Académique Documents
Professionnel Documents
Culture Documents
Membres du Jury :
Monsieur William Gilles, Directeur du master Droit du numrique Administrations Entreprises de l'cole de droit de la Sorbonne (Universit Paris 1 Panthon-Sorbonne),
Directeur de Mmoire, Prsident du Jury et Madame Myriam Qumner, Magistrat et
Directeur de Mmoire.
Le 25 juin 2012
_____________________________________
______________________________
1/95
REMERCIEMENTS
En prambule ce mmoire qui concrtise mes tudes juridiques, je souhaitais adresser mes
remerciements les plus sincres aux personnes qui mont apport leur aide et qui ont contribu
llaboration de ce travail ainsi qu la russite de cette formidable anne universitaire.
Mes premiers remerciements iront mes managers, Mesdames lisabeth Duval, Valrie
Bolle et Armelle Baron qui croient en moi depuis des annes et qui mont incit reprendre
mes tudes. Tout au long de cette anne, elles mont soutenue, coache et encourage.
Je tiens remercier Monsieur Franck Rohard Directeur Juridique du groupe SFR, ainsi que la
Direction des Ressources Humaines qui ont autoris et soutenu cette aventure.
Jexprime ma plus profonde gratitude Monsieur William Gilles et Madame Irne
Bouhadana, mes directeurs de Master qui mont permis dintgrer leur Master 2, et de
dcouvrir une nouvelle facette du Droit au travers denseignements aussi varis
quenrichissants.
Je tiens remercier sincrement Monsieur William Gilles et Madame Myriam Qumener qui,
en tant que directeurs de mmoire, se sont montrs lcoute et trs disponibles durant toute
la ralisation de mon mmoire.
Mes remerciements sadressent galement mes collgues de la Direction Juridique
Contentieux de SFR, aux managers de la Direction Juridique qui mont relue, Monsieur
Nicolas Hell, directeur des obligations lgales de SFR, que jai pu interviewer, sans oublier,
de nombreux collgues au sein des diverses directions de SFR pour leur comprhension et
leurs nombreux encouragements.
Je tiens remercier tout particulirement mon amie Lucie Miguel qui ma aid pour la mise
en forme de mon mmoire.
Enfin, jadresse mes plus sincres remerciements et ma profonde gratitude mes enfants, mon
conjoint, mes parents, ma famille et plus particulirement ma tante Odile Viney, tous mes
proches et amis, qui ont su me rassurer dans les moments de doute, me soulager au quotidien,
et me soutenir au cours de cette anne universitaire et dans la ralisation de mon mmoire.
______________________________
2/95
SOMMAIRE
REMERCIEMENTS
SOMMAIRE
INDEX
INTRODUCTION
PARTIE I : UNE CYBERCRIMINALIT IDENTIFIE PAR LES OPRATEURS DE
COMMUNICATIONS LECTRONIQUES
CHAPITRE 1 : DES MENACES CYBERCRIMINELLES INTERNES AUX ENTREPRISES DE COMMUNICATIONS
LECTRONIQUES
______________________________
3/95
INDEX
A
Abonns, 14, 29, 32, 35, 36, 72, 85
Abus de confiance, 9, 20, 23, 24, 35, 38, 40, 43, 47, 56, 57, 60, 66, 71, 73, 76, 104
Attaque, 10, 13, 14, 15, 19, 23, 31, 43, 44, 45, 46, 63, 72, 76, 103
Atteinte, 9, 14, 16, 19, 21, 22, 23, 24, 26, 35, 46, 47, 52, 61, 63, 103
B
Blocage, 48, 50, 55, 57, 58, 60, 61, 79, 84, 104
C
Clients, 7, 8, 11, 12, 14, 17, 29, 32, 35, 36, 48, 51, 55, 56, 57, 63, 72
Communications lectroniques, 7, 10, 11, 12, 13, 19, 21, 27, 29, 31, 36, 38, 48, 49, 50, 51, 57,
62, 70, 71, 72, 73, 74, 81, 82, 105
Contrefaon, 9, 35, 69, 70, 83
Convention, 38, 39, 40, 41, 44, 74
Courriel, 32, 33, 50, 57
Criminalit, 8, 9, 10, 11, 12, 13, 38, 40, 41, 42, 46, 47, 48, 60, 64, 66, 68, 73, 74, 75, 77, 82,
100
Cybercriminalit, 1, 8, 9, 10, 11, 12, 13, 28, 30, 31, 36, 38, 39, 40, 41, 42, 44, 45, 46,
47, 48, 51, 55, 63, 65, 69, 70, 71, 72, 73, 74, 75, 76, 77, 100, 103
Cybercriminel, 8, 9, 10, 23, 27, 41, 63, 72, 73, 75
Cyberespace, 10, 76, 103
D
Dlinquance, 8, 9, 10, 11, 13, 14, 38, 39, 46, 48, 100, 103
Directive, 38, 39, 42, 43, 45, 46, 51, 60, 62, 63, 103, 105
Donnes personnelles, 9, 13, 14, 16, 17, 19, 21, 22, 23, 24, 25, 26, 29, 32, 33, 34, 35, 42, 44,
45, 46, 47, 49, 51, 52, 53, 56, 57, 61, 63, 64, 65, 69, 71, 72, 79, 80, 81, 82, 101, 103, 104
E
Escroquerie, 24, 35, 63, 70, 79
______________________________
4/95
F
Filtrage, 57, 61, 62, 79, 104
Fraude, 9, 17, 29, 31, 33, 35, 36, 41, 47, 53, 55, 56, 57, 63, 70, 74, 76, 83, 105
I
Infraction, 8, 9, 11, 14, 15, 19, 21, 24, 29, 30, 36, 39, 40, 41, 43, 44, 45, 46, 47, 49, 51, 53, 58,
59, 61, 64, 68, 75, 81, 103
Internautes, 7, 14, 22, 34, 56, 57, 61, 77, 79, 83, 104, 105
Internet, 7, 8, 9, 10, 11, 15, 17, 19, 22, 23, 24, 27, 31, 34, 39, 40, 42, 46, 48, 49, 50, 56, 58,
60, 61, 62, 64, 66, 72, 73, 76, 77, 79, 81, 82, 83, 100, 103, 104, 105, 106
L
Le monde des tlcoms, 1, 9, 12, 22, 24, 32, 35, 40, 49, 63, 64, 72, 75, 77, 103
Loi, 19, 20, 23, 24, 29, 38, 43, 47, 48, 49, 50, 51, 52, 53, 58, 60, 61, 66, 71, 81, 82, 83, 92,
104
M
Menace, 10, 12, 13, 22, 23, 26, 27, 42, 53, 56, 63, 65, 72, 76
N
Nouvelles technologies, 8, 9, 11, 12, 13, 32, 38, 43, 46, 48, 62, 64, 68, 69, 73, 77, 80, 101
NTIC, 9
O
Oprateur, 7, 10, 11, 12, 13, 29, 31, 32, 33, 35, 36, 38, 45, 48, 50, 51, 52, 55, 56, 57, 58, 63,
70, 71, 72, 73, 74, 79, 80, 82, 84, 92, 105
Ordonnance, 20, 51, 52, 84, 105
P
Prjudice, 9, 21, 36, 45, 70, 74
Protection incrimination, 15, 17, 19, 23, 39, 40, 42, 43, 45, 49, 52, 53, 58, 61, 66, 72, 76, 82,
83, 104
R
Rglement, 105
______________________________
5/95
______________________________
6/95
INTRODUCTION
La numrisation de la socit dans laquelle nous voluons bouleverse notre quotidien, elle
touche tous les secteurs dactivits et cre ainsi un foisonnement de nouveaux usages.
Demain, tous les objets lectroniques du quotidien seront connects au rseau quils
sagissent des systmes mobiles ou des accessoires domestiques.
Au cur de cette volution se place le secteur des tlcommunications.
Daprs lAutorit de Rgulation des Communications lectroniques et des Postes
(LARCEP) qui a publi le 2 fvrier 2012 son observatoire trimestriel des communications
lectroniques en France pour les mobiles1, la fin de lanne 2011 il y avait 68,5 millions de
clients de tlphonie mobile (soit plus que dhabitants en France, le nombre tant de 65,3
millions dhabitants), et sur lanne 2011 les franais ont envoy 147 milliards de sms.
Toujours, selon ce mme observatoire, le nombre dabonnements un service de tlphonie
fixe tait de 39,9 millions.
En tant que leader de la mesure daudience dinternet, Comscore, entreprise internationale
dtude de march, a dvoil en juin une analyse tablissant que la France comptait
42 millions dinternautes, et ainsi quelle tait lun des premiers pays en Europe en nombre
dinternautes derrire lAllemagne et la Fdration de Russie2.
Par ailleurs, lobservatoire des marchs des communications lectroniques estime que le
revenu total des oprateurs de communications lectroniques sur les marchs de gros et de
dtail slve 13,2 milliards deuros au quatrime trimestre 20113.
Dans ce contexte les oprateurs de communications lectroniques4 se sont fixs comme
ambition daccompagner chaque client et chaque entreprise pour leur prodiguer le meilleur du
numrique. Ainsi, les offres de service en matire de tlcommunications se sont
1
7/95
Les infractions lies aux formes de criminalit traditionnelles (qui ont pu voluer
avec les technologies de linformation et de la communication (NTIC) telles que la
fraude en ligne, les escroqueries, la contrefaon)
Dfinition de la Cybercriminalit qui a t donne lors dun colloque qui a eu lieu Libreville au GABON le
30novembre 2011. infosgabon.com/? p=13956
6
Script kiddie ou encore lamer est un terme pjoratif d'origine anglo-saxonne dsignant les nophytes qui,
dpourvus des principales comptences en matire de gestion de la scurit informatique, passent l'essentiel de
leur temps essayer d'infiltrer des systmes, en utilisant des scripts ou programmes mis au point par d'autres. On
pourrait traduire l'expression par Gamin utilisateur de scripts, mais le terme script kiddie est le seul
couramment utilis (searchmidmarketsecurity.techtarget.com/definition/).
7
www.inhesj.fr/.../Cybercriminalite/081%20C6%20Quemener%20CR page 815.... [Consult le 23 mai 2012]
8
www.inhesj.fr/.../ondrp/rapport.../ra2011/synthese_rapport_2011.pdf[Consult le 13 mai 2012]
______________________________
8/95
INHESJ/ONDRP-Rapport 2011
europa.eu ... Lutte contre la criminalit organise
11
www.01net.com Actualits Scurit[Consult le 3 mai 2012]
______________________________
10
9/95
A contrario, les moyens dinvestigation et la lgislation en place dans nos socits restent trs
attachs la territorialit. Les organisations criminelles et les fraudeurs ont donc rapidement
pris en compte les facteurs dimpunit associs ces distorsions, notamment, avec le
problme des commissions rogatoires ltranger. En effet, en cas dexistence dun accord
bilatral entre les pays concerns (ex: la France avec les USA) une dfense est possible, en
revanche des difficults importantes surgissent en cas dabsence daccord entre les tats
concerns (ex: la Chine avec la France). La cybercriminalit se protge galement derrire la
fugacit de ses actions: actes dlictueux rapidement commis, lments de preuve non
prennes localiss ltranger.
Depuis ces 5 dernires annes il y a de plus en plus dattaques par voie lectronique. Il sagit
dune nouvelle forme de criminalit et de dlinquance qui se distingue des formes
traditionnelles en ce quelle se situe dans un espace virtuel que lon dnomme cyberespace.
Le cyberespace est quant lui devenu un champ criminogne dautant plus en expansion que
les supports informatiques se diversifient en devenant de plus en plus mobiles, et quils
deviennent encore plus interactifs avec les rseaux sociaux.
Jusque-l les sites franais taient protgs du fait de la langue franaise qui constituait une
barrire, la langue anglaise tant plus rpandue et sa grammaire plus facile. Mais, aujourdhui
les cybercriminels recrutent des spcialistes de la langue franaise, et les faux sites sont plus
vrais que nature.
A la confluence de ces transformations et au regard des rcentes volutions technologiques
qui ont conduit, dans un contexte de convergence, tant l'mergence de nouveaux acteurs que
de services de communication de plus en plus riches via l'internet et l'utilisation des rseaux
IP, les oprateurs de communications lectroniques sont particulirement touchs par la
cybercriminalit.
Ils vivent la fois un durcissement de la menace, mais aussi un accroissement des impacts
potentiels. Ainsi, leur mobilisation dans la lutte contre la cybercriminalit devient de ce fait
incontournable, quil sagisse de protger leurs propres actifs et activits commerciales ou
encore la vie prive de leurs clients, car ils interviennent en tant que dpositaire
dinformations.
