Le droit applicable aux cyber attaquants
Si le droit est une matière complexe, elle l’est encore plus lorsqu’elle rencontre le milieu cyber ! Et pourtant ce milieu est si vaste qu’il nécessite un encadrement qui peine à venir et à être efficient. Nous savons que dans le cyber espace, il y a deux types d’acteurs : les cyber-attaquants et les cibles visées par ces derniers.
La France face aux cyber attaquants
Le droit pénal français à l’épreuve des cyber attaquants
Tout d’abord, en France, la lutte contre la cybercriminalité est une priorité depuis de nombreuses années. Cette lutte s’observe essentiellement au travers du droit pénal. En effet, cela s’observe dès 1988 avec la loi Godfrain, qui introduit des infractions aux systèmes de traitement automatisé de données (STAD) dans le code pénal. Ainsi, le législateur a des articles 323-1 à 323-7 inscrit des infractions très larges permettant une adaptation aux avancées technologiques. Il a, de plus, intégré en 2004 l’interdiction de vente d’équipements ou de logiciels permettant d’attaquer un système informatique. L’usurpation d’identité d’un tiers est aussi réprimée par le droit pénal français.
De plus, en 2018, un nouvel article “vient réprimer la pratique de l’upskirting qui consiste à filmer ou photographier à son insu les parties intimes d’un individu, souvent dans le but de diffuser les images sur Internet.”
En matière de pédopornographie, l’article 227-23 du code pénal punit le fait d’enregistrer ou de transmettre la représentation à caractère pornographique d’un mineur en vue de sa diffusion ». De plus, il punit le fait « de consulter des images pédopornographique en ligne ou de conserver ces images par quelque moyen que ce soit ».
À ces infractions spécifiques s’ajoutent des circonstances aggravantes afin de « dissuader les prédateurs sexuels de rechercher leurs victimes sur Internet ». Les cyber attaquants peuvent alors être poursuivis par l’ensemble de l’arsenal législatif français pour attaque au rançongiciel par exemple, escroquerie, extorsion,… Méfiez-vous donc chaque acte dans le cyber espace peut-être répréhensible pénalement !
« La stratégie de la France en matière de cyberdéfense et cybersécurité »
Puis, la lutte contre la cybercriminalité passe par un renforcement de la stratégie de la France en matière de cyberdéfense et de cybersécurité. A ce titre l’Etat français est épaulé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Les cyber attaques subies par l’Etat français sont répertoriées par cette dernière ce qui permet de repérer le risque et d’attraper les cyber attaquants (s’ils sont identifiés bien sûr !). Ainsi, l’action de l’ANSSI repose sur le livre blanc de 2013 relatif à la défense et à la sécurité nationale qui permet à l’Etat français d’encadrer la lutte contre la criminalité.
Ainsi, les cyber attaquants doivent faire face à ce CERT ( Computer emergency response team) et aux différentes instances militaires comme civiles qui participent à cette stratégie.
Les cyber attaques et le droit international
Le ministère des armées conscient de l’importance que prend le cyberespace a jugé pertinent de réaliser un document intitulé : « Droit international appliqué aux opérations dans le cyber espace ». Après avoir rappelé le renforcement des menaces dans le cyber espace, il détaille la stratégie adoptée par la France dans le contexte international. Ainsi, il précise que « le respect du droit international est, pour la France, une condition à l’émergence d’une régulation adaptée au cyber espace ».
Au delà, de l’action des Etats dans le cadre de l’ONU, nous pouvons citer l’action proactive de l’OTAN (organisation du traité Atlantique Nord) qui suite à l’attaque de l’Estonie précitée a décidé de maître son « QG » cyber à Tallinn (la Capitale de l’Estonie). De plus, les Etats membres de l’OTAN ont mandaté un groupe d’experts afin de rédiger un manuel qui reprend l’application du droit international dans le cyber espace : le Manuel de Tallinn (« Tallin Manual on the international law applicable to cyberwarfare »). Ainsi, en plus de nombreuses décisions prises par l’Alliance ses dernières années, l’OTAN coopère avec l’Union Européenne depuis 2016 dans le domaine de la cyberdéfense.
En matière internationale, les cyber attaquants ne sont en réalité que des pions d’un dessein bien plus grand. Les pays s’en servent afin d’agir sur les autres Etats sans attribution étatique possible. A titre d’exemple, nous pouvons prendre la cyberattaque qui a touché l’Estonie en 2007. De nombreux groupes de hackers russes ont revendiqué cette attaque mais encore aujourd’hui la Russie est « présumée » responsable sans qu’on puisse y apporter une réponse claire. Cette problématique de l’attribution est le principal obstacle que rencontre le droit international dans sa lutte contre les cyber attaques. Il n’est jamais sûr à 100% que les cyber-attaquants sont ceux identifiés. Les gouvernements peuvent se payer ces groupes de « mercenaires » hackers par conséquent ils peuvent tout aussi bien les rémunérer afin qu’ils se dénoncent sans n’avoir rien fait.
Les cyberattaquants et l’Europe
Enfin, dans la lutte contre la cybercriminalité s’il y a un acteur à ne pas négliger il s’agit bien de l’Union Européenne. Dès 2016, le Conseil européen a convenu des prochaines étapes à adopter dans la lutte contre les activités criminelles dans le domaine cyber. Le 20 décembre 2017, les institutions de l’UE décident de renforcer la coopération entre elles afin de contrer les cyber attaques.
Le 16 avril 2018, le Conseil adopte (enfin !) des conclusions pour contrer les actes de cyber-malveillance et ainsi tenter de stopper les cyber attaquants. Ces conclusions marquent un accélérateur dans la lutte contre la cybercriminalité dans l’UE. Ainsi, le 13 septembre de la même année le Conseil débuta des négociations avec le Parlement européen sur la rédaction d’un règlement sur la cybersécurité. Après de nombreuses discussions, ce règlement est adopté le 9 avril 2019 et prévoit « un ensemble de systèmes de certification à l’échelle de l’UE » et « une agence de l’UE pour la cybersécurité ». Ce texte permet à l’UE d’imposer des sanctions afin de décourager les cyber attaquants et de contrer les cyber attaques.
Par J. MAILLARD.
L’UE s’adapte également aux avancées technologiques et le Conseil adopte régulièrement, comme le 3 décembre 2019 sur les effets potentiels de la 5G sur la sécurité, des conclusions. Le 30 juillet 2019, l’UE a imposé ces premières sanctions contre les cyber attaques.
De plus, le Conseil de l’Europe maintient également une position proactive dans le domaine par son comité de la Convention sur la cybercriminalité par la production d’un rapport nommé “La Convention de Budapest sur la cybercriminalité : avantages et impacts concrets” le 13 juillet dernier. Ce rapport détaille les législations nationales dans le domaine cyber et les différentes études que le comité a mené au cours de l’année 2019 et 2020.
