Académique Documents
Professionnel Documents
Culture Documents
Cybercriminalité
Docteur Baye Samba DIOP
Spécialiste du cyberdroit
bayesambadiop@yahoo.fr
Plan
I/ Introduction
Chapitre préliminaire/ phénomène cybercrminel
Chapitre II/ Adaptation du droit pénal substantiel des TIC
Chapitre III/ Adoption de nouvelles dispositions en droit pénal procédural des
TIC
Contexte
Les dangers des réseaux sociaux comme Facebook guettent les adolescents
car ils sont les premiers à avoir adopter ce réseau social. Ils sont les plus
nombreux et les plus actifs sur ce site. C’est pour cette raison qu’ils en sont
les premières victimes. Les adolescents peuvent être victimes d’harcèlement
moral, d’injures, photos obscènes… Les faits divers dû à l’utilisation de ce
site se sont multipliés. Plus grave encore, les adolescents y partagent leur
vie privée sans se rendre compte que leur intimité est exposée
publiquement. Facebook permet de partager et d’échanger des messages,
des photos et des vidéos.
Contexte
Cependant certains ados se servent de ces outils de communication pour insulter leurs
contacts ou pour leurs envoyer des photos obscènes. De plus en plus de soucis se
déroulant à l’école s’immiscent sur Facebook ce qui n’est pas fait pour aplanir les
choses. L’exposition des conflits et disputes sur ce site entraîne de réels débordements
et peut aller jusqu’au harcèlement moral. Les directeurs d’établissements sont face à
de nouvelles formes de difficultés qui ne vont que s’amplifier.
Source Psycho-bien-etre.be , seneweb 22 novembre 2018
170 personnes sont déférées en 2016 au parquet de Dakar pour infraction
cybercriminelle
Le Sénégal serait, en effet, à la 71ème position des pays les plus attaqués dans le
monde selon une étude de Kaspersky, citée par Ismaël Camara, président du Rejotic,
dans une tribune
QUOI?
Les débuts de la protection pénale des informations trouve leur origine dans
les années 1960. A partir du milieu des années 1970, de sérieuses recherches
scientifiques et criminologiques ont été faîtes.
Dans les années 80, la conception publique et scientifique de la criminalité
informatique a profondément changé. Il est d'abord apparu que non seulement
la criminalité économique était affecté par la criminalité informatique, mais
qu’il y avait aussi des atteintes à d’autres biens.
Selon une communication du parlement européen du 22 mai 2007, « faute
d’une définition communément admise de la criminalité dans le cyberespace,
les termes « cybercriminalité », « criminalité informatique » ou criminalité
liée à la haute technologie » sont souvent utilisés indifféremment (voir rapport
du groupe de travail interministériel sur la lutte contre la cybercriminalité).
QUOI?
Selon la conception restrictive, « c’est tout acte illégal par lequel une connaissance
de la technologie et des usages informatiques est essentielle, soit pour son
déroulement, soit pour mener à bien l’enquête et les poursuite judiciaires »
( « combattre la criminalité informatique » O.R.O.S Paris 1985, p 334).
Selon les travaux du onzième congrès des Nations Unies pour la prévention du
crime et la justice pénale du 18 au 25 avril 2005. Selon les conclusions du
congrès, l'infraction informatique recouvre: « tout comportement
interdit par la législation et/ou par la jurisprudence qui: a) est dirigé contre les
technologies
L’accès illégal est l’une des infractions les plus courantes. Il est souvent
associé au terme « piratage». Un exemple de ce type d’infraction est la
capture d’un mot de passe ou d’un autre mécanisme de protection afin
d’accéder à un système ou à des données, sans autorisation. Depuis la mise
en place des réseaux informatiques, ce délit est devenu un phénomène de
masse.
.
Accès illégal
Un individu répondant au nom de HAWMOND Claudis Alin a été mis aux arrêts par les
fonctionnaires de Police de la PLCC, à la suite d'une plainte adressée par la victime de
l'acte illicite. En effet, c'est après avoir constaté la modification des données de son
site internet et l'impossibilité d'avoir accès à l'interface d'administration, que le
propriétaire dudit site web - patron d'une entreprise de la place- a saisi d'une plainte
la Plateforme de Lutte Contre la Cybercriminalité. Par ailleurs, un message injurieux
avait été posté par l'auteur de l'acte délictueux sur la page d'accueil du site internet,
mettant à mal la crédibilité de l'entreprise. Les investigations techniques effectuées
par la PLCC ont permis d'identifier l'auteur de cette intrusion illicite, qui s'est révélé
être un ex employé de l'entreprise. Même si le suspect a soutenu ignorer le caractère
illicite de ses agissements, il a reconnu que ces actes étaient motivés par la volonté
de nuire à son ex employeur pour des motifs personnels.
