Académique Documents
Professionnel Documents
Culture Documents
La Cybercriminalit en Mouvement
Jaborde peu souvent les publications onreuses pour les porter
lattention des modestes lecteurs de la Mare, estimant quil y a assez
de ressources libres bien faites pour sviter davoir se procurer des
ouvrages payants. Ainsi, ce sont essentiellement les publications MISC
qui sont portes votre attention via le blog, lorsquelles sortent. En
autodidactes, amateurs, simplement passionns, le cot de la vie au
quotidien est dj assez important, pour sviter des frais dune
passion onreuse. Je vais vous parler de La Cybercriminalit en
Mouvement, dEric Freyssinet.
y soit au rendez-vous et que malgr la non institutionnalit de ces manifestations il y ait pertinence sy
rendre.
La notion est galement aborde lorsquil aborde la partie droit de la lutte contre la cybercriminalit, o il
tablit justement que lorganisation et la recherche en la matire nest pas toujours le fait dinstitutions et
dorganismes tablis, mais aussi le fait dindpendants et de particuliers, de faon moins formelle, o les textes
lgislatifs sur lusage doutils, et le partage dinformations sensibles, peuvent les ostraciser et les condamner
suivant les transpositions tablies dans les documents lgislatifs nationaux de la convention du Conseil de
lEurope sur la Cybercriminalit. Paradoxalement, cest la partie qui ma sembl la plus intressante pour un
non initi : la partie droit, applications, jurisprudences. De laveu de lauteur, cest un mille-feuilles lgislatif
incomprhensible aux particuliers et non-initis, qui gagnerait tre dpoussir et actualis, suivant quelques
pistes suggres dans louvrage.
nous sommes dans le mme type de bulle mercantile mensongre. Sur ce type de recherches, o le droit des
affaires (via les conditions gnrales dutilisation) soppose lintrt gnral (par le dcorticage illgal des
fonctionnalits dun outil informatique), pas une observation.
En page 118, lauteur aborde la future fameuse obligation de notification des incidents de scurit. Nulle part
lauteur ne commente lobligation de notifier les utilisateurs, se contentant de commenter et prendre acte de
la notification aux CNIL. L encore, sa parole aurait du poids et pourrait permettre peut-tre dinfluencer les
lgislateurs par une prise de position argumente. Mais pas de prises de position sur ce sujet non plus. Ny a-til que moi pour moffusquer que les utilisateurs ne soient pas notifis de la fuite de donnes personnelles les
concernant, quels que soient la nature des fuites et les moyens mis en place ensuite ?
En page 130 est abord le fameux sujet des 0-Day, leur divulgation, leur exploitation, la mise en place doutils,
etc. Trs succinctement vrai dire. Il y aurait eu matire dvelopper les notions de full-disclosure et son
oppos, la lgalit ou illgalit, lidal atteindre, les moyens coercitifs de contraindre les acteurs scuriser
ou non des outils et accs grands publics, les obligations de scurisation (existantes pourtant pour les
particuliers, cf. Hadopi) de prestataires dhbergement ou de services Web. Pas un mot sur ces aspects,
pourtant trs largement encore dbattus aujourdhui. Lauteur avait abord ces notions sur son blog, sans
jamais rellement exprimer dopinion personnelle, juste un point de vue dofficiel sur les lments. Au del des
0-Day, et des latences des diteurs corriger des vulnrabilits notifies, jaurais souhait l encore lire des
observations personnelles sur le fait quun portail institutionnel possde des identifiants admin/admin valides
et sur le signalement de telles aberrations qui parfois lgitime des plaintes.
En page 136, lauteur voque la lgalit et la libralisation des techniques cryptographiques, en 2000. Pas un
mot l non plus sur ce retard lallumage de la lgislation franaise alors quen amont douvrage en faisant la
gense de la cybercriminalit, la ncessit de prserver les changes tait dmontre bien plus tt. Pas un mot
sur cet aspect encore, et la dsutude des textes, l aussi en dissonance avec lpoque.
En page 138, en abordant lencadrement des moyens lgaux dinterception et de surveillance des
communications informatiques, introduit dans larsenal lgislatif par LOPPSI (appele LOPPSI2 par habitude,
mais les 2 p dsignant dj la 2e mouture, il y a redondance, la premire tant LOPSI), sans doute pour
rassurer, lauteur rappelle que ces matriels sont soumis autorisation ministrielle pour la dtention et la
commercialisation et que ces dispositifs sont placs sous le contrle dune commission consultative et la
responsabilit administrative de lANSSI. Le propos se veut rassurant.
Je ne peux toutes fois mempcher de faire un parallle entre ces dispositifs localiss destination dune
machine, et dautres plus globaux destination de services tatiques trangers qui nont parat-il pas
dexistence sur notre territoire. Lauteur ne peut ignorer les rvlations et les affaires (Amesys par exemple),
que beaucoup de ses contacts Twitter relaient sans relche (fo0, Bluetouff, Kitetoa, etc.). Paradoxalement, en
voulant rassurer sur lemploi et lencadrement juridique de ces techniques et matriels, jaurais tendance
considrer que lauteur dsavoue malgr lui les prises de positions officielles de la diplomatie franaise. Je
mlange peut-tre tout l dans un mauvais procs, mais que lon reconnaisse ou non la dualit de ces
technologies dinterception grande coute, cela reste des moyens lgaux dinterception et de surveillance,
non ?
