Dès lors qu'un petit cyber-escroc peut empocher plusieurs milliers de dollars par jour sans être inquiété ou repéré par l'administration ou les autorités judiciaires de son pays, est-il vraiment surprenant que les grandes bandes organisées soient si difficiles à neutraliser ? En l'absence de cyber-frontières entre les pays, les organisations internationales ont-elles vraiment les moyens de lutter contre la cybercriminalité ?
Guillaume Lovet
Pour l'heure, les cybercriminels n'ont d'autre objectif que de gagner de l'argent - et beaucoup d'argent. Virus, spams et autres « botnets » ont beau drainer plusieurs centaines de millions de dollars chaque année à travers le monde, l'existence d'un véritable cadre politique international permettant la définition de mesures efficaces de lutte contre la cybercriminalité continue de manquer.
Dans le monde réel, toute entreprise criminelle ne peut réussir qu'à condition de savoir par quels moyens « blanchir » l'argent mal acquis - qu'il s'agisse de billets de banque volés ou d'argent sale de la drogue. Mais législation contre le blanchiment de l'argent sale oblige, la démarche est logiquement chronophage et complexe. Pour les cybercriminels, la tâche s'avère beaucoup moins compliquée : pour l'essentiel virtuel, le processus peut s'opérer en n'importe quel point du globe - et de préférence là où la législation en la matière est lacunaire.
Il est ainsi rare que les grands actes de la cybercriminalité fassent la une des journaux. Ceci est également dû au fait qu'il est difficile pour une grande entreprise de reconnaître publiquement que son réseau informatique a été la cible d'attaques. C'est ainsi que les auteurs des plus grands « coups » de l'histoire de la cybercriminalité ont encore la vie belle et peuvent circuler en toute impunité.
Ajoutons à cela qu'il est quasiment impossible de tracer un cybercriminel par Internet. Si une adresse IP peut être tracée, celle-ci ne permet pas d'identifier qui est le véritable expéditeur. C'est ainsi qu'en exploitant des réseaux internationaux de plusieurs millions d'ordinateurs zombies, les cybercriminels restent - tant physiquement que virtuellement - très éloignés de la source supposée de l'escroquerie.
S'il est donc presque impossible de tracer les cybercriminels par Internet, suivre la trace de leurs gains financiers peut apparaître comme la solution la plus efficace. Mais là encore, la démarche nécessite une coopération internationale qui n'est pas simple à mettre en œuvre.
En effet, les cybercriminels et autres professionnels du blanchiment d'argent ont tendance à recycler les sommes d'argent volé en de multiples micro-transactions, généralement assurées par un grand nombre de personnes au sein d'un vaste réseau aux multiples ramifications internationales. En outre, les cybercriminels connaissent bien la liste des paradis juridiques où il fait bon se réfugier. À l'instar des paradis fiscaux, ces pays se caractérisent en effet par leurs dispositifs réglementaires particulièrement laxistes en matière de lutte contre la cybercriminalité. Enfin, chaque pays a beau être dotés d'un solide arsenal juridique pour combattre les cybercriminels opérant sur leur territoire, il est facile pour ces derniers - et pour leurs avocats - d'exploiter l'absence de véritable coopération internationale entre les gouvernements.
Quel que soit l'objet de la discussion, amener des gouvernements à coopérer et à trouver un accord est toujours difficile - même lorsque les relations entre les nations concernées sont au beau fixe. Certes, on a pu observer quelques avancées permettant de combler un tant soit peu les lacunes en matière de coopération et de réglementation internationale mais ces efforts demeurent largement insuffisants. Et à l'heure où bon nombre d'instances gouvernementales se perdent dans la quête impossible d'une formule magique, plusieurs centaines de millions d'euros continuent d'être tranquillement blanchis, à l'insu du plus grand nombre et en toute impunité.
L'idée de créer une police supranationale ou de refonder l'Internet n'est que pure fantaisie. Quant aux tentatives de solutions envisagées par l'OCDE et le G8, elles sont vite retombées comme un soufflet. Il existe toutefois certaines pistes intéressantes qui ont le mérite de rendre moins vaine la lutte contre la cybercriminalité.
Sans aucun doute, la Convention de la Cybercriminalité du Conseil de l'Europe constitue l'initiative à ce jour la plus constructive pour développer un cadre juridique efficace. En dépit de son nom, cette convention est soutenue par une vaste coalition internationale et ouverte à tous les pays. Aussi prometteuse puisse-t-elle paraître, il reste encore beaucoup de chemin à faire puisque sur les 46 pays ayant signé le traité, seulement la moitié l'a ratifié et parmi ceux-là, seulement quatre pays ont effectivement utilisé les outils que leur fournit la Convention.
Une large ratification de la Convention par tous les pays signataires constituerait certes une avancée majeure - rappelons-nous que la Déclaration Universelle des Droits de l'Homme a plus de 60 ans et que certains pays ne l'ont toujours pas approuvée à ce jour - mais ne saurait pour autant apporter une solution complète aux problèmes en jeu. Pour y parvenir, toute ratification ou mise en œuvre de la Convention doit être accompagnée d'une volonté politique forte et s'appuyer sur un solide système de gouvernance.
Prenons le cas particulier d'une attaque lancée en 2002 depuis le Royaume-Uni et visant le réseau du gouvernement américain. Malgré les bonnes relations diplomatiques entre ces deux nations, leur arsenal juridique avancé de lutte contre la cybercriminalité et leur solide convention d'extradition, le procès n'est toujours pas arrivé à son terme et dure depuis maintenant sept ans.
Trouver une solution efficace de lutte contre le cybercrime est une démarche certes ambitieuse mais pas impossible. Au-delà des dispositifs réglementaires déjà à l'étude, la consolidation des données criminelles internationales dans une base de données mondiale - du type de ce qu'INTERPOL fournit aux autorités judiciaires - pourrait offrir une solution prometteuse.
Il est encore trop tôt pour savoir si les bases de données d'INTERPOL sont adaptées ou non à la lutte contre la cybercriminalité organisée à l'échelle internationale. Mais l'implication croissante de cette organisation intergouvernementale offre sans aucun doute de bonnes perspectives.
La décision appartient in fine aux gouvernements et aux institutions internationales. À l'heure où l'impact de la cybercriminalité sur l'économie mondiale ne cesse de s'accroître, la coopération internationale bouscule l'agenda mais il faudra se montrer encore un peu patient avant de voir s'il en ressortira vraiment quelque chose.
Guillaume Lovet.
Responsable de l'équipe EMEA anti cybercriminalité chez Fortinet
* Cet article signé s'appuie sur le dossier intitulé « Combattre le cybercrime » et rédigé par Guillaume Lovet à l'occasion de l'édition d'octobre 2009 de la Virus Bulletin Conference.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