L'individu a été mis aux arrêts et déféré devant le parquet d'Abidjan-plateau pour
l'ensemble de ces agissements, prescrits par la loi N°2013-451 relative à la lutte
contre la cybcercriminalité (https://cybercrime.intérieur.gouv)
Espionnage de données
L’espionnage de données est l’acte qui consiste a obtenir des données sans
autorisation. Des renseignements sensibles souvent stocké dans les systèmes
informatiques raccordés aux réseaux, les contrevenants peuvent essayer
d’accéder à ces renseignements à distance. En conséquence, l’internet est
de plus en plus souvent utilisé pour violer des secrets commerciaux.
Espionnage de donnée
Comment se protéger
NE CLIQUEZ JAMAIS SUR DES LIENS OU DES ANNEXES en cas d'incertitude sur
l'expéditeur ou l'authenticité du contenu, l’adresse d’envoi d’un courriel
pouvant être falsifiée
Maintenez systématiquement votre antivirus à jour afin qu'il puisse
reconnaître les dernières menaces et vous avertir en conséquence
Ne communiquez jamais vos données personnelles et vos informations de
login
Atteinte à l’intégrité du système
C'est dans l'arrière boutique d'un magasin de vêtements que deux suspects ont
été interpellé en pleine activité cybercriminelle, dans la commune de
Yopougon quartier Banco II. En effet, ce qui en apparence paraissait être un
simple magasin de vêtements, cachait en vérité le nœud d'un réseau
cybercriminel bien ficelé. Les informations directement collectées auprès des
victimes et suite aux investigations techniques ont permis de découvrir le
mode d'action de ce réseau cybercriminel.
Après avoir monté leurs escroqueries via Internet, les cybercriminels
recommandaient à leurs victimes de se faire transférer des sommes d'argent
par le biais de coupon de recharges pour cartes prépayées.
Fraude informatique
Les deux individus ont été interpellés et déférés devant le parquet d'Abidjan-
Plateau et des recherches supplémentaires sont en cours, en vue d'identifier les
autres membres et ramifications de ce réseau criminel
Fraude informatique
Les activités des délinquants qui consistent à diffuser du contenu illicite vont
de la mise à disposition de pornographie infantile et d’anti locution à
l’exploitation de sites de jeux illégaux. La diffusion de contenus illicites, tels
que des instructions sur la manière de provoquer des explosions ou
d’organiser des attaques terroristes suscite également de vives
préoccupations.
Spam
Une fois sur place, le cybercriminel a été interpellé alors qu'il s'apprêtait à
retirer le fruit de son escroquerie via un moyen de paiement mobile money.
Grande fut la surprise des membres de l'équipe présente sur place, de
constater que le nommé GNAN TEMANOHIN accompagné de son acolyte SAKO
STEPHANE, disposait d'une autre carte d'identité scolaire avec laquelle il avait
crée un compte de mobile money. Interrogé sur la provenance de cette pièce
d'identité, le suspect a déclaré avoir volé la carte d'identité de voisin de
classe, afin de brouiller les pistes en cas de recherches relatives à son activité
illicite.
Après un compte rendu fait aux autorités judiciaires de la ville de Divo, les
deux cyberdélinquants ont été transférés et déférés devant le parquet
d'Abidjan-Plateau.
Chapitre II/ le droit pénal matériel des TIC
Dans le droit pénal matériel des TIC, il convient de distinguer les infractions
pénales spécifiques aux TIC (Section I) et les infractions pénales « classiques »
commises au moyen des TIC (Section II)
Section I:Les infractions pénales
spécifiques aux TIC
On distingue deux catégories d’infractions aux TIC spécifiques à savoir les
atteintes aux systèmes d’informations (paragraphe I) et les atteintes aux
données informatiques (paragraphe II)
Paragraphe I: les atteintes aux systèmes
d’informations
Selon l’article 431-7 du Code pénal issu de la loi sur la cybercriminalité, on entend par
système informatique : « tout dispositif isolé ou non, tout ensemble de dispositifs
interconnectés assurant en tout ou partie, un traitement automatisé de données en
exécution d’un programme ». Cette approche du système est conforme aux définitions
données à cette notion par la convention de Budapest sur la cybercriminalité du 23
novembre 2001, la décision cadre du conseil de l’Union européenne du 24 février 2005
relative aux attaques visant les systèmes d’information et la convention de l’Union
africaine sur la cybersécurité et la protection des données à caractère personnel. Il peut
s’agir d’un ordinateur pris isolément, d’un réseau de télécommunication ou d’une carte
à puce…
Selon l’article premier de la convention africaine précitée, c’est « tout dispositif
électronique, magnétique, optique, électrochimique ou tout autre dispositif de haut
débit isolé ou interconnecté qui performe la fonction de stockage de données ou
l’installation de communications. Ces communications sont directement liées à ou
fonctionnent en association avec d’autre(s) dispositif(s). »
Paragraphe I: les atteintes aux systèmes
d’informations
L’article 29 de la convention africaine sur la cybersécurité qualifie comme infraction pénale le fait :
a) d’accéder ou de tenter d’accéder fauduleusement dans tout ou partie d’un système informatique
ou de dépasser un accès autorisé;
b) d’accéder ou de tenter d’accéder frauduleusement dans tout ou partie d’un système
informatique ou de dépasser un accès autorisé avec l’intention de commettre une nouvelle
infraction ou faciliter une telle infraction;
c) De se maintenir ou de tenter de se maintenir frauduleusement dans tout ou partie d’un système
informatique;
d) D’entraver, fausser ou tenter d’entraver ou de fausser le fonctionnement d’un système
informatique;
e) D’introduire ou tenter frauduleusement des données dans un système informatique;
f) D’endommager ou de tenter d’endommager, d’effacer ou tenter d’effacer, de détériorer ou
tenter de détériorer, d’alerter ou tenter d’alarter, de modifier ou tenter de modifier
frauduleusement des données informatiques.
