Les tiers à la transaction par Internet : le cas de la fraude

D- Les tiers à la transaction : le cas de la fraude
« Celui qui ne perd jamais de vue l’ennemi se trouve prémuni contre la nécessité de découvrir les faiblesses et les défaillances qui se manifestent dans son propre camp ».
M. Sperber
Les grands problèmes en matière de lutte contre la cybercriminalité sont l’identification de l’auteur de l’infraction, la preuve de l’élément intentionnel de celle-ci, ainsi que l’évaluation de sa portée et impact. Un autre problème est lié à la volatilité des données électroniques, qui peuvent être modifiées, déplacées ou effacées avec une grande facilité.
La cybercriminalité présente les caractéristiques suivantes :
– La virtualité des frontières permet au délinquant de s’éloigner du lieu de l’infraction. Par exemple, une personne résidant au Japon, par l’intermédiaire d’un fournisseur d’accès français, peut s’introduire dans les fichiers d’une société américaine ayant son siège à New York. Ensuite, elle vole les numéros de carte bancaire des clients et utilise la carte d’une personne résidant en Australie pour ces achats auprès d’un fournisseur de l’Afrique du Sud.
– La vitesse de transmission des informations transitant par le réseau, permet une divulgation instantanée et une utilisation exponentielle de la méthode utilisée par le délinquant. En effet, dès qu’un hacker trouve le moyen de l’introduire dans les fichiers d’un site plus ou moins connu, il communique ce moyen par Internet à toute personne intéressée. Le risque est alors majeur pour l’entreprise attaquée.
– La dématérialisation du réseau offre des possibilités d’anonymat que les personnes malveillantes peuvent exploiter. Les banques étant particulièrement visées par les cybercriminels128 ont essayé de mettre en place des systèmes de protection sûrs. En France, la réaction des professionnels de la banque se matérialise notamment par le Livre blanc de la Commission bancaire sur la sécurité des systèmes d’information et la Réglementation bancaire 97-02 relative à la sécurité des opérations, aux procédures de secours et à la conservation des fichiers. Les banques doivent déterminer le risque maximum tolérable (RMT) qui peut être supporté, lequel fondera la politique de sécurité de la banque et les moyens humains, organisationnels, techniques et juridiques adéquats.
L’identification du délinquant est possible dans la majorité des cas, parce que d’une part, chaque ordinateur est relié au réseau, identifié et localisé par l’adresse IP et le nom de domaine. D’autre part, il existe des logiciels de traçabilité qui permettent de retracer le cheminement des paquets d’information. Cependant cette identification n’est pas toujours possible, pour plusieurs raisons :
– la personne peut passer par un fournisseur d’accès étranger. Malheureusement, les fichiers des connexions sont détruits dans un délai très rapide (de l’ordre de quelques jours), par rapport aux besoins d’une enquête policière;
– il existe des moyens rendant les connexions anonymes;
– la personne peut utiliser l’IP d’un tiers, lequel ne sera même pas au cours de cette manœuvre;
– l’utilisation d’un ordinateur dans un lieu public (par exemple, dans un cybercafé) rende l’identification impossible.
1- Répression pénale du hacking.
La lutte contre la fraude à l’aide de matériel informatique préoccupe aussi bien les instances internationales que les autorités nationales. Ainsi, le 19 février dernier, la Commission européenne a lancé un plan sur trois ans visant à combattre la fraude dans les transactions transfrontalières. Ce plan concerne les fraudes et contrefaçons sur les cartes et les divers moyens de paiement autres que les espèces. Le but est d’échanger des informations au niveau européen et d’ouvrir un site pour prévenir la fraude.
En France, le Conseil d’Etat a fait une série de propositions129 dans le cadre de la lutte contre les contenus et comportements illicites sur Internet :
– clarifier les responsabilités entre les différents acteurs sur Internet;
– renforcer l’identification de ces acteurs130;
– adapter la procédure judiciaire aux nouvelles données;
– créer un pôle interministériel pour la criminalité de haute technologie;
– renforcer et simplifier la coopération internationale en matière judiciaire, et
– développer l’autorégulation.
a) Des organes policiers spécialisés
En France, le décret du 16 mai 2000 a instauré l’Office central de lutte contre la criminalité liée aux réseaux. Il s’agit d’une structure à vocation pluridisciplinaire et à compétence territoriale nationale.