Cette orientation des divers oprateurs de communications lectroniques fait cho aux
proccupations tatiques visant organiser une lutte efficace contre lensemble des infractions
______________________________
10/95
13
Global Economic
Crime Survey 2011 met en lumire que la cybercriminalit prend une place significative
dans le classement des principaux types de criminalit conomique.
Sappuyant sur des infrastructures et des services toujours plus interconnects et faisant
largement appel de nouvelles gnrations de technologies mergentes (rseaux intelligents,
Smartphones, tout IP ), le paysage technique mis en uvre par loprateur se banalise
galement et converge vers les standards de linformatique. Les barrires de la spcificit et
de la spcialisation tombent progressivement, lacte frauduleux devient accessible un plus
grand nombre.
Les oprateurs de communications lectroniques vivent la fois un durcissement de la
menace, mais aussi un accroissement des impacts potentiels. Cest pourquoi il paraissait
opportun de faire un focus sur ce que reprsente la cybercriminalit dans le monde des
tlcoms.
Ainsi, dans un premier temps, seront prsentes les principales tentatives de fraudes, et les
fraudes dont les oprateurs, leurs clients ou les cybers acteurs sont menacs et/ou victimes
(Partie I).
Puis dans un second temps, seront dtaills les moyens utiliss et dploys par les oprateurs
de communications lectroniques pour combattre la cybercriminalit, soit les outils de lutte
existants mais galement les solutions envisageables, la lutte contre ces nouvelles formes de
criminalit tant au cur des proccupations des oprateurs de communications lectroniques
(Partie II).
12
______________________________
11/95
PARTIE I :
UNE CYBERCRIMINALIT IDENTIFIE PAR LES
OPRATEURS DE COMMUNICATIONS LECTRONIQUES
http://www.pwc.lu/en/fraud-prevention-detection/2011-global-economic-crime-survey.jhtml[Consult le 23
avril 2012]
______________________________
12/95
spear phishing 15 trouvent leurs informations sur ces mmes rseaux sociaux.
Par ailleurs, cette frontire interne-externe est de moins en moins claire. Les employs
sont, en effet, de plus en plus nomades et utilisent des applications mobiles et parfois des
outils personnels (concepts de bring your own 16) quil faut dsormais intgrer dans la
stratgie de scurit. Les fournisseurs et clients, pour leur part, interagissent avec lentreprise
qui est de manire accrue au cur des systmes et processus. Trs souvent, ce sont des
employs, des salaris qui, pour des raisons diverses et trs varies, portent atteinte aux
systmes dinformation de leurs employeurs ou de leurs ex-employeurs.
Un grand nombre de ces attaques consistent en des atteintes aux systmes dinformation.
des
abonns)
ou
de
maintiens
frauduleux
dans
un
STAD
(prolongation indue de laccdant au-del du temps autoris, intervention dans le systme afin
de visualiser ou raliser une ou plusieurs oprations). En outre, il faut prciser, toujours
selon ce rapport, que plus du tiers de ces atteintes est constitu par des accs avec altration
du fonctionnement, des modifications voire des suppressions de donnes. Le fait daccder
ou de se maintenir, frauduleusement, dans tout ou partie dun systme automatise de
donnes (S.T.A.D), est une infraction prvue par larticle 323-1, al 1 du Code Pnal. Elle
vise tous les modes de pntration irrguliers d'un systme de traitement automatis de
donnes, que l'accdant travaille dj sur la machine mais sur un systme, qu'il procde
15
Hameonnage qui, l'aide de courriels trompeurs et personnaliss, cible de faon plus prcise un groupe
d'internautes donn, souvent les employs d'une grande socit ou d'un organisme gouvernemental, afin de leur
soutirer des renseignements confidentiels permettant ensuite de pntrer les systmes informatiques.
www.oqlf.gouv.qc.ca/ressources/bibliotheque/.../8349460.html[Consult le 17 mai 2012]
16
Pas encore connue de tous, une nouvelle tendance se dessine au sein mme des entreprises, le Bring Your Own
Device.(le BYOD), cest la fusion des tlphones personnel et professionnel, ou comment se servir de son propre
terminal pour un usage dentreprise (www.solucominsight.fr/.../bring-your-own-device-quelle-frontiere-e...
[Consult le 5 mai 2012]).
______________________________
13/95
1.1.
Le caractre protg ou non du S.T.A.D nest pas une condition requise la qualification de
linfraction selon larticle 323-1 du Code Pnal, toutefois il facilitera la dmonstration du
caractre frauduleux de la pntration. La preuve de laccs frauduleux pourra, par
exemple, rsulter du contournement ou de la violation du systme de scurit mis en place par
lentreprise afin dviter ce genre dattaques. En revanche, la preuve du caractre frauduleux
de laccs ne sera pas rapporte dans le cas o lutilisateur est en situation normale, soit, sil a
procd une consultation dinformations rendues accessibles au public. Cette position a
dailleurs t confirme par la jurisprudence.
En effet, dans un arrt du 30 octobre 2002, la Cour dappel de Paris a considr, quil ne
peut tre reproch un internaute daccder aux donnes ou de se maintenir dans les parties
des sites qui peuvent tre atteintes par la simple utilisation dun logiciel grand public de
17
______________________________
14/95
navigation, ces parties de site, qui ne font par dfinition lobjet daucune protection de la part
de lexploitant du site ou de son prestataire de services, devant tre rputes non
confidentielles dfaut de toute indication contraire et de tout obstacle laccs20.. La Cour
d'appel a ainsi infirm le jugement de premire instance, prcisant les lments constitutifs du
dlit d'accs et de maintien frauduleux dans un systme de traitement automatis de donnes.
Linternaute ne peut donc tre condamn sur ce fondement lorsque l'accs et le maintien dans
le systme de traitement automatis tait possible en accdant sur le site internet de la socit
l'aide d'un simple logiciel de navigation grand public et ce, mme si les donnes auxquelles
il a ainsi pu avoir accs sont des donnes nominatives des clients de la socit. Ainsi, les
juges nont pas souhait sanctionner laccdant de bonne foi, qui daprs eux, navait pas
accd au S.T.A.D de manire frauduleuse. De mme, les juridictions considrent que dans
certains cas, laccs nest que le rsultat dune erreur: Le fait pour un centre serveur de
sapproprier un code daccs du kiosque tlmatique et dy hberger un code clandestin nest
pas constitutif des dlits daccs, de maintien dans un systme dinformation de donnes
informatises et dentrave. Cet accs a pu tre le rsultat dune erreur de manipulation sur les
fichiers. Par consquent, laction est dpourvue de caractre intentionnel21. Toutefois, dans
un arrt rendu par la Cour dappel de Paris le 9 septembre 200922, il a t jug que laccession
ou le maintien frauduleux dans un S.T.A.D pouvait constituer un trouble manifestement
illicite. A ceci prs que, dans le cas despce, laccs aux donnes ntait pas limit par un
dispositif de protection mais par le fait que le responsable du systme avait manifest son
intention den restreindre laccs aux seules personnes autorises.
1.2.
20
15/95
23
maintien dans un systme de la part de celui qui y serait entr par inadvertance, ou de la part
de celui qui, y ayant rgulirement pntr, se serait maintenu frauduleusement . Par
consquent, peu importe la mthode utilise pour pntrer le serveur. Ce qui compte, cest
que le maintien existe et quil soit frauduleux, ce qui suppose la conscience pour les
contrevenants de lirrgularit de leurs actes. Cependant, pour que soit dmontr ce maintien,
il faut encore dfinir les contours de cette notion. Ainsi, le mme Tribunal de Grande instance
de Paris, dans un jugement du 15 dcembre 199924 a dfini la notion de maintien comme
laction de faire durer .
1.3.
Selon larticle 323-2 du Code pnal est constitutif dune infraction : Le fait dentraver ou de
fausser le fonctionnement dun systme de traitement automatis de donnes. Ainsi la
destruction de fichiers, de programmes, de sauvegardes, le flaming qui est une technique
consistant se livrer des attaques via lInternet en ayant la volont de perturber le systme
dinformation de son interlocuteur et de susciter un encombrement de sa capacit mmoire,
sont autant dactes dentraves constitutifs de cette infraction. On mentionnera plus
particulirement lincrimination dentrave dun systme de traitement automatis de donnes
par saturation. Il sagira par exemple de lentrave au fonctionnement du systme par lenvoi
massif de messages lectroniques ayant pour consquence de saturer la bande passante et les
boites de rception de tous les salaris. Toutes formes dactivit tant en consquence
23
24
16/95
paralyses. A ce titre, nous citerons une affaire de fvrier 2000 25au cours de laquelle des sites
Internet comme <Yahoo!>, <eBay>, <Amazon.com>, <Buy.com>, ou encore <CNN.com>,
ont t pris dassaut. Ces attaques qualifies de dni de service ou denial of service, se
sont traduits par une saturation du site le rendant de ce fait inaccessible en submergeant de
connexions le serveur qui lhbergeait. Concernant la clbre affaire Yahoo, qui opposait
plusieurs associations antiracistes, dont la Ligue Contre Le Racisme et l'Antismitisme
(Licra), aux socits Yahoo! Inc. et Yahoo France, s'est conclue en France le 20 novembre
2000 par une ordonnance de rfr 26rendue par Monsieur Gomez Premier Vice-prsident du
Tribunal de grande instance de Paris. Celle-ci ordonnait l'entreprise amricaine de :
"prendre toutes les mesures de nature dissuader et rendre impossible toute consultation
sur Yahoo.com du service de ventes aux enchres d'objets nazis et de tout autre site ou service
qui constituent une apologie du nazisme ou une contestation des crimes nazis. "L'ordonnance
a t rendue sur la base d'un rapport portant sur les possibilits techniques de filtrer l'accs au
contenu litigieux pour le public franais. Ce document qui a t rdig par trois experts
techniques, Franois Wallon, Vinton Cerf et Ben Laurie, voquait plusieurs mesures
d'identification de la nationalit des visiteurs dont le taux d'efficacit pouvait varier entre 70 et
90%27. Cependant, un an plus tard, dans son jugement dclaratoire du 7 novembre 200128, le
juge californien a pris le contre- pied de cette dcision en lui dniant toute autorit sur le sol
amricain. En effet, le juge amricain a considr que la dcision franaise tait incompatible
avec le premier amendement de la constitution des tats -Unis qui garantit la libert
dexpression29, ce dernier la donc dclare inapplicable sur le territoire amricain. Dans un
autre registre, la jurisprudence a reconnu que devait tre condamn pour altration au
fonctionnement d'un systme de traitement automatis de donnes suite un accs
frauduleux, le salari qui, depuis son nouveau travail et l'aide du matriel mis sa
disposition, a intentionnellement satur la bande passante de son ex-employeur en lui
envoyant une grande quantit de courriers lectroniques et de gros fichiers dans l'intention de
25
17/95
lui causer un prjudice commercial; par ailleurs, bien que les actes frauduleux commis par le
prvenu l'ont t sur son lieu de travail et au moyen du micro-ordinateur fourni par son
employeur, celui-ci doit tre mis hors de cause ds lors que le salari a agi l'insu de son
employeur, et que les actes qu'il a commis sont, sans contestation possible, trangers au
primtre de la mission confie30. La qualification dentrave est galement retenue et
sanctionne en prsence dun virus ou dune bombe logique dont lobjet est de bloquer ou de
fausser le fonctionnement du S.T.A.D. En effet, un virus, mme sil se rvle peu nocif, peut
provoquer un prjudice dans la mesure o il occupe une partie de la mmoire du systme et de
ce fait ralentit le fonctionnement de lordinateur. Toutefois, en raison du caractre large des
termes utiliss, dans un but de qualification de linfraction dentrave, certains agissements
doivent tre carts, notamment, les entraves rsultants dune grve, celles engendres par une
suspension de fourniture de service ou enfin celles constitues par la rupture dun contrat de
fourniture de prestations de services informatiques.
TGI Lyon, 20 fvr. 2001: Gaz. Pal. 2001. 2. Sommaire. 1686, note A. Blanchot
______________________________
18/95
Les virus et les vers sont les deux exemples de logiciels malveillants les plus connus, mais il
en existe beaucoup dautres comme les chevaux de Troie, qui prtendent tre lgitimes, mais
comportent des petits programmes nuisibles excuts sans l'autorisation de l'utilisateur. On
trouve galement les portes drobes qui sont des chevaux de Troie particuliers qui
prennent le contrle de l'ordinateur et permettent quelqu'un de l'extrieur de le contrler par
le biais d'Internet. Enfin, on citera les publiciels (adwares), logiciels gratuits, qui affichent,
pendant leur utilisation, des bannires de publicit. Comme le souligne Madame Christiane
FralSchuhl, Btonnier, les virus constitueraient les atteintes les plus usuelles , ils
prsenteraient donc une importante menace pour les internautes. Ils auraient, en effet, pour
consquence de modifier ou de supprimer des donnes et ainsi de fausser le fonctionnement
du systme. Toutefois, il nexiste aucune dfinition universellement accepte du terme virus
informatique. Les vers, quant eux, se rpandent automatiquement dans le courrier
lectronique en profitant des failles des diffrents logiciels de messagerie, ds qu'ils ont
infect un ordinateur, ils se propagent vers les adresses contenues dans tout le carnet
d'adresses. Par ailleurs, si certains de ces virus sont inoffensifs ou uniquement perturbateurs,
dautres gnrent des dysfonctionnements fatals pour le systme infect.
