LOPPSI

Usurpation d’identité, Jeux dangereux

Assemblée nationale (Photo: GPL)

Le débat sur la LOPPSI s’achève bientôt en première lecture à l’Assemblée Nationale. L’objet de ce billet est d’aborder deux dispositions de ce texte, telles qu’elles ont été votées aujourd’hui 11 février 2010: l’usurpation de l’identité sur Internet et la diffusion de messages incitant aux jeux dangereux pour les enfants (le « jeu du foulard » par exemple).

L’usurpation d’identité en ligne

L’article 2 de ce projet de loi prévoit une nouvelle incrimination pour certaines formes d’usurpation d’identité commises sur les réseaux de communications électroniques. Le texte issu du vote d’aujourd’hui est le suivant:

Art. 222-16-1. – Le fait de faire usage, ~~de manière réitérée,~~ sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende.
Est puni de la même peine le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de porter atteinte à son honneur ou à sa considération.

Ainsi, deux modifications ont été apportées au projet issu de la commission des lois de l’assemblée nationale:

La suppression de la notion de réitération. En effet, l’objectif assigné au texte est de réprimer l’usurpation de l’identité dès lors qu’elle a pour intention de troubler la tranquillité d’une personne, ce qu’un seul de ces abus peut entraîner grâce à l’effet multiplicateur d’Internet.
La modification de la mention qui visait à recouvrir les formes de l’identité qui sont utilisées sur les réseaux de communication (pseudonymes, adresses de courrier électronique, …) pour la formule soulignée ci-dessus: « données de toute nature permettant de l’identifier ».

Plusieurs questions sont apparues dans le débat qui feront peut-être l’objet de clarifications lors des prochaines étapes du travail parlementaire:

Couvre-t-on le cas des services de communication au public en ligne ? Les réseaux sociaux notamment ?
De même, que penser des identifiants qui ne sont pas spécifiques à une personne ? En effet, le même pseudonyme peut-être utilisé par plusieurs personnes, dans des contextes ou à des moments différents, sans qu’il y ait d’intentions malhonnêtes, juste par le fait du hasard.
L’objectif étant de viser l’usurpation d’identité sur les réseaux, n’interdit-on pas par la même occasion la possibilité d’utiliser l’image d’une personne à des fins légitimes ?

Sur le premier point, l’ensemble de ces services étant supportés par des réseaux de communications électroniques (la communication au public en ligne est en réalité une forme de communication supportée par les réseaux de communications électroniques), les réseaux sociaux et autres formes de communications en ligne sont couverts.

Sur le second point, je pense que les preuves collectées en vue de déterminer l’élément intentionnel de l’infraction devront effectivement démontrer la volonté d’abuser de l’identité d’un tiers en particulier, donc cet écueil semble écarté en première analyse.

Sur le troisième point, l’intention du législateur semble suffisamment claire pour que le contexte de l’usurpation d’identité sur les réseaux soit l’unique motivation retenue.

Les jeux dangereux pour les enfants

Le « jeu du foulard » et d’autres formes de jeux dangereux pratiqués par les jeunes adolescents et parfois de plus jeunes enfants occupe trop régulièrement l’actualité et de même qu’il est reproché la diffusion de certains messages incitant à des pratiques alimentaires dangereuses (anorexie), ou l’assistance au suicide (situation déjà réprimée par les articles 223-13 et suivants du code pénal), la publication de messages ou de vidéos faisant la promotion de ces jeux dangereux a été identifiée comme une cause possible de leur développement.

Ainsi, en octobre 2009, deux députés du groupe UMP de l’Assemblée nationale, Patrice Verchère et Cécile Dumoulin ont publié un rapport sur ce sujet qui faisait un certain nombre de propositions, dont des mesures de sensibilisation qui sont évidemment nécessaires pour prévenir ces actes, mais aussi l’aménagement de l’article 227-24 du code pénal pour réprimer la diffusion de ces contenus vers les plus jeunes.

Le texte, issu de l’amendement n°185 discuté aujourd’hui, aurait cette forme:

Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu’en soit le support un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger, soit de faire commerce d’un tel message, est puni de trois ans d’emprisonnement et de 75000 euros d’amende lorsque ce message est susceptible d’être vu ou perçu par un mineur.

Lorsque les infractions prévues au présent article sont soumises par la voie de la presse écrite ou audiovisuelle ou de la communication au public en ligne, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables.