D’autres organes de la police judiciaire ont compétence à agir en matière de cybercriminalité. Ainsi, la BCRCI (Brigade centrale de répression de la criminalité informatique)131 assure une triple mission :
– elle assure le soutien des services régionaux de police dans le domaine de la cybercriminalité;
– elle est en collaboration avec des organismes de lutte à caractère international, et notamment Interpol;
– elle mène ses propres enquêtes, souvent à caractère transfrontalier.
Il convient de noter, également, le SEFTI (Service des enquêtes sur les fraudes aux technologies de l’information), la DST (Direction de la surveillance du territoire), le Département informatique et électronique de l’Institut de recherche criminelle, et les services des douanes qui jouent un rôle important dans la lutte contre la criminalité informatique132.
b) Un arsenal juridique national et international
La loi n°88-19 du 5 janvier 1988, dite loi Godfrain, a introduit à la fraude informatique en droit français. Selon cette loi sont passibles de sanctions pénales pouvant atteindre 2.000.000 francs et/ou 5 ans d’emprisonnement, les auteurs des faits suivants :
– l’accès frauduleux à un système de traitement automatisé de données, qu’il en résulte ou non une suppression, modification des données ou une altération du fonctionnement,
– l’introduction de données au système,
– l’entrave au fonctionnement d’un système,
la falsification ou usage de documents informatisés.
Le nouveau code pénal a repris les prescriptions de la loi Godfrain133 en les adaptant aux nouveaux besoin résultant de l’expansion de l’utilisation d’Internet. Ainsi, l’atteinte au secret des correspondances134 est punie d’un an d’emprisonnement et de 300.000 francs d’amende135. D’autre part, l’intrusion136 dans un système informatique est prévue par l’article 323-1 al.1 C.P., selon lequel : « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 100.000 F d’amende ». Si l’intrusion a occasionné par le même fait des altérations aux données, elle est sanctionnée par l’article 323-1 al.2137. Il faut noter que l’intention de nuire n’est pas requise pour l’application de l’article 323-1 C.P. L’association de malfaiteurs en matière informatique est prévue par l’article 323-4 C.P.138. Cette incrimination vise toutes les associations de malfaiteurs, notamment celles opérant dans le domaine des fausses cartes bancaires. L’article 323-5 C.P. prévoit des peines complémentaires, comme :
– l’interdiction des droits civiques, civils et de familles pour une durée maximale de 5 ans,
– l’interdiction d’exercer une fonction publique ou d’exercer l’activité professionnel dans l’exercice de laquelle ou à l’occasion de laquelle l’infraction a été commise139, pour une durée maximale de 5 ans;
– la confiscation de la chose ayant servi pour commettre l’infraction;
– l’interdiction, pour une durée maximale de 5 ans, d’émettre des chèques.
Il faut noter que la loi française140 prévoit la responsabilité de personnes morales141. D’autres lois prévoient des sanctions spécifiques pour la falsification des cartes bancaires, et la violation du secret des correspondances et à la non-observation des prescriptions de la loi de 1978 sur les libertés informatiques142. Enfin, il est intéressant de noter que le nouveau code pénal dans son article 313-1 a prévu que l’escroquerie 143 est applicable en matière informatique. En effet, l’utilisation d’un numéro de carte bancaire volé pour payer sur Internet constitue un délit d’escroquerie.