Cest la mise en rseau des systmes qui a permis lexplosion des menaces virales, ainsi, la
connexion Internet suscite un risque important de contamination des systmes. Ce fut
notamment le cas pour le ver I love You qui a connu un retentissement international. Ce
virus tirait son nom de la pice jointe au courrier lectronique qui le transportait, nomm
Love-Letter-for-you.txt.vbs.Il se faisait passer pour une lettre d'amour, notamment grce
l'icne des fichiers de son type rappelant celui d'une lettre.
Il s'est rpandu en quatre jours sur plus de 3,1 millions de machines dans le monde. Les
Amricains ont estim la perte 7 milliards de dollars pour les tats-Unis.
Diverses mesures de scurit ont t depuis prises par de nombreuses entreprises afin de
limiter laccs leurs donnes sensibles ou leurs postes informatiques accessibles en rseau,
ces derniers tant plus facilement exposs aux attaques extrieures. Mais dans tous les cas de
figure, constituera une obligation, dmonstration dune atteinte volontaire.
Aujourdhui on constate une prolifration inquitante des outils malveillants que lon peut
regrouper sous lappellation darmes des cyber- attaquants. En effet, la 17me dition du
rapport Symantec Internet Security Threat Report, qui a t publi le 3 mai dernier, rvle,
______________________________
19/95
cette anne, une baisse du nombre des vulnrabilits de -20%, et paralllement une monte en
flche des attaques malveillantes hauteur de +81%. En outre, celui-ci souligne que les
attaques sont cibles, et quelles stendent aux entreprises de toutes tailles et tous les
salaris. Ce rapport, fait galement le constat de laugmentation des failles de scurit, qui se
dfinissent comme tant une faiblesse du logiciel permettant l'excution d'activits
malveillantes au sein du systme d'exploitation . Enfin, il met en exergue que les
cybercriminels se concentrent sur les menaces mobiles.
Il est opportun de prciser que sur Internet, les virus se transmettent plus rapidement et en
plus grande quantit. De plus, la dcentralisation du rseau et son relatif anonymat permettent
une diffusion plus sournoise rendant pratiquement impossible lidentification de lauteur de
lattaque. De ce fait, les victimes de virus ne parviennent pas tre indemnises, linstigateur
du dommage tant introuvable et la responsabilit du FAI ne pouvant tre engage, ce dernier
tant tranger linstallation du virus sur le PC.
2.1.
La cryptologie
La cryptographie est la seule technique efficace disponible pour protger une information
numrique en confidentialit et en intgrit. Elle est la seule discipline qui inclue les
principes, moyens et mthodes de transformation des donnes, et ce, dans le but de cacher
leur contenu, voire dempcher que leur modification ne passe inaperue, et/ou de bloquer
leur utilisation non autorise. Dune part, la loi sanctionne toute personne physique ou morale
qui naurait pas respect les dispositions portant sur les rgles de mise en uvre,
dacquisition, et de mise disposition de moyens de cryptologie. Larticle 35 de la loi du 21
juin 2004 pour la confiance en lconomique numrique plus connue sous lacronyme LCEN,
prvoit des sanctions pnales spcifiques en cas de non respect des obligations de dclaration
poses par la loi, en cas dexportation de moyens de cryptologie sans lobtention
dautorisation lorsque celle-ci est exige, ou en cas de vente ou de location de moyens de
cryptologie ayant fait lobjet dune interdiction administrative de mise en circulation. Dautre
______________________________
20/95
part, larticle 132-79 du Code Pnal prvoit une aggravation des peines pour les crimes et
dlits pour lesquels un moyen de cryptologie a t utilis31.
2.2.
Les donnes partages dans le monde des octets permettent de crer des identits
numriques susceptibles, par essence et au mme titre que nos identits relles, dtre
usurpes, notamment par le hameonnage (phishing). Devant le recrudescence des pratiques
consistant semparer dun mot de passe, dun nom de compte informatique, dune adresse IP
dans le but de prendre et utiliser le nom dun tiers pour son propre compte, a t institue
linfraction dusurpation didentit numrique relative lattribution et la gestion des noms
de domaine de lInternet avec le dcret n 2007-162 du 6 fvrier 2007. Jusquen 2011,
lusurpation didentit numrique tait sanctionne par des textes vocation gnrale
(escroquerie, abus de confiance, etc.) qui ne permettaient pas de prendre en compte toutes les
situations. Mais, cette infraction sest vue gnralise avec la cration du nouveau dlit
dusurpation didentit par la loi n2011-267 du 14 mars 2011 d'orientation et de
programmation pour la performance de la scurit intrieure, dite LOPPSI 2. Ce texte a cr
un nouvel article dans le code pnal, au chapitre "Des atteintes la personnalit", Section 1
"De l'atteinte la vie prive" : Article 226-4-1 : "Le fait d'usurper l'identit d'un tiers ou de
faire usage d'une ou plusieurs donnes de toute nature permettant de l'identifier en vue de
troubler sa tranquillit ou celle d'autrui, ou de porter atteinte son honneur ou sa
considration, est puni d'un an d'emprisonnement et de 15 000 d'amende .
Il sagissait pour le lgislateur de combler un vide juridique en permettant de sanctionner
lusage malveillant dlments didentit dun tiers sur un rseau de communication au public
en ligne. Il faut rappeler que cette infraction est punie des mmes peines qu'elle soit commise
sur un rseau de communication au public en ligne ou non. Ce nouveau dlit se caractrise par
deux lments indissociables.
-
Dune part, un lment matriel, qui rside dans le fait pour un cyberdlinquant
dusurper lidentit dun tiers ou de faire usage dune ou plusieurs donnes de toute
nature permettant de lidentifier sur un rseau de communication au public en ligne, et
31
21/95
qui vise directement et prcisment les outils participatifs du web 2.0, lie les rseaux
de communication au public en ligne.
-
Dautre part, un lment intentionnel. Cet lment intentionnel caractris par exemple
par lintention de troubler la tranquillit, porter atteinte lhonneur ou la
considration nest cependant pas ais dmontrer.
Sil ne faut pas sous-estimer la menace interne, il ne faut toutefois pas ngliger la menace
extrieure lentreprise.
______________________________
22/95
PARTIE I :
UNE CYBERCRIMINALIT IDENTIFIE PAR LES
OPRATEURS DE COMMUNICATIONS LECTRONIQUES
Chapitre II : Des menaces cybercriminelles externes aux entreprises de
communications lectroniques
La convergence des rseaux de tlcommunications, de lInternet (prenant appui sur la
communication IP (Internet protocole) et lingnierie informatique) est exploite par les
cybercriminels afin de commettre leurs actes dlictueux. Le dveloppement de leurs activits
se concentre notamment autour de trois familles de fraudes: les fraudes historiques ou
indmodables (section 1), les fraudes actuelles (section 2) et les fraudes complexes (section
3).Seules les fraudes les plus significatives seront envisages dans cette tude.
Dveloppement des nouvelles
Fraudes
Les Fraudes historiques
Phreaking
Hacking
Rseaux convergence
(Protocole IP)
23/95
32
Ainsi, sur le fondement de larticle 226-15 du Code pnal: Est puni d'un an d'emprisonnement et de 45.000
euros d'amende le fait d'intercepter, de dtourner, d'utiliser ou de divulguer des correspondances mises,
transmises ou reues par la voie des tlcommunications ou de procder l'installation d'appareils conus pour
raliser de telles interceptions
Lorsquun acte de phreaking est commis sur un rseau sans fil, le Code pnal vient encore spcifiquement
sanctionner le fait de perturber ou brouiller une installation radiolectrique, ou d'utiliser une frquence, un
quipement ou une installation radiolectrique dans des conditions non conformes.
______________________________
24/95
2. Le Hacking
Le hacking regroupe un ensemble de techniques exploitant des failles et vulnrabilits d'un
lment ou d'un groupe d'lments dun systme dinformation.
Le hacking n'a pas ncessairement une connotation malveillante. Cependant, lorsqu'il est
utilis avec un objectif de piratage, il correspond l'utilisation de connaissances
informatiques des fins illgales. Sur le plan rpressif, le hacking, quil soit malveillant ou
non, pourra tre apprhend au travers de larticle 323-1 du Code pnal qui sanctionne le fait
d'accder ou de se maintenir, frauduleusement, dans tout ou partie d'un systme de traitement
automatis ou encore le fait d'entraver ou de fausser le fonctionnement d'un systme de
traitement automatis. Ces agissements sont susceptibles dtre punis par une peine de 2 ans
demprisonnement et 30.000 damende, peines qui peuvent tre portes jusqu 5 ans
d'emprisonnement et de 75.000 euros d'amende dans certains cas33. On notera enfin que le
fait, sans motif lgitime, d'importer, de dtenir, d'offrir, de cder ou de mettre disposition un
quipement, un instrument, un programme informatique ou toute donne conus ou
spcialement adapts pour commettre une ou plusieurs des infractions prvues par les articles
33
25/95
323-1 323-3 du Code pnal est puni des peines prvues respectivement pour l'infraction ellemme ou pour l'infraction la plus svrement rprime34.
Exemple de hacking permettant une fraude au Phreaking : le Piratage dIPBX
bnfices de la fraude.
34
26/95
Les victimes directes du hacking sont les abonns et clients de loprateur, qui se voient
pirater leurs box, installations informatiques et tlphoniques dentreprises. Loprateur est
une victime indirecte, dans la mesure o le hacking de ses abonns et clients permet aux
fraudeurs de commettre, par ricochet, dautres agissements prjudiciables (par exemple, le
phreaking).
Ces fraudes sont encore bien prsentes dans le monde des tlcommunications.
1. Le spamming
Le spamming est lenvoi d'un mme message lectronique non-sollicit un trs grand
nombre de destinataires au risque de les importuner 35 Si les fraudes via des spams par
courriels sont largement connues et souvent associes dautres techniques de fraudes types
phishing, de nouvelles modalits de fraudes via le spam se dploient (le SPAM SMS et le
SPAM VOCAL). Sur le plan rpressif, lacte de spamming, qui aura pour consquence de
saturer un serveur de mail, pourra notamment tre qualifi comme le fait d'entraver ou de
fausser le fonctionnement d'un systme de traitement automatis de donnes. A ce titre, il
pourra tre puni de 5 ans d'emprisonnement et de 75.000 euros d'amende. En outre, le
spamming, pour tre ralis, ncessite la collecte frauduleuse des donnes caractre
personnel des destinataires: adresses mails, numro de tlphone fixe ou mobile. Une telle
pratique est sanctionne par larticle 226-18 du Code pnal par 5 ans de prison et 300.000
damende. Les victimes directes du spamming sont les abonns et clients de loprateur, qui
se voient importuns ou escroqus. Loprateur est une victime indirecte, subissant des effets
ponctuels de saturation et de dtournement de ses ressources techniques.
1.1.
Le spam courriel
Le courriel (e-mail) est le support le plus ancien et le plus dvelopp du spam. Le spam
courriel est principalement utilis des fins publicitaires, dhameonnage ou de propagation
35
27/95
de virus. Plus prcisment, le spam est une pratique consistant envoyer en masse des e-mails
publicitaires des personnes ne souhaitant pas les recevoir. Ces e-mails font frquemment la
promotion illicite de produits pharmaceutiques, de sites pornographiques ou de sites de
jeux.
1.2.
Le Spam SMS
Le spammeur envoie un message SMS non-sollicit qui invite appeler un numro surtax
(08ab) ou renvoyer un SMS surtax (SMS+). En raction aux actions de prvention et de
rpression systmatiques de loprateur, les spammeurs indlicats ont fait voluer les spams
en masquant les numros rappeler derrire des adresses URL et en envoyant des messages
trompeurs (proches des messages oprateur ou autres acteurs). Le spamming pourra ainsi tre
assimil une entrave ou au fait de fausser le fonctionnement d'un systme de traitement
automatis de donnes.
A titre dexemple, des utilisateurs peuvent recevoir sur leur mobile le spam suivant:
Rpondeur MMS: (1) nouveau message vido; a 15:37.\nCsqdq cliquez sur le lien pour
dclencher sa lecture: http://video-sms.com/5/632323224 \nAcces Gratuit.
1.3.
