Texte intégral
Monsieur le Président d'Interpol,
Messieurs les Ambassadeurs,
Mesdames, Messieurs,
C'est un plaisir pour moi de vous accueillir à Paris pour cette importante réunion des experts du G8 et des représentants de plus de 130 sociétés de vos pays respectifs . La France vous offre son hospitalité et ce cadre pour vos travaux et apporte volontiers son concours à la Présidence japonaise du G8 pour assurer le succès de cette conférence.
L'actualité de ces derniers jours a souligné fort opportunément que le développement spectaculaire de l'Internet et des réseaux numériques en général n'est pas à l'abri d'un certain nombre de risques. Ceux-ci commencent à être mieux connus, et les efforts nationaux déployés par de nombreux pays de même que les nombreuses discussions internationales qui ont lieu depuis déjà plusieurs années, sont la preuve que les gouvernements et la communauté internationale ont pris très au sérieux les défis que lancent aujourd'hui à nos sociétés les progrès rapides et généralisés des technologies de la communication.
Lors de notre dernière réunion des ministres de la justice et de l'intérieur des pays du G8 à Moscou en octobre dernier, nous avons voulu approfondir le travail réalisé par les experts dans le cadre du groupe de Lyon, et leur avons demandé de manière très précise de préparer une conférence d'un type nouveau qui associerait pour la première fois un grand nombre d'entreprises concernées par le développement des nouvelles technologies de l'information (NTI) et les responsables gouvernementaux en charge de la sécurité et de la justice. Il est apparu clairement dès 1998 au sommet des chefs d'état et de gouvernement de Birmingham que tout progrès vers plus de sécurité dans le cyberespace serait vain s'il n'y avait pas une très bonne collaboration entre les services publics chargé de la sécurité et le secteur privé. Les innovations technologiques sont tellement rapides et de nature à modifier en profondeur des pans entiers de l'activité publique et privée qu'une concertation poussée est devenue indispensable. Les recommandations des chefs d'état du G8 en faveur de concertations avec le secteur privé ont été suivies d'effets dans chacun des pays du G8 en 1998 et 1999 et il était normal que le pas suivant soit de mettre en commun l'état des réflexions menées séparément dans nos pays pour donner à ce débat secteur public/ secteur privé la dimension internationale qu'il doit avoir. Je suis heureux de voir que vos travaux dépassent aujourd'hui le cadre étroit du G8 puisque sont associés des représentants de la Commission Européenne, du Conseil de l'Europe, de l'OCDE, d'Interpol, d'Europol et de nombreux groupements et organismes privés internationaux concernés par la sécurité des réseaux. Il ne fait aucun doute que tous doivent pouvoir profiter des travaux de réflexion déjà engagés dans le cadre du G8 qui fait figure de pionnier en la matière. Mais la dimension planétaire du phénomène Internet dans tous ses développement positifs et négatifs nous oblige à associer dans ce vaste chantier le plus grand nombre possible d'interlocuteurs du monde entier. A quoi bon mettre en oeuvre des solutions techniques et juridiques entre nous sur les problèmes qui nous préoccupent aujourd'hui comme la traçabilité, la localisation, la durée de conservation des données de connection, les mécanismes d'entraide judiciaire, d'extradition, s'ils ne sortent pas du cadre restreint du groupe des pays les plus industrialisés de la planète? C'est un point fondamental pour mon pays , sur lequel je reviendrai .
1) Le cybercrime: de quoi parle-t-on?
Entre responsables publics, experts et professionnels des NTI, nous avons le devoir d'être clairs. Les usagers d'Internet dans le monde qu'ils soient des particuliers, des entreprises ou des Etats, doivent avoir une vision précise des problèmes auxquels ils peuvent être confrontés dans le cyberespace. Chez nous, les services de police et de gendarmerie savent qu'il est difficile de recenser ou de comptabiliser toutes les infractions. Dans les documents qui vous ont été distribués, vous trouverez sur cette question importante une fiche qui fait ressortir la progression rapide du nombre des enquêtes criminelles. Toutefois, les usagers ne communiquent pas toujours aux autorités de police les attaques ou préjudices dont ils sont victimes. Soit ils n'ont pas le reflexe car ils pensent qu'Internet est un espace de non-droit et qu'ils n'ont aucun recours, soit, et c'est le cas de nombreuses entreprises, ils ne souhaitent pas faire connaître les difficultés auxquelles ils ont pu être confrontés, justement pour ne pas accentuer cette sensation de fragilité des réseaux. Je peux cependant vous dire que nos services ont recensé en 1999 plus de 2500 affaires impliquant d'une manière ou d'une autre Internet mais que ce chiffre ne recouvre certainement pas toutes les infractions, graves ou petites qui se sont produites.
Il est aussi très important de ne pas faire d'amalgame entre les types d'infractions: on a beaucoup parlé ces derniers temps en France du problème de sécurité des cartes bancaires en le confondant avec Internet. Or ils'avère que la plupart des infractions liées à une utilisation frauduleuse des cartes bancaires n'a rien à voir avec Internet: c'est à partir des "facturettes" que le client jette ou oublie au distributeur de billets que les malfaiteurs peuvent utiliser frauduleusement une carte bancaire. Il apparait en revanche que la technologie de la carte à puce utilisée par les cartes bancaires reste pour le moment la plus sûre et qu'elle pourrait être généralisée sur les ordinateurs pour sécuriser les accès à Internet. Ce sera je crois un des points importants dont vous parlerez durant cette conférence et sur lequel l'apport de l'industrie est fondamental.