A noter que cette disposition a été votée à l’unanimité des députés présents, avec l’avis favorable du gouvernement et du rapporteur, M. Eric Ciotti. (L’amendement n°8 qui voulait étendre le blocage des sites pédopornographiques aux contenus relevant de l’infraction de l’article 227-24 a été retiré au cours des débats).

En clair, de tels messages ne sont pas illégaux, mais on doit empêcher les mineurs d’y accéder, ce sont bien eux qu’on cherche à protéger.

Les difficultés habituellement rencontrées dans l’application de l’article 227-24 subsistent toutefois. Comme le Forum des droits de l’Internet le rappelait les recommandations du groupe de travail « Les enfants du Net », il est difficile aujourd’hui de mettre en œuvre des solutions adaptées au contrôle de la majorité des visiteurs sur un site Internet. Toutefois, cela incitera – pénalement – les professionnels qui seraient amenés à héberger de tels contenus de prendre les mêmes mesures qu’ils prennent pour empêcher les mineurs d’y accéder (absence de publicité pour ces sites destinée aux mineurs, messages d’avertissements, marquage des pages pour en faciliter la détection par les logiciels de contrôle parental, etc.).

La suite donc sur ces deux nouveaux types d’infraction lors des débats au Sénat, qui pourrait se tenir à la mi-avril.

Blocage des sites pédopornographiques (suite)

Assemblée nationale (Photo: GPL)

Préambule

En préambule, je tiens à rappeler certains éléments de contexte sur le projet de blocage des sites pédopornographiques:

L’idée n’est pas née en France, mais est défendue par ses services spécialisés suite à plusieurs années d’échanges avec nos collègues, en Europe notamment, qui ont initié le même type de projets (voir le site Web du projet CIRCAMP);
Le blocage n’est pas une fin en soi. L’objectif est de contribuer à la lutte contre la diffusion des contenus pédopornographiques, dont j’ai déjà expliqué ici qu’il comportait de nombreuses facettes;
Si ce dispositif spécifique était décidé par le législateur, nous ne déclarerons nullement victoire, car il y a encore beaucoup de pain sur la planche, et comme pour beaucoup de sujets qui touchent à la lutte contre la délinquance, les moyens humains et financiers sont cruciaux.

De nouveaux éléments de débat ?

Le débat sur Internet au sujet du projet de blocage des sites pédopornographiques, voulu par la LOPPSI, est réellement devenu confus.

Ainsi, depuis quelques semaines, une campagne contre les dispositions liées au blocage des sites pédopornographiques contenues dans la LOPPSI est menée avec à la clé, la publication d’un recueil d’articles (voir l’article de Fabrice Epelboin sur ReadWriteWeb) dont le premier porte sur l’analyse du témoignage d’un pédophile qui a été diffusé voilà un an sur Wikileaks.

Qu’apportent ces nouveaux arguments au débat ? Voici le résultat de mes réflexions et mes réactions aux reproches qui sont faits aux professionnels de la lutte contre ces formes de délinquance.

Le blocage serait favorable pour le commerce pédophile ?

L’argument principal présenté par Fabrice Epelboin est que les groupes criminels qui commercialisent sur Internet des contenus pédophiles seraient devenus de tels spécialistes des techniques permettant de faire circuler discrètement des contenus illicites sur Internet, qu’ils deviendront les maîtres des réseaux « underground ». Et sa conclusion en est que le blocage les rendra incontournables dans l’exploitation de l’Internet illégal et serait en réalité leur planche de lancement.

En préambule on comprend très bien que le défenseur de la pédophilie qui est cité décrit une situation déformée par le prisme de son expérience personnelle. Ainsi, il nous explique que l’Allemagne serait le lieu de tous les hébergements underground, grâce aux serveurs les plus « fiables, les plus rapides et les plus abordables ». D’autres vous diront que ce sont les prestataires hollandais ou américains, en fonction de leur expérience personnelle. On retrouve des serveurs aux activités illégales dans des hébergeurs du monde entier. Et effectivement, le reste de son discours est déformé par le même prisme.

Les pratiques décrites comme ayant été développées pour les réseaux de diffusion pédophiles, sont en réalité celles de tous les groupes criminels organisés sur Internet, ceux qui diffusent des contenus pédophiles, comme ceux qui se « contentent » de vendre de faux logiciels de sécurité, de contrôler les botnets qui permettent de collecter des données personnelles monnayables, etc… J’ai décrit pour mes lecteurs quelques facettes de ces pratiques dans différents articles sur les hébergeurs malhonnêtes.

