26/04/2019 Memoire 

Online ­ La Cybercriminalité nouveaux enjeux de la protection des données ­ SERRES Diane et CLUZEAU Anna

WOW !! MUCH LOVE ! SO WORLD

PEACE !
Rechercher sur le site:  Fond bitcoin pour l'amélioration du site:
1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires):
DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp
 Recherche 

Home | Publier un mémoire | Une page au hasard

Memoire Online > Droit et Sciences Politiques > Droit des Nouvelles Technologies
La Cybercriminalité nouveaux enjeux de la protection des données
par SERRES Diane et CLUZEAU Anna  Disponible en mode multipage
Université Laval ­ Maîtirise en droit de l'entreprise 2008
  

UNIVERSITE LAVAL
La cybercriminalité
Les nouveaux enjeux de la protection des données
 
Diane SERRES et Anna CLUZEAU
Lundi 15 décembre 2008
 

Table des matières

Introduction 3

Le hameçonnage, une forme d'usurpation d'identité d'entreprise 5

Le vol d'informations sensibles 9

A.La lutte contre le piratage des données personnelles 13

Le cyber­terrorisme 20

Conclusion 25

Bibliographie 26

Introduction

Le  développement  des  nouvelles  technologies  de  l'information  et  de  la  communication  et  la  vulgarisation  d'Internet  ont
provoqué  des  bouleversements  majeurs,  tant  au  niveau  de  la  communication  à  l'échelle  mondiale  qu'au  niveau  du  droit
applicable.  On  voit  émerger  de  nouveaux  modes  de  communication,  révolutionnés  par  cette  possibilité  de  connecter  le
monde entier en permanence, et notamment de nouveaux modes d'échanges, comme le commerce en ligne, ou commerce
électronique.  Il  est  désormais  possible  de  conclure  une  transaction  à  des  milliers  de  kilomètres  de  distance  de  son
interlocuteur et par un simple clic. Néanmoins, ce développement a aussi ses revers, et parmi eux on note l'apparition d'une
nouvelle menace : la cybercriminalité.

La cybercriminalité est une notion polymorphe qui peut concerner les infractions classiques commises par le biais des
nouvelles technologies, comme de nouvelles infractions, nées de l'essence même de ces nouvelles technologies.

Aujourd'hui, cette menace se fait de plus en plus insidieuse, les enjeux n'en sont plus les mêmes, et elle devient un risque
majeur,  en  particulier  pour  des  acteurs  donc  les  réseaux  sont  susceptibles  de  contenir  des  informations  monnayables,
comme  les  entreprises  ou  les  Etats,  qui  présentent  l'avantage  de  fournir  des  blocs  entiers  d'informations  potentielles,
contrairement au piratage d'entités individuelles. En effet, de plus en plus, la cybercriminalité, à l'origine conçue comme une
succession  de  défis  à  la  sécurité  des  réseaux,  qualifiée  de  proof­of­concept  par  de  nombreux  auteurs1(*),  se  teinte  d'une
coloration mafieuse, donnant naissance à de véritables « marchés noirs » d'informations piratées, allant des atteintes à la
propriété  intellectuelle  et  artistique  au  vol  d'identité,  en  passant  par  les  fraudes  à  la  carte  bancaire.  Ces  informations  se
vendent de moins en moins cher, signe qu'elles sont de plus en plus faciles à voler, et à trouver, les pirates étant protégés
d'une  part  par  l'utilisation  de  pseudonymes  et  d'autre  part  par  leur  nombre  croissant.  On  parle  de  véritables  réseaux
underground, développés en Europe de l'Est, mais aussi aux Etats­Unis, en Chine, et en Allemagne.

Underground economy servers are black market forums used by criminals and criminal organizations to advertise and trade
stolen  information  and  services,  typically  for  use  in  identity  theft.  This  information  can  include  government­issued

https://www.memoireonline.com/04/09/2033/La­Cybercriminalite­nouveaux­enjeux­de­la­protection­des­donnees.html 1/10
26/04/2019 Memoire Online ­ La Cybercriminalité nouveaux enjeux de la protection des données ­ SERRES Diane et CLUZEAU Anna

identification  numbers  such  as  Social  Security  numbers,  credit  cards,  credit  verification  values,  debit  cards,  personal
identification numbers (PIN s), user accounts, email address lists, and bank accounts.2(*)

Face à cette professionnalisation du vol de données, nous avons choisi de nous demander quels sont les nouveaux enjeux
de la protection des données, notamment pour des structures comme les entreprises (I) ou les Etats (II).

Les enjeux de la protection des données pour les entreprises

Les  entreprises,  avec  l'avènement  du  commerce  électronique  et  les  transactions  effectuées  en  lignes,  sont  sujettes  à  de
nombreux fléaux. Nous examinerons seulement deux menaces parmi la foule de risques qu'encourent les entreprises. En
effet,  le  hameçonnage  est  tout  d'abord  une  usurpation  de  l'entreprise  qui  peut  en  souffrir  (A).  Ensuite,  l'entreprise  est
particulièrement  touchée  par  le  vol  de  ses  données  par  le  biais  des  nouvelles  technologies  de  l'information  et  de
communication (B).

Le hameçonnage, une forme d'usurpation d'identité d'entreprise
L'usurpation  de  l'identité  d'une  entreprise  existe  depuis  longtemps  déjà.  En  effet,  la  contrefaçon,  ou  l'usage  d'un  nom  de
domaine  semblable  à  une  entreprise  sont  des  techniques  qui  portent  atteinte  à  sa  propriété  intellectuelle.  Cependant,
l'internet et la multiplication des transactions en ligne a amené les cybercriminels à développer une nouvelle technique pour
usurper l'identité de l'entreprise : le hameçonnage.

Le hameçonnage, traduit de l'anglais phishing, désigne métaphoriquement le procédé criminel de vol d'identité par courriel.
Il s'agit d'« aller à la pêche de renseignements personnels dans un étang d'utilisateurs Internet sans méfiance3(*)». Pour
l'office québécois de la langue française, le hameçonnage peut être défini ainsi :

  Envoi  massif  d'un  faux  courriel,  apparemment  authentique,  utilisant  l'identité  d'une  institution  financière  ou  d'un  site
commercial connu, dans lequel on demande aux destinataires, sous différents prétextes, de mettre à jour leurs coordonnées
bancaires ou personnelles, en cliquant sur un lien menant vers un faux site Web, copie conforme du site de l'institution ou
de  l'entreprise,  où  le  pirate  récupère  ces  informations,  dans  le  but  de  les  utiliser  pour  détourner  des  fonds  à  son
avantage4(*). 

L'apparence  d'authenticité  est  la  difficulté  qu'il  faut  soulever.  En  effet,  il  s'agit  d'une  véritable  usurpation  d'identité  de
l'entreprise ou de l'organisme qui a elle­même pour but l'usurpation de l'identité du destinataire.