Nous sommes là pour réfléchir aux moyens d'assurer une meilleure sécurité sur Internet. Les incidents que nous connaissons, qu'il s'agisse d'infractions classiques commises grâce au réseau, pour lesquelles Internet n'est qu'un vecteur efficace, comme peuvent l'être le téléphone ou le fax, ou d'infractions nouvelles propres aux technologies des réseaux comme le phénomène des virus ou les intrusions "pirates" dans des systèmes informatiques doivent être soigneusement analysés et repertoriés. Le côté spectaculaire de l'attaque du virus ILOVEYOU ou des attaques perpetrées les mois derniers contre quelques grands sites américains ne doit pas nous pousser à agir dans la précipitation. La matière est trop complexe pour que sous la pression d'évènements graves mais qui prennent facilement une dimension émotionnelle, des décisions soient prises à la hâte qui ne correspondraient pas à la vraie nature du problème. Nous devons être conscients des failles que peuvent présenter les systèmes de sécurité des réseaux, mais nous avons aussi l'obligation de ramener ces problèmes à leur juste dimension et de ne pas créer une psychose qui encouragerait une dérive sécuritaire. Le devoir des gouvernements et des industriels est d'envoyer un message clair: nous travaillons ensemble à la recherche de solutions techniques et juridiques qui élèvent les niveau de sécurité et de confiance dans les technologies nouvelles.Le cyberespace relève de règles juridiques souvent déjà définies dans la plupart des pays. Nous travaillons pour les compléter et à en améliorer l'applicabilité dans le cadre de nouvelles formes de coopération internationale.
Ces épisodes spectaculaires comme celui que nous avons vécu ces derniers jours, et dont la France s'est plutôt bien tirée, ne doivent pas dissuader les usagers de continuer à utiliser cet instrument prodigieux qu'est Internet.
2) En France nous avons pris de nombreuses dispositions.
Je voudrais revenir sur cette idée qui a une certaine force dans l'opinion publique internationale: Internet serait un espace sans droit ou le "cyberespace" de par sa nature même nécessiterait un régime juridique spécifique ou une "cyberpolice" qui dépasserait le cadre des Etats et de leurs compétences souveraines.
Rien n'est plus inexact. Les Etats conservent la responsabilité, et la capacité d'agir.
C'est bien à partir d'Etats souverains que peut s'organiser la volonté et la capacité d'agir collectives, au plan interne d'abord, par la coopération internationale ensuite.
D'abord, au plan interne. En France le gouvernement a, depuis un certain temps déjà engagé une réflexion.. Il a demandé au Conseil d'Etat, en 1998, de se prononcer ; ses conclusions sont claires: " l'ensemble de la législation s'applique aux acteurs d'internet...Il n'existe pas et il n'est nul besoin d'un droit spécifique de l'Internet et des réseaux.". Une grande partie des infractions commises est d'un type classique et Internet n'est qu'un vecteur. D'autres infractions sont propres aux réseaux numériques ou aux nouvelles technologies et demandent donc de nouvelles définitions dans notre droit pénal, des règles et des moyens d'action.
Le renforcement de ces moyens fait partie du programme d'action gouvernemental pour la société de l'information, annoncé par le Premier ministre et mis en uvre depuis deux ans, pour adapter la France aux mutations technologiques. Certaines dispositions concernant la sécurité et la confiance sur Internet ont déjà été prises pour faire face à ces phénomènes, comme la création de la Direction centrale de la sécurité des systèmes d'information, service interministériel, ou du CERT/A, instrument de veille et d'assistance contre les intrusions informatiques. Sur le plan répressif, l'action de la Gendarmerie (l'IRCGN), des Douanes, de la Police Nationale, est là. Je pourrais citer, parmi les affaires récemment élucidées, l'exemple de cette intrusion réalisée sur un réseau universitaire au moyen d'un "programme utilitaire" permettant de récupérer les mots de passe des utilisateurs, qui a permis à un étudiant de consulter et d'utiliser frauduleusement les thèses informatiques des autres étudiants de son université ; ou de cette contrefaçon des logiciels de gestion des clients d'une entreprise, réalisée par l'un de ses salariés, un "dévéloppeur", afin de les faire exploiter et diffuser par une entreprise concurrente, avec un préjudice pour la première, titulaire des droits sur les logiciels, évalué à 6 MF ; ou encore de ce "Cheval de Troie" installé par un jeune "hacker" sur l'ordinateur d'un cabinet médical, et lui donnant accès aux fichiers médicaux des patients. Autant d'identifications obtenues à l'issue de recherches techniquement complexes menées par notre Brigade Centrale pour la Représsion de la Criminalité Informatique.
Comme le Premier ministre l'a annoncé, c'est un Office Central, créé par un décret de ce jour (publié au JO de demain, pour saluer notre conférence !), qui va désormais constituer notre instrument pour ce travail opérationnel d'enquête judiciaire. Cet Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication, organe interministériel créé au sein de la DCPJ, sera en même temps le correspondant international naturel des services équivalents à l'étranger, et notamment du réseau des points de contact (créé lors du Sommet du G 7 de Waschington, en décembre 1997). Sa création devra s'accompagner, bien entendu, d'un effort de recrutement et de formation de spécialistes de ces nouvelles technologies.