La diffusion de contenus pédopornographiques par ces groupes remplit en réalité deux objectifs:

c’est une source de revenus, un produit supplémentaire à leur catalogue;
c’est un des multiples appâts dont ils se servent pour attirer des pigeons dans leurs filets.

En effet, certaines victimes tombent pour la publicité vantant un médicament puissant et pas cher, d’autres pour des images pornographiques ou encore des logiciels de sécurité, et certains sont recrutés grâce aux images pédophiles. Les techniques de publicité par spam (courriers électroniques non sollicités), de rabattage vers la plateforme commerciale au travers de diffusion de liens cachés dans des vidéos disponibles sur les échanges P2P, de diffusion de logiciels espion, sont toujours les mêmes. Et au bout du compte la victime (dans le cas des images pédopornographiques aussi un peu coupable et donc qui n’osera pas aller porter plainte), donne son numéro de carte bancaire et est prélevée une fois, deux fois, puis plusieurs mois de suite.

Au bout du compte, le blocage des sites pédopornographiques de ce type-là va avoir pour effet collatéral de rendre beaucoup plus difficiles les autres formes d’escroqueries. En effet, on retrouve souvent sur les mêmes serveurs, derrière la même adresse IP des centaines de sites Web de promotion, les uns pour des contenus pédophiles mais les autres pour toutes sortes d’autres produits tout aussi illégaux.

En réalité donc, le blocage des sites pédopornographiques va rendre beaucoup moins intéressant pour ces groupes-là ce genre de commerce, ce qui va nuire finalement à leur modèle économique. Donc pour certains d’entre eux, ils seront au contraire motivés à quitter le commerce pédopornographique : une première victoire pour nous, mais qui ne nous empêchera pas de continuer à travailler sur leurs autres formes d’activités illicites.

La lecture de l’excellent rapport d’Europol sur le crime organisé de 2009 pourra donner une meilleure idée de la très grande transversalité des activités des groupes criminels organisés. On pourra aussi lire avec intérêt la présentation faite par François Paget lors du dernier panorama du Clusif sur la cybercriminalité, dont je rendais compte voici quelques jours, sur une entreprise aux activités particulièrement suspectes en Ukraine.

Quid des autres arguments ?

Je passerai rapidement sur la tentation à laquelle succombent les différents participants de l’ouvrage à minorer l’ampleur du problème (la tête dans le sable encore ?). Ainsi, selon Epelboin, cette forme de commerce ne représenterait « que » quelques dizaines de millions d’euros de chiffres d’affaires annuels. Déjà en soit, quelques dizaines de millions d’euros seraient un résultat non négligeable. A l’appui de son savant calcul, les dires de notre fameux pédophile anonyme : « en 2004, le leader du marché totalisait un chiffre d’affaires de plus de 20 millions de dollars », valeur à multiplier donc par le nombre total de groupes criminels concernés. En réalité, les quelques dizaines de groupes criminels qui agissent dans ce domaine réalisent très certainement des chiffres d’affaires semblables (répartis sur plusieurs types de « produits » comme je l’évoquais au-dessus) et on doit être plus proche des 500 millions de dollars ou du milliard de dollars annuels. Certaines études évaluaient en 2004 ce marché à 3 milliards de dollars.

Toujours à minorer le problème, un autre intervenant de l’ouvrage intervient: proclamé expert informatique britannique, qui a commencé ses activités dans ce domaine voilà moins de deux ans, à l’avenir certainement très prometteur. Il nous affirme sans sourciller qu’il n’y aurait plus aujourd’hui d’échanges de contenus pédopornographiques sur les réseaux pair à pair classiques. Il dit par exemple: « la plupart de ce qu’on y trouve n’est pas réellement de la pédopornographie et ne peut donner lieu à des poursuites ». Malheureusement, il se trompe complètement. On y trouve les formes les plus graves d’atteintes sur des mineurs. Effectivement pas toujours les toutes dernières productions – encore qu’on y retrouve des productions non professionnelles récentes. Le P2P est malheureusement encore beaucoup utilisé pour partager des fichiers pédopornographiques et l’équipe du département de répression des atteintes aux mineurs sur Internet du STRJD à Rosny-sous-Bois en identifie plusieurs dizaines en France chaque mois.