Le Spam vocal
Le spam vocal (ou ping call ) consiste appeler un numro fixe ou mobile depuis un
numro surtax et raccrocher au bout dune ou deux sonneries, avant que l'appel n'ait eu le
temps de dcrocher. Lorsque lappelant rappelle le numro indiqu, qui se trouve tre un
numro surtax, il est alors factur d'un cot forfaitaire par appel et dun cot en fonction de
la dure de l'appel, sans contrepartie dun service. Le spam vocal est une pratique frauduleuse
en pleine volution, qui impose une veille active par les services de loprateur. Eu gard
son trs faible cot, le spam peut tre utilis des fins commerciales (publicit) mais
galement dans le cadre descroqueries ncessitant la collecte de donnes personnelles pour
usurper lidentit de linternaute vis (phishing). En 2010, la CNIL a reu 600 plaintes
relatives la prospection commerciale pour non-respect du droit dopposition ou du recueil
du consentement pralable des particuliers concerns36
36
www.inhesj.fr/.../ondrp/rapport.../ra2011/synthese_rapport_2011.pdf
______________________________
28/95
2. Le phishing ou hameonnage
Le phishing, quant lui, est une technique de fraude visant obtenir des informations
confidentielles, telles que des mots de passe ou des numros de cartes de crdit, au moyen de
messages ou de sites usurpant l'identit d'institutions financires ou d'entreprises
commerciales37connues et rputes. Le terme phishing est la contraction des termes anglais
fishing et phreaking dsignant le piratage dune ligne tlphonique. On prcisera que le
terme hameonnage est le terme franais pour dsigner le phishing. Cette technique peut
prendre plusieurs formes: site web, mails et SMS, appels vocaux et avoirs des objectifs
multiples. Ainsi, alors que lhameonneur recherche souvent des donnes personnelles sur
Internet (mots de passe, information bancaire, coordonnes), les hameonnages tlcom
incitent plutt appeler des numros surtaxs.
2.1.
Ils envoient des courriels en trs grand nombre, laide dautomates informatiques. Les
adresses des victimes sont gnralement collectes illgalement ou forges partir de donnes
dannuaires publics ou de portails sociaux. Les emails reprennent les logos et les typographies
officiels de lentreprise phishe et demandent linternaute de cliquer sur un lien hypertexte
inclus dans le message. Ladresse URL du lien dans lemail est travaille afin de paratre la
plus authentique possible. Les courriels amnent les internautes sur un site frauduleux imitant
parfaitement le site web phish. Ce site frauduleux est trs souvent hberg de manire
illgale sur un serveur pralablement pirat par lattaquant. Le site frauduleux prsente des
pages web incitant la victime saisir des donnes personnelles et confidentielles.
37
29/95
Exemples de phishing
2.2.1
2.2.2
Le phishing SMS
30/95
38
31/95
La fraude aux numros surtaxs nest pas directement sanctionne. Dans la plupart des cas,
elle fait suite des infractions permettant de prendre le contrle de terminaux de
communications (hacking) et peut donc tre poursuivie au visa de ces infractions. Les
victimes directes des fraudes aux numros surtaxs sont les abonns, clients et les oprateurs
eux-mmes.
______________________________
32/95
PARTIE II :
UNE CYBERCRIMINALIT COMBATTUE PAR LES
OPRATEURS DE COMMUNICATIONS LECTRONIQUES
44
2002)45 Les dispositions contenues dans ces 2 textes ont t intgres dans le droit franais. Il
en est de mme de la directive europenne 2000/ 31 du 8 juin 2000, relative au commerce
lectronique transpose en droit franais par la loi pour la confiance dans lconomie
numrique du 21 juin 2004 (LCEN), et qui prcise notamment la responsabilit des
hbergeurs. Il convient aussi dajouter les travaux effectus au sein du G8 et notamment dans
le sous groupe haute technologie du groupe de Lyon qui constitue un lieu informel de
rflexion et dorientation des politiques de scurit des tats, dEUROPOL ou du groupe de
travail sur la criminalit lie aux technologies dinformations dINTERPOL.
1.1.
conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185
er
https://wcd.coe.int/ViewDoc.jsp?id=293309&Site=CM[Consult le 1 mai 2012]
______________________________
33/95
Premier texte international tabli dans le cadre de la lutte contre ce flau, la Convention a
pour principal objectif dencourager les tats parties prendre des mesures en matire pnale
pour assurer une protection effective contre la cybercriminalit, notamment par ladoption
dune lgislation approprie et le renforcement de la coopration entre tats.
En lespce, il sagissait donc de parvenir adapter le temps procdural au temps
numrique, pour reprendre une expression de Frdrique Chopin46, ceci dans une perspective
dharmonisation des lgislations et malgr lobstacle que peut constituer le principe de
46
34/95
comptence territoriale des juridictions nationales. En effet, une infraction reconnue dans tel
pays ne le sera pas forcment dans tel autre.
35/95
1.2.
47
36/95
Stockholm.48 Ce dernier a tablit les priorits de lUnion europenne (UE) dans le domaine de
la justice, de la libert et de la scurit pour la priode 2010-2014. Ce programme souligne le
rle de la Convention en tant que norme gnrale que lUnion europenne souhaite
promouvoir afin de lutter contre la cybercriminalit. Il recommande llaboration dune
stratgie de scurit intrieure de lUE en vue damliorer la protection des citoyens et la lutte
contre la criminalit organise et le terrorisme. Dans un esprit de solidarit, la stratgie aura
pour objectif de renforcer la coopration policire et judiciaire en matire pnale, ainsi que la
coopration dans la gestion des frontires, la protection civile et la gestion des catastrophes.
La stratgie de scurit intrieure sera constitue dune approche proactive, horizontale et
transversale, avec des tches clairement rparties entre lUE et ses pays. Elle mettra laccent
sur la lutte contre la criminalit transfrontalire, notamment sur la cybercriminalit49. Ainsi,
L'Union europenne a pris diverses initiatives pour lutter contre la cybercriminalit en
adoptant plusieurs directives.
1.2.1. Le texte fondateur
En octobre 1995 a t adopte la directive 95/46/CE qui constitue le texte de rfrence, au
niveau europen, en matire de protection des donnes caractre personnel. Celle-ci met en
place un cadre rglementaire visant tablir un quilibre entre un niveau lev de protection
de la vie prive des personnes et la libre circulation des donnes caractre personnel au sein
de l'Union europenne. Pour ce faire, la directive fixe des limites strictes la collecte et
l'utilisation des donnes caractre personnel et demande la cration, dans chaque tat
membre, d'un organisme national indpendant charg de la protection de ces donnes. Tous
les tats membres ont maintenant transpos la directive. Nanmoins, les actions entreprises au
sein de l'UE restent encore insuffisantes pour faire face aux menaces que reprsentent les
courriels, les espiogiciels et les logiciels malveillants. Internet tant un rseau mondial, la
Commission europenne souhaite dvelopper le dialogue et la coopration avec les pays tiers
concernant la lutte contre ces menaces et les activits criminelles qui y sont associes.
48
49
37/95
eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2012...
www.senat.fr Europe et International Europe Textes europens[Consult le 11 mai 2012]
52
Proposition de directive du Parlement europen et du Conseil relative aux attaques visant les systmes
dinformation et abrogeant la dcision-cadre 2005/222/JAI du Conseil [COM(2010)517final]
______________________________
51
38/95
53
______________________________
39/95
Il sagit de lintroduction dune lgislation spcifique cible pour prvenir les attaques
majeures, accompagne de mesures non lgislatives en vue dintensifier la coopration
transfrontalire. Il est noter que ladoption de la proposition entranera labrogation de la
lgislation existante. En revanche, la Directive reprendra ses dispositions actuelles et inclura
de nouveaux lments. En ce qui concerne le droit pnal matriel gnral, la directive
incrimine la production, la vente, lacquisition en vue de lutilisation, limportation, la
distribution ou la mise disposition par dautres moyens de dispositifs/outils utiliss pour
commettre ses infractions. Elle prvoit des circonstances aggravantes telles que la grande
ampleur des attaques (sont ici vises les rseaux zombies ou dispositifs similaires) ou lorsque
ces dernires sont commises en dissimulant lidentit relle de lauteur, tout en causant un
prjudice au titulaire lgitime de lidentit. La directive sera conforme aux principes de
lgalit et de proportionnalit des infractions et sanctions pnales, et compatible avec la
lgislation existante sur la protection des donnes caractre personnel. Cette Directive a cr
linfraction dinterception illgale, soit linterception intentionnelle, par des moyens
techniques, de transmissions non publiques de donnes informatiques vers un systme
dinformation ou partir ou lintrieur dun tel systme, y compris dmissions
lectromagntiques
partir
dun
systme
dinformation
contenant
des
donnes
40/95
dlai est alors propose. Enfin, elle rpond aux besoins dtablir des statistiques sur les
infractions informatiques en imposant aux tats membres la mise en place dun dispositif
appropri denregistrement, de production et de communication de statistiques sur les
infractions numres dans la dcision-cadre existante et la nouvelle infraction
dinterception illgale.
Dans les dfinitions des infractions pnales numres aux articles 3, 4 et 5 (accs illgal
des systmes dinformation, atteinte lintgrit dun systme et atteinte lintgrit des
donnes), lors de la transposition en droit national nont t incrimins que les cas qui ne
sont pas sans gravit. Cette disposition permet de ne pas inclure les cas qui seraient dj
couverts par la dfinition de base, mais dont il est considr quils ne nuisent pas lintrt
protg. Il sagit notamment des actes commis par des jeunes gens voulant prouver leur
savoir-faire en technologie de linformation. Lincitation, la complicit et la tentative sont
galement vises. Les sanctions prises par les tats membres devront tre effectives,
proportionnes et dissuasives, tant lgard des personnes physiques que des personnes
morales. En effet, leur responsabilit nest pas exclue et ncessite de prendre les mesures
ncessaires pour sanctionner les personnes morales dclares responsables.
Cette proposition devrait tre adopte en 201254.
2. Le dispositif lgislatif et rglementaire franais: vers un arsenal rpressif de plus
en plus spcifique
A partir des annes 1980, la criminalit informatique en France na fait lobjet daucune
disposition lgislative visant la rprimer. A lpoque, il sagissait dun phnomne marginal
et mal connu. Toutefois, cette nouvelle dlinquance a conduit le lgislateur mener une
rflexion sur lutilisation des nouvelles technologies afin dadapter la rponse pnale. Dans ce
contexte, de nombreux textes furent adopts ces dernires annes avec la volont de crer un
arsenal de la cyber scurit55.
La cybercriminalit est constitue par des dlinquants le plus souvent des geeks qui
utilisent les systmes et les rseaux informatiques, soit pour commettre des infractions
spcifiques ces systmes et rseaux informatiques, soit pour dvelopper ou faciliter des
54
Proposition de directive du Parlement europen et du Conseil relative aux attaques visant les systmes
d'information, COM (2010) 517 final, 30 septembre 2010
55
www.e-juristes.org/les-perspectives-penales-de-la-loppsi-2-en-matiere[Consult le 6 juin 2012]
______________________________
41/95
infractions qui existaient avant larrive de lInternet. Il tait donc indispensable de faire
voluer larsenal rpressif en vue de ladapter aux nombreuses possibilits de commission
dinfractions offertes par Internet.
2.1.
56
57
Loi.n88-19, 5 janv.1988, relative la fraude informatique, JO 6 janv. p.231, dite loi Godfrain
Crim.4 mars 2008, n 07-84.002, NP, D.2008, somm.2213, obs. Detraz ; CCE 2008, tude n 25, note Huet.
______________________________
42/95
Depuis la loi dite Godfrain dautres rformes importantes ont eu lieu avec ladoption de
plusieurs textes.
2.2.
______________________________
43/95
incluses dans le dossier d'instruction. Elle introduit en droit franais la notion de mandat
d'arrt europen.
______________________________
44/95
58
45/95
2.3.
46/95
parution dans les annuaires papier et en ligne de coordonnes de clients inscrits sur liste
rouge, lenvoi par e-mail un tiers dinformations personnelles (facture dmatrialise,
notification Hadopi), la faille technique sur un portail WEB exploit par un attaquant et
donnant accs des donnes clients. Dans un article publi sur son site le 28 mai 201259, la
CNIL cite quelques exemples qui seraient constitutifs dune violation, tels que lintrusion
dans la base de donnes de gestion dun FAI, un email confidentiel destin un client dun
FAI, diffus par erreur dautres personnes, ou encore la perte dun contrat papier dun
nouveau client par un agent commercial dun oprateur mobile dans une boutique.
