1

La Cybercriminalit en Mouvement
Jaborde peu souvent les publications onreuses pour les porter
lattention des modestes lecteurs de la Mare, estimant quil y a assez
de ressources libres bien faites pour sviter davoir se procurer des
ouvrages payants. Ainsi, ce sont essentiellement les publications MISC
qui sont portes votre attention via le blog, lorsquelles sortent. En
autodidactes, amateurs, simplement passionns, le cot de la vie au
quotidien est dj assez important, pour sviter des frais dune
passion onreuse. Je vais vous parler de La Cybercriminalit en
Mouvement, dEric Freyssinet.

Un prix prohibitif contraire lesprit de louvrage

Mon premier bmol ainsi sur louvrage sera donc celui-ci : son prix. De
56 60, sur les plateformes dachat Web ou sur le site diteur,
louvrage nest pas la porte de tous pour un sujet qui concerne
pourtant tout le monde, et dont le contenu se manifeste avant tout
dmythifier la cybercriminalit destination de tout chacun. Un
grand regret donc pour ce prix. Dautant que lauteur, Eric Freyssinet,
officier de gendarmerie en pointe sur la cybercriminalit, ne court pas
aprs un revenu dappoint. Il sagit sans doute dune volont ditoriale, manant des propositions des
professionnels de la publication. Le document aurait gagn en visibilit et en porte en tant distribu sous un
format Libre et gratuit en version numrique, et tel quel en version papier. Un peu comme le sont les
publications parlementaires, dintrt public.
En un peu plus de 200 pages, lauteur nous dvoile un panorama complet de la cybercriminalit constate, ses
volutions, et les tendances dgages. Le contenu est porte de tout lecteur, intelligible sans lments
techniques trop importants qui pourraient rebuter les non spcialistes. Les rfrences sont nombreuses et
permettraient de poursuivre les lectures dun coup dil plus afft techniquement.

Le primat de la source acadmique

Je regrette cependant les sources exclusivement acadmiques, ou presque. Le souci avec ce type douvrages
est la volont dacqurir ou de conserver la crdibilit du constat pos, et les chercheurs universitaires et
parlementaires franais ne se contenteraient pas de sources non acadmiques. Trs certainement. Cest une
tare franaise je pense, o la visibilit et la crdibilit ne sacquirent pas par des dmonstrations et de preuves
de faisabilit, mais par des titres et diplmes thoriques acquis en amont. La comptence dans notre systme
ducatif et professionnel est moins valorise que la connaissance thorique gnrale sanctionne par des
examens ducatifs. Lauteur voque demi-mots ce constat en deux points de louvrage. Ainsi, lorsquil aborde
une numration indicative et non exhaustive comme il lannonce par lui-mme - des confrences de scurit
o des informations et des techniques transverses et multidisciplinaires sont abordes (page 194), et
sinterroge sur la ou non- pertinence des officiels de la lutte contre la cybercriminalit de sy associer, il
voque lambiance non acadmique de ces rassemblements, un peu comme pour sexcuser que la comptence

y soit au rendez-vous et que malgr la non institutionnalit de ces manifestations il y ait pertinence sy
rendre.
La notion est galement aborde lorsquil aborde la partie droit de la lutte contre la cybercriminalit, o il
tablit justement que lorganisation et la recherche en la matire nest pas toujours le fait dinstitutions et
dorganismes tablis, mais aussi le fait dindpendants et de particuliers, de faon moins formelle, o les textes
lgislatifs sur lusage doutils, et le partage dinformations sensibles, peuvent les ostraciser et les condamner
suivant les transpositions tablies dans les documents lgislatifs nationaux de la convention du Conseil de
lEurope sur la Cybercriminalit. Paradoxalement, cest la partie qui ma sembl la plus intressante pour un
non initi : la partie droit, applications, jurisprudences. De laveu de lauteur, cest un mille-feuilles lgislatif
incomprhensible aux particuliers et non-initis, qui gagnerait tre dpoussir et actualis, suivant quelques
pistes suggres dans louvrage.