Cependant, il faut distinguer le hameçonnage, qui désigne un moyen d'escroquerie par Internet de l'usurpation de l'identité
de  l'entreprise,  ou  brand  spoofing.  Le  hameçonnage  n'a  pas  pour  finalité  d'usurper  l'identité  de  l'entreprise.  Il  s'agit  d'un
moyen pour escroquer les clients de cette dernière.

Les entreprises souffrent de ce type de procédé. En effet, l'usurpation a lieu à deux niveaux. Tout d'abord, il y a usurpation
de la marque de l'entreprise, puisque le but du hameçonnage est de créer l'illusion de cette entreprise. Ensuite, il y a
usurpation de l'interface du site web de l'entreprise, puisque pour amener les destinataires à croire dans l'identité de
l'entreprise, l'apparence du site web sera recréée comme appât. Cette usurpation d'interface peut même aller jusqu'à la
copie identique de l'adresse internet. En effet, par des outils techniques, la barre d'adresse du navigateur internet contenant
l'adresse du faux site est recouverte par l'adresse réelle du site web5(*). L'usurpation devient alors totale.

La plupart des entreprises touchées par le hameçonnage sont les institutions financières6(*). En effet, les escrocs convoitent
particulièrement les informations bancaires, afin de détourner des fonds.

Face à ces constatations, l'entreprise subi un préjudice. En effet, ses clients vont subir un vol de renseignements
personnels. Leur confiance dans l'entreprise ne peut qu'en sortir amoindrie. Il se peut que le client veuille même engager la
responsabilité de l'entreprise dont l'identité a été usurpée. Le droit aujourd'hui est assez mal équipé pour vaincre le fléau du
vol d'identité d'entreprise. En effet, de telles actions pourraient être attaquées pour usurpation de marque7(*). Une action
pourrait également être intentée en matière de propriété intellectuelle, si les escrocs ont utilisé le même nom de domaine ou
un nom approchant. Cependant, ces actions ne semblent pas satisfaisantes. L'entreprise peut donc voir sa réputation
entachée, mais elle peut aussi subir des pertes financières.

En effet, le législateur a l'intention de modifier le Code criminel pour y inclure le hameçonnage. Le premier projet de loi qui a
été proposé était le projet C­299 déposé en mai 2006. Il avait pour objet l' « obtention de renseignements indicateurs par
fraude ou par faux semblant »8(*). Cette notion de faux semblant désigne directement le hameçonnage. Il s'agit en effet du
fait d'obtenir des renseignements en se faisant passer pour quelqu'un d'habilité à le faire. Un autre projet de loi est destiné
remplacer le projet C­299. Il s'agit du projet de loi C­27 intitulé « Vol d'identité et inconduites connexes »9(*). L'article 10 du
projet crée une nouvelle infraction : le « Vol d'identité et fraude à l'identité »10(*). Le faux semblant est associé au vol
d'identité11(*). Auparavant l'infraction de faux semblant de l'article 362 du Code criminel ne pouvait être qu'associée avec le
vol12(*). Le vol d'identité n'étant pas reconnu, le faux semblant ne pouvait pas être appliqué pour le hameçonnage. Avec le
projet de loi, le hameçonnage pourra être ainsi incriminé.

Ce projet de loi s'inscrit dans un mouvement législatif international visant l'adaptation du droit aux nouveaux crimes commis
par le biais des nouvelles technologies de l'information et de communication. Le législateur a enfin pris conscience que ce
type de crime doit être combattu spécifiquement.

https://www.memoireonline.com/04/09/2033/La­Cybercriminalite­nouveaux­enjeux­de­la­protection­des­donnees.html 2/10
26/04/2019 Memoire Online ­ La Cybercriminalité nouveaux enjeux de la protection des données ­ SERRES Diane et CLUZEAU Anna

Les  entreprises  agissent  également  de  leur  côté.  En  effet,  un  groupe  de  travail  international  réunit  de  nombreuses
entreprises, dont des banques ou des organismes de sécurité, pour trouver des solutions au hameçonnage. Il s'agit de l'Anti
Phishing  Work  Group.  Cet  organisme  émet  des  recommandations  sur  la  façon  dont  les  entreprises  doivent  informer  leur
clientèle des dangers encourus. Il propose aussi la mise en place de mesures de sécurité internes, comme par exemple un
système  d'authentification  à  deux  facteurs,  ou  l'utilisation  systématique  du  protocole  HTTPS.  Ce  système  consiste  en
l'authentification  du  client  par  deux  étapes  :  une  première  identification  lors  de  la  connexion  et  une  seconde  lorsqu'une
transaction en ligne est effectuée. Pour Mac Afee, ce système pourrait faire significativement reculer le nombre de tentative
de hameçonnage d'ici 200913(*). En effet, le rapport de Mac Afee sur la cybercriminalité souligne que le Brésil possède l'un
des systèmes bancaires en ligne le plus sûr au monde puisque la plupart des banques utilisent ces mesures de sécurité14(*).

Il apparaît évident que la confiance des consommateurs en ligne pourrait s'affaiblir si aucune mesure n'est prise. Cette perte
de confiance pourrait s'expliquer par « la sensibilisation du grand public à la cybercriminalité, à l'usurpation d'identité, et à la
violation de la vie privée15(*) ». Il est certain que les utilisateurs doivent prendre des précautions lorsqu'ils effectuent des
paiements en ligne ou lorsqu'ils communiquent des données. Cependant, ils ne peuvent pas être seuls responsables de leur
sécurité. Les entreprises comme les Etats doivent prendre des mesures, en investissant d'une part dans des outils de
sécurisation de leurs sites, et en légiférant pour pouvoir pénaliser les acteurs de cette nouvelle forme de criminalité.

Le vol d'informations sensibles
Au­delà du risque constitué par l'usurpation de leur identité, les entreprises sont particulièrement vulnérables à travers leur
interface Internet à plusieurs niveaux. En effet, plusieurs de leurs données peuvent faire l'objet d'attaques, principalement
dans  une  perspective  de  vol  de  ces  données.  Parmi  les  données  les  plus  sensibles  selon  nous,  se  trouvent  les  données
techniques relatives aux innovations de l'entreprise, et les données à caractère personnel de leurs clients, qui par exemple
ont pu fournir leur numéro de carte bancaire lors d'une opération de commerce en ligne.