Paragraphe I: les atteintes aux systèmes
d’informations
Ce que le Docteur Pape Assane Touré classe en trois catégories à savoir les
atteintes à la confidentialité des systèmes informatiques (I), les atteintes à
l’intégrité des systèmes informatiques (II) et les atteintes à la disponibilité
des systèmes informatisées (III)
I/les atteintes à la confidentialité des
systèmes informatiques
En droit sénégalais, la confidentialité des systèmes informatiques est garantie par
deux infractions : l’accès frauduleux et le maintien frauduleux dans un système
informatique.
L’accès frauduleux à un système informatique « hacking » ou piratage informatique
est érigé en cyberinfraction par l’article 431-8 Code pénal du Sénégal.
Un jugement du Tribunal régional de Dakar du 18 septembre 2009(T.R.H.C Dakar,
n° 4241 du 18 septembre, affaire Pneuméca) a eu l’occasion de proposer une
définition précise de l’accès à un système. Selon le tribunal « l’accès frauduleux à
un système consiste à une intrusion, une pénétration par une personne dans le
système sans y être autorisé, à l’aide de manipulations ou de manœuvres
quelconques, c'est-à-dire à l’établissement d’une communication avec le système
(…) »
I/les atteintes à la confidentialité des
systèmes informatiques
Le maintien frauduleux dans un système est prévu par l’article 431-9 Code pénal
sénégalais. Ce texte sanctionne « quiconque se sera maintenu ou aura tenté de se
maintenir frauduleusement dans tout ou partie d’un système informatique (…)».
Le législateur réprime le fait pour un individu non habilité, d’avoir accédé par
hasard ou par erreur à un système ou bénéficiant d’une autorisation de connexion
limitée dans le temps, de se maintenir dans le système au lieu d’interrompre sa
connexion.
En France, En 2012, l’Agence Nationale de sécurité sanitaire de l’alimentation, de
l’environnement et du travail (ANSES), opérateur d’importance vitale (OIV), a
déposé une plainte auprès des services de police après la détection d’un accès
frauduleux sur son serveur extranet. Cette détection faisait suite à la découverte
d’un article de presse accompagné d’un document de travail « powerpoint »
appartenant à l’agence destiné uniquement à un usage restreint.
I/les atteintes à la confidentialité des
systèmes informatiques
L’ANSES a alors constaté que de nombreux documents (8.000 fichiers) situés dans
un dossier « lecture » avaient été exfiltrés vers une adresse IP d’un VPN (réseau
privé Virtuel) localisée au Panama. Leur auteur avait profité d’une faille de
sécurité dans les paramètres du serveur extranet concernant l’identification en
permettant l’accès. L’accès était ainsi rendu possible par l’utilisation de l’URL
complète.
Le dirigeant de cette société était à l’origine du délit de maintien frauduleux dans
le système informatisé de l’Agence. Il avait reconnu lors des auditions, avoir
récupéré via son VPN panaméen l’ensemble des données litigieuses stockées sur le
serveur extranet de l’ANSES et déclarait avoir découvert tous ces documents en
libre accès après une recherche complexe sur le moteur de recherche Google.