Mais l'action répressive ne peut éluder les questions essentielles de l'identification des auteurs et de la conservation des preuves. Sur l'Internet, ces questions conduisent à s'interroger sur le concours que les services de police doivent pouvoir attendre des intermédiaires techniques des réseaux, notamment des fournisseurs d'accès qui détiennent et le cas échéant conservent les données d'identification de leurs abonnés, et les données de connexion dont dépend la "traçabilité" des messages.
Ces questions, il revient aux services répressifs de les poser, et à un ministre de l'Intérieur d'en faire état ici, dans un débat que je sais très ouvert sur les règles communes, nationales et internationales, que nous devons définir.
3) Naturellement dans cette action, nous avons le souci de trouver un équilibre entre les besoins des services répressifs et l'obligation de garantir le respect de la vie privée des personnes.
On le sait : les mémoires des ordinateurs auront bientôt la possibilité de conserver toutes les traces des moindres gestes de notre vie quotidienne. C'est là un point d'appui intéressant pour la lutte contre la cybercriminalité, voire la criminalité tout court. Mais aussi, comment préserver notre sphère privée, éviter que des"profils" soient établis sur chacun d'entre nous qui pourraient être utilisés par n'importe quel vendeur qui nous harcèlerait, ou par des services publics ou privés, nationaux ou étrangers, qui auraient facilement connaissance de nos idées politiques, de nos pratiques religieuses voire sexuelles, de nos habitude de consommation, de nos relations d'amitié ou d'affaires ?
Nous devons trouver le juste milieu et veiller à ce que les nouvelles technologies ne deviennent pas un instrument universel de contrôle et d'asservissement.
En France nous attachons une importance extrème à ce sujet. Depuis 1978 le legislateur français a pris la mesure des dangers qui apparaissaient avec les progrès de l'informatique. La Commission Nationale Informatique et Liberté veille à ce qu'aucune dérive ne se produise. Mais nous ne sommes pas les seuls à avoir ces préoccupations: tous les hommes politiques de nos pays attachés aux valeurs démocratiques et aux respect des droits fondamentaux des personnes se sont exprimés sur ces sujets de société. Dans tous les pays des arbitrages doivent être rendus pour rendre compatibles ces différentes contraintes et j'imagine que les débats que nous avons en France, y compris dans le cadre de la préparation de cette conférence, se retrouvent à l'identique dans vos pays respectifs. Il est important que cette conférence soit un lieu de débat largement ouvert où l'on pourra parler de techniques de traçabilité et de conservation des données personnelles aussi bien que des impératifs découlant de la protection de la vie privée des personnes.
4) Mais ce qui nous réunit aujourd'hui, c'est le besoin, peut-être l'urgence d'un renforcement de la coopération internationale.
Partant de la constatation que les réseaux de communication relèvent bien de règles juridiques précises dans tous nos pays et que du point de vue du droit il n'y a pas de cyberespace, ou que le cyberespace n'est pas un espace de non-droit, que les mêmes infractions liées aux technologies de l'information sont reconnues par le droit interne de nos pays, il nous reste à nous adapter aux impératifs de rapidité et d'efficacité que nous imposent les nouvelles modalités de la criminalité. Les pays du G8 ont déjà proposé et mis en oeuvre le réseau des points de contact qui permet des échanges instantanés d'informations. C'est un outil qui mérite d'être consolidé et élargi à de nombreux pays.
Il est évident pour nous tous que nous ne pouvons pas nous éloigner des principes fondamentaux qui régissent les coopérations en matière d'enquêtes ou d'entraide judiciaire entre Etats. Même si l'on travaille par courrier électronique pour effectuer une perquisition sur un ordinateur, des formes sont à respecter, le contrôle d'un juge est nécessaire et il n'est pas envisageable que des enquètes soient effectuées directement sur un territoire étranger sans recourir aux autorités du pays. Il nous appartient donc de réflechir aux modalités très concrètes qui doivent être mises en oeuvre entre nous.
L'impulsion étant donnée par le G8, il est désormais indispensable de formaliser les nouvelles normes juridiques et les modalités de coopération dans un instrument juridique qui aura une portée universelle. Pour la France la négociation en cours au Conseil de l'Europe d'une convention sur la cybercriminalité est fondamentale pour plusieurs raisons. Le projet de texte actuellement en discussion définit les infractions qui devraient être reconnues par tous les Etats. Il propose ensuite des modalités de coopération qui reprennent par exemple la formule des points de contact nationaux. Il propose aussi des procédures d'extradition. Bref, cet accord est un instrument indispensable dont la France souhaite la conclusion dans des délais raisonnables. L'intérèt de cette négociation est qu'elle associe des pays importants qui ne sont pas membres du Conseil de l'Europe et qu'une fois signé, ce texte sera ouvert ouvert à la signature de tous les Etats qui voudront y adhérer. L'idée est bien d'arriver à un texte de portée universelle afin qu'il ne puisse pas exister de "paradis numériques" ou "paradis d'internet "où tous ceux qui voudraient faire de mauvais coups trouveraient toutes les facilités, y compris sur le plan financier pour blanchir le produit de leurs crimes. Car nous ne devons jamais perdre de vue qu'Internet est un système planétaire et qu'aucun pays ne peut se tenir à l'écart des règles dans lesquelles il doit fonctionner.
