

– La quantité croissante de données sauvées, traitées et transférées ;

– Les individus peuvent utiliser non plus un, mais plusieurs appareils, simultanément ou successivement ;

– Les cybercriminels ont acquis de l’expérience dans l’encryptage de leurs données ou dans l’anonymat lors de l’utilisation des technologies d’information et de communication (utilisation de proxys, routeurs TOR, « foreign IPs », Voice-over-IP) ;

– Les ordinateurs d’utilisateurs innocents sont compromis et utilisés à des fins criminelles, comme des attaques de botnet⁷ ;

– Les criminels réalisent des infractions à distance, dans des pays tiers, ou utilisent l’infrastructure de communication d’un pays tiers pour commettre des crimes, réduisant ainsi le risque d’investigation par la police ;

– Même si un criminel commet un délit dans son propre pays, les preuves électroniques peuvent se trouver dans de nombreuses autres juridictions ;

– Les données, y compris les preuves électroniques, sont extrêmement volatiles. Les sites Web ou les URLs contenant des données illégales et des preuves électroniques peuvent être déplacés vers des adresses IP différentes en quelques secondes.

– L’utilisation grandissante du cloud computing et des services Web où les données (y compris les preuves électroniques) sont stockées « quelque part dans les nuages », c’est-à-dire sur des serveurs – ou dispersées sur plusieurs serveurs ou encore déplacées entre les serveurs – dans des lieux et des juridictions variant, souvent inconnus des utilisateurs et de la police⁸.

La quarantaine d’États signataires de la Convention sur la cybercriminalité s’est engagée à collaborer dans la lutte contre la criminalité sur Internet⁹.

Il est impératif que tous les pays connectés agissent ensemble. En effet, il suffit qu’un seul État adopte des lois plus laxistes pour créer un paradis virtuel. Sans prétendre limiter les libertés individuelles, il est important que les pays harmonisent leurs législations en matière de Web afin de permettre aux polices d’adapter leurs moyens d’enquête et de poursuite au cyberespace.

La collaboration internationale doit être rapide et efficace pour ambitionner d’attraper des criminels qui, eux, sont rapides dans leur fuite et efficaces dans le détournement des lois.

Que la police ne soit pas autorisée à infiltrer les réseaux avec les mêmes techniques que les criminels, qu’elle ne puisse pas installer de matériel espion sur les voies de communication est compréhensible. Mais qu’elle soit entravée par la justice, plus précisément par les procédures internationales, n’est pas acceptable.

Sans une politique commune de lutte contre la criminalité informatique, les canaux criminels internationaux ont encore la voie libre pour longtemps avant d’être inquiétés. Car si Internet n’est pas un espace vide de lois, la multiplicité de celles-ci produit le même effet sur leur application. Les criminels ne sont pas poursuivis.

Le sentiment général qui se dégage de ces lignes est l’impuissance. Impuissance de la police, de la justice, et même impuissance politique.
Et beaucoup de questions sont en suspens. Comment faire correspondre et collaborer les différents systèmes juridiques ? Comment répartir les coûts des investigations dans les bases de données entre les gouvernements, les fournisseurs et les contribuables ? Comment inspirer à tous les États une volonté d’effort collectif, alors même qu’ils se rendent coupables de cybercrimes ? Les services de renseignement de Washington auraient commis 231 cyberattaques envers d’autres gouvernements, rien qu’en 2011¹⁰.
Avant d’imaginer une quelconque solution à la problématique de la criminalité sur Internet, il faut être capable de répondre à ces questions.

La situation actuelle n’est pas satisfaisante et incite éventuellement les forces de l’ordre à faire usage de méthodes discutables pour arriver à leurs fins. On entend parler de collaboration avec des entreprises privées de renseignement, de surveillance abusive de la part de certains États¹¹.
Les polices menées à de telles extrémités le font pour “bypasser” des procédures lourdes et obsolètes. Il faut de toute urgence établir un système efficace pour lutter contre la cybercriminalité sans outrepasser la légalité et empêcher les autorités de flirter avec les limites de leurs législations respectives en ouvrant leur champ d’investigation.

Après une longue léthargie qui a profité aux cybercriminels, la bonne nouvelle est que les gouvernements du monde entier commencent à prendre conscience de l’importance des enjeux d’Internet.
La Suisse est consciente de ses lacunes, de sa position stratégique au centre de l’Europe et veut faire mieux. Des inspecteurs de police judiciaire aux autorités politiques, on sent une volonté d’élaborer de nouveaux outils et d’aller de l’avant, à tous les niveaux.
Les médias sont vigilants et le débat est lancé sur la place publique. Les utilisateurs du Net s’étonnent et se posent des questions.
Si la Loi Universelle d’Internet n’est pas encore pour demain, les discussions sont à présent engagées et ne cesseront pas avant une solution commune acceptable par et pour tous.