(Voir Maxence Abdelli « Maintien frauduleux dans un système informatisé »
article publié le 25/09/2014 sur http://un-contrat.com/maintien-frauduleux-dans-
un-systeme-informatise/)
I/les atteintes à la confidentialité des
systèmes informatiques
La Cour d’Appel de Paris a retenu le caractérise le délit de maintien frauduleux
dans un STAD, le fait pour des employés, de prolonger abusivement leur maintien
dans le système grâce à des systèmes d'inhibition et d'écrans noirs, durant des
heures, voire des nuits entières, hors leur présence et à l'insu de leur entourage
dans le seul but de multiplier le nombre de 14 points leur ouvrant droit à des
cadeaux . (voir CA de Paris 9 ch15/12/99);
II/ Les atteintes à l’intégrité des systèmes
informatiques
Ces atteintes prévues sont par l’article 431-10 Code pénal sénégalais qui dispose
« quiconque aura entravé ou faussé ou aura tenté d’entraver ou de fausser le
fonctionnement d’un système informatique sera puni d’un emprisonnement d’un (1)
an à cinq (5) ans et d’une amende de 5.000.000 à 10.000.000 francs ».
La question se pose concernant la preuve du caractère frauduleux de l’accès d’une
part et la preuve de l’élément intentionnel ou du caractère intentionnel de la
pénétration illicite d’une autre part ?
Exemples:
Le contournement ou la violation d’un dispositif de sécurité (comme la suppression
délibérée des instructions de contrôle).
L’insertion d’un fichier espion enregistrant les codes d’accès des abonnés (cookies ;
cheval de Troie ; ver informatique ; etc.) .
Une connexion pirate vissant a interroger a distance un système ; de l’appel, d’un
programme ou d’une consultation de fichiers sans habilitation.
III/ Les atteintes à la disponibilité des
systèmes informatisées
Ces atteintes ont pour siège l’article 431-11 Code pénal qui incrimine
« quiconque aura frauduleusement, introduit ou tenté d’introduire
frauduleusement des données dans un système informatique »
L’introduction est opération technique consistant à incorporer des caractères
magnétiques nouveaux dans un système.
Elément matériel : Il suffit d'une influence négative sur le fonctionnement
du système pour que l'acte d'entrave soit matérialisé. L'entrave vise à
paralyser ou à retarder le fonctionnement du système. (Exemples : bombes
logiques introduisant des instructions parasitaires, occupation de capacité
de mémoire, mise en place de codification ou tout autre forme de barrage).
Elément moral: l'infraction est constituée pour autant que l'individu ait
Intentionnellement entravé le fonctionnement du système en ne respectant pas
le droit d'autrui.
III/ Les atteintes à la disponibilité des systèmes
informatisées
Selon l’article 29.2 de la convention africaine sur la cybersécurité, constitute une atteinte aux données
informatiques le fait:
a) Intercepter ou tenter d’intercepter frauduleusement par des moyens techniques des données informatisées lors
de leur transmission non publique à destination, en provenance ou à l’intérieur d’un système informatique;
b) Introduire, altérer, effacer ou supprimer intentionnellement et sans droit des données informatiques,
engendrant des données non authentiques, dans l’intention qu’elles soient prises en compte ou utilisées à des
fins légales comme si elle étaient authentiques, qu’elles soient ou non directement lisibles et intelligibles;
c) En connaissance de cause, faire usage des données obtenues de manière frauduleuse;
d) Obtenir frauduleusement, pour soi-même ou pour autrui, un avantage quelconque, par l’introduction,
l’altération, l’éffacement ou la suppression de données informatisées ou par toute forme d’atteinte au
fonctionnement d’un système informatique;
e) Même par négligence, procéder ou faire procéder à des traitements de données à caractère personnel sans
avoir respecté les formalités préalables à leur mise en œuvre;
f) Participer à une association formée ou à une entente établie en vue de préparer ou de commettre une ou
plusieurs des infractions prévues dans la convention.
I/ les atteintes à la confidentialité des
données informatiques
La confidentialité des données est garantie par le délit d’interception
frauduleuse de données informatisées prévu par l’article 431-12 Code pénal
sénégalais, conçu par référence au délit classique de violation du secret des
correspondances écrites.
Ce texte réprime le fait d’intercepter frauduleusement des données
informatiques par des moyens techniques lors de leur transmission non
publique à destination, en provenance ou à l’intérieur d’un système
informatique.
Cette infraction garantit le secret des données électroniques, lors de leur
transmission, conformément à l’article 13 de la Constitution sénégalaise du 7
janvier 2001 consacrant le principe du secret des correspondances
électroniques.
II/ Les atteintes à l’intégrité des données
informatiques
En procédure pénale, si la preuve est en principe libre, son administration ne l'est pas.
Le principe de la loyauté de la preuve", qui « impose à l'enquête un style », a pour
objet de prohiber l'utilisation de procédés déloyaux de ruses, d'artifices ou de
stratagèmes par les autorités chargées de l'enquête et de l'instruction": Le recours
à ces méthodes de collation des preuves est sanctionné en jurisprudence par
l'irrecevabilité des indices recueillis. C'est ce qui a été décidé par un arrêt de la Cour
de cassation du 9 août 200679.