Nous pensons également qu'il convient de profiter des structures de coopération qui existent entre nos services de police. Je veux parler d'Interpol. C'est une institution ancienne , solide, qui regroupe des professionnels et qui dispose d'un réseau de Bureaux Centraux Nationaux dans 178 pays. Il me parait naturel que ce réseau serve de support aux points de contacts nationaux que le G8 a proposé. Il conviendra sans doute d'introduire de nouvelles modalités de fonctionnement d'Interpol pour garantir la veille de ce réseau 24 heures sur 24, et de disposer de personnels hautement qualifiés technologiquement capables de réagir à la vitesse des cybercriminels. Mais Interpol comme toutes les organisations intergouvernementales saura s'adapter et depuis bientôt 1O ans un groupe de travail s'est saisi de cette question en liaison d'ailleurs avec le réseau du G8. C'est je crois le cadre naturel dans lequel notre coopération opérationnelle peut s'institutionnaliser et s'universaliser.
Pour la France, cette approche de la cybercriminalité doit naturellement s'inscrire dans une démarche européenne. L'Union Européenne dispose de mécanismes de coopération dans les domaines de la Justice et des Affaires Intérieures. Elle devra se saisir de ces nouvelles formes de criminalité. La Commission Européenne envisage de faire une communication sur ce sujet dans les prochains mois, la France durant sa Présidence appuiera avec force le travail communautaire sur ces sujets.
Entre les services des Etats membres chargés des enquêtes de police judiciaire, il faut davantage de formation et de culture communes, dans les techniques d'enquête, dans l'analyse de la menace. Pendant sa Présidence de l'UE, la France va les réunir, avec le soutien de la Commission, dans un séminaire qui aura lieu au Futuroscope de Poitiers du 13 au 17 novembre, pour élaborer des procédures techniques d'investigation à l'encontre des délinquants qui utilisent les nouvelles technologies de l'information et de la communication comme cible ou comme moyen de l'infraction.
L'échange d'informations opérationnelles doit en même temps se développer entre ces services : c'est le rôle d'Europol, dont la compétence dans le domaine, actuellement limitée aux infractions commises à l'aide des nouvelles technologies, devrait être élargie à celles dirigées contre le fonctionnement même des systèmes et des réseaux informatiques (piratage) : il suffit pour cela, conformément au Traité créant Europol, d'une décision du Conseil.
Enfin, la France ne croit pas qu'il faille limiter la coopération internationale aux pays du G8, et de l'UE ou du Conseil de l'Europe, il existe un risque de tenir à l'écart les pays qui ont ont un potentiel technologique important ou qui pourraient se transformer en "paradis d'Internet".Nous souhaitons que la réflexion s'élargisse à d'autres pays directement concernés par les réseaux d'information et de la communication (Inde, Chine, Afrique du Sud, Israël, pays d'Europe Centrale).
5) Enfin, c'est l'origine et l'originalité de notre rencontre, le dialogue avec les industriels est fondamental.
La présence massive dans cette conférence des principales entreprises qui comptent au niveau mondial dans les secteurs d'activité liés à Internet montre que le problème de la sécurité n'est plus la seule préoccupation des Etats. Il y a parmi vous des sociétés qui proposent des solutions techniques pour accroitre la sécurité, il y en a d'autres qui sont des victimes d'actes qui leur ont provoqué des préjudices ou qui se sentent vulnérables. C'est en "mettant à plat" tous nos problèmes communs que nous avancerons. Il est évident que nous ne pouvons pas faire reposer la sécurité uniquement sur la répression. La prévention est fondamentale et elle requière des règles fixées en commun et une co-régulation que nous appelons de nos voeux. Je dis bien co-régulation (en anglais on dirait sans doute "policing coopération") car nous ne pouvons pas non plus, comme certains l'envisagent nous en remettre entièrement à l'auto-régulation. De nombreux groupements privés ici présents ont déjà beaucoup travaillé sur ces questions qui sont techniquement très complexes et qui sont liées aussi à des valeurs éthiques (je pense à l'incitation à la haine raciale, à la pornographie enfantine notamment).
Par ailleurs, les industriels doivent mettre toutes leurs capacités d'innovation au service de la sécurité et montrer qu'ils sauront rendre de plus en plus risquée ou difficile la délinquance individuelle ou organisée sur les réseaux. Les entreprises ont un rôle déterminant à jouer dans la détection de nouveaux modes opératoires des criminels et doivent apporter leur concours aux pouvoirs publics pour diffuser des messages d'alerte dès qu'un danger est détecté.
Plus largement, nous avons un effort pédagogique à faire. Tous les usagers doivent savoir ce qu'ils peuvent faire et ne pas faire sur Internet et doivent être avertis des dangers potentiels. C'est un travail de prévention qui se fera naturellement au même rythme qu'Internet se généralisera. Un adolescent devra savoir que même s'il est très doué en informatique les plaisanteries qu'il peut faire sur Internet peuvent constituer des infractions graves qui le conduiront en prison. Internet n'est plus un jouet.
