Essai de définition des différentes formes de cybercriminalité visant les États, état des leiux des moyens de répression. C’est l’objet de cet article, paru dans la revue Géopolitique (Janvier-février(mars 2013). Son auteur est maître Ardavan Amir-Aslani, avocat au Barreau de Paris et spécialiste des conseils aux États. Spécialiste de droit international et de géostratégie, il a publié de nombreux essais. La Nouvelle Revue Géopolitique est disponible en kiosque. 2ème partie.
[image:1,l]
Les cyber-attaques sans mobile économique
La deuxième hypothèse traite de l’attaque perpétrée par une personne privée, physique ou morale à l’encontre d’un État, sans que cette intrusion soit motivée par la perspective d’en retirer un profit économique. Dans ce cas, l’affaire sera portée devant un tribunal national et jugée selon les dispositions normatives nationales. Si l’auteur de l’agression est un ressortissant de l’État contre lequel l’attaque est dirigée, les juridictions de cet État sont naturellement compétentes et feront application des lois nationales. Si l’auteur de l’agression n’est pas un citoyen de l’État victime, le principe de territorialité permet de déterminer quelle est la juridiction compétente. En vertu de cette règle, les tribunaux d’un État sont compétents dès lors qu’un des éléments constitutifs de l’infraction a eu lieu sur le territoire de cet État ou si les dommages en résultant y sont constatés (cf.23).
Aussi, la plupart des États-membres du Conseil de l’Europe, ainsi que les États-Unis et le Japon, ont ratifié la Convention de Bucarest sur la cybercriminalité (cf.24), entrée en vigueur en 2004, par laquelle les États signataires s’obligent à adopter des dispositions pénales punissant l’accès non autorisé à un système informatique. L’objectif principal de cet accord est de rendre possible l’engagement de poursuites pénales à l’encontre des cyber-criminels dans tous les États-parties à la Convention en élaborant une politique commune de protection de la société contre ce type d’agressions.
L’exemple de la cyber-attaque contre l’Estonie en 2007
La cyber-attaque lancée contre l’Estonie en 2007 et visant le site internet du Parlement ainsi que ceux de plusieurs ministères et partis politiques illustre bien ce cas de figure. L’Estonie a accusé le gouvernement russe d’être à l’origine de cette intrusion opérée par une multitude de hackers, mais l’implication de la Russie n’a jamais pu être établie. Le problème de l’imputation de la cyber-attaque s’est également posé dans ce litige. À l’issue de l’enquête, seul un jeune homme de 20 ans a été inculpé et condamné à payer une amende de 17500 couronnes (981euros) (cf.25), une indemnité totalement insuffisante pour couvrir la réparation du préjudice subi. Pourtant, la peine normalement prononcée pour ces infractions est l’emprisonnement ou une amende d’un montant bien supérieur à celui décidé dans cette affaire et, très souvent, une action civile est alors entreprise, donnant lieu au paiement de dommages-intérêts.
Les cyber-attaques ciblant desintérêts économiques
La troisième et dernière hypothèse concerne la cyber-attaque perpétrée par un individu ou une société contre une autre société avec pour objectif de réaliser un bénéfice économique. La problématique de la loi du for se résout selon les mêmes modalités que celles décrites pour le précédent scénario. Une affaire récente au Royaume-Uni permet de bien cerner cette catégorie de cyber-attaques. Rappelons que l’auteur d’un cyber-crime peut être sanctionné dans cet État en application de la loi sur le piratage informatique de 1990, qui prévoit pour ces infractions une peine de prison de six mois maximum et une amende pouvant aller jusqu’à 2 000 livres (soit 2 365 euros) (cf.26), et qu’une entreprise peut également réclamer une indemnité pour les pertes économiques dont elle a été victime, par exemple au titre de l’appropriation frauduleuse de ses secrets industriels.