Les motivations des attaquants sont diverses, puisque les attaques peuvent provenir de l'intérieur même de l'entreprise,
comme de l'extérieur. Il convient ici d'identifier les localisations des données sensibles pour savoir comment et par quels
chemins elles sont accessibles. Une entreprise de commerce en effet, au delà de son interface en ligne accessible sur le
réseau Internet, va bien souvent disposer d'un réseau Intranet, réseau fermé interne à l'entreprise. En général les
informations sensibles ne seront pas accessibles à tous mais seulement à un nombre restreint de personnes,
principalement employés de l'entreprise, et elles seront donc à cet effet placées sur l'Intranet. Or, entre l'Intranet et l'Internet
des communications sont possibles, des passerelles peuvent exister, ce qui représente un danger pour ces données.

D'abord,  et  dans  une  perspective  «  traditionnelle  »,  le  vol  d'informations  peut  se  faire  par  des  voies  internes,  ainsi  un
employé de l'entreprise cible peut se voir contacté par les pirates pour délivrer ses informations de connexion à l'Intranet de
l'entreprise, en échange d'argent le plus souvent. Un employé de cette même entreprise peut être lui­même le pirate, auquel
cas  il  se  servira  de  ses  propres  codes  d'accès  s'il  a  un  niveau  de  responsabilité  suffisant  pour  accéder  aux  informations
sensibles stockées sur le réseau. On retrouve souvent cette configuration dans le cas d'employés licenciés, qui savent qu'ils
vont  quitter  l'entreprise  et  nourrissent  un  certain  ressentiment  à  son  égard,  ou  d'anciens  employés  qui  bien  que
n'appartenant plus à l'entreprise possèdent toujours leurs autorisations d'accès et en usent à mauvais escient. À son insu,
un  employé  peut  également  être  victime  d'espionnage,  si  des  logiciels  malveillants  sont  installés  sur  son  ordinateur
personnel  dont  il  se  sert  pour  accéder  au  réseau  interne  de  l'entreprise  par  exemple,  ou  il  peut  être  piégé  par  des
techniques  telles  que  le  hameçonnage  précédemment  décrit  qui  vont  l'induire  en  erreur  et  l'amener  à  révéler  ses
informations d'accès.

Le vol d'information peut également être commis de manière plus nouvelle, par des voies externes, principalement par le
biais  d'Internet.  Ainsi,  les  pirates  peuvent  s'infiltrer  par  des  portes  laissées  ouvertes  dans  le  réseau,  et  accéder  ainsi  aux
informations qu'ils recherchent. Ils peuvent également utiliser des logiciels malveillants qui vont leur permettre de répliquer
les autorisations d'accès en falsifiant les certificats afin de passer au travers des différentes étapes de sécurisation, qui sont
d'autant plus efficaces qu'elles sont nombreuses et variées.

Ensuite, des pirates peuvent vouloir lancer des attaques pour voler des informations relatives à l'innovation, c'est ce qu'on
qualifiera d'espionnage industriel. Comme l'espionnage industriel traditionnel, le but des pirates, qui vont se trouver à la
solde d'un concurrent ou à la solde du plus offrant, est de voler l'innovation technique de la cible, en restant le plus discrets
possible afin de l'égaler sinon de le doubler. Des informations de la plus haute importance peuvent se trouver sur les
serveurs du réseau de l'entreprise, et même si ces informations ne sont pas directement en ligne où ne l'ont été que pour
une période brève, les pirates ont plusieurs moyens d'y accéder. Ils peuvent suivre les chemins qui ont été précédemment
ouverts grâce aux caches ou grâce à la négligence humaine.

Enfin,  les  pirates  peuvent  vouloir  s'attaquer  aux  données  concernant  la  clientèle  de  l'entreprise  cible.  Les  raisons  du
piratage  de  bases  de  données  clients  sont  variables,  il  peut  avoir  pour  but  de  récupérer  des  adresses  de  courriel  pour
procéder à des envois massifs de pourriels, ou spams, ou de revendre aux concurrents ces bases de données. Il peut aussi
avoir  pour  but  de  s'infiltrer  plus  facilement  dans  les  ordinateurs  de  ces  clients  en  utilisant  leur  relation  avec  l'entreprise
comme prétexte à des courriels contenant des applications malveillantes qui permettront aux pirates de mettre en place des
botnets.  Un  botnet  est  un  réseau  d'ordinateurs  infectés  par  un  virus  malveillant,  qui  lorsqu'ils  se  réveillent,  c'est­à­dire
lorsqu'ils  en  reçoivent  l'ordre,  en  général  tous  en  même  temps,  deviennent  des  robots  à  la  solde  du  virus,  d'où  leur  nom
d'ordinateurs zombies16(*).  En  pratique,  les  botnets  sont  utilisés  par  les  pirates  pour  lancer  des  attaques  DOS  (Denial  Of
Service) ou DDOS (Distributed Denial Of Service) qui vont inonder la cible de requêtes et rendre par ce moyen le serveur
inopérant.  Enfin,  la  principale  motivation  des  pirates  qui  attaquent  les  bases  de  données  clients  est  le  vol  des  données
bancaires de ces derniers. Ainsi, citons l'exemple récent de l'opérateur de télécommunications américain AT&T, victime du
piratage  de  ses  données  pour  un  total  de  près  de  19000  clients  et  leurs  informations  bancaires,  ou  encore  le  piratage
historique de plus de 40 millions de numéros de cartes bancaires Visa et Mastercard en 2005, grâce à l'exploitation d'une
https://www.memoireonline.com/04/09/2033/La­Cybercriminalite­nouveaux­enjeux­de­la­protection­des­donnees.html 3/10
26/04/2019 Memoire Online ­ La Cybercriminalité nouveaux enjeux de la protection des données ­ SERRES Diane et CLUZEAU Anna

faille  système  chez  le  sous­traitant  en  charge  du  traitement  des  transactions  entre  les  banques  et  les  clients,
Cardsystems17(*). L'exploitation de telles données est lucrativement très intéressante pour les pirates, qui peuvent soit s'en
servir  eux­mêmes  pour  commettre  des  fraudes  à  la  carte  bancaire,  soit  les  revendre  sur  les  réseaux  underground
précédemment évoqués.

Selon Symantec, il existe un véritable marché des informations volées aux entreprises, et les données relatives aux cartes
de crédit se monnayent par exemple entre 0,40 et 20 $ US18(*) .

Par curiosité, nous avons tenté une simple recherche sur Google en tapant « VISA MC skimmed dumps », recherche ce qui
nous a mené à plus de 25000 résultats, et dirigé très facilement sur des forums sur lesquels en effet on peut lire des
annonces de numéros de cartes de crédit à vendre19(*). Le fait que ces informations soient extrêmement accessibles nous
paraît significatif de la facilité avec laquelle les pirates se les procurent.