Un propos lisse et consensuel ou presque

Fort de sa crdibilit et de son autorit institutionnellement inconteste sur le domaine, je dplore le contenu
parfois trop lisse du document et des propos. A la faon dun rapport parlementaire (qui nen est pourtant pas
un), des lments sont abords, sans apprciation personnelle, dune faon monocorde et sans clats. Nul
doute pourtant quun coup de gueule salutaire aurait t parfois utile et entendu, surtout venant de sa part.
Ainsi, quelques lments mont fait bondir la lecture de louvrage.
Par exemple, il voque en page 36 lun des fameux ransomware de lanne 2012, aux logos institutionnels de
la Gendarmerie (des variantes Police, dorganismes europens institutionnels ou privs, dautres pays de la
zone euro existent aussi) et parle dune remonte sur les espaces dchanges officiels des spcialistes la midcembre 2011. Les versions dautres langues laissaient prsager des versions franaises venir ; sur les
forums de dsinfection o les amateurs dsintresss aident nettoyer les ordinateurs distance par
lnumration de consignes, ces infections taient prsentes dj depuis plusieurs semaines aux langues et logs
dautres nations et organismes. Malekal Morte, Xylit0l, acteurs privs non institutionnels, via MalwareScene,
voquent les premiers chantillons franais ds dcembre (les premires variantes allemandes- ds avril pour
Xylit0l, Kaspersky ds Mars). Javais cru pouvoir discerner l une dissonance temporelle entre les remontes
officielles et le constat priv, mais non je me trompe, comme me la fait remarquer lauteur.
En revanche aucune observation personnelle sur le refus de certaines petites entits judiciaires (des
gendarmeries isoles par exemple) refusant denregistrer la plainte dutilisateurs lss (lauteur voquant cet
exemple en revanche dans des suggestions de remontes public/justice plus afftes mais moins protocolaires
afin de prserver la primeur de linformation sans alourdir la prise en charge des plaignants par les entits) ; il
en a donc conscience, mais ne le commente pas.
En page 105, il aborde lexemple dun scareware gr en Ukraine, trait par les autorits amricaines
lamiable finalement, avec un ddommagement important (8 millions de dollars) pour larrt des poursuites.
Jaurais aim un parallle avec un exemple franais et une observation personnelle. Je pense laffaire Viguard
par exemple, o le dbat juridique a ignor le mensonge de loutil pour inciter lachat mais sest port sur la
faon dont le chercheur a dmontr larnaque, pour finalement le condamner. Je nignore pas quon ne
commente pas une dcision de justice, mais je crois quon peut apprcier et mettre en perspective des
jurisprudences. Je sais que ces faits sont clivants, et font dbattre encore aujourdhui, suivant le point de vue
adopt. Mais justement, mon sens lauteur est en mesure de donner le la institutionnel sur la faon
daborder ces lments, je regrette quil nen profite pas. Jai conscience que nous ne sommes pas exactement
dans le mme cas de figure, avec un vrai scareware incitant lachat, via de fausses menaces dtectes. Mais