Dans l’affaire Mark Hopkins de 2007, le dirigeant d’une société de conception de sites internet a été condamné à cinq mois d’emprisonnement et à 100 heures de travaux d’intérêt général pour accès non autorisé aux systèmes informatiques de son concurrent ME Publishing Limited, et a dû lui verser 5 000 livres (soit 5 912 euros) en compensation27. Par comparaison, une entreprise française encourt des sanctions plus lourdes si elle est reconnue coupable de cyber-crime. En effet, conformément aux articles 323-6 et 131-39 du Code pénal, outre la condamnation au paiement d’une amende, il peut être prononcé la dissolution de la société, l’interdiction d’exercer une ou plusieurs activités et le placement sous surveillance judiciaire.
De la difficulté d’évaluer le préjudice subi
Bien que les entreprises victimes d’une cyberattaque puissent agir sur le fondement de la responsabilité civile et demander des dommages et intérêts, l’évaluation du préjudice subi pose souvent des difficultés, en particulier lorsqu’il s’agit de déterminer quelles sont les pertes entrainées par le vol d’un secret industriel. La complexité de l’appréciation du préjudice résultant du l’appropriation de données à caractère économique est soulignée par de nombreux spécialistes, et l’étude des récentes affaires dans ce domaine, dont le nombre est en constante augmentation, démontre que l’estimation des dégâts varient selon celui qui l’effectue (cf.28).
Aux États-Unis, la Commission fédérale du commerce (Federal Trade Commission) a ainsi porté plainte devant un tribunal fédéral contre le groupe hôtelier Wyndham Worldwide qu’elle accuse de n’avoir pris aucune mesure pour renforcer la sécurité de ses réseaux informatiques, après que des hackers aient pu, à trois reprises, accéder à ses serveurs et y dérober les informations bancaires de centaines de milliers de ses clients qui y étaient conservées (cf.29). La commission soutient que ces données ont été utilisées pour commettre de multiples fraudes depuis des adresses internet et comptes enregistrés en Russie pour la plupart, pour un montant total de plus de 10 millions de dollars (plus de 8 millions d’euros), tandis que la société mise en cause prétend qu’aucun client n’a subi de pertes financières.
Une des raisons pour lesquelles cette évaluation est délicate est que les coûts de la cyber-criminalité sont indirects, autrement dit les entreprises doivent se doter d’instruments de protection informatique souvent onéreux pour éviter de subir de telles attaques. En définitive, il est très laborieux de chiffrer avec précision les pertes occasionnées par les cyber-attaques et les tribunaux vont certainement avoir de plus en plus à faire face à ce genre de litiges.
Un début d’harmonisation de la protection juridique contre les cyber-crimes
À la lumière de ce qui précède, il est possible d’identifier les éléments communs à la lutte contre ces nouvelles menaces que sont les cyber-attaques. Par exemple, des principes généraux reconnus en droit international coutumier permettent de préciser quelles sont les réactions acceptables face à une cyber-attaque. Aussi, les États-Unis ont franchi une étape supplémentaire en qualifiant les cyberattaques d’agressions armées dans la National Posture Review. De même, les Nations unies font montre d’une activité normative de plus en plus importante et font figurer la cyber-criminalité comme l’une de leurs principales priorités pour l’avenir (cf.30).
Le nombre croissant de cyber-attaques et d’agressions d’une ampleur exceptionnelle comme le Stuxnet, ainsi que les derniers piratages informatiques qui ont touchés les institutions estoniennes ont ravivé l’intérêt porté à l’édiction de normes communes organisant les moyens de se défendre contre ces attaques. Des traités existants tels que la Charte des Nations unies et la Convention sur le cyber-crime précitées peuvent d’ores et déjà servir de fondement à la mise en place de sanctions contre ces agissements. Le Parlement européen a approuvé, au mois de mars 2012, le projet de directive qui vise à harmoniser le droit pénal des États en la matière, notamment en érigeant en infraction le piratage des systèmes informatiques, et en réprimant les cyber-crimes commis par des personnes physiques ou morales pour un motif économique. La version définitive de cette directive devrait voir le jour très prochainement si les propositions du Parlement et du Conseil concordent31. Dans la même perspective, l’Union européenne prévoit également la création d’un centre européen de lutte contre la cybercriminalité qu’elle espère opérationnel dès 2013 (cf.32). Notons qu’à cette date, un certain nombre d’États ont adopté une réglementation sur la cyber-criminalité ; cependant, les cyber-attaques ne sont pas partout condamnées avec la même fermeté. La France s’est dotée de dispositions pénales incriminant l’accès non autorisé à un système informatiques depuis la loi Godfrain du 5 janvier 1988 (cf.33), et les États-Unis ont prévu pour les cyber-crimes des peines d’emprisonnement pouvant aller jusqu’à 10 ans (cf.34).