Les oprateurs de communications lectroniques doivent par consquent, et en vertu de
larticle 34 de la loi informatique et liberts, prendre toutes les mesures ncessaires (de nature
technique ou oprationnelle) pour prserver la scurit des donnes et, notamment, empcher
quelles soient dformes, endommages, ou que des tiers non autoriss y aient accs. En cas
dexistence dune faille, ils doivent notifier la faille la CNIL sans dlai. Ils doivent
galement avertir sans dlai labonn ou lintress concern par la faille en cas de violation
de ses donnes personnelles ou datteinte sa vie prive c'est--dire en cas de situation
prjudiciable la personne physique dont les donnes ont t rvles ou utilises tort (ex:
violation ayant entran le vol ou lusurpation didentit, latteinte lintgrit physique de la
personne, ou une humiliation grave ou une rputation entache). Cette information de
labonn/ intress nest pas ncessaire dans tous les cas si la CNIL a constat que des
mesures de protection appropries ont t mises en uvre par loprateur concern afin de
rendre les donnes, objet de la faille, incomprhensibles toute personne non autorise y
avoir accs. Toutefois, la CNIL peut, aprs avoir examin, la gravit de la violation, exiger de
loprateur une information de labonn/intress. En outre, obligation est faite aux oprateurs
de tenir un inventaire interne des failles de scurit (effets, mesures prises) conserver la
disposition de la CNIL. Le systme rpressif mis en place par lordonnance du 24 aot 2011
prvoit diffrentes sanctions dans certaines situation comme, en cas de dfaut de notification
des failles la CNIL (article 226-17-1 du Code pnal)60, en cas de dfaut dinformation de
labonn/ intress la suite dune faille61, en cas de non-respect de la mise en demeure de la
59
www.cnil.fr/...telecoms/.../la-notification-des-violations-de-donnees-a...[Consult le 15 mai]
Sanctions pnales : 5 ans demprisonnement + 300 000 euros damende pour les personnes physiques/ 1500
000 euros pour la personne morale (art. 226-24, 131-38 du Code pnal)
61
Sanctions pnales : 5 ans demprisonnement + 300 000 euros damende/ 1500 000 euros pour la personne
morale
______________________________
60
47/95
CNIL (article 47 de la loi I&L)62 ,en cas de dfaut de scurit des donnes (article 226-17 du
Code pnal)63.
2.3.2. La loi sur la protection de lidentit
Enfin, on notera un renforcement de la protection de lidentit avec ladoption de la loi n
2012-410 du 27 mars 201264. La finalit premire de ce texte est de garantir une fiabilit
maximale aux passeports et aux cartes nationales d'identit (CNI), afin de lutter contre les
dlits lis l'usurpation d'identit et la fraude documentaire. Par ailleurs, le texte prvoit les
conditions du contrle des documents d'tat civil fournis l'appui d'une demande de
dlivrance de CNI ou de passeport (article 4), ainsi que les modalits du contrle d'identit
partir du titre d'identit. Ensuite, le Code pnal est complt par l'article 965 afin d'aggraver la
rpression pnale des infractions d'accs, d'introduction, de maintien frauduleux dans un
systme de traitement automatis de donnes caractre personnel, d'entrave son
fonctionnement ou de modification ou de suppression frauduleuse des donnes qu'il contient,
lorsque ces faits sont commis l'encontre d'un systme de traitement automatis mis en uvre
par ltat. Lorsque cette infraction a t commise dans ce cas, la peine est porte 7 ans
d'emprisonnement et 100.000 euros d'amende. Enfin, il sera fait mention de tout cas
d'usurpation d'identit dans les rectifications d'actes d'tat civil. Le lgislateur a en effet prvu
l'article 11 que "toute dcision juridictionnelle rendue en raison de l'usurpation d'identit
dont une personne a fait l'objet et dont la mention sur les registres de l'tat civil est ordonne
doit noncer ce motif dans son dispositif."
Sanction administrative pcuniaire de la CNIL : de 150 000 euros 300 000 euros.
Sanctions pnales : 5 ans demprisonnement, 300 000 euros damende pour le dirigeant personne physique et
1.500 000 euros pour loprateur.
64
www.legifrance.gouv.fr/affichTexte.do?cidTexte...categorieLien... [Consult le 6 juin 2012]
65
Larticle 323-1 est complt par un alina ainsi rdig :
Lorsque les infractions prvues aux deux premiers alinas ont t commises lencontre dun systme de
traitement automatis de donnes caractre personnel mis en uvre par lEtat, la peine est porte cinq ans
demprisonnement et 75 000 damende.
63
______________________________
48/95
dinformations gnres par les entreprises tant gigantesque et exponentielle, elle peut donc
reprsenter un avantage comptitif pour ces dernires, mais uniquement si leur accs et leur
utilisation sont scuriss. Une bonne connaissance de ces informations, de leur localisation,
des processus et des traitements cls, des personnes habilites y accder, et surtout des
comportements normaux , doit donc reprsenter des priorits pour les entreprises. Il ny a
cependant pas de rponse toute faite ou de remde miracle en la matire.
1. Un dispositif technique
1.1.
49/95
Loprateur intgre des protections son infrastructure de rseau mobile avec un dispositif de
dtection et de coupure automatique du trafic identifi spam. Chaque soir, le 33700 envoie
un fichier de signalement loprateur mobile relatif un spam sms et comprenant les
donnes pertinentes. A partir de cette information, loprateur value les suites donner
lencontre des contrevenants dans la mesure o ils seraient identifis.
b. Lassociation signal spam
Les clients et le grand public sont informs, via le site institutionnel des oprateurs, des
dangers du spamming fixe, de sa prvention et du comportement adopter face la fraude
(http://www.sfr.fr/securite-sante/spam/). Ainsi a t cr Signal spam qui est une
association regroupant les oprateurs et les acteurs de lInternet, contre le spam.
Avec le plan de dveloppement de lconomie numrique France 2012, laction de Signal
Spam dans la lutte contre les pourriels (spams) et les pratiques de phishing a t amplifie et
mise en liaison avec le Conseil national du numrique, afin daccrotre la confiance des
internautes dans la socit de linformation et de rduire les cots supports par les entreprises
du fait de ces pratiques.
c. Lapplication Anti-Spam de SFR
Cette application est disponible depuis le 6 avril 2012. Elle est gratuite, compatible Androd et
Blackberry et tout oprateur. Cet outil permet de se protger contre des spams vocaux et sms.
Il dtecte et isole automatiquement les sms et appels frauduleux incitant rappeler ou
envoyer des messages des numros surtaxs. Cette application permet de signaler un spam
au 33700 en un clic et gratuitement. Enfin, elle permet au client de composer sa propre liste
noire pour bloquer les numros quil juge indsirables.
1.1.2. Contre le phishing
a. Information des clients via le site institutionnel de loprateur
Les clients et le grand public sont informs, via le site institutionnel des oprateurs, de la
nature de la menace, des recommandations de prventions et des actions entreprendre en cas
de transmission de donnes sensibles. A titre dexemple on citera le site de SFR :
http://www.sfr.fr/developpement-durable/securite/phishing/index.html.
______________________________
50/95
66
phishing sur un courriel, en premier de vrifier sur le blog de scurit quil na pas dj t
signal au service clients, puis, sinon dadresser le message emailsuspect@sfr.com.
1.1.3. Contre le hacking, phreaking et la fraude SVA
Des systmes automatiques de dtection et de coupure des usages potentiellement anormaux
sont progressivement dploys, sur les infrastructures des oprateurs. Ceux-ci sensibilisent et
informent les diffrents acteurs afin de rendre efficaces les actions engages contre les
fraudeurs, et travaillent sur lharmonisation et le durcissement des rgles dusage anormal
permettant dabaisser les seuils dalerte et de blocage. Les oprateurs ont, par ailleurs, engag
des travaux visant surveiller les volumes de trafics rvlateurs dutilisations abusives de
lignes mobiles partir de ltranger. Ils dploient progressivement sur leur infrastructure des
systmes automatiques de dtection et de coupure des usages potentiellement anormaux.
66
Dfinition: Fait de se nourrir de la communaut pour la cration de valeur. www.paperblog.fr/2606049/lelexique-du-community-manager [Consult le 25 avril 2012]
______________________________
51/95
67
52/95
a. Les sources
a.1. La LCEN
Larticle 6-I-8 de la loi pour la confiance dans lconomie numrique plus connue sous
lappellation de LCEN68, qui transpose la Directive e commerce 2000 /31/EC69, prvoit une
obligation particulire de surveillance faite aux hbergeurs70et dfaut
pratique ne prsente pas de caractre novateur. En effet, il sagit simplement dune application
dans la sphre du Web 2.0, des pouvoirs du juge des rfrs ou des requtes, en matire de
mesures conservatoires. Ce que la loi prvoit, la pratique laurait consacre sa place, car
sans nul doute, les tiers se seraient prsents instinctivement devant les juges pour obtenir ce
type de mesures.
a.2. Larticle 61 de la loi du 12 mai 2010
L'article 61 de la loi n 2010-476 du 12 mai 2010 relative louverture la concurrence et
la rgulation du secteur des jeux dargent et de hasard en ligne71 cible plus particulirement la
criminalit lie aux sites illicites de jeux. Il prvoit que lorsque l'arrt de l'accs une offre de
pari ou de jeux d'argent et de hasard en ligne a t ordonn par le prsident du Tribunal de
Grande Instance de Paris, les fournisseurs d'accs Internet et les hbergeurs de site doivent
procder cet arrt. Le dcret rglementaire prvoit l'utilisation par les FAI du blocage par
nom de domaine ("DNS, Domain name system") et lindemnisation par L'Autorit de
Rgulation des Jeux En Ligne (lARJEL).
a.3. Larticle 4 de la LOPPSI 2
Larticle 4 de la LOPPSI 2 72 permet d'imposer aux fournisseurs d'accs Internet le blocage
de sites Web publiant du contenu pornographique mettant en scne des mineurs.
68
53/95
______________________________
54/95
Dfinition du filtrage selon Sylvain Joseph Conseiller TICE sur le bassin de Saint Quentin en Yvelines
Un juge d'un pays de l'Union europenne peut-il ordonner un fournisseur d'accs Internet de mettre en
place, de faon gnrale, titre prventif, aux frais exclusifs de ce dernier et sans limitation dans le temps, un
systme de filtrage des communications lectroniques , afin d'empcher le piratage? Pour la Cour de justice de
l'Union europenne (CJUE), c'est non : www.01net.com Actualits Droit et conso[Consult le 27 avril 2012]
76
Sabam/ Netlog
77
Selon Serge Braudo :"Prjudiciel" est l'adjectif qui caractrise la priorit qui doit tre donne l'examen d'une
question de la solution de laquelle dpend la dcision finale du tribunal. Il en est ainsi chaque fois qu'elle ne peut
tre tranche que par une autre juridiction ayant une comptence exclusive pour juger de l'incident. Le tribunal
qui est saisi doit alors surseoir statuer jusqu' ce qu'il soit jug par la juridiction comptente. (Dictionnaire du
droit priv)
75
______________________________
55/95
1.2.
Comme beaucoup dentreprises aujourdhui, les oprateurs sont une cible attractive pour les
cybercriminels de tout ordre, qui voient dans ces entreprises des dtenteurs de donnes clients
et techniques exploitables. Au-del de loprateur lui-mme, les clients, particuliers et
professionnels, sont galement viss par les cybercriminels, lors de lutilisation de leurs
moyens de tlcommunications fixes, mobiles, smartphones, netbook, tablette numrique
Conscients de cet tat de fait, les oprateurs ont la volont de mettre en place des dispositifs
de dtection et de prvention (audit, contrle, programmes dvaluation des risques de fraude)
et se sont dots doutils pour assurer un niveau lev de scurit. Ils investissent
financirement dans la lutte contre la cybercriminalit, afin de protger leurs clients et trouver
des solutions aux difficults qui en dcoulent. Les menaces sont multiformes: intrusion
informatique, piratage ordinateur, de box, dIPBX, escroquerie la carte de crdit la suite
dun phishing, fuites dinformations, dtournement de finalit, captation frauduleuse,
vandalisme Les profils des fraudeurs sont divers, allant de jeunes hackers en mal de
notorit au groupe organis ou entit se crant par typologie dattaques, afin de runir les
comptences et expertises technologiquement les plus pointues. Lorigine des attaques est, par
ailleurs, extrmement complexe tablir, compte tenu de linexistence de frontires dans le
monde en ligne et dune ingnierie informatique en perptuel dveloppement.
78
http://www.google.fr/url?sa=t&rct=j&q=r%C3%A9f%C3%A9rence%20affaire%20sabam%20%2Fnetlog&sou
rce=web&cd=3&sqi=2&ved=0CGMQFjAC&url=http%3A%2F%2Fwww.scribd.com%2Fdoc%2F81924791%2
F20120216-CJUE-Affaire-Sabam-contre-Netlog-Decision-de-la-CJUE-FR&ei=uny6T9SsOM6yhAfz5TWCA&usg=AFQjCNFVuqs_aRSS6kydeYJOj6hwMK6i7A[Consult le 27 avril 2012]
______________________________
56/95
2. Un dispositif organisationnel
2.1.