Le problème est que l'on ne connaît pas, et l'on ne connaîtra sans doute jamais avec précision, l'importance de ce type de
vol de données. Les raisons en sont multiples : tout d'abord, le principal intérêt des pirates est d'agir silencieusement afin
que leur méfait ne soit pas découvert et qu'ils puissent effectivement exploiter ces données, et c'est pourquoi il est de plus
en plus difficile de repérer ces attaques qui ne cessent de gagner en subtilité grâce au développement croissant de logiciels
malveillants de plus en plus performants. Ensuite, et c'est pourquoi les pirates peuvent choisir de s'attaquer à des
entreprises commerciales plutôt qu'à des organismes publics, l'entreprise piratée aura tout intérêt à étouffer l'affaire et à ne
pas dévoiler au grand public qu'elle vient d'être victime d'une telle attaque, sous peine de voir la confiance de ses clients
s'envoler en fumée. En effet, l'argument principal d'une entreprise ayant des activités de commerce électronique sera la
confiance que l'on peut lui accorder quant à la sécurité des transactions en ligne. Pour contrer ce genre d'attaque, les
entreprises devront utiliser au maximum les possibilités de sécurisation de leurs réseaux20(*), mais elles pourront également
avoir recours à des moyens de paiement sécurisés, comme Paypal.

Comme  nous  l'avons  vu,  les  entreprises  sont  des  cibles  privilégiées  pour  les  cybercriminels,  mais  elles  ne  sont  pas  les
seules. En effet, les Etats sont les nouvelles cibles de la cybercriminalité.

Les enjeux de la protection des données pour les Etats

Les  Etats  sont  aujourd'hui  de  plus  en  plus  confrontés  à  la  cybercriminalité,  d'abord  de  par  leur  rôle  de  protection  des
citoyens, mais surtout parce que le développement des nouvelles technologies de l'information les a menés à développer
des sites web afin de garantir une meilleure accessibilité, et une économie de temps et d'argent substantielle. Le revers de
la médaille réside en ce que certaines données personnelles relatives aux citoyens et résidents deviennent plus facilement
accessibles, en particulier sur les serveurs gouvernementaux (A). Par ailleurs une nouvelle menace se développe pour les
Etats : le cyber­terrorisme (B).

A. La lutte contre le piratage des données personnelles
Au Canada, et plus particulièrement au Québec, la protection des renseignements personnels est assurée par plusieurs lois.
Celles­ci  définissent  un  renseignement  personnel  comme  «  tout  renseignement  qui  concerne  une  personne  physique  et
permet  de  l'identifier  21(*)  ».  Elles  posent  comme  principe  tant  pour  la  collecte,  la  communication  et  l'utilisation  des
renseignements  personnels,  le  consentement  de  la  personne  concernée,  principe  qui  tombe  toutefois  face  à  certains
impératifs, comme l'intérêt public ou l'avantage certain de la personne pour la loi sur l'accès aux documents des organismes
publics et sur la protection des renseignements personnels22(*). Quant aux sanctions prévues par ces lois, l'article 91 de la
loi sur la protection des renseignements personnels dans le secteur privé dispose ainsi :

Quiconque recueille, détient, communique à un tiers ou utilise un renseignement personnel sur autrui sans se conformer à
une disposition des sections II, III ou IV de la présente loi est passible d'une amende de 1 000 $ à 10 000 $ et, en cas de
récidive, d'une amende de 10 000 $ à 20 000 $.23(*)

À la lecture de cet article, on peut se demander si sont aussi ici visées les compagnies qui communiquent involontairement
des renseignements personnels, par exemple lorsqu'elles sont victimes de piratage. Jusqu'à quel point leur responsabilité
est­elle engagée? Il semble qu'elle soit plus large que la responsabilité qui incombe aux organismes publics puisque pour
ceux­ci la loi prévoit :

Quiconque,  sciemment,  donne  accès  à  un  document  ou  à  un  renseignement  dont  la  présente  loi  ne  permet  pas  la
communication ou auquel un organisme public, conformément à la loi, refuse de donner accès, commet une infraction et est
https://www.memoireonline.com/04/09/2033/La­Cybercriminalite­nouveaux­enjeux­de­la­protection­des­donnees.html 4/10
26/04/2019 Memoire Online ­ La Cybercriminalité nouveaux enjeux de la protection des données ­ SERRES Diane et CLUZEAU Anna

passible d'une amende de 200 $ à 1 000 $ et, en cas de récidive, d'une amende de 500 $ à 2 500 $.24(*)

Contrairement aux dispositions applicables au secteur privé, la loi contient le mot « sciemment », qui exonère l'organisme
public de toute responsabilité si l'accès aux renseignements personnels se fait à son insu.

En France, la Loi Informatique et Libertés25(*) a été profondément modifiée en 2004 pour répondre à l'obligation de
transposition de la Directive européenne 95/46 CE du 24 octobre 199526(*). La loi prévoit notamment en son article 34 que :

Le  responsable  du  traitement  est  tenu  de  prendre  toutes  précautions  utiles,  au  regard  de  la  nature  des  données  et  des
risques  présentés  par  le  traitement,  pour  préserver  la  sécurité  des  données  et,  notamment,  empêcher  qu'elles  soient
déformées, endommagées, ou que des tiers non autorisés y aient accès .

Le non­respect de ces dispositions par celui qui traite les données personnelles, entreprise commerciale du secteur privé
comme  organisme  public,  est  sanctionné  par  une  autorité  administrative  indépendante,  la  Commission  Nationale
Informatique et Libertés (CNIL), et peut aller du simple avertissement à la sanction pécuniaire, en passant par la mise en
demeure et l'injonction de cesser le traitement des données personnelles.

Comment les gouvernements, mais plus largement les compagnies du secteur privé, peuvent­ils limiter leur responsabilité
en cas de vol de données? Les gouvernements sont des cibles de choix pour les cybercriminels, en effet leurs serveurs
abritent bien souvent nombre d'informations intéressantes pour eux :

The government sector had the highest overall number of identities exposed during the period, accounting for 60 percent of
the total. There were a number of high profile data loss incidents during the period.27(*)

Les sites les plus «  à risque » sont ceux qui abritent les pages relatives à l'administration électronique, id est ceux qui sont
relatifs à tous les services administratifs et auxquels les usagers ont un accès en ligne. Les téléprocédures se développent
en effet de façon de plus en plus importante, permettant ainsi aux individus de suivre l'avancement de diverses procédures
administratives, de payer leurs impôts en ligne ou de procéder à des demandes d'actes d'état civil. Parmi ces sites, certains
revêtent un aspect particulièrement vulnérable selon nous: ceux qui sont relatifs aux données de l'état civil et ceux qui sont
relatifs aux données de sécurité sociale. En effet, c'est à partir de ces informations de base qu'un vol d'identité pourra se
faire. C'est le principal risque face auquel les Etats doivent être préparés et en mesure de se défendre efficacement.

