Faire face aux nouveaux défis de la délinquance numérique

Pour ce premier article, je vais reproduire ici ce que j’ai écrit en contribution à France 2025 :

http://www.france2025.fr/xwiki/bin/view/France2025/Fairefaceauxnouveauxdefisdeladelinquancenumerique

La délinquance liée aux technologies numériques est d’ores et déjà reconnue comme un domaine à part entière parmi les phénomènes criminels contre lequel il convient d’avoir une action efficace. En 2025, cette forme de délinquance fera pleinement partie du quotidien, comme la délinquance routière aujourd’hui ou l’utilisation des moyens de transport par les délinquants.

Les technologies numériques seront ainsi pleinement intégrées dans les usages des citoyens et dans le fonctionnement intime des institutions et des entreprises françaises. Ils en seront d’autant plus vulnérables à toutes les atteintes ciblant spécifiquement ces outils, mais ils y seront évidemment beaucoup mieux préparés.

Les délinquants seront aussi beaucoup plus à l’aise dans l’utilisation des moyens numériques. Là où en 2008, seuls certains d’entre eux les utilisent pleinement ou ont les compétences techniques pour les détourner finement, en 2025 cette forme de délinquance sera généralisée :

• les moyens de communication numérique seront pleinement maîtrisés par les délinquants, y compris les façons de rendre ces communications plus discrètes comme le chiffrement, l’utilisation de canaux cachés ou l’exploitation des failles dans les produits commercialisés et notamment leur difficile traçabilité ;
• des équipes très organisées de hackers malhonnêtes seront ainsi facilement constituées, elles s’affranchiront des frontières géographiques et linguistiques, et s’échangeront leurs compétences pour trouver rapidement les défauts des systèmes, mettre en place des flux de blanchiment encore plus efficaces, abuser d’un maximum de systèmes inter-connectés – ce que préfigurent les botnets rencontrés aujourd’hui ;
• les techniques « anti-forensiques », permettant aux délinquants de se protéger des investigations seront beaucoup plus largement répandues, que ce soit des techniques de chiffrement une fois encore, d’effacement de traces sur les systèmes et les réseaux et l’exploitation des possibilités de rebonds sur les systèmes mal sécurisés qui seront toujours très nombreux.

Avec les nouveaux usages et les nouveaux outils numériques apparaîtront à chaque fois de nouvelles formes de délinquance.

Ainsi, la généralisation de l’usage d’une forme d’identité numérique entraînera des tentatives multiples d’abus de cette identité. Si on peut imaginer que les supports officiels de l’identité seront fortement sécurisés et très certainement l’objet d’attaques, ils ne seront pas les seuls. Que ce soient les supports mis en place par les commerçants et les fournisseurs de services en ligne, liés à une identité réelle ou à une identité virtuelle (pseudonymat) ou totalement anonyme, tous n’auront pas forcément les mêmes niveaux de protection. Ainsi, le format des moyens de paiement sera démultiplié, et le niveau de sécurisation des identifiants numériques utilisés sur différents sites communautaires ne sera pas égal.

A contrario, on peut imaginer qu’un lien plus fort à l’identité sera recherché par l’utilisateur et que l’internaute sera plus familier avec les moyens permettant de vérifier l’identité de ses interlocuteurs : non seulement la véracité de la signature (SSL aujourd’hui) du certificat d’un site de commerce en ligne, mais aussi des personnes avec lesquelles il sera en contact (signature électronique, présentation de certificats d’identité reconnus). Toutefois, il n’est pas certain que la course entre les utilisations bien cadrées et les utilisations plus libres soit gagnée par les premières, notamment sur les sites communautaires de nature ludique.