79
______________________________
57/95
europen de Nice (dcembre 2000) qui permet d'amliorer la coopration entre les autorits
judiciaires des tats membres et a notamment la possibilit, grce au mandat d'arrt europen,
d'obtenir rapidement l'extradition de criminels recherchs par un tat membre de l'Union.
Eurojust est un organe de coopration judiciaire cr en 2002 par le Conseil de lunion
europenne pour aider assurer la scurit dans un espace de libert, de scurit et de justice.
Eurojust a t inaugure en avril 2003. Cette unit a pour mission dintervenir dans les
enqutes et les poursuites contre la criminalit organise ou transfrontalire pour assurer la
coordination entre les autorits comptentes des diffrents tats membres ainsi que le suivi de
la mise en uvre de lentraide judiciaire internationale et lexcution des demandes
dextradition ou du mandat darrt europen.
Cette structure dveloppe des actions de lutte contre la cybercriminalit et il est important que
des changent soprent entre les parquets des tribunaux et Eurojust.
c. LENISA
En raison de lomniprsence des rseaux de communication et des systmes dinformation, la
question de leur scurit est devenue un sujet de proccupation grandissant pour la socit.
Afin de garantir aux utilisateurs le plus haut degr de scurit, lUnion europenne (UE) sest
dote dune Agence europenne charge de la scurit des rseaux et de linformation
(ENISA) qui a une fonction de conseil et de coordination des mesures prises par la
Commission et les pays de lUE, et vise galement scuriser leurs rseaux et systmes
dinformation. L'ENISA a t tablie par lUnion europenne en 2004. Situe en Crte, elle
fonctionne comme un centre d'expertise pour les tats membres, les institutions de l'UE et les
entreprises. Lagence a pour mission de prter assistance et fournir des conseils la
Commission et aux tats membres sur les questions lies la scurit des rseaux et de
l'information, de recueillir et analyser les donnes relatives aux incidents lis la scurit en
Europe et aux risques mergents. Elle promeut des activits d'valuation et de gestion des
risques afin d'amliorer la capacit de faire face aux menaces pesant sur la scurit de
l'information et renforce la coopration entre les diffrents acteurs du secteur de la scurit de
linformation. Enfin, elle suit l'laboration des normes pour les produits et services en matire
de scurit des rseaux et de l'information. Cette agence, a publi rcemment un rapport sur
______________________________
58/95
80
81
59/95
pratiques, ainsi que la mise sur pied d'un rseau lectronique, qui servira de support aux autres
tches du CEPOL. Le collge est ouvert la coopration avec les instituts de formation
policire des pays tiers. Il offre notamment ses infrastructures aux hauts responsables des
services de police des pays candidats, de l'Islande et de la Norvge, et tudiera la possibilit
de rendre accessibles ses facilits aux fonctionnaires des institutions et des autres organes de
l'Union europenne. Il existe un accord de coopration entre le CEPOL et INTERPOL82.
e. La CERT-EU
La CERT-EU (Computer Emergency Response pre-configuration Team Europenne)83, est
une quipe dintervention durgente qui a t cre en mars 2011. Un de ses objectifs cls est
de protger efficacement les institutions europennes contre les cyber-attaques. L'quipe est
compose d'experts en scurit informatique des principales institutions de l'UE (Commission
europenne, Secrtariat gnral du Conseil, du Parlement europen, Comit des rgions,
Comit conomique et social) et de l'ENISA. L'quipe de pr-configuration va
progressivement dployer ses services, en commenant par effectuer des annonces, des alertes
et de faire de la coordination de rponse aux incidents. A la fin des travaux prparatoires d'un
an par l'quipe, une valuation sera faite conduisant une dcision sur les conditions de
cration d'une quipe pleine chelle Computer Emergency Response pour les institutions de
l'UE.
2.1.3. Au niveau franais
a. LOCLCTIC
L'Office central de lutte contre la criminalit lie aux technologies de l'information et de la
communication (OCLCTIC) a t cre par dcret n 2000- 405 du 15 mai 200084 et est
rattache la Direction de la police judiciaire. Pour remplir ses missions le service est
compos de 50 policiers et gendarmes. Il a une comptence nationale et travaille en
collaboration avec la Brigade d'enqute sur les fraudes aux technologies de l'information (qui
dpend de la Prfecture de police de Paris) avec la DST, les douanes et la Gendarmerie. Il est
important de prciser que lOCLCTIC sintresse spcifiquement aux fraudes lies. Il a pour
82
______________________________
60/95
61/95
d. LIRCGN
Le dpartement informatique et lectronique de lInstitut de recherche criminelle de la
gendarmerie nationale
85
85
86
62/95
apportant leur assistance et leur expertise dans la rcolte des moyens de preuve afin de
permettre aux instances judiciaires dobtenir des mesures conservatoires. Depuis plusieurs
annes, dans le cadre du traitement des rquisitions judiciaires (chez SFR environ 1000
rquisitions judiciaires traites par jour par 40 oprationnels), ils sont amens, selon le cadre
lgal dfini, travailler troitement avec les autorits de police ou de gendarmerie pour les
assister dans tout type d'enqutes, y compris celles lies de la cybercriminalit. Chaque
oprateur traite plusieurs milliers dactes par semaine lis aux rquisitions judiciaires, ceci
afin de fournir aux autorits des informations sur lidentification de mobiles ou d'adresses IP,
de donnes de trafic, de donnes de golocalisation selon des mthodes rigoureuses. Pour
rpondre ces demandes judiciaires et administratives, ces entreprises de tlcommunications
se sont dotes de ples ddis au mobile, au fixe et aux oprations extrieures.
2.2.2. Cration de lassociation SVA +
Le 3 fvrier 2012 a t cre lassociation SVA +93 qui est un organisme dautorgulation des
services tlphoniques valeur ajoute. Il sagit dune association loi 1901 qui rassemble des
associations et groupements doprateurs de communications lectroniques. Elle regroupe la
Fdration Franaise des Tlcoms, lAssociation Franaise des Oprateurs de Rseaux et
Services de Tlcommunications (lAFORST), lAssociation de la Portabilit des Numros
Fixes (lAPNF), lAssociation Franaise de la Relation Client (lAFRC), le Groupement des
diteurs de Services en Ligne ( le Geste), et le Groupement Professionnel des Mtiers de la
Scurit lectronique (le GPMSE) dans une structure commune leur permettant de
coordonner la mise en place de rgles dontologiques relatives aux services tlphoniques
87
63/95
valeur ajoute (SVA), ceci afin de restaurer la confiance des consommateurs dans ce type de
service .
En effet, ces numros qui commencent par 08 ou qui sont composs de quatre chiffres
reprsentent une grande varit dusages quotidiens des consommateurs et des entreprises
(information, tlalarme, tlsurveillance, micro-paiement), mais ils sont parfois utiliss de
faon abusive par des diteurs peu scrupuleux : par exemple, des diteurs envoient un SMS
indlicat invitant les consommateurs rappeler un numro dun tarif lev, commenant par
0899, et qui ne leur dlivre aucun service. Tous ces acteurs poursuivent le but identique de
mettre en uvre des solutions efficaces en vue dune meilleure protection des consommateurs
contre lutilisation abusive des numros spciaux.
2.2.3. Des actions de sensibilisation
Le site institutionnel de loprateur de communications lectroniques prsente une large
gamme dinformations et dalertes sur les fraudes et agissements cybercriminels afin de
prvenir ses clients et abonns des menaces ventuelles et de leur apporter des
recommandations de prvention. Loprateur SFR a, dailleurs pour sa part, cr un blog
scurit destin centraliser les informations ladresse http://blog-securite.sfr.fr. Ainsi, en
amont, chacun des oprateurs sensibilise ses clients sur la ncessit de protger leurs
ordinateurs et leurs installations contre les attaques cybercriminelles. Il est, en effet,
indispensable de communiquer auprs des utilisateurs, afin de les alerter de la ncessit de
scuriser leurs usages et de les informer des consquences de la cybercriminalit. De mme,
titre dexemple, on citera, nouveau, loprateur SFR qui a pris la mesure de limportance
que revtent la scurisation et la protection de ses clients et de ses services en inscrivant cette
dmarche dans son projet dentreprise. Cest pourquoi il organise, rgulirement, des
campagnes de sensibilisation de ses collaborateurs sur les exigences de scurit et de
confidentialit des donnes personnelles. En effet, ce dernier porte une attention particulire
la protection efficace des donnes sensibles et la vie prive de ses clients. Toujours dans
cette perspective de sensibilisation de tous les acteurs du monde de lInternet, lors de sa
connexion son ordinateur, il est rappel chaque collaborateur certains principes et
notamment, celui selon lequel, Tout accs non autoris ce systme pourra faire l'objet de
poursuites conformment aux articles 323-1 et suivants du Code Pnal . De ce fait, l'accs,
la modification, la diffusion et l'utilisation des informations traites dans ce Systme
______________________________
64/95
______________________________
65/95
PARTIE II :
UNE CYBERCRIMINALIT COMBATTUE PAR LES
OPRATEURS DE COMMUNICATIONS LECTRONIQUES
Chapitre 2 : Les outils, envisags et envisageables, de lutte contre la
cybercriminalit pouvant tre mis la disposition des oprateurs de
communications lectroniques
Tant sur le plan national qu lchelon international, la cybercriminalit cre des prjudices
considrables aux administrations, aux particuliers et aux entreprises, ces dernires supportant
lessentiel du prjudice conomique. .
2.1.
66/95
lEurope et celui de lUnion europenne ont dcid la mise en place dun projet europen pour
la lutte contre la cybercriminalit dnomm 2CENTRE. Il sagit dun rseau de formation et
de recherche sur la criminalit informatique.
Fruit dune laboration conjointe entre des acteurs privs et des acteurs publics, et en lien
avec le European Cybercrime Training and Education Group ( ECTEG) dEuropol, le projet
2CENTRE est soutenu et financ par la Commission europenne, associ aux forces de
lordre des partenaires du monde acadmique et industriel intervenant dans le cadre dun
rseau de centres dexcellence en formation et en recherche pour la lutte contre la
cybercriminalit. Le budget pour lensemble du projet tant de 4 millions deuros.
LIrlande et la France sont les deux premiers pays intgrer ce rseau.
La partie franaise de ce projet a t lance par lUniversit de technologie de Troyes, et
lUniversit Montpellier 1, la Police Nationale, Microsoft et Thales. (Cybercrime Centres of
Excellence Network for Training, Research and Education).
La Commission europenne a dot linitiative franaise dun budget total de 980 000 euros,
hors valorisation des jours consacrs au projet par la Police Nationale et la Gendarmerie
Nationale. Un soutien dexpertise et financier est galement apport par Microsoft ainsi
quune contribution financire de la socit Orange. Le centre irlandais est quant lui anim
par le University College Dublin.
Dans le cadre de ce projet, le consortium franais a dcid de mettre laccent sur diffrents
points tels que damliorer le dispositif et les outils de formation des personnels spcialiss de
la police ou de la gendarmerie, diffuser les bonnes pratiques de dfense au sein des
entreprises, tudier les besoins de formation des entreprises ou des administrations.
Ainsi, la France sinscrit dans lambition dune rponse organise et adapte de lutte contre la
cybercriminalit, souhait qui tait dj prsent dans le livre blanc sur la dfense et la scurit
nationale de 2008 et qui a t raffirm expressment lors du Conseil des Ministres du 25 mai
2011.
2.2.
67/95
Le centre sera tabli au cur de l'Office europen de police, Europol, La Haye (Pays-Bas).Il
se concentrera sur les activits illicites en ligne menes par des groupes criminels organiss,
et plus particulirement sur celles qui gnrent des profits considrables, comme la fraude en
ligne. Les experts de l'Union europenne uvreront galement la prvention des
cybercrimes concernant les oprations bancaires et rservations sur Internet, ce qui permettra
d'accrotre la confiance des consommateurs en ligne. Le Centre europen de lutte contre la
cybercriminalit aura galement pour objectif de protger les profils sur les rseaux sociaux
en ligne contre le piratage et contribuera la lutte contre l'usurpation d'identit sur Internet.
Ce centre, se focalisera sur les cybercrimes lourds de consquences pour leurs victimes,
comme l'exploitation sexuelle des enfants sur Internet, et sur les attaques informatiques
l'encontre d'infrastructures ou des systmes d'information des diffrents pays de l'Union.
Enfin il aura pour mission de reprer les rseaux de criminels informatiques organiss ainsi
que les contrevenants les plus importants prsents dans le cyberespace.
Il devra apporter un soutien oprationnel au cours d'enqutes sur le terrain, au niveau tant de
l'analyse que de la cration d'quipes communes d'enqute sur la cybercriminalit.