Ce problème a des aspects économiques, compte tenu du coût pour les entreprises d'un stockage massif de données, et pour les intermédiaires techniques de contribuer à l'identification de leur contribution éventuelle à une identification des auteurs d'infractions. Ce problème recouvre surtout un enjeu de liberté individuelle, que j'ai évoqué, et qui n'est pas le même selon qu'on considère le droit de s'exprimer ou le droit du simple consommateur. Nous nous rencontrons pour étudier les modalités de cette "co-régulation" nécessaire, confronter nos visions de ce qui est efficace pour la sécurité, de ce qui est acceptable en termes de libertés.
Je suis convaincu que si nous croyons fermement à quelques principes solides et de bon sens nous saurons affronter sereinement tous ces menaces qui sont bien réelles mais qui ne doivent pas nous conduire à nous orienter dans des directions qui seraient contraires à ce que sont nos valeurs fondamentales. Les solutions qui progressivement s'imposeront seront le fruit d'une concertation étroite entre les entreprises et les Etats, dont cette conférence est une magnifique illustration..
(Source : http://www.interieur.gouv.fr, le 30 mai 2000)
Messieurs les Ambassadeurs,
Mesdames, Messieurs,
C'est un plaisir pour moi de vous accueillir à Paris pour cette importante réunion des experts du G8 et des représentants de plus de 130 sociétés de vos pays respectifs . La France vous offre son hospitalité et ce cadre pour vos travaux et apporte volontiers son concours à la Présidence japonaise du G8 pour assurer le succès de cette conférence.
L'actualité de ces derniers jours a souligné fort opportunément que le développement spectaculaire de l'Internet et des réseaux numériques en général n'est pas à l'abri d'un certain nombre de risques. Ceux-ci commencent à être mieux connus, et les efforts nationaux déployés par de nombreux pays de même que les nombreuses discussions internationales qui ont lieu depuis déjà plusieurs années, sont la preuve que les gouvernements et la communauté internationale ont pris très au sérieux les défis que lancent aujourd'hui à nos sociétés les progrès rapides et généralisés des technologies de la communication.
Lors de notre dernière réunion des ministres de la justice et de l'intérieur des pays du G8 à Moscou en octobre dernier, nous avons voulu approfondir le travail réalisé par les experts dans le cadre du groupe de Lyon, et leur avons demandé de manière très précise de préparer une conférence d'un type nouveau qui associerait pour la première fois un grand nombre d'entreprises concernées par le développement des nouvelles technologies de l'information (NTI) et les responsables gouvernementaux en charge de la sécurité et de la justice. Il est apparu clairement dès 1998 au sommet des chefs d'état et de gouvernement de Birmingham que tout progrès vers plus de sécurité dans le cyberespace serait vain s'il n'y avait pas une très bonne collaboration entre les services publics chargé de la sécurité et le secteur privé. Les innovations technologiques sont tellement rapides et de nature à modifier en profondeur des pans entiers de l'activité publique et privée qu'une concertation poussée est devenue indispensable. Les recommandations des chefs d'état du G8 en faveur de concertations avec le secteur privé ont été suivies d'effets dans chacun des pays du G8 en 1998 et 1999 et il était normal que le pas suivant soit de mettre en commun l'état des réflexions menées séparément dans nos pays pour donner à ce débat secteur public/ secteur privé la dimension internationale qu'il doit avoir. Je suis heureux de voir que vos travaux dépassent aujourd'hui le cadre étroit du G8 puisque sont associés des représentants de la Commission Européenne, du Conseil de l'Europe, de l'OCDE, d'Interpol, d'Europol et de nombreux groupements et organismes privés internationaux concernés par la sécurité des réseaux. Il ne fait aucun doute que tous doivent pouvoir profiter des travaux de réflexion déjà engagés dans le cadre du G8 qui fait figure de pionnier en la matière. Mais la dimension planétaire du phénomène Internet dans tous ses développement positifs et négatifs nous oblige à associer dans ce vaste chantier le plus grand nombre possible d'interlocuteurs du monde entier. A quoi bon mettre en oeuvre des solutions techniques et juridiques entre nous sur les problèmes qui nous préoccupent aujourd'hui comme la traçabilité, la localisation, la durée de conservation des données de connection, les mécanismes d'entraide judiciaire, d'extradition, s'ils ne sortent pas du cadre restreint du groupe des pays les plus industrialisés de la planète? C'est un point fondamental pour mon pays , sur lequel je reviendrai .
1) Le cybercrime: de quoi parle-t-on?
Entre responsables publics, experts et professionnels des NTI, nous avons le devoir d'être clairs. Les usagers d'Internet dans le monde qu'ils soient des particuliers, des entreprises ou des Etats, doivent avoir une vision précise des problèmes auxquels ils peuvent être confrontés dans le cyberespace. Chez nous, les services de police et de gendarmerie savent qu'il est difficile de recenser ou de comptabiliser toutes les infractions. Dans les documents qui vous ont été distribués, vous trouverez sur cette question importante une fiche qui fait ressortir la progression rapide du nombre des enquêtes criminelles. Toutefois, les usagers ne communiquent pas toujours aux autorités de police les attaques ou préjudices dont ils sont victimes. Soit ils n'ont pas le reflexe car ils pensent qu'Internet est un espace de non-droit et qu'ils n'ont aucun recours, soit, et c'est le cas de nombreuses entreprises, ils ne souhaitent pas faire connaître les difficultés auxquelles ils ont pu être confrontés, justement pour ne pas accentuer cette sensation de fragilité des réseaux. Je peux cependant vous dire que nos services ont recensé en 1999 plus de 2500 affaires impliquant d'une manière ou d'une autre Internet mais que ce chiffre ne recouvre certainement pas toutes les infractions, graves ou petites qui se sont produites.