nous sommes dans le mme type de bulle mercantile mensongre. Sur ce type de recherches, o le droit des
affaires (via les conditions gnrales dutilisation) soppose lintrt gnral (par le dcorticage illgal des
fonctionnalits dun outil informatique), pas une observation.
En page 118, lauteur aborde la future fameuse obligation de notification des incidents de scurit. Nulle part
lauteur ne commente lobligation de notifier les utilisateurs, se contentant de commenter et prendre acte de
la notification aux CNIL. L encore, sa parole aurait du poids et pourrait permettre peut-tre dinfluencer les
lgislateurs par une prise de position argumente. Mais pas de prises de position sur ce sujet non plus. Ny a-til que moi pour moffusquer que les utilisateurs ne soient pas notifis de la fuite de donnes personnelles les
concernant, quels que soient la nature des fuites et les moyens mis en place ensuite ?
En page 130 est abord le fameux sujet des 0-Day, leur divulgation, leur exploitation, la mise en place doutils,
etc. Trs succinctement vrai dire. Il y aurait eu matire dvelopper les notions de full-disclosure et son
oppos, la lgalit ou illgalit, lidal atteindre, les moyens coercitifs de contraindre les acteurs scuriser
ou non des outils et accs grands publics, les obligations de scurisation (existantes pourtant pour les
particuliers, cf. Hadopi) de prestataires dhbergement ou de services Web. Pas un mot sur ces aspects,
pourtant trs largement encore dbattus aujourdhui. Lauteur avait abord ces notions sur son blog, sans
jamais rellement exprimer dopinion personnelle, juste un point de vue dofficiel sur les lments. Au del des
0-Day, et des latences des diteurs corriger des vulnrabilits notifies, jaurais souhait l encore lire des
observations personnelles sur le fait quun portail institutionnel possde des identifiants admin/admin valides
et sur le signalement de telles aberrations qui parfois lgitime des plaintes.
En page 136, lauteur voque la lgalit et la libralisation des techniques cryptographiques, en 2000. Pas un
mot l non plus sur ce retard lallumage de la lgislation franaise alors quen amont douvrage en faisant la
gense de la cybercriminalit, la ncessit de prserver les changes tait dmontre bien plus tt. Pas un mot
sur cet aspect encore, et la dsutude des textes, l aussi en dissonance avec lpoque.
En page 138, en abordant lencadrement des moyens lgaux dinterception et de surveillance des
communications informatiques, introduit dans larsenal lgislatif par LOPPSI (appele LOPPSI2 par habitude,
mais les 2 p dsignant dj la 2e mouture, il y a redondance, la premire tant LOPSI), sans doute pour
rassurer, lauteur rappelle que ces matriels sont soumis autorisation ministrielle pour la dtention et la
commercialisation et que ces dispositifs sont placs sous le contrle dune commission consultative et la
responsabilit administrative de lANSSI. Le propos se veut rassurant.
Je ne peux toutes fois mempcher de faire un parallle entre ces dispositifs localiss destination dune
machine, et dautres plus globaux destination de services tatiques trangers qui nont parat-il pas
dexistence sur notre territoire. Lauteur ne peut ignorer les rvlations et les affaires (Amesys par exemple),
que beaucoup de ses contacts Twitter relaient sans relche (fo0, Bluetouff, Kitetoa, etc.). Paradoxalement, en
voulant rassurer sur lemploi et lencadrement juridique de ces techniques et matriels, jaurais tendance
considrer que lauteur dsavoue malgr lui les prises de positions officielles de la diplomatie franaise. Je
mlange peut-tre tout l dans un mauvais procs, mais que lon reconnaisse ou non la dualit de ces
technologies dinterception grande coute, cela reste des moyens lgaux dinterception et de surveillance,
non ?
Page 171, en rapportant les changes avec Wout de Natris sur qui dveloppe la rglementation Internet,
lauteur semble faire sienne lopinion exprime, savoir la proposition consensuelle de dialogue et de
comprhension mutuelle comme pralable tout dialogue et volution des rglementations internationales
afin de lutter contre la cybercriminalit. L encore, je regrette quil ne dtaille pas certaines dispositions

lgislatives franaises, passes en force sans recherche de consensus, et quil ne sexprime pas
personnellement.
Dans la partie Le partage comme arme, en page 187, lauteur numre quelques initiatives institutionnelles et
prives de remontes dinformations accessibles au grand public (comme phishing-initiative, par exemple). L
encore, pas dobservations personnelles sur le fait que certaines initiatives prives auraient d ltre bien en
amont des autorits institutionnelles, si elles avaient pris la mesure des soucis en temps et en heure. Je
mtonne que lauteur ne sen tonne pas en fait, pourrais-je dire avec malice.
Enfin, en page 203, dans lannexe A, une numration rapide des acteurs institutionnels de la lutte contre la
cybercriminalit est aborde. Encore une fois, je regrette quil naborde pas les budgets associs (toujours trop
faibles) et ne pointe pas certaines iniquits dans le budget allou au traitement des infractions (je pense au
budget de lHadopi par exemple). Jaurais souhait lire lauteur, acteur principal de la lutte contre la
cybercriminalit, prendre position ou ne serait-ce que commenter la disparit des budgets allous. Encore une
fois, je reste sur ma faim.
En effet, lespace numrique est le mme pour tous. Les personnes et les organisations () sont les mmes et,
pour lessentiel, leurs outils quotidiens sont identiques. Les motivations et lintensit recherche peuvent varier,
mais les armes sont presque toujours semblables : un escroc, un espion, un terroriste ou mme un manifestant
numrique, nous lavons vu, utilisera des outils similaires. Bien entendu, il ne faut pas tout mettre sur le mme
plan et la rponse doit tre adapte aux risques rellement encourus et aux motivations . Cest une partie de
la conclusion, empreinte de bon sens, et rassurante. Mais lactualit judicaire, mon sens dment ce point de
vue. Laffaire Triskel/EDF pourrait lillustrer par exemple. Il y aurait eu matire aussi dvelopper laide pas
toujours lgale je pense, au regard du droit international- de certains clusters la diffusion dinformations et
la position dun officiel de la Gendarmerie dfaut de connatre LA position officielle des institutions. L
encore, je pense certains de ses contacts Twitter, membre affichs de Telecomix, et sur lesquels lauteur ne
peut pas ne pas avoir dobservations personnelles.

