Où en est-on dans la lutte contre les crimes perpétrés via Internet ou cybercriminalité ? Qui s’en occupe et comment ? Réponses depuis Bucarest où le Conseil de l’Europe a établi son bureau international pour combattre ce fléau grandissant. Situé à la maison des Nations Unies, il est dirigé depuis 2014 par l’Allemand Alexander Seger, également Secrétaire exécutif du Comité de la Convention de Budapest sur la cybercriminalité (Strasbourg).
Regard : Pourquoi la cybercriminalité est-elle sous la responsabilité du Conseil de l’Europe ?
Alexander Seger : Le Conseil de l’Europe est d’abord une organisation qui promeut les Droits de l’homme, l’état de droit et la démocratie entre ses 47 pays membres. Et il se trouve que la cybercriminalité est directement liée à tous ces domaines. Le vol de données numériques ou les infractions relevées lors d’un vote électronique, par exemple, sont des atteintes aux Droits de l’homme, et donc des attaques contre les objectifs du Conseil de l’Europe. On a commencé à s’intéresser au phénomène à partir de la fin des années 1980. Mais ce n’est qu’en 2001, avec la Convention de Budapest (1), que la lutte contre la cybercriminalité s’est organisée au niveau international, avec des moyens d’enquête. Des pays comme les États-Unis, le Canada ou le Japon ont dès le début participé aux négociations, bien que la Convention reste un traité du Conseil de l’Europe. Le problème est que les technologies de l’information touchent maintenant la sécurité nationale et d’autres intérêts fondamentaux des États. Trouver un consensus est difficile, et cela reste compliqué. Dans les années 1990, les Nations Unies avaient déjà essayé d’établir un traité concernant la cybercriminalité, mais cela n’a pas abouti. Ceci étant, l’ONU travaille toujours sur le sujet, et il y a un accord global sur le renforcement des capacités et de la législation. La meilleure chose à propos de la Convention de Budapest est qu’elle est en place et fonctionne.
Comment le bureau de la lutte contre la cybercriminalité du Conseil de l’Europe a-t-il atterri à Bucarest ?
Il y a depuis un certain temps un consensus sur le besoin de renforcer les capacités de lutte contre la cybercriminalité qui a été confirmé en 2013 à Vienne, suite à une conférence entre plus de cent pays. À ce moment-là, la Roumanie était déjà très active dans le domaine. Le gouvernement de l’époque a alors proposé d’accueillir à Bucarest un bureau du Conseil de l’Europe pour le renforcement des capacités en matière de cybercriminalité. Ce fut chose faite après l’accord des pays membres et du Parlement roumain. Le bureau a démarré ses activités en avril 2014. Il y a bien sûr d’autres structures d’Europol ou d’Interpol dans le monde qui s’occupent de cybercriminalité, mais Bucarest est le seul bureau spécialisé dans le renforcement des capacités contre la cybercriminalité.
La renommée des hackers roumains a-t-elle joué un rôle dans ce choix ?
Pas vraiment, il s’agit surtout de législation et d’une expérience spécifique. En 2004, quand la Roumanie a signé la Convention de Budapest, son catalogue de lois pour lutter contre la cybercriminalité était déjà très similaire aux directives de la Convention. Le Conseil de l’Europe a alors pensé que la Roumanie était un bon modèle pour d’autres pays, mieux que les pays de l’Ouest, dont la législation est plus complexe et difficile à adapter. Par ailleurs, ici les procureurs étaient déjà très impliqués. Mon adjoint actuel, Virgil Spiridon, a mis en place dès 2004 l’unité contre la cybercriminalité en Roumanie. La dynamique entre législation, procureurs et police fonctionnait. Bucarest a donc été choisie après presque dix ans de coopération.
Y a-t-il ici des experts en informatique qui travaillent avec vous pour contrer les cyberattaques ?
Il s’agit d’un mélange d’expertise, mais nous nous occupons moins des questions informatiques que des questions de législation et d’enquête. Bien que récemment nous ayons publié un guide sur les preuves électroniques, et comment établir un « computer forensic laboratory ». Nous faisons aussi de la formation un peu partout dans le monde auprès des polices nationales, en nous aidant de cours qui existent déjà notamment à Europol, au European cybercrime center EC3. Pour la formation des juges et des procureurs, nous avons développé nous-mêmes nos cours et les adaptons en fonction des législations nationales. En général, nous collaborons avec des académies spécialisées, et nous formons aussi des formateurs pour que cet enseignement se poursuive dans la durée.
Qu’en est-il de la prise de conscience des politiques et des populations concernant cette cybercriminalité toujours plus complexe ?
Ceux qui travaillent dans le domaine de la cybercriminalité ont longtemps été frustrés de voir que des pays qui avaient signé la Convention de Budapest ne la mettaient pas en œuvre en adaptant leur législation nationale. Cela n’a jamais été la priorité des parlementaires, sauf dans quelques États suite à des attaques de grande ampleur, comme ce fut le cas en 2007 en Estonie. Ce pays est probablement le plus avancé au monde dans l’utilisation des outils numériques, toutes sortes de démarches administratives ou commerciales peuvent s’effectuer en ligne. Il est donc très dépendant des technologies de l’information. En mai 2007, suite à un désaccord après le déplacement d’un monument à la gloire de l’armée soviétique à Tallinn, des cyberattaques ont été lancées contre l’Estonie, ce qui a complètement paralysé le pays pendant plusieurs jours. Ce fut un premier signal, il y a eu une vraie prise de conscience globale à ce moment-là parce que cet événement a fait la Une des journaux. Mais le problème reste entier. Aujourd’hui encore, quand il s’agit de renforcer le pouvoir de la police, de perquisitionner du matériel informatique ou d’intercepter des télécommunications, il y a beaucoup de réticences. Les articles de la Convention de Budapest sur le renforcement des moyens d’enquête ont retardé le processus dans plusieurs États signataires.