Le déploiement du nouveau système d’adresses Internet IP v6 va rendre la traçabilité des connexions et des échanges plus riche. Ainsi chaque objet connecté à Internet sera clairement identifié et éventuellement associé fortement à son propriétaire. Toutefois le volume d’informations à conserver et à échanger va croître de façon exponentielle : un même utilisateur qui en 2008 utilise une adresse IP à son domicile, une autre à son travail et éventuellement une autre de façon nomade, sera associé en 2025 à plusieurs centaines d’adresses différentes qui ne lui seront pas forcément toutes directement reliées. Certaines seront même anonymes, reliées à des objets numériques achetés dans des distributeurs automatiques ou la grande distribution, comme la montre qu’il porte à son poignet (qui pourra l’avertir des courriers électroniques qui lui sont destinés) ou ses lunettes de vision (qui lui permettront d’accéder à des canaux d’information divers). Et les délinquants sauront abuser de toutes ces possibilités.

Le très haut débit, enfin, sera généralisé et s’il permettra en 2025 une richesse d’accès à une information en temps réel, avec des images animées en haute définition et en relief, des bases de données multiples accessibles instantanément, il autorisera aussi de camoufler très facilement et plus discrètement à cause de la vitesse de transmission, les communications des délinquants au milieu de cette masse phénoménale d’informations en circulation.

Serons-nous préparés à ces défis ?

Tout d’abord un constat : la France, ses chercheurs et ses ingénieurs sont très dynamiques dans le domaine des technologies numériques et notamment en ce qui concerne la cryptologie ou la sécurité des systèmes d’information. Ainsi, on peut citer l’invention de la carte à puce ou des équipes de chercheurs mondialement reconnus dans le domaine de la cryptanalyse.

Mais contrairement à beaucoup de nos partenaires, notamment anglo-saxons, la recherche et l’innovation dans les domaines plus spécifiques de la lutte contre la délinquance numérique, se concentrant sur une posture préventive. Ainsi, en 2025, il est essentiel que la France et ses partenaires européens disposent de pôles de compétence expérimentés dédiés à la lutte contre la criminalité liée aux technologies numériques, afin de développer :

• des outils innovants en matière d’analyse forensique des traces sur les systèmes et les réseaux numériques ;
• la recherche sur les techniques anti-forensiques et les moyens de les prévenir ;
• les moyens concrets d’une traçabilité sûre des échanges sur les réseaux, qui garantisse encore mieux la vie privée des internautes tout en permettant les investigations judiciaires et surtout réponde efficacement au défi des volumes d’information à traiter ;
• et évidemment contribuer à la veille sur les risques sur la sécurité des systèmes d’information par des échanges efficaces avec la communauté des chercheurs travaillant sur ces domaines.

Ces pôles de compétence, à construire dès aujourd’hui, devront associer des universitaires, des compétences industrielles (notamment opérateurs et sociétés développant des logiciels et des matériels) et le soutien des services chargés des investigations.

Trop souvent aujourd’hui, ainsi que le montrent par exemple les études successives présentées par le Clusif (Club français de la sécurité des systèmes d’information), les dépôts de plainte et les signalements aux autorités compétentes des incidents rencontrés sont très rares. il est donc indispensable qu’en 2025 soient en place des espaces d’échange entre les différentes parties prenantes : pouvoirs publics, industriels et éventuellement chercheurs pour pouvoir dialoguer en toute confiance sur les incidents graves ou moins graves, les risques envisagés. Ces espaces pourront être organisés par branches professionnelles (banque, opérateurs de communications électroniques, développeurs de logiciels,…) et selon les sujets abordés (sécurité des systèmes, fraudes), plus ou moins restreints et surtout devront reposer sur des chartes couvrant la confidentialité des débats, l’engagement à la transparence entre les partenaires et surtout à agir promptement en fonction des mesures arrêtées ensemble.

L’ensemble de ces dispositifs s’inscrivent évidemment dans un contexte de coopération internationale qui devra se poursuivre et être renforcée en 2025, mais il est indispensable que la France soit dotée d’outils et de compétences adaptés à la lutte contre les phénomènes de délinquance numérique.

Tags: France 2025