C’est le même expert britannique qui nous explique que les techniques policières de collecte du renseignement sont inadaptées: « la surveillance est une énorme perte de temps », dit-il (en parlant de la surveillance de l’activité d’un suspect, par exemple par le biais d’interceptions, en comparaison de l’analyse forensique d’un ordinateur saisi au moment de la perquisition qui révélerait tout autant d’informations). Il manque très clairement de recul par rapport à ce qui est utile ou non dans une enquête judiciaire. Par exemple, avant d’envisager une perquisition qui permettra de saisir du matériel informatique, il est évident que les policiers doivent collecter des preuves en amont qui vont confirmer la nécessité de cette perquisition: il n’y a pas de perquisition « en aveugle ».

Enfin, l’argument de la censure et de la prohibition est longuement développé. Il n’aura pas échappé au lecteur averti que la possession, la fabrication et la diffusion de contenus pédopornographiques sont interdits. Oui, ces contenus sont illégaux, prohibés, pour des raisons évidentes. Je ne crois pas que les rues de Paris se soient transformées en champ de bataille à cause de cette prohibition de la pédopornographie. Les pays qui ont mis en place le blocage en Europe non plus. D’ailleurs le pédophile allemand qui est cité en appui de ces démonstrations souhaite carrément la libéralisation de la pédopornographie, je ne vois pas comment on peut utiliser ses arguments sur la prohibition pour critiquer le dispositif de blocage proposé! Le même nous explique qu’il a beaucoup plus peur du NCMEC (organisme américain chargé aux côtés du FBI de la lutte pour la protection de l’enfance) que des terroristes.

En conclusion, une bonne partie de ce qui est présenté comme nouveaux arguments consiste à affirmer que les services spécialisés en France, en Europe et au-delà ne savent pas de quoi ils parlent, ne connaissent pas les groupes criminels pédophiles, ne regardent pas du bon côté, travaillent mal… Soit. On a toujours des progrès à faire, c’est certain. Mais aujourd’hui je ne suis pas convaincu par ce qui nous est proposé à lire.

L’impact sur le réseau, la liberté d’expression, le surblocage

J’avais déjà eu l’occasion d’évoquer les autres éléments du débat. La mesure est-elle proportionnée ? Quels risques prend-on par rapport aux infrastructures ? Quelle transparence sera donnée au dispositif ? Qui contrôle ? Combien ça coûte ?

Ainsi, le surblocage est un sujet important à prendre en compte, en cas de mises en place de telles mesures. Supposons d’abord que les listes fournies par l’autorité chargée de les établir seront validées ou contrôlées par l’autorité judiciaire. Elles devront aussi être adaptées en fonction des techniques de blocage (selon que l’on bloque sur la base de l’adresse IP ou un nom d’hôte par exemple) de façon à limiter le surblocage. Il faudra aussi être en mesure de réagir promptement aux demandes éventuelles des personnes lésées. Ainsi, Europol a déjà mis en place un site d’information permettant à de telles situations d’être rapidement résolues. Cette initiative fait partie du projet CIRCAMP, financé par la Commission Européenne dans le cadre du Safer Internet Programme, pour aider les services de police à coordonner leur action dans la lutte contre les contenus illicites. On pourrait reprendre le même modèle plus spécifiquement à destination du public français. En effet, en plus du magistrat qui serait éventuellement chargé de contrôler l’autorité administrative – comme le prévoit la version issue de la commission des lois, le public sera lui-même un excellent arbitre de toute erreur en surblocage qui ne manquera pas d’être détectée et donc corrigée.

Enfin, l’action contre les flux financiers – je l’ai déjà évoqué à plusieurs reprises (ici au moment de la conférence Octopus du Conseil de l’Europe en 2009) – est évidemment une des priorités de l’action des services d’enquête en Europe, aux Etats-Unis et en Asie.

Efficacité supposée de la mesure

Ce soir, sur Public Sénat, Benjamin Bayart déclarait que l’efficacité de la mesure n’est pas évaluée. L’étude d’impact du projet de loi présenté devant le parlement (et disponible en suivant ce lien, voir la page 107 du PDF) explique pourtant le nombre de connexions qui sont bloquées chaque jour dans les pays qui appliquent la mesure :

30.000 connexions / jour en Suède,
15.000 connexions / jour en Norvège,
12.000 connexions / jour au Danemark.