Page 171, en rapportant les changes avec Wout de Natris sur qui dveloppe la rglementation Internet,
lauteur semble faire sienne lopinion exprime, savoir la proposition consensuelle de dialogue et de
comprhension mutuelle comme pralable tout dialogue et volution des rglementations internationales
afin de lutter contre la cybercriminalit. L encore, je regrette quil ne dtaille pas certaines dispositions
lgislatives franaises, passes en force sans recherche de consensus, et quil ne sexprime pas
personnellement.
Dans la partie Le partage comme arme, en page 187, lauteur numre quelques initiatives institutionnelles et
prives de remontes dinformations accessibles au grand public (comme phishing-initiative, par exemple). L
encore, pas dobservations personnelles sur le fait que certaines initiatives prives auraient d ltre bien en
amont des autorits institutionnelles, si elles avaient pris la mesure des soucis en temps et en heure. Je
mtonne que lauteur ne sen tonne pas en fait, pourrais-je dire avec malice.
Enfin, en page 203, dans lannexe A, une numration rapide des acteurs institutionnels de la lutte contre la
cybercriminalit est aborde. Encore une fois, je regrette quil naborde pas les budgets associs (toujours trop
faibles) et ne pointe pas certaines iniquits dans le budget allou au traitement des infractions (je pense au
budget de lHadopi par exemple). Jaurais souhait lire lauteur, acteur principal de la lutte contre la
cybercriminalit, prendre position ou ne serait-ce que commenter la disparit des budgets allous. Encore une
fois, je reste sur ma faim.
En effet, lespace numrique est le mme pour tous. Les personnes et les organisations () sont les mmes et,
pour lessentiel, leurs outils quotidiens sont identiques. Les motivations et lintensit recherche peuvent varier,
mais les armes sont presque toujours semblables : un escroc, un espion, un terroriste ou mme un manifestant
numrique, nous lavons vu, utilisera des outils similaires. Bien entendu, il ne faut pas tout mettre sur le mme
plan et la rponse doit tre adapte aux risques rellement encourus et aux motivations . Cest une partie de
la conclusion, empreinte de bon sens, et rassurante. Mais lactualit judicaire, mon sens dment ce point de
vue. Laffaire Triskel/EDF pourrait lillustrer par exemple. Il y aurait eu matire aussi dvelopper laide pas
toujours lgale je pense, au regard du droit international- de certains clusters la diffusion dinformations et
la position dun officiel de la Gendarmerie dfaut de connatre LA position officielle des institutions. L
encore, je pense certains de ses contacts Twitter, membre affichs de Telecomix, et sur lesquels lauteur ne
peut pas ne pas avoir dobservations personnelles.
abords, et sans tonnement on constatera, comme la fait observer M. Bortzmeyer via une fiche de lecture
sur son blog, que le point de vue de lenquteur est celui exclusivement retenu avec le souhait de voir la
lgislation abonder en ce sens (ce qui ne manquera certainement pas darriver) malgr quelques timides
recommandations de prserver le ncessaire anonymat des internautes en certaines circonstances. Sans
indiquer quelles pistes de rflexion permettraient de prserver cela.
Vu lintrt public de la porte de louvrage -et le contenu accessible tous dmontre la finalit avoue de
pouvoir tre comprhensible de tout chacun- il me semble quil aurait gagn en visibilit tre distribu
numriquement gratuitement, peut-tre disposer de sa propre plate-forme (qui existe dj pourtant, lcem.fr,
sans doute dune initiative prive de lauteur) permettant de consulter louvrage complet en directe lecture.
Cest un de mes grands regrets, le prix le restreignant un nombre limit de lecteurs, dj sensibiliss la
thmatique, et qui ne sont pas le public avou -vu lcriture- de louvrage. Je crois quainsi cet ouvrage passera
ct de son public ; les seuls investissant une telle somme le seront dune majorit de professionnels, qui
finalement ne dcouvriront rien de ce quils ne sachent dj. Mais il est lire et, encore une fois, dintrt
public.
Pour terminer, je dois souligner la dmarche volontaire et participative de M. Freyssinet. Ce qui me permet
aujourdhui presque effrontment- de porter un il critique et subjectif sur cet ouvrage, en amateur avou et
dclar, alors que lauteur est officier de Gendarmerie, polytechnicien, hyper comptent dans ses domaines de
prdilection (la lutte contre la cybercriminalit), cest son accessibilit et sa dmarche innovante de visibilit
sur les rseaux sociaux (blog personnel, compte Twitter personnel, participation encore personnelle- des
vnements non institutionnels comme PSES2012, etc.) et les plateformes informelles dchange. Cette
proximit est une relle innovation et traduit un engagement humain et personnel au-del de limage
institutionnelle presque fige.
Cet homme est brillant jusque dans son accessibilit aux autres ; cela traduit mon sens- une franche
dmarche de constante remise en question, personnelle et professionnelle. Comme la technologie. Cet homme
est de son temps, de notre poque. Cela est rassurant.