Aux Etats Unis, plusieurs règles visent les fraudes réalisées à l’aide de l’informatique. Le Electronic Communications Privacy Act144, prévoit que la simple lecture des messages sans autorisation correcte ou leur altération est illégale. Le Computer Fraud ans Abuse Act 1986 sanctionne l’utilisation des moyens électroniques de communication pour commettre des escroqueries, ainsi que la surveillance électronique non autorisée. Ainsi, le vol des données financières confidentielles se trouve sanctionné. Cette loi a été incorporée dans l’United States Code sous les sections 1029 et 1030. Plusieurs affaires ont été déjà jugées dans le cadre de ces deux sections, et plus particulièrement sous le coup de la section 1030145. Plusieurs d’entre elles visent l’infraction de vol de numéros de carte bancaire, et notamment l’affaire U.S. v/Ivanov 146. Enfin, le California Penal Code prévoit des sanctions spécifiques liées à la cybercriminalité147
En Belgique, la loi du 28 novembre 2000 sur la criminalité informatique, comporte deux grands volets :
– la première partie introduit de nouvelles incriminations pour sanctionner les comportements illicites : le faux en informatique, la fraude informatique, l’accès non autorisé à un système informatique et le sabotage de données;
– la seconde partie introduit dans la procédure de nouveaux moyens au profit du juge d’instruction et du procureur du Roi, notamment : la saisie de données, la recherche sur les réseaux, l’obligation d’information et de collaboration, les écoutes téléphoniques et de télécommunications et l’obligation de conservation des données.
En Grèce le code pénal punit la fraude par l’intermédiaire148 et en utilisant149 un ordinateur. Les articles 370 B et 370 sanctionnent la fraude informatique de hacking.
2- Coopération policière internationale.
En matière de cybercriminalité, la coopération policière est indispensable en raison du caractère international et décentralisé des infractions. Cependant, cette coopération n’est pas toujours évidente150. Le Conseil d’Etat, dans son rapport du 2 juillet 1998 intitulé « Internet et les réseaux numériques », fait état de la nécessité de renforcer la coopération : « Dès à présent, la transmission de commissions rogatoires directement de juge à juge devrait être la règle au sein des Etats membres du Conseil de l’Europe. Il apparaît cependant que les progrès des discussions internationales sont lents et que les réticences des Etats demeurent grandes face à tout ce qu’ils identifient comme des abandons de souveraineté » (p.20).
Au niveau communautaire, la Convention du 29 mai 2000 concernant l’entraide en matière répressive, contient des dispositions sur les interceptions de télécommunications transfrontières. Mais le principal obstacle à l’entraide policière réside dans la rapidité de mise en œuvre des investigations entre les Etats membres, qui est due à la différence des systèmes juridiques et judiciaires nationaux. Dans ce cadre, et pour limiter l’étendue de ce problème, une extension du mandat d’action d’Europol à la cybercriminalité a été proposée par la France. Actuellement, la compétence d’Europol est limitée aux infractions commises à l’aide des nouvelles technologies et non pas à leur encontre.
Au niveau européen, la Convention du Conseil de l’Europe sur la cybercriminalité est très attendue, car elle définit les infractions qui devraient être reconnues par tous les Etats membres et propose des modalités de coopération sous la forme de points de contact nationaux. En effet, les rédacteurs du projet de convention sont partis du postulat que « les infractions commises dans le cyberespace le sont contre l’intégrité et la confidentialité des systèmes informatiques et des réseaux de télécommunication, à moins qu’elles ne consistent en l’utilisation de ces réseaux ou de leurs services dans le but de commettre des infractions classiques. Le caractère international des infractions en question commises au moyen de l’Internet se heurte à la territorialité des institutions nationales de répression ». Le projet de convention vise pour l’essentiel « à harmoniser les éléments des infractions ayant trait au droit pénal matériel national et des dispositions de ce droit connexe en matière de cybercriminalité, à fournir au droit pénal procédural national les pouvoirs nécessaires à l’instruction et à la poursuite d’infractions de ce type ainsi que d’autres infractions commises au moyen d’un système informatique ou dans le cadre desquelles des preuves existent sous forme électronique, et enfin à mettre en place un régime rapide et efficace de coopération internationale ». L’art.15 prévoit que les Etats signataires doivent s’assurer que leur législation nationale respecte les dispositions du Conseil de l’Europe en matière de défense de la vie privée, ainsi que celles des Nations Unies et d’autres organismes internationaux de défense des droits de l’homme. Ce texte préparé par le Comité PC-CY a été adopté par le Comité européen pour les Problèmes Criminels (CDPC) lors de sa 50e session plénière (18-22 juin 2001). Le texte sera alors présenté au Comité des Ministre pour adoption.