Il va de soi que l’efficacité devra être aussi mesurée en France.

En conclusion:

non, le blocage ne favorisera pas le commerce pédopornographique, au contraire !
oui, il y a un problème de la diffusion commerciale de ces contenus et l’action contre les flux financiers liés à ces activités est menée ;
oui, il faut un débat sur les moyens à mettre en œuvre, mais il ne faut pas tout mélanger.

7 février 2010 by Éric Freyssinet Cybercriminalité Juridique

Actualité législative (LOPPSI/ARJEL)

Assemblée nationale (Photo: GPL)

Le parlement est saisi de deux textes qui intéressent la délinquance numérique et les investigations numériques: les projets de loi LOPPSI et de régulation des jeux en ligne.

La LOPPSI comporte trois dispositions à suivre:

l’interdiction de certaines formes d’usurpation d’identité en ligne;
le blocage des sites pédopornographiques (voir l‘article que j’avais publié à ce sujet en mai 2009);
la captation de données informatiques (ou « sonorisation informatique »).

Le projet de loi a été débattu en commission des lois et en commission de la défense de l’Assemblée nationale. La commission des lois propose que le blocage soit assorti de l' »accord de l’autorité judiciaire ». Le dépôt des amendements sur ce texte aura lieu jusqu’au 05 février 2010 au soir et le débat aura lieu en séance à l’Assemblée nationale les 09, 10 et 11 février 2010 prochains.

Le dossier de cette loi sur le site de l’AN.

Quant au projet de loi sur la régulation des jeux en ligne il avait fait l’objet d’une première lecture à l’assemblée nationale au mois d’octobre dernier et se retrouve maintenant devant le Sénat. La commission des finances a rendu son rapport le 19 janvier dernier et le texte sera débattu en séance les 23 et 24 février prochains. (J’avais évoqué ce projet de loi en août dernier)

Le dossier législatif sur la régulation des jeux en ligne sur le site du Sénat.

Un mois de février 2010 particulièrement actif donc dans le débat public.

1 février 2010 by Éric Freyssinet Cybercriminalité Juridique 0

Blocage des sites pédopornographiques

Bon… un sujet à polémique, que j’ai déjà évoqué dans le passé (lors de la publication du rapport du Forum des droits sur Internet). Le ministre de l’intérieur a donc confirmé cette semaine l’introduction dans le projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure d’un article visant à permettre le blocage des sites web pédophiles.

Je vais essayer de partager avec mes lecteurs mon avis sur le sujet. Je me baserai notamment sur ma connaissance de ce que nous faisons en gendarmerie dans la lutte contre ces phénomènes.

Pratiques existantes

Tout d’abord essayons de décrire l’ensemble des pratiques d’échanges et de diffusion de contenus pornographiques représentant des mineurs :

L’échange privé entre deux personnes, par courrier électronique ou par échange de fichiers entre contacts dans un logiciel de messagerie instantanée ;
L’échange sur les réseaux pair à pair (libres d’accès ou privés, cryptés ou non) ;
La diffusion sur des « newsgroups » ;
L’échange dans des groupes de discussion / forums web (hébergés sur des plateformes ou grâce à des scripts installés sur un serveur Web) ;
L’échange sur des canaux IRC, notamment par la configuration de scripts de partage (type Panzer) ;
La diffusion sur des sites Web (gratuits ou payants).

De façon plus anecdotique on trouve aussi des serveurs FTP, plutôt confidentiels.

Qu’est-ce qui est fait contre ces différentes formes de diffusion ?

C’est une question parfaitement sensée, notamment lorsqu’on en vient à parler de blocage, de savoir si tout le nécessaire est bien fait pour lutter contre ces phénomènes ?

S’agissant de la première catégorie, il s’agit d’échanges privés. Il n’est pas question (moralement et légalement) de détecter ou de filtrer ce type d’échanges, sauf évidemment lorsque les délinquants se serviraient de leur messagerie professionnelle pour le faire. La plupart de ces situations sont détectées une fois que des amateurs d’images pédophiles supposés sont interpellés, par l’analyse de leur ordinateur. Il est aussi envisageable, pour une personne contre qui il existe des indices de telles pratiques illégales, qu’un juge d’instruction ordonne une interception de ses communications Internet (articles 100 à 100-7 du code de procédure pénale). Mais l’outil légal le plus intéressant pour détecter ce type de pratiques est très certainement la loi sur les cyberpatrouilles que j’ai déjà évoquée à plusieurs reprises sur ce blog.