Il est aussi très important de ne pas faire d'amalgame entre les types d'infractions: on a beaucoup parlé ces derniers temps en France du problème de sécurité des cartes bancaires en le confondant avec Internet. Or ils'avère que la plupart des infractions liées à une utilisation frauduleuse des cartes bancaires n'a rien à voir avec Internet: c'est à partir des "facturettes" que le client jette ou oublie au distributeur de billets que les malfaiteurs peuvent utiliser frauduleusement une carte bancaire. Il apparait en revanche que la technologie de la carte à puce utilisée par les cartes bancaires reste pour le moment la plus sûre et qu'elle pourrait être généralisée sur les ordinateurs pour sécuriser les accès à Internet. Ce sera je crois un des points importants dont vous parlerez durant cette conférence et sur lequel l'apport de l'industrie est fondamental.
Nous sommes là pour réfléchir aux moyens d'assurer une meilleure sécurité sur Internet. Les incidents que nous connaissons, qu'il s'agisse d'infractions classiques commises grâce au réseau, pour lesquelles Internet n'est qu'un vecteur efficace, comme peuvent l'être le téléphone ou le fax, ou d'infractions nouvelles propres aux technologies des réseaux comme le phénomène des virus ou les intrusions "pirates" dans des systèmes informatiques doivent être soigneusement analysés et repertoriés. Le côté spectaculaire de l'attaque du virus ILOVEYOU ou des attaques perpetrées les mois derniers contre quelques grands sites américains ne doit pas nous pousser à agir dans la précipitation. La matière est trop complexe pour que sous la pression d'évènements graves mais qui prennent facilement une dimension émotionnelle, des décisions soient prises à la hâte qui ne correspondraient pas à la vraie nature du problème. Nous devons être conscients des failles que peuvent présenter les systèmes de sécurité des réseaux, mais nous avons aussi l'obligation de ramener ces problèmes à leur juste dimension et de ne pas créer une psychose qui encouragerait une dérive sécuritaire. Le devoir des gouvernements et des industriels est d'envoyer un message clair: nous travaillons ensemble à la recherche de solutions techniques et juridiques qui élèvent les niveau de sécurité et de confiance dans les technologies nouvelles.Le cyberespace relève de règles juridiques souvent déjà définies dans la plupart des pays. Nous travaillons pour les compléter et à en améliorer l'applicabilité dans le cadre de nouvelles formes de coopération internationale.
Ces épisodes spectaculaires comme celui que nous avons vécu ces derniers jours, et dont la France s'est plutôt bien tirée, ne doivent pas dissuader les usagers de continuer à utiliser cet instrument prodigieux qu'est Internet.
2) En France nous avons pris de nombreuses dispositions.
Je voudrais revenir sur cette idée qui a une certaine force dans l'opinion publique internationale: Internet serait un espace sans droit ou le "cyberespace" de par sa nature même nécessiterait un régime juridique spécifique ou une "cyberpolice" qui dépasserait le cadre des Etats et de leurs compétences souveraines.
Rien n'est plus inexact. Les Etats conservent la responsabilité, et la capacité d'agir.
C'est bien à partir d'Etats souverains que peut s'organiser la volonté et la capacité d'agir collectives, au plan interne d'abord, par la coopération internationale ensuite.
D'abord, au plan interne. En France le gouvernement a, depuis un certain temps déjà engagé une réflexion.. Il a demandé au Conseil d'Etat, en 1998, de se prononcer ; ses conclusions sont claires: " l'ensemble de la législation s'applique aux acteurs d'internet...Il n'existe pas et il n'est nul besoin d'un droit spécifique de l'Internet et des réseaux.". Une grande partie des infractions commises est d'un type classique et Internet n'est qu'un vecteur. D'autres infractions sont propres aux réseaux numériques ou aux nouvelles technologies et demandent donc de nouvelles définitions dans notre droit pénal, des règles et des moyens d'action.
Le renforcement de ces moyens fait partie du programme d'action gouvernemental pour la société de l'information, annoncé par le Premier ministre et mis en uvre depuis deux ans, pour adapter la France aux mutations technologiques. Certaines dispositions concernant la sécurité et la confiance sur Internet ont déjà été prises pour faire face à ces phénomènes, comme la création de la Direction centrale de la sécurité des systèmes d'information, service interministériel, ou du CERT/A, instrument de veille et d'assistance contre les intrusions informatiques. Sur le plan répressif, l'action de la Gendarmerie (l'IRCGN), des Douanes, de la Police Nationale, est là. Je pourrais citer, parmi les affaires récemment élucidées, l'exemple de cette intrusion réalisée sur un réseau universitaire au moyen d'un "programme utilitaire" permettant de récupérer les mots de passe des utilisateurs, qui a permis à un étudiant de consulter et d'utiliser frauduleusement les thèses informatiques des autres étudiants de son université ; ou de cette contrefaçon des logiciels de gestion des clients d'une entreprise, réalisée par l'un de ses salariés, un "dévéloppeur", afin de les faire exploiter et diffuser par une entreprise concurrente, avec un préjudice pour la première, titulaire des droits sur les logiciels, évalué à 6 MF ; ou encore de ce "Cheval de Troie" installé par un jeune "hacker" sur l'ordinateur d'un cabinet médical, et lui donnant accès aux fichiers médicaux des patients. Autant d'identifications obtenues à l'issue de recherches techniquement complexes menées par notre Brigade Centrale pour la Représsion de la Criminalité Informatique.