Afin dexcuter ses missions et pour mieux soutenir les enquteurs, procureurs et juges qui
s'occuperont d'affaires ayant trait la cybercriminalit dans les tats membres, le nouveau
centre rassemblera les informations provenant de sources libres, du secteur priv, des services
de police et du monde universitaire. Il servira galement de base de connaissances pour les
services nationaux de police des tats membres et mettra en commun les initiatives de
formation et le savoir faire en matire de cybercriminalit lchelon europen. Le centre
servira de plate-forme pour les enquteurs europens sur la cybercriminalit, leur offrant la
possibilit de s'exprimer d'une mme voix dans les discussions avec le secteur des
technologies de l'information, d'autres entreprises du secteur priv, la communaut des
chercheurs, les associations d'utilisateurs et les organisations de la socit civile. En matire
de cybercriminalit il est destin devenir linterlocuteur privilgi dans toutes les
discussions et relations avec d'autres partenaires internationaux en dehors des pays de lUnion
europenne.
Toutefois, mme si la date dentre en vigueur de ce centre est prvue pour janvier 2013, il
faut pralablement et obligatoirement que l'autorit budgtaire d'Europol adopte la
proposition de la Commission.
______________________________
68/95
3.1.
69/95
3.2.
70/95
envoyes aux oprateurs tlphoniques par le ministre de la justice au cours des douze
derniers mois. Officiellement, toutes les interceptions judiciaires sont rigoureusement
contrles par le code de procdure pnale. Pour brancher un suspect, policiers et
gendarmes doivent pralablement avoir laval du magistrat charg de lenqute. Ce nest
quune fois la signature du juge obtenue que loprateur tlphonique peut tre saisi par un
officier de police judiciaire. Ensuite, toutes les donnes recueillies sont gres par un
prestataire priv sans vritable contrle. A lheure actuelle, une poigne de socits se
partagent ce juteux march, estim lan dernier 25 millions deuros. Un systme bien trop
cher aux yeux du Ministre de la Justice, mais galement trop peu scuris. Le projet de
lentreprise Thals consiste en une gigantesque interface entre les enquteurs et les oprateurs,
la nouvelle plateforme doit permettre de rduire la facture des interceptions de moiti tout en
facilitant le travail des limiers de la PJ. Demain, 60.000 officiers de police judiciaire auront
ainsi accs directement cette bote noire via les rseaux scuriss de ltat. Une procdure
entirement dmatrialise, ou les rquisitions seront signes lectroniquement par le
magistrat et lensemble des interceptions stockes dans le serveur de Thals. Les magistrats
pourront ensuite piocher dans ce vaste coffre fort numrique ultra-scuris. Avec cette
plateforme, les interceptions sur Internet deviennent un jeu denfants. Aujourdhui, le web
occupe une place croissante dans les enqutes, or les interceptions y sont encore trs
marginales, notamment cause de leur cot lev. A partir de 2013, les officiers de police
judiciaire auront donc accs lintgralit des communications lectroniques, fixe, mobiles et
Internet. Avec un changement de taille: la traabilit des oprations, qui doit permettre de
remonter toute la chane en cas de rquisition suspecte. Toutefois, malgr ces nouvelles
prrogatives, la nouvelle plateforme est loin de faire lunanimit au sein de la police96.
3.2.2. Mise en place dun nouveau fichier de police interconnect
Le ministre de lIntrieur sortant, Monsieur Claude Guant, a fait publier les 6 et 8 mai 2012,
une srie de dcrets dapplication de la LOPPSI 297. Ces dcrets renforcent les moyens
dinvestigation des services de police, en rorganisant notamment la mise en uvre des
fichiers de police. Cela concerne la fusion du STIC (systme de traitement des infractions
constates) avec le JUDEX (systme judiciaire de documentation et dexploitation) dune
96
97
71/95
part, et les fameux fichiers danalyse srielle dautre part. La fusion de ces deux systmes va
crer une base importante de fichiers de police totalement interconnects, qui permettra des
recoupements beaucoup plus prcis. Il sera compos de lensemble des procdures de dlit et
de contraventions les plus graves, mais aussi du nom des auteurs des infractions et de leurs
victimes. Les donnes personnelles traites, allant de ltat civil, aux donnes biomtriques,
pourront tre conserves jusqu 40 ans. Il peut tre galement fait mention, selon les
infractions, de donnes sensibles telles que lappartenance syndicale, les opinions politiques
ou religieuses mais aussi lorigine raciale. Les agents habilits consulter ces fichiers
pourront exploiter, comparer, et mettre en relation tous les lments lis une infraction. Cet
environnement de donnes sera consultable partir dun seul et mme fichier, qui servira de
base pour lier les affaires entre elles. On le voit, ltat se dote donc dun arsenal complet
mettant en place un systme de surveillance globale des individus.
3.3.
Depuis 2001, le volume des rquisitions a explos, et par consquent il a t constat une
importante augmentation des dpenses lies aux frais de justice. Ainsi, un travail
interministriel (Ministres de la Justice, de lIntrieur et de la Dfense) a t ralis afin
de dfinir les diffrentes rquisitions susceptibles dtre adresses par les officiers de
police judiciaire aux oprateurs de communications lectroniques. Cette rflexion
multipartite du plus grand intrt pour combattre la criminalit a donn lieu un
document, intitul Rfrentiel des rquisitions en matire de communications
lectroniques . Il a fait lobjet dune diffusion sur le site intranet de la Chancellerie la
rubrique frais de justice 98. Ce rfrentiel sapplique tous les oprateurs de
communications lectroniques. Le rfrentiel mis en ligne renseigne sur lventail de
ces techniques de traque. Cela inclut lhistorique dtaill des communications entrantes et
sortantes, lidentification dun abonn partir de son moyen de paiement ou du point de
vente dune carte prpaye et mme dun appelant masqu derrire une tte de ligne, un
serveur, une adresse IP mme masque par un faisceau cbl. Cest un arrt du 22 aot
98
72/95
2006 99 pris en application de larticle R. 213-1 du code de procdure pnale qui a fix la
tarification applicable ayant pour objet la production et la fourniture des donnes de
communication par les oprateurs de communications lectroniques. Les tarifs y sont
donns hors taxe. Toutefois, au vu de la volumtrie en constante volution et de la volont
de ltat de baisser le montant des dpenses publiques, un nouvel arrt est prvu pour
2012, ce dernier revoyant les prix des prestations fournies par les oprateurs de
communications lectroniques la baisse.
3.4.
3.4.1. LHADOPI
La Haute Autorit pour la Diffusion des Ouvres et la Protection des Droits sur Internet, est
lorganisme cr en vue de la mise en uvre de la politique de riposte gradue contre les
tlchargements illgaux initie par le lgislateur Franais travers la loi du 12 juin 2009
complte par la loi du 28 octobre 2009.
Les chiffres publis par cet organisme constituent une premire valuation dune nouvelle
politique en matire de contrle des tlchargements illgaux et plus largement en matire
de protection des droits dauteurs. Le caractre exclusif des uvres protges par les
droits dauteur sestompe indubitablement suite lvolution numrique. Le
tlchargement sur Internet, le Peer to Peer et le Streaming sont autant dentraves aux
droits intellectuels. Les anciennes lgislations ne permettent plus de contrler de manire
effective ces droits (incertitude juridique quant la qualification ou non de copie prive
pour une uvre change entre internautes). De mme, le contrle de ces droits laide de
mesures techniques de protection semble limit par lvolution des connaissances et
lhabilit de certains acteurs dous en informatique. La loi Hadopi permet entre autre
dinstaurer une surveillance des flux de tlchargements, de permettre lidentification des
adresses IP responsables de ces tlchargements et de prvenir les titulaires de ces
adresses. Les internautes sont tous tenus de faire scuriser leurs rseaux sous peine de
commettre une contravention de ngligence caractrise. La contravention de
ngligence caractrise rprime une faute domission, le manquement lobligation de
scuriser un accs Internet, lorsque celle-ci a entran un rsultat prcis, lutilisation de
99
73/95
74/95
Concernant le refus dagrment, le dcret prcise quil devra tre motiv. Quand lARJEL
dtecte un site non autoris, elle a pour obligation dadresser un courrier recommand
avec accus de rception au site illicite dans lequel elle demande larrt du site. En cas
dabsence de rponse, LARJEL assigne lhbergeur, lditeur et les FAI. Dans ce cas, la
difficult pour lARJEL rside dans le fait que lhbergeur ou lditeur se trouvent
ltranger. Ainsi, sil ne parvient pas les toucher, il assignera le FAI. Ce fut
notamment le cas dans laffaire ARJEL contre FASTHOSTS INTERNET Limited et
autres101, o le Tribunal de Grande Instance de Paris dans son ordonnance de rfr
rendue le 2 fvrier 2012, a fait injonction la socit de droit britannique FASTHOSTS
INTERNET Limited de mettre en uvre les mesures propres empcher laccs au site
de communication au public en ligne offrant des jeux dargent et de hasard en ligne
accessible ladresse www.palaceofchance.com, sous astreinte provisoire de vingt jours
et lexpiration de ce dlai, en cas de carence de la socit FASTHOSTS INTERNET
Limited est fait injonction aux socits Numricble, France Tlcom, Orange France,
Socit Franaise du Radiotlphone- SFR, Free, Bouygues Tlcom, Darty Tlcom et
Auchan Tlcom, dment informes lexpiration du dlai imparti la socit
FASTHOSTS INTERNET Limited de sa carence empcher laccs au site, de mettre en
uvre , ou de faire mettre en uvre lexpiration dun dlai de dix jours, les mesures
appropries de blocage par nom de domaine(DNS) pour empcher leurs abonns
daccder partir du territoire franais au service de communication au public en ligne
actuellement accessible ladresse www.palaceofchance.com. Enfin, en ce qui concerne
les sanctions, tout exercice illgal dune activit de jeux dargent et de hasard en ligne est
pnalement sanctionn. En matire de publicit, la loi du 12 mai 2010 prvoit galement
que quiconque fait de la publicit par quelque moyen que ce soit en faveur dun site de
paris ou de jeux dargent non autoris est puni dune amende de 100 000 euros.
75/95
Si lon regarde lvolution des trente dernires annes, la cybercriminalit prend une ampleur
accrue au fur et mesure de lacceptation des technologies dans la socit. Il est ncessaire
dadapter notre droit et de renforcer la coopration entre les tats.
1.1.1. Rvision du droit franais
Aujourdhui, aucun texte lgislatif ou rglementaire ne dfinit la notion de cybercriminalit,
ce qui a des effets nfastes car de ce fait certains magistrats ne cernent pas la ralit du
phnomne et nen mesurent pas forcment les enjeux ni les prjudices rels qui en dcoulent.
Par ailleurs, les services denqute spcialiss nont quune vision approximative de ce
phnomne. Il faudrait donc introduire une dfinition de la cybercriminalit dans le Code
pnal102. Dans un souci dharmonisation il faudrait galement procder une simplification
des textes et une rduction du nombre des infractions relatives la cybercriminalit.
En effet, cette accumulation de textes en matire de cybercriminalit est constitutive dun
point faible dans sa lutte. Il est noter que lon renvoie dun texte un autre ce qui engendre
des modifications partielles dans les divers codes. On renvoi, on dplace, on modifie. Il
apparat donc urgent de reprendre un travail de codification des textes qui sont actuellement
sous-utiliss, car mconnus et inaccessibles.
Toutefois, les initiatives purement nationales, pour aussi ncessaires quelles fussent, ne
permettent pas elles seules de lutter avec toute lefficacit souhaitable. Une approche
strictement franaise ne peut constituer une rponse un phnomne qui ne connat pas les
frontires.
1.1.2. Renforcement de la coopration entre les pays
Les systmes judiciaires, les cultures, les frontires physiques de chaque pays, crent autant
de barrires un contrle efficace de ces formes de criminalit. Il existe encore de gros
progrs faire sur lharmonisation des lgislations et leur implmentation effective. En effet,
la cybercriminalit se prsente souvent sous une dimension internationale. On notera par
exemple que les contenus illicites transmis par courriel transitent souvent par plusieurs pays
avant d'atteindre le destinataire. Parfois, ils ne sont pas stocks dans le pays mais ltranger.
Il est donc essentiel que les tats concerns par un cyberdlit collaborent troitement aux
102
76/95
103
77/95
106
Article 706-73 du Code de procdure pnale et aux dlits dassociation de malfaiteurs prvus par lalina 2 de
larticle 450-1 du code pnal.
______________________________
78/95
Cette plate-forme a pour objectif de recueillir et de traiter des signalements des contenus
illicites dInternet. Elle permet une rationalisation du traitement des signalements. Toutefois,
afin doptimiser son utilit, il serait pertinent dinstaurer une vritable traabilit des
signalements. Soit, de leur transmission la plate-forme jusqu leur traitement judiciaire,
ceci afin que la chaine pnale soit rellement efficace, soit pour quelle puisse tre value et
au besoin ajuste.
