Investigation & transformation numériques

mars 2009

Conférence Octopus / Mardi 10 mars après-midi

Coalition financière européenne

Coalition financière européenne

L’après-midi était consacré à deux tables rondes sur :

  • la traçabilité de l’argent du crime sur Internet ;
  • la criminalisation de la pédopornographie et des abus sexuels sur les mineurs par Internet.

En ce qui concerne les flux financiers du crime sur Internet, c’est réellement un sujet qui se développe ces deux dernières années. Par exemple, avec la création d’une coalition financière européenne destinée à la lutte contre les flux liés aux atteintes aux mineurs sur Internet, avec notamment l’intention d’identifier et de bloquer les transactions d’achat de contenus pédopornographiques, et ainsi tarir les fonds de ces commerçants bien particuliers, et certainement mieux les identifier en suivant l’argent.

Cette coalition a été présentée lors d’une conférence qui s’est tenue la semaine dernière à Londres. Kathy Free en a fait une présentation pendant la table ronde. La France devrait certainement rejoindre cette coalition.

Je rappelle que beaucoup des présentations de la présente conférence sont accessibles ici.

11 mars 2009 by Cybercriminalité Prospective 2

Conférence Octopus / Mardi 10 mars matin

Le début de cette conférence était évidemment consacré aux présentations introductives et à un tour du monde de l’état d’avancement de l’implémentation de législations spécifiques à la lutte contre la cybercriminalité. Rappelons que vous pouvez télécharger une bonne partie des présentations sur le site de la conférence et la liste des ratifications et signatures de la convention du Conseil de l’Europe sur la cybercriminalité est accessible ici.

Une première présentation a attiré mon attention, celle d’Eugène Kaspersky, directeur de la société éponyme. Il s’agissait pour lui d’introduire la conférence en montrant l’état de la menace et des réponses que l’on peut apporter. Son constat se base essentiellement sur la réalité d’un Internet non gouverné et de systèmes ouverts, par essence difficiles à sécuriser. Son message : il faut créer un gouvernement de l’Internet, une police de l’Internet et identifier tous ceux qui s’y connectent ou délivrer des certificats à tous les logiciels. Pour ma part, j’espère que l’on trouvera – grâce à des technologies adaptées et ouvertes – une voie intermédiaire permettant de faciliter les identifications lorsque c’est nécessaire, sans que tout le monde ne puisse identifier toutes les personnes connectées ou n’ait l’impression d’être en permanence épié, tout en restant en sécurité.

Les présentations de conclusion de la matinée étaient dédiées à la coopération public / privé, illustrée par les lignes directrices adoptées par le conseil de l’Europe en 2008, reprises partiellement par l’Union Européenne en fin d’année 2008 et qui font par exemple l’objet d’un projet Français qui devrait être bientôt signé.  Mike Haley nous a conduits au déjeuner sur une présentation intéressante du plan d’action de Londres de lutte contre le spam (London Action Plan), réseau d’échanges international dédié à la lutte contre ce fléau.

10 mars 2009 by Cybercriminalité Prospective 0

Conférence Octopus au Conseil de l’Europe

Affiche Octopus 2009

Pendant deux jours, les 10 et 11 mars 2009, le Conseil de l’Europe accueille la conférence annuelle « Interface Octopus » sur la cybercriminalité. Organisée dans l’enceinte qui a voté la Convention sur la cybercriminalité, seul instrument juridique de portée internationale dans ce domaine, elle sera suivi de la conférence consacrée au suivi de l’application de la convention, le comité « T-CY », les 12 et 13 mars 2009.

Parmi les sujets abordés mardi et mercredi :

  • la traçabilité de l’argent sale sur Internet ;
  • la pénalisation de la pornographie enfantine sur Internet ;
  • la formation sur la lutte contre la cybercriminalité ;
  • la coopération policière et judiciaire internationale.
9 mars 2009 by Cybercriminalité 0

Notification obligatoire d’incidents de sécurité

parlement_europeenLe « Paquet télécom » est actuellement amplement débattu au sujet d’amendements relatifs à la riposte graduée. Mais attardons-nous sur une disposition particulièrement intéressante.

Il s’agirait d’introduire dans la directive Européenne 2002/21/CE relative à un cadre règlementaire commun pour les réseaux et services de communications électroniques (directive « cadre ») une disposition prévoyant que tout opérateur de réseau ou de services de communication électronique au public doive avertir leur autorité de contrôle nationale des incidents de sécurité ou de la perte de l’intégrité des données de leurs abonnés, ayant eu un impact significatif.

Aucun texte – jusqu’à présent – au niveau Européen n’impose une telle obligation. En France, il en est de même et les dépôts de plainte des opérateurs ou de tout autre professionnel gérant des données personnelles sont extrêmement rare, alors que toutes les études démontrent que de tels incidents existent (on peut citer par exemple l’étude menée par le Clusif tous les deux ans).

Du point de vue des services d’enquête, une telle mesure serait particulièrement intéressante, car sans ces signalements ou dépôts de plainte, il n’est pas possible de mener des investigations sur ces faits, d’en collecter les preuves et d’espérer en arrêter les auteurs ou de poursuivre, le cas échéant, les investigations avec les collègues d’autres pays.

Du point de vue des clients, une telle mesure permettrait d’avoir une meilleure information sur de tels incidents et, éventuellement, d’envisager des mesures individuelles de sécurisation de ses données personnelles (changer ses mots de passe par exemple). Cela imposera bien entendu de faire une communication précise de ces informations. Mais la notification prévue dans la rédaction actuelle s’arrête à l’autorité de régulation nationale, est-ce suffisant ?

Enfin, il est intéressant de noter que le texte prévoit une sorte de seuil (la notion d’impact significatif), pour éviter d’imposer une obligation de signalement au moindre incident. Peut-être conviendra-t-il dans chaque Etat membre de préciser cette notion, si le texte devait être voté. L’autre élément du débat enfin est de savoir s’il ne faut pas imposer une telle disposition aux professionnels qui ne relèvent pas de la règlementation concernant les opérateurs de communications électroniques.

Le texte est consultable ici, en page 61.

Ce « Paquet télécom » est donc intéressant à suivre dans les mois qui viennent !

5 mars 2009 by Juridique Prospective 2