Une mauvaise grille de lecture personnelle

En conclusion de ma modeste fiche de lecture trs subjective, jen conviens, et tous mes propos sont
lgitimement discutables et contestables, cet ouvrage est un panorama des moyens criminels et des outils de
lutte contre la cybercriminalit. Je nai rien appris la lecture de cet ouvrage, je ne suis pas pourtant un
professionnel du domaine, juste un intress. En revanche, jai redcouvert des lments que javais perdus de
vue et que javais lus ailleurs. Cest le point fort du document : condenser en un texte intelligible tous, en
franais, des informations disparates que lon retrouve sur une multitude de plateformes et sources
dinformations diffrentes. Cest mon sens un tat de lieux presque exhaustif de la cybercriminalit
aujourdhui, en cela la masse dinformations compiles, digres et reformules est impressionnante. Et cest
comme cela quil faudrait prendre louvrage en amont, avant mme de commencer le parcourir : comme un
tat des lieux, manant dune autorit institutionnelle ou lgislative officielle. Pas de Monsieur Freyssinet, qui
ne sexprime presque pas personnellement. Ctait mon erreur dapprciation avant mme de commencer
louvrage. Le devoir de rserve militaire a la vie dure, et il ny a je crois- de pire censure que celle que lon
simpose. Sil y a bien quelquun qui possde la lgitimit sexprimer sur ces sujets, cest lauteur de louvrage.
Car oui, au risque de passer pour le naf de service, je suis convaincu, le lire, quil a les fesses entre deux
chaises crivait dj Bluetouff en 2010.
Ma grille de lecture tait fausse, parce que je pensais dcouvrir des observations personnelles dun officiel de
la lutte contre la cybercriminalit. Mais quasiment tout louvrage reste consensuel dans les points de vue

abords, et sans tonnement on constatera, comme la fait observer M. Bortzmeyer via une fiche de lecture
sur son blog, que le point de vue de lenquteur est celui exclusivement retenu avec le souhait de voir la
lgislation abonder en ce sens (ce qui ne manquera certainement pas darriver) malgr quelques timides
recommandations de prserver le ncessaire anonymat des internautes en certaines circonstances. Sans
indiquer quelles pistes de rflexion permettraient de prserver cela.
Vu lintrt public de la porte de louvrage -et le contenu accessible tous dmontre la finalit avoue de
pouvoir tre comprhensible de tout chacun- il me semble quil aurait gagn en visibilit tre distribu
numriquement gratuitement, peut-tre disposer de sa propre plate-forme (qui existe dj pourtant, lcem.fr,
sans doute dune initiative prive de lauteur) permettant de consulter louvrage complet en directe lecture.
Cest un de mes grands regrets, le prix le restreignant un nombre limit de lecteurs, dj sensibiliss la
thmatique, et qui ne sont pas le public avou -vu lcriture- de louvrage. Je crois quainsi cet ouvrage passera
ct de son public ; les seuls investissant une telle somme le seront dune majorit de professionnels, qui
finalement ne dcouvriront rien de ce quils ne sachent dj. Mais il est lire et, encore une fois, dintrt
public.
Pour terminer, je dois souligner la dmarche volontaire et participative de M. Freyssinet. Ce qui me permet
aujourdhui presque effrontment- de porter un il critique et subjectif sur cet ouvrage, en amateur avou et
dclar, alors que lauteur est officier de Gendarmerie, polytechnicien, hyper comptent dans ses domaines de
prdilection (la lutte contre la cybercriminalit), cest son accessibilit et sa dmarche innovante de visibilit
sur les rseaux sociaux (blog personnel, compte Twitter personnel, participation encore personnelle- des
vnements non institutionnels comme PSES2012, etc.) et les plateformes informelles dchange. Cette
proximit est une relle innovation et traduit un engagement humain et personnel au-del de limage
institutionnelle presque fige.
Cet homme est brillant jusque dans son accessibilit aux autres ; cela traduit mon sens- une franche
dmarche de constante remise en question, personnelle et professionnelle. Comme la technologie. Cet homme
est de son temps, de notre poque. Cela est rassurant.