2. Des prconisations dordre organisationnel
______________________________
79/95
______________________________
80/95
les modles des fraudes. La collaboration troite entre tous les acteurs qui combattent la
cybercriminalit devoir pouvoir continuer se dvelopper.
Certains axes de rflexion peuvent tre envisags, toutefois, une tude de faisabilit doit tre
pralablement effectue, et ceci doit tre fait dans le respect de la lgalit. titre dexemple,
loprateur de communications lectroniques peut dans le respect de la loi communiquer
certaines informations (la base des impays gre par le GIE Prventel).
2.2.2. Sagissant de la scurit
Concernant la menace interne lentreprise, les solutions passent par la mise en place de
procdures internes de contrles renforces, gestion des droits daccs, des mots de passe de
plus en plus compliqus, rcupration des badges avec photo ou empreintes digitales ou des
codes au moment du dpart des employs voire des prestataires lissue de leurs missions. Il
est indispensable dinstaller des logiciels, des antivirus, des anti-spams
Il est ncessaire dintgrer la scurit au cur du mtier de lentreprise. En effet, La scurit
nest plus une problmatique isole. Poursuivant lexemple donn par les administrations, les
oprateurs de tlcommunications instaurent des politiques de scurit des systmes
dinformation (PSSI) afin de garantir la protection des donnes dont ils sont propritaires ou
quils rutilisent. Les technologies et le volume des donnes constituent des enjeux majeurs
pour les oprateurs, il faut donc imprativement les protger. Il existe un rel besoin dune
cyber-risk aware culture au travers de lentreprise. Ainsi, tous les acteurs, du plus haut
niveau de la socit (le comit excutif) jusquaux quipes oprationnelles sans oublier les
services clients, doivent tre impliqus et sensibiliss aux enjeux de la cybercriminalit pour
leur entreprise et au rle quils peuvent et doivent incarner. Pour loprateur SFR, cette
proccupation constitue une priorit.
Enfin, concernant les failles de scurit, depuis lordonnance du 24 aot 2011, une obligation
de notifier la CNIL les failles de scurit est faite aux oprateurs de communications
lectroniques (nouvel article 34 bis dans la loi Informatique et Liberts). Les oprateurs de
communications lectroniques, et particulirement SFR, ont mis en place une procdure de
recueil de ce type de fraude. Ainsi, a t mis en place un service spcialis qui qualifie
lincident puis le remonte au service informatique. Les collaborateurs doivent galement tre
impliqus, ils peuvent et ont lobligation dinformer directement et sans dlai la Direction
Juridique ou celle des Fraudes par le biais dun programme cr spcialement, et accessible
______________________________
81/95
______________________________
82/95
CONCLUSION
Comme, on a pu le constater tout au long de ce mmoire, les rseaux numriques sont
devenus une composante majeure sur laquelle repose la croissance de nos conomies.
Pourtant l'utilisation des rseaux, tel l'Internet, prsente des risques et des vulnrabilits
inhrentes leur nature : ouverte et internationale.
Ainsi, depuis que l'Internet s'est dmocratis, il ne se passe pas une semaine sans que les
mdias ne rapportent une affaire lie de prs ou de loin l'utilisation frauduleuse des TIC
(Technologies de l'Information et de la Communication). Comme cela a dj t dvelopp
prcdemment, les activits criminelles lies aux technologies de l'information peuvent
prendre des formes trs varies : atteintes aux systmes d'information et/ou aux donnes
informatises, attaques de serveur par saturation (spamming), violation du secret des
correspondances prives, violation des rgles de protection des donnes personnelles,
espionnage industriel ou militaire, contrefaon de droits de proprit intellectuelle (brevets,
marques, dessins, droits d'auteur, ), dlits de presse (ex : diffamation), fraude fiscale, fraude
la carte bancaire, blanchiment d'argent, rseaux de pdophiles, usurpation d'identit,
organisation de la prostitution La liste des infractions est longue ; ces dernires touchant
autant les entreprises prives, les administrations que les particuliers.
En tant qu'espace de communication ouvert, lInternet permet la diffusion de tout type
d'information sans aucune contrainte gographique. En effet, les responsables des attentats du
11 septembre 2001, qui taient dissmins dans diffrents pays du monde, avaient eu recours
aux systmes de messageries lectroniques associs l'usage de moyens de cryptologie et de
stganographie (lart de cacher des messages) pour assurer la confidentialit de leurs changes
tendant la prparation et l'organisation de leurs attentats.
Par ailleurs, suivant la loi applicable dans le pays de destination de l'information, cette
dernire pourra tre considre comme licite ou illicite, parfois en fonction des principes
(variables) de libert d'expression et de respect de la vie prive.
En France, comme dans les autres pays, l'Internet s'affranchit de toute contrainte territoriale.
Ainsi, le fait d'apprhender des comportements dlictueux sur les rseaux se heurte trois
types de contraintes : celle de l'anonymat qui peut tre organise sur les rseaux, celle de la
volatilit des informations numriques (possibilit de modifier et de supprimer des lments
de preuve quasi instantanment) et celle des comportements dlictuels qui revtent souvent un
caractre transnational.
Face ces ralits, une harmonisation internationale du droit et des procdures ainsi qu'une
______________________________
83/95
troite coopration judiciaire entre les tats, sont des conditions sine qua non pour tre en
mesure de lutter efficacement contre des cybercriminels qui tendent s'organiser et agir au
niveau plantaire. Cette harmonisation est devenue une priorit majeure des tats qui sont
entrs dans la socit de l'information, spcialement les tats membres du Conseil de
l'Europe, conformment aux bases qui ont t dfinies par le G8.
Ainsi, la rvolution numrique et le dveloppement de la communication en rseaux ont rendu
indispensable l'adaptation des outils lgislatifs, rpressifs et de coopration internationale.
Par ailleurs, face une cybercriminalit en expansion et en perptuelle transformation, les
oprateurs de communications lectroniques, au ct des acteurs nationaux, entendent avoir
une attitude responsable et active. Dans ce contexte et au-del du prjudice subi (perte du
chiffre daffaire, atteinte limage de marque ) les oprateurs de communications
lectroniques se mobilisent pour apporter leur concours et proposer des solutions la lutte
contre toutes les formes de fraudes.
Cette position dfendue par les oprateurs de communications est en parfaite adquation avec
les souhaits de ltat franais. En effet, le 14 fvrier 2008, Madame Michle Alliot Marie,
alors ministre de lintrieur, de loutre-mer, des collectivits territoriales prconisait dj
quune charte de bonnes pratiques amliorant la coopration avec les oprateurs de
communications lectroniques soit ainsi propose afin permettre le blocage des sites illicites
et l'acclration de la transmission des informations aux services de Police et de Gendarmerie.
Et au-del, ce sont l'ensemble des acteurs de la chane, les hbergeurs de site, les oprateurs,
les associations de consommateurs, qui seront galement concerns.
Les oprateurs de communications lectroniques ont dj mis en place de nombreux moyens
humains, techniques et financiers pour lutter contre le flau contemporain que constitue la
cybercriminalit. Toutefois, ce combat doit tre partag avec tous les acteurs impliqus, dune
manire ou dune autre dans ce baroud . Chacun pouvant apporter sa pierre ldifice, ceci
que ce soit le particulier, quil est important dassocier et de sensibiliser, que les
tablissements privs et publics tant nationaux quinternationaux, sans oublier le milieu
judiciaire ( magistrats, services de Police et Gendarmerie).
Enfin, pour reprendre une formule chre loprateur de communications lectroniques SFR :
Faisons ensemble du numrique un monde plus sr .
______________________________
84/95
Le Phreaking .................................................................................................................................................... 24
Le Hacking ....................................................................................................................................................... 25
Section 3 : Les fraudes complexes: lexemple de la fraude aux numros surtaxs ...................................... 31
PARTIE II : UNE CYBERCRIMINALIT COMBATTUE PAR LES OPRATEURS DE
COMMUNICATIONS LECTRONIQUES ................................................................................................ 33
CHAPITRE I : LES OUTILS, CONTEMPORAINS, DE LUTTE CONTRE LA CYBERCRIMINALIT MIS LA DISPOSITION
DES OPRATEURS DE COMMUNICATIONS LECTRONIQUES ................................................................................. 33
85/95
______________________________
86/95
______________________________
87/95
2.2.
Au niveau des oprateurs de communications lectroniques .................................................................. 80
2.2.1. Sagissant des ressources humaines ................................................................................................... 80
2.2.2. Sagissant de la scurit ..................................................................................................................... 81
CONCLUSION ............................................................................................................................................. 83
TABLE DES MATIRES ............................................................................................................................ 85
BIBLIOGRAPHIE/SITOGRAPHIE ............................................................................................................ 89
LEXIQUE ..................................................................................................................................................... 92
______________________________
88/95
BIBLIOGRAPHIE/SITOGRAPHIE
OUVRAGES :
-
SITES CONSULTS :
Site de lONDRP :
www.inhesj.fr/.../ondrp/rapport.../ra2011/synthese_rapport_2011.pdf
89/95
www.cybercrimelaw.net/.../SGH_CyberspaceTreat
______________________________
90/95
www.un.org/en/conf/crimecongress2010
www.ewi.info/
______________________________
91/95
LEXIQUE
Botnets : Rseau d'ordinateurs zombies dtourns l'insu de leurs propritaires. En plus de
servir paralyser le trafic (attaque par dni de service), de moteur la diffusion de spam, les
botnets peuvent galement tre utiliss pour commettre des dlits comme le vol de donnes
bancaires et identitaires grande chelle.
Cheval de Troie : Un cheval de Troie (Trojan Horse en anglais) est un logiciel dapparence
lgitime, conu pour excuter des actions linsu de l'utilisateur.
Directive : Une directive est une dcision de droit communautaire visant favoriser
l'harmonisation des lgislations nationales des tats membres de l'Union Europenne.
DNS : Domain Name System, est un service permettant de traduire un nom de domaine en
informations de plusieurs types qui y sont associes, notamment en adresses IP de la machine
portant ce nom.
Faille de scurit : Dans le domaine de la scurit informatique, une vulnrabilit ou faille est
une faiblesse dans un systme informatique, permettant un attaquant de porter atteinte
l'intgrit de ce systme, c'est--dire son fonctionnement normal, la confidentialit et
l'intgrit des donnes qu'il contient.
______________________________
92/95
FAI : signifie littralement Fournisseur d'accs Internet. On l'appelle aussi provider, mot
provenant de l'appellation anglaise ISP, qui signifie Internet Service Provider (traduction:
Fournisseur de services Internet). C'est un service (la plupart du temps payant) qui vous
permet de vous connecter Internet...
Geek : {anglicisme} Passionn d'informatique.
______________________________
93/95
Le Phishing : Le phishing est une technique de fraude visant obtenir des informations
confidentielles, telles que des mots de passe ou des numros de cartes de crdit, au moyen de
messages ou de sites usurpant l'identit d'institutions financires ou d'entreprises
commerciales connues et rputes.
Oprateur de communications lectroniques : Selon la directive 2002/19/CE Accs du
7 mars 2002 , loprateur de communications lectroniques se dfinit comme une entreprise
qui fournit ou est autorise fournir un rseau de communications public ou une ressource
associe .
Ordonnance : L'ordonnance est une dcision prise par un juge. Le juge statue seul, dans
certains cas, dans son cabinet, donc hors de l'audience publique.
Rglement : un rglement est une disposition prise par certaines autorits administratives,
auxquelles la Constitution donne comptence pour mettre des rgles normatives. Tels sont
les dcrets du Prsident de la Rpublique (certains sont pris aprs avis du Conseil d'tat et
portent le nom de Rglement d'Administration Publique) et les arrts pris par les ministres du
Gouvernement, les prfets, les sous-prfets et les maires des communes, dans la limites de
leurs attributions. En Droit communautaire, le Rglement constitue l'instrument juridique par
lequel se manifeste le pouvoir lgislatif de la Communaut.
Spamming : Le spamming est lenvoi d'un mme message lectronique non sollicit un
trs grand nombre de destinataires au risque de les importuner
Un hbergeur : Un hbergeur internet (ou hbergeur web) est une entit ayant pour vocation
de mettre disposition des internautes des sites web conus et grs par des tiers.
______________________________
94/95
Ver : un ver est un programme nocif et autonome qu'on peut retrouver sur le disque dur ou
dans le code excutable contenu dans le secteur de dmarrage du disque.
Virus : Un virus informatique est un programme, gnralement de petite ou trs petite taille,
dot des proprits suivantes : infection ; multiplication ; possession d'une fonction nocive
(payload).
______________________________
95/95