Brièvement, prenons l'exemple de la France, où il est aujourd'hui possible de faire la demande d'un extrait de naissance en
ligne sur les sites Internet de nombreuses municipalités. À partir d'un extrait d'acte de naissance, on pourra faire une
demande de carte d'identité ou de passeport. Pour faire une demande d'extrait d'acte de naissance la procédure est
simplissime, il suffit de donner ses noms, prénoms, date et lieu de naissance, informations ô combien facile à trouver
aujourd'hui, notamment grâce aux réseaux sociaux tels Facebook. Il faut également donner les noms et prénoms des
parents, et l'extrait d'acte de naissance est envoyé à l'adresse de votre choix. Pour obtenir une carte d'identité, il suffira de
joindre deux photographies d'identité et un justificatif de domicile au formulaire de demande. Ensuite on pourra obtenir un
passeport de la même façon. Il est donc enfantin de voler l'identité de quelqu'un pour lequel on dispose des informations
basiques.

Le  Rapport  annuel  de  Symantec  identifie  quant  à  lui  les  sites  relatifs  à  l'éducation  comme  les  plus  sensibles  pour  ce  qui
concerne les données de l'état civil, en ce que chaque entité (université par exemple) développe son propre site et qu'il est
donc difficile pour le gouvernement d'unifier les politiques de sécurité et de contrôler l'accès aux informations:

Educational institutions store a large amount of personal information on students, faculty, and staff that could be used for the
purposes of identity theft, including government­issued identification numbers, names, addresses, and birthdates.28(*)

Autre  information  sensible,  autre  exemple  de  sites  risqués  :  les  sites  sur  lesquels  on  trouve  des  informations  relatives  à
l'assurance maladie et notamment au numéro de Sécurité sociale.

Si ces renseignements ne sont pas protégés de manière optimale, et notamment s'il est facile de s'accaparer l'identité d'une
personne ou son numéro de sécurité sociale, il devient facile avec une simple connexion Internet et sans grandes
connaissances de voler l'identité d'une personne.

Les  sites  gouvernementaux  et  institutionnels,  comme  les  sites  des  entreprises  du  secteur  privé,  peuvent  abriter  sur  leurs
serveurs des renseignements à caractère personnel, informations qui ne sont pas forcément accessibles en ligne, mais qui
existent  sur  le  réseau  et  auxquelles  on  peut  accéder  si  l'on  connaît  les  failles  de  sécurité  de  ces  réseaux.  Il  est  donc
nécessaire de porter une attention toute particulière à la protection des réseaux dits « sensibles » susceptibles d'être la cible
de vols massifs d'informations personnelles. Pour cela il convient d'adopter une architecture réseau efficace.

Les failles de sécurité d'un réseau peuvent se retrouver principalement au niveau de l'entrée du réseau, au niveau du
serveur, et au niveau des ordinateurs des utilisateurs du réseau. Pour sécuriser l'entrée du réseau « sensible » face aux
attaques extérieures (provenant du réseau Internet), en plus du routeur d'accès et de l'utilisation de pare­feu, il peut être
intéressant de mettre en place une DMZ (zone démilitarisée), qui constitue un rempart supplémentaire contre les agressions
extérieures. Les informations sensibles et susceptibles d'être attaquées devront se trouver au­delà ce cette DMZ :

Cette zone est le concept fondamental de sécurité autour duquel tout réseau doit être architecturé. Elle va jouer le rôle de
zone tampon entre le réseau interne considéré comme de confiance ­ et abritant les ressources internes de l'entreprise ­ et
un réseau non maîtrisé et donc potentiellement dangereux [...] La DMZ a pour rôle d'isoler les machines publiques gérant un
certain nombre de services (DNS, courrier électronique, FTP, http...) du réseau critique interne.29(*)

https://www.memoireonline.com/04/09/2033/La­Cybercriminalite­nouveaux­enjeux­de­la­protection­des­donnees.html 5/10
26/04/2019 Memoire Online ­ La Cybercriminalité nouveaux enjeux de la protection des données ­ SERRES Diane et CLUZEAU Anna

Au sein de cette DMZ et pour améliorer encore la sécurité, on peut mettre en place des serveurs proxy. Un serveur proxy va
intervenir lorsqu'une machine du réseau sensible voudra se connecter à une page donnée, et va servir à éviter un contact
direct entre le réseau sensible et le réseau extérieur (Internet). Toutefois le plus intéressant dans le cas d'un serveur abritant
des  données  personnelles  sera  de  mettre  en  place  des  serveurs  reverse  proxy,  qui  permettront  de  ne  pas  exposer
directement le serveur à risque grâce au rôle de paravent joué par le reverse proxy. Il est important de mettre en place une
fragmentation du réseau effective afin que chaque segment soit totalement indépendant, cela permet en cas d'attaque de ne
pas  voir  l'intégralité  du  réseau  paralysée  et  d'isoler  mieux  la  cible  de  l'attaque.  Les  informations  sensibles,  les  plus
vulnérables, seront au sein de cette architecture placées le plus loin possible du réseau Internet. Pour assurer une meilleure
indépendance entre les différents fragments on peut mettre en place des commutateurs réseaux, ou switch, qui vont répartir
l'envoi des données.

Enfin, pour contrer au maximum l'insécurité résiduelle d'un réseau susceptible de contenir des informations à risque, il nous
paraît capital de mettre en place des politiques de prévention et de bonne conduite au niveau des utilisateurs du réseau. En
effet, malgré une sécurisation efficace du réseau, bien souvent on se rend compte que la faille est humaine. Le
Gouvernement du Canada préconise à cette fin l'emploi de mesures de sécurité, tant physiques (claviers verrouillés,
utilisation de câbles antivols pour les ordinateurs portables), que technologiques (utilisation de mots de passe, documents
chiffrés) ou administratives (accès restreint aux renseignements)30(*).

D'autres solutions commencent à émerger pour permettre aux gouvernements d'affronter la cybercriminalité, on peut ici citer
l'exemple d'ISIS31(*), un Intranet gouvernemental sécurisé qui a été mis en place en France en 2006 à titre expérimental
puis lancé en novembre 2007. Ce réseau, hautement sécurisé, est destiné à échanger des informations confidentielles
classées secret­défense entre différents sites institutionnels, notamment pour la gestion de situations de crise. Il est donc
capital que ce type d'informations soient protégées, et pour ce faire, le choix a été de ne pas passer par le réseau Internet,
trop risqué, mais de transmettre les informations par fibres optiques protégées.

On voit là un exemple de sécurisation maximale des données sensibles, exemple qui pourrait inspirer d'autres Etats.
Cependant, au­delà de cet enjeu de sécurisation des données personnelles dites « sensibles », les Etats connaissent
d'autres menaces dont l'importance ne cesse de croître, parmi lesquelles le cyber­terrorisme.