L’indispensable élaboration de normes conjointes
L’indemnisation du préjudice suit aussi des règles différentes: en France, selon le principe de la réparation intégrale, les dommages et intérêts doivent couvrir la totalité du préjudice subi ; aux États-Unis, l’indemnité sert également à compenser entièrement la perte, mais des dommages et intérêts exemplaires ou punitifs peuvent également être accordés en supplément afin de dissuader d’éventuels cyber-criminels de passer à l’acte. Les initiatives se multiplient en droit international pour créer de nouvelles normes juridiques contre la cybercriminalité. Néanmoins, il convient de s’interroger sur la possibilité d’édicter des règles communes, plus particulièrement sur leur portée et sur l’institution internationale la plus compétente pour la conception et l’application de tels instruments.
L’élaboration de normes conjointes est une mission relativement nouvelle, en comparaison des nombreuses conventions plus anciennes portant sur les conflits internationaux et la sanction des crimes de guerre ; à la différence de ces normes, il est probable que la communauté internationale ait instauré une règlementation sur les cyber-attaques avant même que ne se déclenche une véritable cyber-guerre. Il faut garder à l’esprit qu’une tâche difficile attend les décideurs: élaborer des normes adaptables, et même prévoir de les actualiser régulièrement, pour répondre à l’évolution très rapide des techniques employées par les cyber-criminels. À cet égard, une coopération internationale en la matière semble donc être le moyen le plus simple et le plus efficace pour contrer cette nouvelle menace, et ce en mettant à profit les institutions internationales existantes, telles que les Nations unies, pour garder un temps d’avance. ■
> Lire la première partie
23. Henrik Kapersken, Cybercrime and Internet jurisdiction [en ligne], division de la criminalité économique, direction générale Droits de l’Homme et État de Droit, Conseil de l’Europe, 5 mars 2009, p. 8. Disponible » target= »_blank »>ici
24. Convention sur la cybercriminalité, Bucarest, 23 novembre 2001. Disponible ici
25. «Estonia fines man for ‘cyber war’», BBC News, 25janvier 2008. Disponible ici. Voir également: «Estonia hit by ‘Moscow
cyber war’», BBC News, 17 mai 2007. Disponible ici
26. Computer Misuse Act 1990, préc.
27. R v Mark Hopkins, Westminster Magistrates Court, 9 août 2007. Voir aussi: John Leyden, “Web designer-turned-hacker avoids jail [en ligne]”, The Register, 10 août 2007. Disponible ici
28. “A spook speaks (Business and Cyber Security)”, The Economist, 30 juin 2012, p. 63. Disponible ici
29. Edward Wyatt, “Hotel Group Charged Over Data Thefts”, The New York Times, 27 juin 2012, p. B3. Disponible ici
30. Tim Maurer, Cyber Norm Emergence at the United Nations – An Analysis of the UN’s Activities Regarding Cyber-security, Belfer Center for Science and International Affairs, Harvard Kennedy School, septembre 2011, pp. 10-11. Disponible ici
31. « Pirater un système informatique sera considéré comme une infraction pénale », Parlement européen, 27 mars 2012. Disponible ici
32. Communiqué de presse de la Commission européenne, 28 mars 2012. Disponible ici
33. C. pén., art. 323-1 à 323-7.
34. US Code Title 18 § 1030 Fraud and related activity in connection with computers.