Lire le mémoire complet ==> (La sécurité des paiements internationaux par Internet)
Mémoire pour l’obtention de DEA
___________________________________
128 Voir Annexe V.
129 Conseil d’Etat, « Internet et les réseaux numériques », La Documentation française, 2 juillet 1998.
130 Notamment en imposant aux fournisseurs d’accès l’obligation de conserver les données de connexion pendant un an. En pratique, très souvent la durée de sauvegarde de ces données est très courte (de l’ordre de quelques jours) ce qui peut être une réelle barrière en cas d’enquête policière.
131 Elle dépend directement de la Direction centrale de la police judiciaire et elle est opérationnelle depuis septembre 1994.
132 Pour une liste complète des organes de lutte contre la cybercriminalité voir l’annexe V.
133 Livre Troisième – Titre II – -Chap. III : Des atteintes aux systèmes de traitement automatisé de données : prise en compte de la loi Godfrain. L’art.321-1 punit d’un an d’emprisonnement et de 100.000 F d’amende l’intrusion ou le maintien frauduleux dans un système de traitement automatisé de données (STAD).
134 Comme démontré infra, les messages électroniques par lesquels les cocontractants concluent une transaction par Internet, sont protégés sous la loi française par le régime de la correspondance privée.
135 Article 226-15 code pénal : « Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 300.000 francs d’amende.
Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions ».
136 « L’intrusion est le simple fait d’accéder de manière non autorisée, de pénétrer dans le système, mais également le maintien dans le système suite à cet accès. Une personne qui se serait immiscée par erreur dans un système mais s’y serait maintenue de manière consciente rentre ainsi dans le cadre de l’incrimination ». V.Sédallian, « Droit de l’Internet », collection AUI, p.152.
137 Deux ans d’emprisonnement et 200.000 F d’amende.
138 « La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs des infractions prévues par les articles 323-14 à 323-3 est punie des peines prévues pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée ».
139 Ici, l’activité professionnelle peut s’entendre de manière large. Il peut s’agir d’un salarié qui s’introduit par les réseaux internes de l’entreprise aux fichiers clients et vole les numéros de carte bancaire ou tout simplement, celui qui utilise le matériel informatique mis à sa disposition pour remplir ses fonctions professionnelles pour « casser » et pirater des sites.
140 Comme la plupart des droits étrangers occidentaux.
141 Selon l’article 131-38 C.P., les personnes morales peuvent se voir imposer une peine d’amende dont le taux maximal est égal au quintuple de celui pour les personnes physiques.
142 Voir infra.
143 Art.313-1 C.P. : « L’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. L’escroquerie est punie de cinq ans d’emprisonnement et de 2.500.000 F d’amende ».
144 18 U.S.C. §2701 (a) (1).
145 Voir Annexe V : Piratage informatique.
146 Le hacker russe est accusé de s’être introduit dans des sites de compagnies d’assurance, d’avoir volé les numéros de carte bancaire des clients et d’avoir essayé d’extorquer des fonds de ces compagnies. L’affaire est pendante devant la Cour fédérale de Santa Ana. Si l’inculpé est trouvé coupable de 15 chefs d’inculpation il pourra être condamné jusqu’à 90 ans d’emprisonnement.
147 Selon, le §502 (c) (7), est condamné d’emprisonnement celui qui a « sciemment et sans permission accédé ou permis l’accès à un ordinateur, un système informatique, ou un réseau d’ordinateurs […]. Aucune preuve de dommages ou de malveillance n’est nécessaire, bien que dans ce cas, les peines soient plus sévères. Le §502 (e) (1) prévoit des dommages et intérêts, lesquels comportent également « toute dépense raisonnablement et nécessairement faite par le propriétaire ou l’utilisateur pour vérifier qu’un système informatique, un réseau d’ordinateur, un programme d’ordinateur ou des données étaient ou n’étaient pas modifiés, endommagés ou effacés à la suite de cet accès ».
148 Art.386 C.P.
149 Art. 386 A C.P.
150 En 1995 la BCRCI (Brigade centrale de répression du crime informatique de Nanterre) a demandé à la police américaine d’identifier l’internaute qui se cachait derrière un numéro IP précis et qu’il était soupçonné d’avoir piraté le serveur de l’Inria (Institut national de recherche en informatique et en automatique). Le 15 mars 1999, Interpol Etats Unis envoie à la BCRCI un fax leur opposant une fin de non-recevoir.