Le cyber­terrorisme
Parmi les menaces liées aux nouvelles technologies de l'information et de communication, une sorte de crime se démarque
par sa dangerosité et sa complexité : le cyber­terrorisme. Parler de cyber­terrorisme est cependant assez délicat, puisqu'il
s'agit  d'une  notion  émergente,  dont  la  conceptualisation  est  assez  complexe32(*).  Cependant,  nous  verrons  que  les  Etats
prennent des mesures contre cette nouvelle menace, tant au niveau national qu'international.

Très récemment, une organisation ayant pour objet la lutte contre le cyber­terrorisme a vu le jour. Il s'agit de l'International
Multilateral Partnership Against Cyber­Terrorism33(*) (IMPACT), qui réunit vingt six Etats. Son président, Mohd Noor Amin,
définit ainsi le cyber­terrorisme :

Cyber­terrorism means different things to different people. For us at IMPACT, cyber­terrorism refers to the use of computer
networks  to  cause  harm  to  countries  or  people  or  economies.  It  can  be  in  banking,  it  can  be  in  healthcare,  it  can  be  in
aviation,  it  can  even  be  in  government:  it  straddles  everything.  (...)  Clearly,  cyber­terrorism  are  the  upper­end  of  cyber
threats­ a national security concern to most governments34(*).

Il souligne ainsi les difficultés de définition du concept de cyber­terrorisme. Pour Benoît Gagnon, le cyber­terrorisme peut se
définir  comme  «  une  attaque  préméditée  et  politiquement  motivée  contre  l'information,  les  systèmes  informatiques,  les
logiciels et les données, résultant ainsi en une violence contre des cibles non combattantes35(*)  ».  Le  cyber­terrorisme  se
caractérise  également  par  la  virtualité  des  attaques,  à  la  différence  d'attaquer  physiquement  des  serveurs  informatiques,
avec des bombes par exemple, comme c'est le cas pour le « technoterrorisme»36(*).

Il faut aussi différencier le cyber­terrorisme de l' « hacktivism », fusion entre les notions de hacking et d'activism, qui désigne
l'utilisation du piratage informatique dans une fin politique37(*). La frontière est alors très mince, se situant dans la mens rea
de l'attaque informatique. Le cyber­terrorisme désignerait alors « la convergence entre le terrorisme traditionnel et les
réseaux38(*) ».

La réalité du cyber­terrorisme est vérifiable. En effet, depuis une dizaine d'années, les attaques contre les Etats se
multiplient. Du 28 avril au 3 mai 2007, l'Estonie a été le premier pays à être le sujet d'une attaque cyber­terroriste de masse.
De multiples attaques de déni de service distribué (DDOS) ont été coordonnées pour surcharger les serveurs informatiques,
et ont neutralisé les sites Web des médias, privant l'accès à l'information. Le système de cartes de crédit est ensuite devenu
défaillant, empêchant la population d'effectuer des achats. Finalement, les services financiers et le gouvernement ont été
touchés, leurs réseaux informatiques étant paralysés. Il a été ensuite prouvé que ces attaques provenaient de plus d'un
million d'ordinateurs situés partout dans le monde. Les autorités estoniennes ont suspecté la Russie d'avoir perpétré ces
attaques, en réaction au déboulonnement d'un monument à la gloire de l'union soviétique. Cependant, les avis sont
partagés. Pour l'IMPACT, ces attaques n'auraient été qu'un exercice d'échauffement de terroristes pour en tester
l'efficacité39(*).

Les Etats­Unis ont eux aussi été touchés en 2007. En effet, l'un des réseaux du Pentagone a été infiltré lors d'une attaque
contre le ministère de la Défense, et des données auraient été volées40(*). L'Etat chinois a été alors accusé d'avoir
commandé ces attaques. De nombreuses autres attaques ont été perpétrées dans le monde, les autorités des pays victimes
accusant d'autres Etats, comme la Chine ou la Russie.
https://www.memoireonline.com/04/09/2033/La­Cybercriminalite­nouveaux­enjeux­de­la­protection­des­donnees.html 6/10
26/04/2019 Memoire Online ­ La Cybercriminalité nouveaux enjeux de la protection des données ­ SERRES Diane et CLUZEAU Anna
accusant d'autres Etats, comme la Chine ou la Russie.
Ce phénomène est aussi qualifié de « cyber guerre ». Cette criminalité informatique est en constante augmentation, et il
semblerait que « les attaques informatiques visant la sécurité nationale des pays du monde entier, représenteront à partir de
2008 l'une des catégories de menaces les plus importantes 41(*)».

Une cause de la réussite de ces attaques se trouve dans la trop grande dépendance des Etats dans les systèmes
informatiques, et dans les technologies de l'information et de communication en général. En effet, d'après l'OTAN, 90 à 95%
des attaques visant les systèmes d'information pourraient être évitées à l'aide d'outils informatiques et de bonnes
pratiques42(*). Cependant, pour Mikko Hypponen, le chef de la recherche de l'IMPACT, cela ne suffit pas :

We can try to fight the symptoms, we can try to educate the users, but if we really want to solve this problem, we have to find
the criminals and get international cooperation between national police forces to get these predators put away43(*).

Une  prise  de  conscience  des  Etats  peut  aujourd'hui  s'observer.  En  France,  le  livre  blanc  de  la  défense  et  de  la  sécurité
nationale préconise « le passage d'une stratégie de défense passive à une stratégie de défense active44(*) ». De plus, les
Etats ont voulu coopérer dans cette matière, partant du constat qu'il est difficile de combattre seul ce type de menace, par
manque de moyen, d'expérience, et parce que ces attaques se veulent mondiales.

L'Union Internationale des Télécommunications a lancé en 2007 le programme mondial cybersécurité, appelé Global
Cybersecurity Agenda (GCA), pour définir un cadre mondial pour accroitre la confiance et la sécurité dans la société de
l'information45(*). Ce programme comporte plusieurs lignes directrices. Il vise à élaborer une loi type en matière de
cybercriminalité, des protocoles, normes de sécurité et mécanismes d'accréditation de logiciels et de matériel, un système
générique et universel d'identité numérique. Il a aussi pour but de renforcer les capacités humaines et institutionnelles, et de
créer une coopération et coordination au niveau international46(*).

L'IMPACT a été créé dans le cadre de ce programme. Cette organisation est désormais le siège du GCA, et s'articule autour
de quatre piliers : le centre d'intervention, le centre pour la politique et la coopération internationale, le centre pour la
formation et le renforcement des compétences, et le centre d'assurance sécurité et de recherche47(*). Concernant le centre
d'intervention, il a pour but de coordonner les ressources mondiales pour constituer un système d'alerte en temps réel. La
mise en commun des ressources sera effectuée grâce au système ESCAPE48(*), constituant une base de données
mondiale.