Sur les réseaux pair à pair « ouverts », des équipes spécialisées d’enquêteurs disposent d’outils dédiés (par exemple AntiPedofiles-P2P de l’association ActionInnocence). Plusieurs dizaines de cibles sont ainsi identifiées chaque mois par les enquêteurs du STRJD à Rosny-sous-Bois. La loi sur les cyberpatrouilles autorise maintenant certains enquêteurs à s’infiltrer sous pseudonyme dans les réseaux P2P chiffrés réservés à des groupes fermés. C’est la même chose pour les forums Web.

Les échanges sur les canaux IRC sont une situation intermédiaire, puisqu’ils sont à la fois des lieux d’échanges publics et de conversations privées. Une fois de plus, les cyberpatrouilles permettent d’étendre les possibilités des enquêteurs dans ce domaine.

La surveillance des « newsgroups » est facilitée par la nature même de cet outil, pour lequel il existe de nombreux moteurs de recherche. En revanche, il reste assez préoccupant qu’aucune mesure ne soit prise par les hébergeurs de ces serveurs pour empêcher les groupes de discussion manifestement illicites (certains noms de « newsgroups » en alt. ne laissent pas la place à l’interprétation…). C’est un sujet sur lequel il reste encore à imaginer de nouveaux modes d’action adaptés.

Et contre les sites web ?

Venons-en maintenant aux sites web de diffusion de contenu (par opposition aux forums web couverts plus haut). On peut observer plusieurs catégories :

des sites web personnels ;
des sites web pornographiques professionnels qui jouent au mélange des genres ;
des sites web pédopornographiques professionnels et donc commerciaux ;
des sites web malicieux qui attirent les visiteurs avec toutes sortes de contenus pour leur voler des données personnelles, bancaires ou provoquer l’installation de logiciels malicieux (notamment grâce à des informations cachées dans certaines vidéos).

Leurs hébergements sont de différentes nature : sites web personnels, sites sur un hébergement professionnel (avec toutes les nuances imaginables), squat sur des sites légitimes, abus de la connectivité d’autrui notamment au travers des botnets.

La lutte contre l’ensemble de ces sites illicites est grandement facilitée depuis le début de l’année par la mise en place de la plateforme de signalement, où cinq gendarmes et cinq policiers recueillent les témoignages d’internautes. Une grande partie d’entre eux portent sur des contenus pédopornographiques. Si le site est en France, il est assez facile de le faire fermer et d’en identifier l’origine. Lorsqu’il est à l’étranger cela devient plus complexe, voire impossible chez certains hébergeurs malhonnêtes.

Si les législations internationales existent, elles ne sont pas toujours ratifiées par l’ensemble des pays (par exemple : Russie, Turquie, San Marin, Andorre et la Principauté de Monaco, n’ont ni signé ni a fortiori ratifié la convention du Conseil de l’Europe sur la cybercriminalité) ou appliquées. La coopération internationale existe (en octobre 2007, la gendarmerie avait ainsi mené l’opération Arc-En-Ciel, suite à un signalement reçu de l’étranger sur une diffusion illicite organisée depuis un site de téléchargement français). Mais elle se heurte à certaines frontières : la corruption dans certains pays ou plus souvent l’inaction ou l’impuissance des responsables officiels.

La coalition financière européenne est une autre réponse contre ces formes de commerce illicites. Ainsi, la commission européenne a-t-elle décidé de financer une initiative qui vise à rassembler les efforts des acteurs de l’Internet, des services d’enquête et des grands réseaux financiers, pour identifier et bloquer les flux financiers liés aux contenus pédopornographiques. La France doit rejoindre la coalition – initiée par nos collègues anglais et italiens – dès cette année.

Mais la volonté des groupes criminels est particulièrement tenace, ils profitent de toutes les failles du système et continuent de faire d’importants bénéfices financiers grâce à l’abus sexuel des mineurs et à sa représentation.

Et maintenant, le blocage ?

Pour compléter l’ensemble des actions que je viens de décrire, et devant le constat que de nombreux sites Web subsistent encore et continuent de faire des dégâts, un groupe de travail européen propose de mettre en place des solutions de blocage ciblées. Soutenue par Europol et Interpol, cette initiative vise à mettre en place dans l’ensemble des pays concernés des techniques empêchant l’accès à ces sites web.