Comme le Premier ministre l'a annoncé, c'est un Office Central, créé par un décret de ce jour (publié au JO de demain, pour saluer notre conférence !), qui va désormais constituer notre instrument pour ce travail opérationnel d'enquête judiciaire. Cet Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication, organe interministériel créé au sein de la DCPJ, sera en même temps le correspondant international naturel des services équivalents à l'étranger, et notamment du réseau des points de contact (créé lors du Sommet du G 7 de Waschington, en décembre 1997). Sa création devra s'accompagner, bien entendu, d'un effort de recrutement et de formation de spécialistes de ces nouvelles technologies.
Mais l'action répressive ne peut éluder les questions essentielles de l'identification des auteurs et de la conservation des preuves. Sur l'Internet, ces questions conduisent à s'interroger sur le concours que les services de police doivent pouvoir attendre des intermédiaires techniques des réseaux, notamment des fournisseurs d'accès qui détiennent et le cas échéant conservent les données d'identification de leurs abonnés, et les données de connexion dont dépend la "traçabilité" des messages.
Ces questions, il revient aux services répressifs de les poser, et à un ministre de l'Intérieur d'en faire état ici, dans un débat que je sais très ouvert sur les règles communes, nationales et internationales, que nous devons définir.
3) Naturellement dans cette action, nous avons le souci de trouver un équilibre entre les besoins des services répressifs et l'obligation de garantir le respect de la vie privée des personnes.
On le sait : les mémoires des ordinateurs auront bientôt la possibilité de conserver toutes les traces des moindres gestes de notre vie quotidienne. C'est là un point d'appui intéressant pour la lutte contre la cybercriminalité, voire la criminalité tout court. Mais aussi, comment préserver notre sphère privée, éviter que des"profils" soient établis sur chacun d'entre nous qui pourraient être utilisés par n'importe quel vendeur qui nous harcèlerait, ou par des services publics ou privés, nationaux ou étrangers, qui auraient facilement connaissance de nos idées politiques, de nos pratiques religieuses voire sexuelles, de nos habitude de consommation, de nos relations d'amitié ou d'affaires ?
Nous devons trouver le juste milieu et veiller à ce que les nouvelles technologies ne deviennent pas un instrument universel de contrôle et d'asservissement.
En France nous attachons une importance extrème à ce sujet. Depuis 1978 le legislateur français a pris la mesure des dangers qui apparaissaient avec les progrès de l'informatique. La Commission Nationale Informatique et Liberté veille à ce qu'aucune dérive ne se produise. Mais nous ne sommes pas les seuls à avoir ces préoccupations: tous les hommes politiques de nos pays attachés aux valeurs démocratiques et aux respect des droits fondamentaux des personnes se sont exprimés sur ces sujets de société. Dans tous les pays des arbitrages doivent être rendus pour rendre compatibles ces différentes contraintes et j'imagine que les débats que nous avons en France, y compris dans le cadre de la préparation de cette conférence, se retrouvent à l'identique dans vos pays respectifs. Il est important que cette conférence soit un lieu de débat largement ouvert où l'on pourra parler de techniques de traçabilité et de conservation des données personnelles aussi bien que des impératifs découlant de la protection de la vie privée des personnes.
4) Mais ce qui nous réunit aujourd'hui, c'est le besoin, peut-être l'urgence d'un renforcement de la coopération internationale.
Partant de la constatation que les réseaux de communication relèvent bien de règles juridiques précises dans tous nos pays et que du point de vue du droit il n'y a pas de cyberespace, ou que le cyberespace n'est pas un espace de non-droit, que les mêmes infractions liées aux technologies de l'information sont reconnues par le droit interne de nos pays, il nous reste à nous adapter aux impératifs de rapidité et d'efficacité que nous imposent les nouvelles modalités de la criminalité. Les pays du G8 ont déjà proposé et mis en oeuvre le réseau des points de contact qui permet des échanges instantanés d'informations. C'est un outil qui mérite d'être consolidé et élargi à de nombreux pays.
Il est évident pour nous tous que nous ne pouvons pas nous éloigner des principes fondamentaux qui régissent les coopérations en matière d'enquêtes ou d'entraide judiciaire entre Etats. Même si l'on travaille par courrier électronique pour effectuer une perquisition sur un ordinateur, des formes sont à respecter, le contrôle d'un juge est nécessaire et il n'est pas envisageable que des enquètes soient effectuées directement sur un territoire étranger sans recourir aux autorités du pays. Il nous appartient donc de réflechir aux modalités très concrètes qui doivent être mises en oeuvre entre nous.