Nous pouvons alors soulever plusieurs difficultés qui pourraient naître d'un tel système. Tout d'abord, mettre des ressources
en commun pour constituer une base de données mondiale contenant des informations sensibles pourrait s'avérer
dangereux en cas de piratage de cet outil. Le système informatique mondial serait alors paralysé. Ensuite, une coopération
internationale implique une grande confiance entre les Etats. Or, nous l'avons vu, concernant le cyberterrorisme, les Etats
s'accusent de commanditer les attaques. Certains pays sont d'ailleurs reconnus comme hébergeant des cybercriminels49(*).

D'après nous, une telle coopération internationale contre le cyberterrorisme est nécessaire. En effet, les cyberterroristes
peuvent se situer partout dans le monde, les attaques peuvent provenir de plusieurs endroits à la fois, ce qui rend le cyber­
terrorisme si dangereux et difficilement contrôlable pour les Etats50(*). Dans un contexte de fort développement de ce type
de criminalité, les Etats ont intérêt à définir des politiques et des moyens d'action communs.

Conclusion

Les entreprises sont très vulnérables face au vol de données, spécialement les données clients. Enjeu de sécurisation des
serveurs est capital. On s'aperçoit que le même phénomène est applicable aux Etats. Les législations restent insuffisantes,
et peu réactives. Le trafic de données volées n'est pas sanctionné en soi alors que ce phénomène entraine des coûts et un
préjudice très importants mais incalculables en raison de la volatilité des données. En effet, les entreprises de commerce en
ligne vivent par la confiance que leur accordent leurs clients sur Internet c'est­à­dire que porter à la connaissance de tous
que  leur  site  a  été  la  cible  de  vol  d'informations  revient  à  avouer  publiquement  une  vulnérabilité  et  un  danger  pour  les
données personnelles des clients.

A cause de l'immatérialisme des infractions, il est difficile d'identifier la commission des infractions et de retracer les auteurs.
Le préjudice en est d'autant plus important puisque les infractions

Cependant, les Etats prennent de nombreuses initiatives pour combattre cette nouvelle forme de criminalité, en unissant
leurs forces au sein d'organisations internationales, afin de réunir les expériences et les compétences. Les entreprises et les
consommateurs en ligne seront les premiers bénéficiaires de ces avancées.

Finalement, il reste toujours à trouver un équilibre entre la sensibilisation des utilisateurs aux dangers qu'ils encourent et la
protection par des moyens techniques des réseaux.

Bibliographie

Les adresses internet sont à jour au 13 décembre 2008

Monographies

FILOL, E., RICHARD, P., Cybercriminalité Enquête sur les mafias qui envahissent le web, Dunod, Paris, 2006.

GAGNON B., et DAVID C­P., Repenser le terrorisme Concept acteurs et réponses, Les Presses de l'Université Laval, 2007.

PARISI, F., GRADY, M.F., The law and economics of cybersecurity, New York, Cambridge University Press, 2006.
https://www.memoireonline.com/04/09/2033/La­Cybercriminalite­nouveaux­enjeux­de­la­protection­des­donnees.html 7/10
26/04/2019 Memoire Online ­ La Cybercriminalité nouveaux enjeux de la protection des données ­ SERRES Diane et CLUZEAU Anna

QUEMENER, M., et FERRY, J., Cybercriminalité: Défi mondial et réponses, Economica, Paris, 2007.

Rapports

DENFENSE ET SECURITE NATIONALE FRANCAISE, « Le Livre blanc », Odile Jacob La documentation française, 2008,
en ligne : < >

IMPACT,  « Welcome to the coalition », publication de l'IMPACT, en ligne: < >

MAC AFEE, « Rapport de criminologie virtuelle, Criminalité : la nouvelle vague », 2007, en ligne : < >

OCDE, « Lignes directrices de l'OCDE régissant la sécurité des systèmes et réseaux d'information: Vers une culture de la
sécurité », Recommandation du Conseil de l'OCDE, Juillet 2002, en ligne:

SECURITE PUBLIQUE CANADA, «  Rapport sur l'hameçonnage », octobre 2006, en ligne: < >

SERVICE CANADIEN DES RENSEIGNEMENTS CRIMINELS, Dossier spécial sur le vol d'identité, « Rapport 2008 sur la
criminalité organisée », pp.32­42, en ligne :

SYMANTEC ENTERPRISE SECURITY, « Symantec Global Internet Threat Report, Trends for July­December 2007, volume
XIII », avril 2008, en ligne: < >

SYMANTEC ENTERPRISE SECURITY, « Symantec Report on the Underground Economy, July 2007 ­ June 2008 »,
novembre 2008, en ligne: < >

TREMBLAY, M., « Rapport 5: De la cybercriminalité au déploiement de la cybersécurité », Rapport évolutif: Analyse des
impacts de la mondialisation sur la sécurité au Québec, Laboratoire d'étude sur les politiques publiques et la mondialisation,
2007, en ligne: < >

UNION INTERNATIONALE DES TELECOMMUNICATIONS , « Programme mondial cybersécurité de l'UIT : quoi de
neuf ? », en ligne :< >

Articles

CHANDLER, J. A., «Security in cyberespace: combatting Distributed Denial Of Service Attacks», University of Ottawa Law &
Technology Journal, 1, 23, 2003­2004: 233­261

DADOUR, F., «  La cybercriminalité », Droit du commerce électronique, Thémis, 2002, p. 683

GIROUX, A., « La cybercriminalité : ce qu'elle est et comment l'affronter », Journal du Barreau de Québec, Octobre 2008,
pp. 8­9.

GRATTON, E., « La responsabilité des prestataires techniques Internet au Québec », Les lois de la société numérique:
Responsables et responsabilités, Conférence organisée par le programme international de coopération scientifique,
Montréal, 07 octobre 2004, Lex Electronica, vol.10, n°1, Hiver 2005

KELCI, S., « Vol, fraude et autres infractions semblables et Internet », Lex Electronica, vol.12 n°1, Printemps 2007

MATTHIOS, F.J., « La création d'un délit d'usurpation d'identité sur Internet », Gazette du Palais, 26 juillet 2008, n°208, p.6

SCHJOLBERG, S. et HUBBARD, A.M., « Harmonizing national legal approaches on cybercrime », International
Telecommunication Union, WSIS Thematic meeting on Cybersecurity, Genève, 28 juin ­ 1er juillet 2005, disponible en ligne :
Background_Paper_Harmonizing_National_and_Legal_Approaches_on_Cybercrime.pdf sur le site

Législation, traités

Code civil du Québec, L.Q., 1991, c. 64.

Code Criminel, L.R, 1985, ch. C­46.