Ainsi, le Royaume-Uni, la Norvège, le Danemark, la Suède ou les Pays-Bas ont-ils mis en place de façon concertée avec les grands fournisseurs d’accès des dispositifs empêchant l’accès à une liste de sites fournie par la police. D’un pays à l’autre, d’un opérateur à l’autre, les solutions techniques sont différentes, adaptées aux situations locales. La France quant à elle s’oriente donc vers une solution législative (comme l’Italie en 2006) plutôt que de gré à gré avec les opérateurs.

Que dit le projet de loi ?

Le texte du projet est accessible sur le site Web du ministère de l’intérieur.

L’article 4 propose ainsi d’insérer dans l’article 6 de la loi pour la confiance dans l’économie numérique un alinéa, après le quatrième alinéa du paragraphe 7 du I :

Lorsque les nécessités de la lutte contre la diffusion des images ou des représentations de mineurs relevant des dispositions de l’article 227-23 du code pénal le justifient, l’autorité administrative notifie aux personnes mentionnées au 1 les adresses Internet des services de communication au public en ligne entrant dans les prévisions de cet article et auquel ces personnes doivent empêcher l’accès sans délai.

Un décret fixe les modalités d’application de l’alinéa précédent, notamment celles selon lesquelles sont compensées, s’il y a lieu, les surcoûts résultant des obligations mises à la charge des opérateurs.

(Cet article 4 prévoit aussi des sanctions pour les fournisseurs d’accès qui n’appliqueraient pas ces mesures.)

En langage clair, un service du ministère de l’intérieur transmettrait, dans des conditions qui doivent être précisées dans un décret, la liste des sites Web diffusant des contenus pédopornographiques dont il convient d’empêcher l’accès.

Quels sont les arguments de ceux qui s’opposent à ce projet ?

Il est important en démocratie d’écouter l’ensemble des avis sur un tel sujet, notamment lorsqu’il s’agit de restrictions potentielles aux libertés publiques (notamment en cas de surblocage).

Il s’agirait de créer en France une forme nouvelle de censure

C’est clairement faux, puisque la loi pour la confiance dans l’économie numérique permet déjà dans le 8° du I de ce même article 6 au juge civil d’ordonner que des mesures soient prises par les hébergeurs, puis si cela n’est pas suffisant, par les fournisseurs d’accès pour empêcher un dommage. Les mesures de blocage existent donc en droit.

Ces mesures sont d’ailleurs prévues au niveau européen par l’article 14, 3° de la directive 2000/31/CE sur le commerce électronique dont est issue la LCEN.

En revanche, les dispositions actuelles ne permettent pas à l’enquête pénale de conduire au dit blocage. D’où une disposition spéciale.

Il s’agirait d’une démarche visant à contrôler la liberté d’expression

Comme je viens de le dire, les mesures de blocage peuvent déjà être ordonnées, ce n’est pas une nouveauté en France. Ce qui est nouveau, c’est la possibilité d’avoir une action plus dynamique et plus efficace contre les sites Web pédopornographiques (puisque le projet de loi vise explicitement et uniquement cette infraction). Et il ne me semble pas que ce type de contenus relève de la liberté d’expression.

Le dispositif ferait fi du principe de subsidiarité de la LCEN

Oui, en pratique, le juge n’intervient pas dans le dispositif proposé. Mais en quoi consisterait en pratique le principe de subsidiarité appliqué à cette situation, avec le droit actuel ?

Cela supposerait de contacter d’abord l’éditeur du site pour lui intimer l’ordre de retirer ces contenus…

Ensuite, il faudrait s’adresser à l’hébergeur, dont j’ai expliqué tout à l’heure qu’évidemment ceux qui nous intéressent ici, sont justement ceux qui ne coopérent pas avec l’autorité policière ou judiciaire française.

Enfin, seulement il faudrait que le juge se prononce sur l’ensemble de ces actions, sur le contenu incriminé et cite l’ensemble des fournisseurs d’accès français, qui devraient présenter leurs arguments en réponse, pour ensuite ordonner le blocage du dit site. Et cela, pour chacun des sites Web concernés.

