Conseil de l’Europe

Ouverture de la conférence Octopus Interface du Conseil de l’Europe

Maud de Boer-Buquicchio, SG adj. du CoE

C’est Maud de Boer-Bouquiccho, secrétaire générale adjointe du Conseil de l’Europe qui nous a fait l’honneur d’ouvrir la conférence Octopus Interface 2010 qui se tient du 23 au 25 mars 2010 à Strasbourg.

Le point clé de son discours est la nécessité de trouver un équilibre entre la recherche d’une meilleure sécurité sur Internet et la protection des droits humains et de la vie privée. Ces intérêts sont d’ailleurs aussi des cibles pour les délinquants que les autorités policières et judiciaires sont chargées de protéger.

L’Azerbaijan et le Monténégro sont les deux derniers pays à avoir ratifié la Convention du Conseil de l’Europe sur la Cybercriminalité. L’Argentine, au travers des paroles exprimées par Eduardo Thill -secrétaire-adjoint à la gestion des technologies, cabinet des ministres, Argentine – a exprimé officiellement sa volonté de rejoindre les pays signataires de la convention. Le Portugal a déposé officiellement les instruments de sa ratification pendant la conférence et est donc devenu le 29ème pays partie à la convention.

La carte des pays signataires et ayant ratifié à ce jour la convention est représentée ci-dessous (cliquer pour agrandir, nota: le Portugal n’apparait pas encore comme ayant ratifié) :

Pour mémoire, la convention du Conseil de l’Europe vise à harmoniser les incriminations en matière d’atteintes contre les systèmes d’information, les droits d’auteur ou les mineurs sur Internet ainsi qu’à renforcer les outils de coopération policière et judiciaire entre les Etats parties à la convention, en particulier en matière d’accès aux éléments de preuve détenus par les opérateurs de communications électroniques.

6 ateliers vont se tenir au cours des trois jours de la conférence pour aborder les sujets suivants :

  • La formation des magistrats à la lutte contre la cybercriminalité ;
  • Les responsabilités croisées et la coopération entre les services répressifs et les organes consultatifs ou techniques (ICANN, RIPE, etc…) ;
  • Le développement de la convention du Conseil de l’Europe au niveau mondial ;
  • Une cartographie des réseaux et des initiatives ;
  • Le renforcement des capacités et l’assistance technique contre la cybercriminalité ;
  • Le développement de mesures efficaces contre l’exploitation et les abus sexuels commis à l’encontre des enfants sur Internet.

Quelques conférences cyber des semaines à venir

Conseil de l'Europe (GNU FDL)

Je vous propose quelques informations sur des conférences en rapport avec la cybercriminalité au cours des semaines à venir en France :

  • 16 mars 2010, JSSI Journée sécurité des systèmes d’information 2010, OSSIR, programme
  • 23 au 25 mars 2010, Conférence Octopus 2010, Conseil de l’Europe (Strasbourg), programme
  • 31 mars et 01 avril 2010, FIC 4ème Forum international sur la cybercriminalité, Lille, programme
  • 09 au 11 juin 2010, SSTIC Symposium sur la sécurité des technologies de l’information et des communications 2010, programme

Conférence Octopus / Conclusion 2/2

Enfin, les présentations de la dernière session :

Greg Day, McAfee UK, sur le futur des menaces telles que les entrevoient les spécialistes de sa société: moteur économique de la délinquance numérique, la nécessité de prévenir les danger des réseaux sociaux, se servir de l’informatique en nuages pour contrer les délits numériques, les enjeux de la convergence.

Petrus Golose, de la police nationale d’Indonésie sur les activités des terroristes sur Internet.

Marc Goodman, IMPACT, a souligné la prise en compte nécessaire de la délinquance sur les mondes virtuels ludiques ou moins ludiques (Second Life, World of Warcraft, etc…). Les crimes virtuels qui y sont commis doivent-ils être poursuivis, comme le vol de propriété virtuelle, la pornographie enfantine virtuelle (en France ce serait le cas) ou le « viol » virtuel. Une évolution inquiétante, Entropia Universe qui attribue une carte de retrait réelle permettant de retirer de l’argent acquis sur son compte virtuel.

Zahid Jamil, avocat au Pakistan, a conclu ces deux jours de conférence sur les exemples vécus par un pays comme le sien, encore peu développé en termes de législation adaptée, alors que les crimes numériquesy ont quand même lieu.