CONSEIL DE L'EUROPE , Convention sur la cybercriminalité, Budapest, 23 novembre 2001, et son rapport explicatif,
disponibles en ligne: et

Directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour
les réseaux et les services de communications électroniques, Journal Officiel, L 108, 24 avril 2002.

Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à
caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, Journal Officiel L
201, 31 juillet 2002.

Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou
traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux
publics de communications, et modifiant la directive 2002/58/CE, Journal Officiel L 105, 13 avril 2006.

Directive européenne 95/46 CE sur la protection des personnes physiques à l'égard du traitement des données à caractère
personnel et à la libre circulation des données du 24 octobre 1995, Journal Officiel, L 281, 23 novembre 1995 p.0031 à
https://www.memoireonline.com/04/09/2033/La­Cybercriminalite­nouveaux­enjeux­de­la­protection­des­donnees.html 8/10
26/04/2019 Memoire Online ­ La Cybercriminalité nouveaux enjeux de la protection des données ­ SERRES Diane et CLUZEAU Anna

0050.

Loi concernant le cadre juridique des technologies de l'information, L.R.Q., ch. C­1.1.

Loi n°78­17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la Loi 2004­801 du 6 août
2004, Journal Officiel de la République Française, 7 août 2004.

Loi n° 2004­575 du 21 juin 2004 pour la confiance dans l'économie numérique, Journal Officiel de la République Française,
n° 143, 22 juin 2004 p. 11168

Loi sur les marques de commerce, L.R.C., 1 985, c. T­13

Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q. c . P­39.1

Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. c. A­2.1

Dictionnaire

OFFICE QUEBECOIS DE LA LANGUE FRANCAISE, bibliothèque virtuelle, en ligne : < >

Exemple d'annonce de numéros de carte VISA ou MASTERCARD à vendre

Annonce relevée le 13/12/2008, sur

* 1 Eric FILLIOL, Philippe RICHARD, Cybercriminalité ­ Enquête sur les mafias qui envahissent le Web, Paris, Dunod, 2006

* 2 SYMANTEC, Symantec Global Internet Threat Report, Trends for July­December 2007, volume XIII, avril 2008

* 3 Rapport sur l'hameçonnage, octobre 2006, p.3, en ligne: < >

* 4 Office québécois de la langue française, bibliothèque virtuelle, définition du mot hameçonnage, en ligne : < >

* 5 Mag Securs, « Le brand spoofing a augmenté de 500% depuis janvier 2004 », juin 2004, en ligne : < >

* 6 Rapport sur l'hameçonnage, précité note 3, p.7.

* 7 Loi sur les marques de commerce, L.R.C., 1985, c. T­13, art. 50 (3) et art. 58.

* 8 Projet de loi C­299, en ligne : < >

* 9 Projet de loi C­27, en ligne: < >

* 10 Id. Art. 10

* 11 Id. Art. 10, 402.2(3) f).

* 12 Code criminel, Art. 362 (1) a).

* 13 MacAfee, « Rapport de criminologie virtuelle, Criminalité : la nouvelle vague », 2007, p.5, en ligne : < >

* 14 Id.

* 15 Id.

* 16 Sur la propagation des botnets, voir l'article de Jérôme SALZ sur le site , en ligne < >, 2007

* 17 Joris EVERS, Plus de 40 millions de numéros de carte Mastercard et Visa piratés, publié le 20 juin 2005, en ligne < >

* 18 SYMANTEC, Symantec Global Internet Threat Report, Trends for July­December 2007, volume XIII, avril 2008

* 19 Cf. Annexe

* 20 Cf. infra

* 21 Art 2, Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q. chapitre P­39.1

Art 54, Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q.
chapitre A­2.1
* 22 Art 59, Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. chapitre A­2.1

* 23 Art 91, Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q. chapitre P­39.1

* 24 Art 159, Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. chapitre A­2.1

* 25 Loi n°78­17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, Version consolidée au 17 juillet 2008, en ligne < >

* 26 Directive européenne 95/46 CE sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation
des données, 24 octobre 1995, en ligne < >

* 27

* 28 SYMANTEC, Symantec Global Internet Threat Report, Trends for July­December 2007, volume XIII, avril 2008
https://www.memoireonline.com/04/09/2033/La­Cybercriminalite­nouveaux­enjeux­de­la­protection­des­donnees.html 9/10
26/04/2019 Memoire Online ­ La Cybercriminalité nouveaux enjeux de la protection des données ­ SERRES Diane et CLUZEAU Anna
* 28 SYMANTEC, Symantec Global Internet Threat Report, Trends for July­December 2007, volume XIII, avril 2008

* 29 Eric FILLIOL, Philippe RICHARD, Cybercriminalité ­ Enquête sur les mafias qui envahissent le Web, Paris, Dunod, 2006

* 30 Sécurité publique Canada, Pratiques modèles générales à l'égard de la sécurité des ordinateurs portables, en ligne < > ; Commissariat à la protection de la
vie privée du Canada, Guide à l'intention des entreprises et des organisations ­ Protection des renseignements personnels : vos responsabilités, mise à jour mars
2004, en ligne

* 31

* 32 Benoit GAGNON, « Les technologies de l'information et le terrorisme », Repenser le terrorisme Concept, acteurs réponses, Les presses de l'université Laval,
2007, p.259

* 33 Créée en mai 2008, Site internet de l'IMPACT

* 34 Interview of Mohd Noor Amin, Welcome to the coalition, publication de l'IMPACT, p.56, en ligne: < >

* 35 Benoit GAGNON, précité note 32, p.260

* 36 Id.

* 37 Magazine Wired, « Hacktivism and How It Go Here», en ligne:

* 38 Patrick CHAMBET, « Le cyber­terrorisme », en ligne : < >

* 39 IMPACT, Welcome to the coalition, précité note 35, p. 12­13.

* 40 Mac Afee, Rapport de criminologie virtuelle, précité note 13

* 41 Id. p.10

* 42 Id. p. 11

* 43 IMPACT, précité note 34, p.49

* 44 Livre blanc de la défense et de la sécurité nationale (France), 2008, p.53, en ligne : < >

* 45 Union internationale des télécommunications, « Programme mondial cybersécurité de l'UIT : quoi de neuf ? », en ligne :< >

* 46 Id.

* 47 IMPACT, précité note 34, p.29

* 48 Electronically Secure Collaborative Application Platform for Experts

* 49 MacAfee, précité note 13, p.32

* 50 Benoit GAGNON, précité note 32, p.263

Télécharger maintenant
Votre téléchargement est maintenant disponible, démarrez maintenant pour y OUVRIR
accéder Playweez

Rechercher sur le site:

 Recherche 

 
 
© Memoire Online 2000­2015
Pour toute question contactez le webmaster

https://www.memoireonline.com/04/09/2033/La­Cybercriminalite­nouveaux­enjeux­de­la­protection­des­donnees.html 10/10