Ubuesque…

En revanche, rien n’interdit le contrôle de ces dispositions. S’agissant d’une mesure administrative, c’est le juge administratif qui pourra être saisi par quiconque estime être lésé par les mesures de blocage. Il y a donc bien contrôle par le juge de la mesure proposée. C’est d’ailleurs déjà le cas pour l’interdiction de vente aux mineurs de certaines revues, qui font aussi l’objet de mesures administratives.

Enfin, comme l’indiquait récemment Christian Aghroum, chef de l’OCLCTIC, dans une interview, il n’est pas question dans ce projet d’autres types de contenus. Et c’est particulièrement important pour l’équilibre du dispositif. En effet, estimer la nature illégale d’un contenu pédopornographique est assez simple et constitue le travail de spécialistes des services d’enquête – malheureusement – depuis de nombreuses années. En revanche, pour d’autres types de contenus (discrimination, diffamation, …) l’interprétation du juge serait cruciale.

Le projet présenterait de gros risques techniques

Oui, le blocage au niveau des opérateurs n’est pas une action sans conséquence. D’ailleurs, c’est bien ici la compétence des acteurs techniques qui est recherchée par le projet de loi. Ce sont les spécialistes des opérateurs qui la mettront en œuvre, en fonction de leurs infrastructures.

Et tous les jours, les fournisseurs d’accès prennent des mesures techniques pour protéger leurs infrastructures et leurs abonnés. Ne serait-ce que pour lutter contre le spam ou certaines attaques massives. Parfois, ils peuvent faire des erreurs, Internet ne s’est pas encore effondré (les exemples sont nombreux, par exemple avec des incidents dans l’accès à Google – forcément vite repérés, mais la situation est très vite rétablie).

Ainsi, Wikipedia avait souffert en décembre 2008 d’un surblocage au Royaume-Uni. Le mécanisme – assez complexe – était lié à la combinaison de l’action du dispositif de blocage utilisé dans ce pays (apparemment, le passage par un proxy pour certaines adresses IP de destination) et le dispositif anti-vandalisme de Wikipedia (qui a détecté ces proxys comme des sources probables de vandalisme). C’est assez bien expliqué dans l’article que j’ai mis en lien et on pourra aussi consulter l’information publiée par Wikipedia à ce sujet.

Cet incident milite d’abord pour une gestion transparente de ce projet – le débat public à venir en est une caractéristique. Et il veut surtout dire qu’il est important pour l’ensemble des acteurs du blocage (pouvoirs publics et opérateurs) de dialoguer efficacement pour anéantir les possibilités de surblocage ou de nuire à la qualité de l’accès Internet, selon les techniques choisies par les uns et par les autres.

Et le blocage ne serait pas la panacée…

Oui, aucune mesure de prévention ne réussit à 100%… Le tout est de savoir si elle aura une certaine efficacité.

Déjà pour l’internaute français lambda (adulte ou jeune), non intéressé par ce type de contenus, la mesure n’aura pas de conséquence (à conditions que les risques de surblocage soient bien gérés, comme je viens de l’évoquer) et le protégèra de certains contenus, y compris de sites diffusant des logiciels malveillants. Il est d’ailleurs indispensable à ce titre que la qualité de navigation de ces internautes ne soit pas diminuée.

Pour l’internaute qui chercherait ce genre de contenus, beaucoup seront bloqués et le marché commercial des promoteurs de ces sites en sera diminué d’autant. Et toutes les occasions de créer la peur du gendarme chez ces délinquants potentiels est une bonne mesure préventive. Les plus insistants trouveront peut-être des techniques pour contourner le blocage. Mais comme je l’ai déjà évoqué, ce sont loin d’être les seules mesures que nous prenons contre ces sites Web et ils pourront par exemple être retrouvés grâce à leurs transactions bancaires avec ces sites. Et rien ne nous interdit d’imaginer des techniques supplémentaires pour mieux identifier ces actions illicites, le travail est – nous le savons bien – loin d’être accompli.

Conclusion

Nous sommes donc face à un choix de société important. Il est important de ne pas sous-estimer la réalité de ces phénomènes et leur impact sur les enfants (je parle ici des victimes de ces actes sexuels), mais aussi les gains financiers permis par de telles abominations. Il est important aussi de ne pas déplacer le débat : le blocage n’est pas juridiquement une nouveauté, ce qui l’est c’est une action plus efficace contre les sites pédophiles et notamment les sites de nature commerciale et mafieuse.

30 mai 2009 by Éric Freyssinet Cybercriminalité Juridique 5