Bilan de cette conférence

Des rencontres très denses, des échanges réellement internationaux, mais toujours les mêmes problèmes exprimés : les législations adaptées sont encore trop peu implémentées, les formations à destination de l’ensemble des professionnels concernés – magistrats, enquêteurs mais aussi partenaires industriels – ne sont pas partout disponibles. Encore beaucoup de travail en perspective pour l’ensemble de la communauté internationale chargée de ces problèmes et la situation économique difficile ne devrait pas faciliter les choses.

Conférence Octopus / Conclusion 1/2

Le temps de la conclusion est venu, avec le retour sur les tables rondes et deux séries de présentations sur :

  • les défis des juridictions face aux évolutions de l’Internet (cloud computing, etc.) ;
  • les enjeux de demain.

Intervenant en premier, Francesco Cajani, magistrat spécialisé Italien, a tenu à examiner les difficultés que posent les principes de territorialité sur l’application de mesures qui sont nécessaires aux investigations judiciaires. Il souhaite ainsi que soient harmonisées les durées de conservation des traces qui peuvent être requises par l’autorité judiciaire auprès des opérateurs ou faciliter les mesures d’interception de communications y compris lorsqu’elles ont lieu à l’étranger.

Henrik Kaspersen qui avait présidé aux négociations de la convention du Conseil de l’Europe sur la cybercriminalité a présenté les conclusions de l’article qu’il a préparé sur le sujet des juridictions et des investigations sur Internet.

Gareth Samson, du ministère de la justice fédéral canadien, nous a détaillé – en partant des aspects techniques de l’informatique en nuage (« cloud computing« ) – les conséquences de ces nouveaux modèles d’offres de services sur Internet quant aux activités criminelles et les difficultés que l’on pourrait rencontrer dans les investigations.

Conférence Octopus / Mercredi 11 mars matin

gpen

GPEN

Cette deuxième demi-journée d’ateliers parallèles était consacrée à deux sujets :

  • la formation des enquêteurs, des magistrats dans la lutte contre la cybercriminalité ;
  • la coopération internationale.

Beaucoup d’initiatives existent en Europe et dans le monde en matière de formation, même si beaucoup reste à faire. Les pays africains et sud-américains présents ont exprimé le souhait de bénéficier encore plus des opportunités qui existent en Europe, et on sent un intérêt tout particulier chez les magistrats. A noter donc la création récente du GPEN, réseau mondial des procureurs sur le crime électronique.

Nigel Jones a présenté les résultats d’une étude qui devrait conduire au projet 2CENTRE visant à la création de centres d’excellence sur les délinquances numériques autour d’universités, et en partenariat avec des services de police et des industriels. Deux de ces centres devraient voir le jour dans un premier temps (University College of Dublin et Université de technologie de Troyes). Cette dernière est l’université qui participe à la formation des enquêteurs spécialisés de la gendarmerie (NTECH).

Conférence Octopus / Mardi 10 mars après-midi

Coalition financière européenne

Coalition financière européenne

L’après-midi était consacré à deux tables rondes sur :

  • la traçabilité de l’argent du crime sur Internet ;
  • la criminalisation de la pédopornographie et des abus sexuels sur les mineurs par Internet.

En ce qui concerne les flux financiers du crime sur Internet, c’est réellement un sujet qui se développe ces deux dernières années. Par exemple, avec la création d’une coalition financière européenne destinée à la lutte contre les flux liés aux atteintes aux mineurs sur Internet, avec notamment l’intention d’identifier et de bloquer les transactions d’achat de contenus pédopornographiques, et ainsi tarir les fonds de ces commerçants bien particuliers, et certainement mieux les identifier en suivant l’argent.

Cette coalition a été présentée lors d’une conférence qui s’est tenue la semaine dernière à Londres. Kathy Free en a fait une présentation pendant la table ronde. La France devrait certainement rejoindre cette coalition.

Je rappelle que beaucoup des présentations de la présente conférence sont accessibles ici.

Conférence Octopus / Mardi 10 mars matin

Le début de cette conférence était évidemment consacré aux présentations introductives et à un tour du monde de l’état d’avancement de l’implémentation de législations spécifiques à la lutte contre la cybercriminalité. Rappelons que vous pouvez télécharger une bonne partie des présentations sur le site de la conférence et la liste des ratifications et signatures de la convention du Conseil de l’Europe sur la cybercriminalité est accessible ici.