Ces derniers mois, l’utilisation des réseaux informatiques à des fins politiques ou malveillantes ont toutefois refait la Une des journaux à plusieurs reprises…
Oui, mais le problème est complexe et large. Arriver à un consensus mondial ne concerne pas seulement les politiques. Les grands agrégateurs comme Facebook, Google ou Microsoft peuvent aider à la localisation d’une malversation informatique en donnant l’adresse IP (Internet Protocol, ndlr) qui est la base du système d’acheminement des messages sur Internet. Mais sans nécessairement informer sur le contenu. Or, pour commencer une enquête, la police a besoin de renseignements sur l’individu qui a créé cette adresse. Si les grands groupes américains collaborent en général très bien avec les autorités policières des États parties de la Convention de Budapest, ce n’est pas le cas dans tous les pays, où certains fournisseurs de services seront beaucoup plus réticents à travailler avec les autorités. Depuis juin dernier, après y avoir longtemps réfléchi, nous travaillons à la rédaction d’un nouveau protocole pour renforcer la coopération judiciaire au niveau des preuves électroniques, mais aussi la coopération avec les fournisseurs de services informatiques, où qu’ils soient. Ce qui est difficile à négocier. Un fournisseur acceptera difficilement que les autorités d’un pays étranger viennent lui demander des informations.
Arrivera-t-on à un nouveau consensus plus ferme dans un avenir relativement proche ?
Difficile à dire. En 2013, au moment de la conférence à Vienne, les politiques étaient très conscients qu’il fallait faire quelque chose, il y avait des cyberattaques tous les jours. Mais début juin de la même année, l’affaire Snowden (2) a éclaté, le contexte international n’était alors plus du tout favorable, l’ingérence des États dans les systèmes de télécommunications était fustigée par tout le monde. Or, il y a une grande confusion entre les activités des services de renseignement et la justice pénale. La justice pénale concerne des enquêtes spécifiques suite à des actes criminels, qui est derrière cette adresse IP, etc. Il ne s’agit pas de rassembler le plus de données possibles sur une certaine partie de la population. Ce qui a été critiqué par Snowden, et à mon sens il a raison sur beaucoup d’aspects, c’est l’activité des services de renseignement. Mais pas l’ensemble des forces de l’ordre et des garants de la justice pénale. Pour revenir à votre question, la lutte contre la cybercriminalité restera soumise à ce genre de contexte international, c’est pourquoi il est difficile de percevoir un consensus sur ses attributions à court ou moyen terme.
Quelle est l’ampleur de ce que l’on appelle le « dark web », cet Internet de l’ombre qui serait notamment utilisé par les criminels et terroristes ?
Le « dark net » existe, et il permet effectivement de nombreux trafics, d’armes, de drogues, etc. On peut parfaitement y acheter n’importe quel service criminel, comme par exemple lancer une cyberattaque contre son concurrent, ou infecter via un virus un grand nombre d’ordinateurs. Il y a même des services après-vente si vous n’êtes pas satisfait. Évidemment, nous nous intéressons au « dark net », notamment quand il s’agit d’enquêter sur des produits financiers criminels qui utilisent souvent les crypto-monnaies comme le Bitcoin. Il y a d’ailleurs quelques enquêtes qui ont abouti, on a réussi à retrouver la trace d’argent sale.
Un krach financier mondial d’origine cybercriminelle est-il possible ?
Difficile de vous répondre, tout est imaginable. Mais votre question me fait plutôt penser à ces algorithmes qui produisent eux-mêmes de fausses informations, des algorithmes qui ne sont plus sous contrôle et créent des réactions en chaîne. Cela s’est déjà produit il y a quelques années, provoquant la chute de l’action en bourse d’une société. Et d’une certaine façon, c’est aussi ce qui s’est passé il y a dix ans avec la crise des subprimes. On a perdu le contrôle de réactions en chaîne. De la même manière, si on laisse des algorithmes se développer sans contrôle ou sous contrôle criminel, tout peut arriver.
Propos recueillis par Laurent Couderc (décembre 2017).
(1) La Convention sur la cybercriminalité, ou Convention de Budapest, est le premier traité international contre les crimes informatiques. Son but est d’harmoniser les lois nationales, d’améliorer les techniques d’enquête et la coopération entre les États. Aujourd’hui, 55 pays ont ratifié la Convention.
(2) Le 6 juin 2013, Edward Joseph Snowden, informaticien américain ayant travaillé pour la CIA et la National Security Agency (NSA), devient mondialement célèbre en révélant aux médias (notamment The Guardian et The Washington Post) des informations classées top secrètes de la NSA concernant plusieurs programmes de surveillance de masse américains et britanniques. Inculpé d’espionnage par les États-Unis, il vit aujourd’hui en Russie où il a obtenu le droit d’asile.