Une première présentation a attiré mon attention, celle d’Eugène Kaspersky, directeur de la société éponyme. Il s’agissait pour lui d’introduire la conférence en montrant l’état de la menace et des réponses que l’on peut apporter. Son constat se base essentiellement sur la réalité d’un Internet non gouverné et de systèmes ouverts, par essence difficiles à sécuriser. Son message : il faut créer un gouvernement de l’Internet, une police de l’Internet et identifier tous ceux qui s’y connectent ou délivrer des certificats à tous les logiciels. Pour ma part, j’espère que l’on trouvera – grâce à des technologies adaptées et ouvertes – une voie intermédiaire permettant de faciliter les identifications lorsque c’est nécessaire, sans que tout le monde ne puisse identifier toutes les personnes connectées ou n’ait l’impression d’être en permanence épié, tout en restant en sécurité.

Les présentations de conclusion de la matinée étaient dédiées à la coopération public / privé, illustrée par les lignes directrices adoptées par le conseil de l’Europe en 2008, reprises partiellement par l’Union Européenne en fin d’année 2008 et qui font par exemple l’objet d’un projet Français qui devrait être bientôt signé.  Mike Haley nous a conduits au déjeuner sur une présentation intéressante du plan d’action de Londres de lutte contre le spam (London Action Plan), réseau d’échanges international dédié à la lutte contre ce fléau.

Conférence Octopus au Conseil de l’Europe

Affiche Octopus 2009

Pendant deux jours, les 10 et 11 mars 2009, le Conseil de l’Europe accueille la conférence annuelle « Interface Octopus » sur la cybercriminalité. Organisée dans l’enceinte qui a voté la Convention sur la cybercriminalité, seul instrument juridique de portée internationale dans ce domaine, elle sera suivi de la conférence consacrée au suivi de l’application de la convention, le comité « T-CY », les 12 et 13 mars 2009.

Parmi les sujets abordés mardi et mercredi :

  • la traçabilité de l’argent sale sur Internet ;
  • la pénalisation de la pornographie enfantine sur Internet ;
  • la formation sur la lutte contre la cybercriminalité ;
  • la coopération policière et judiciaire internationale.

Royaume-Uni: Nouvelle loi contre les attaques DDoS et les outils de piratage

ministry-of-justice-ukUn article du Register nous apprend qu’une nouvelle loi a été promulguée au Royaume-Uni (voir l’acte de promulgation ici) criminalisant les attaques en déni de service et la diffusion d’outils de piratage. Cette loi est valable pour le Pays de Galles et l’Angleterre, un texte semblable ayant déjà été promulgué en Écosse.

La nouvelle infraction du Computer misuse act interdit le fait d’entraver le fonctionnement d’un système d’information. Elle est punie d’une peine maximale de 10 ans d’emprisonnement et d’une amende.

L’accès illicite à un système d’information est maintenant puni d’une peine maximum de 2 ans d’emprisonnement contre six mois auparavant.

La deuxième infraction créée interdit la fabrication, l’adaptation, la fourniture ou l’offre d’un dispositif avec l’intention qu’il soit utilisé pour commettre, aider à commettre les infractions de piratage. Ce qui est intéressant à noter, il est aussi interdit de fournir un dispositif dont on pense qu’il peut servir à commettre ces infractions. Elle est punie d’une peine d’emprisonnement maximale de 2 ans.

Le texte de cette nouvelle loi provient des sections 35 à 38 de la loi sur la Police et la justice de 2006.

Cette promulgation vient compléter le dispositif de ratification par le Royaume-Uni de la convention du Conseil de l’Europe sur la cybercriminalité et notamment son article 6 qui criminalise la diffusion d’outils de piratage.

En France, cette infraction est punie par l’article 323-3-1 du code pénal:

« Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. »

La mention d’un « motif légitime » permet de couvrir la recherche et le travail des spécialistes sur la sécurité des systèmes d’information. C’est une vision un peu différente de ce texte anglais qui évoque l’intention malhonnête, le texte français est donc plus large dans son périmètre, puisqu’il interdit aussi la diffusion par des non professionnels ou hors d’un contexte « légitime ». Il reste à la jurisprudence d’établir progressivement ce qui sera en France considéré comme un motif légitime et à la justice anglaise de prouver l’intention malhonnête de l’une ou l’autre des parties.

Enfin, il faut noter que le texte anglais limite les dispositifs concernés à un programme ou des données stockées sous forme numérique, alors que la convention du conseil de l’Europe parle de tout dispositif, y compris un programme informatique et que la loi française est beaucoup plus large puisque visant aussi bien les matériels.