L'impulsion étant donnée par le G8, il est désormais indispensable de formaliser les nouvelles normes juridiques et les modalités de coopération dans un instrument juridique qui aura une portée universelle. Pour la France la négociation en cours au Conseil de l'Europe d'une convention sur la cybercriminalité est fondamentale pour plusieurs raisons. Le projet de texte actuellement en discussion définit les infractions qui devraient être reconnues par tous les Etats. Il propose ensuite des modalités de coopération qui reprennent par exemple la formule des points de contact nationaux. Il propose aussi des procédures d'extradition. Bref, cet accord est un instrument indispensable dont la France souhaite la conclusion dans des délais raisonnables. L'intérèt de cette négociation est qu'elle associe des pays importants qui ne sont pas membres du Conseil de l'Europe et qu'une fois signé, ce texte sera ouvert ouvert à la signature de tous les Etats qui voudront y adhérer. L'idée est bien d'arriver à un texte de portée universelle afin qu'il ne puisse pas exister de "paradis numériques" ou "paradis d'internet "où tous ceux qui voudraient faire de mauvais coups trouveraient toutes les facilités, y compris sur le plan financier pour blanchir le produit de leurs crimes. Car nous ne devons jamais perdre de vue qu'Internet est un système planétaire et qu'aucun pays ne peut se tenir à l'écart des règles dans lesquelles il doit fonctionner.
Nous pensons également qu'il convient de profiter des structures de coopération qui existent entre nos services de police. Je veux parler d'Interpol. C'est une institution ancienne , solide, qui regroupe des professionnels et qui dispose d'un réseau de Bureaux Centraux Nationaux dans 178 pays. Il me parait naturel que ce réseau serve de support aux points de contacts nationaux que le G8 a proposé. Il conviendra sans doute d'introduire de nouvelles modalités de fonctionnement d'Interpol pour garantir la veille de ce réseau 24 heures sur 24, et de disposer de personnels hautement qualifiés technologiquement capables de réagir à la vitesse des cybercriminels. Mais Interpol comme toutes les organisations intergouvernementales saura s'adapter et depuis bientôt 1O ans un groupe de travail s'est saisi de cette question en liaison d'ailleurs avec le réseau du G8. C'est je crois le cadre naturel dans lequel notre coopération opérationnelle peut s'institutionnaliser et s'universaliser.
Pour la France, cette approche de la cybercriminalité doit naturellement s'inscrire dans une démarche européenne. L'Union Européenne dispose de mécanismes de coopération dans les domaines de la Justice et des Affaires Intérieures. Elle devra se saisir de ces nouvelles formes de criminalité. La Commission Européenne envisage de faire une communication sur ce sujet dans les prochains mois, la France durant sa Présidence appuiera avec force le travail communautaire sur ces sujets.
Entre les services des Etats membres chargés des enquêtes de police judiciaire, il faut davantage de formation et de culture communes, dans les techniques d'enquête, dans l'analyse de la menace. Pendant sa Présidence de l'UE, la France va les réunir, avec le soutien de la Commission, dans un séminaire qui aura lieu au Futuroscope de Poitiers du 13 au 17 novembre, pour élaborer des procédures techniques d'investigation à l'encontre des délinquants qui utilisent les nouvelles technologies de l'information et de la communication comme cible ou comme moyen de l'infraction.
L'échange d'informations opérationnelles doit en même temps se développer entre ces services : c'est le rôle d'Europol, dont la compétence dans le domaine, actuellement limitée aux infractions commises à l'aide des nouvelles technologies, devrait être élargie à celles dirigées contre le fonctionnement même des systèmes et des réseaux informatiques (piratage) : il suffit pour cela, conformément au Traité créant Europol, d'une décision du Conseil.
Enfin, la France ne croit pas qu'il faille limiter la coopération internationale aux pays du G8, et de l'UE ou du Conseil de l'Europe, il existe un risque de tenir à l'écart les pays qui ont ont un potentiel technologique important ou qui pourraient se transformer en "paradis d'Internet".Nous souhaitons que la réflexion s'élargisse à d'autres pays directement concernés par les réseaux d'information et de la communication (Inde, Chine, Afrique du Sud, Israël, pays d'Europe Centrale).
5) Enfin, c'est l'origine et l'originalité de notre rencontre, le dialogue avec les industriels est fondamental.
La présence massive dans cette conférence des principales entreprises qui comptent au niveau mondial dans les secteurs d'activité liés à Internet montre que le problème de la sécurité n'est plus la seule préoccupation des Etats. Il y a parmi vous des sociétés qui proposent des solutions techniques pour accroitre la sécurité, il y en a d'autres qui sont des victimes d'actes qui leur ont provoqué des préjudices ou qui se sentent vulnérables. C'est en "mettant à plat" tous nos problèmes communs que nous avancerons. Il est évident que nous ne pouvons pas faire reposer la sécurité uniquement sur la répression. La prévention est fondamentale et elle requière des règles fixées en commun et une co-régulation que nous appelons de nos voeux. Je dis bien co-régulation (en anglais on dirait sans doute "policing coopération") car nous ne pouvons pas non plus, comme certains l'envisagent nous en remettre entièrement à l'auto-régulation. De nombreux groupements privés ici présents ont déjà beaucoup travaillé sur ces questions qui sont techniquement très complexes et qui sont liées aussi à des valeurs éthiques (je pense à l'incitation à la haine raciale, à la pornographie enfantine notamment).
Par ailleurs, les industriels doivent mettre toutes leurs capacités d'innovation au service de la sécurité et montrer qu'ils sauront rendre de plus en plus risquée ou difficile la délinquance individuelle ou organisée sur les réseaux. Les entreprises ont un rôle déterminant à jouer dans la détection de nouveaux modes opératoires des criminels et doivent apporter leur concours aux pouvoirs publics pour diffuser des messages d'alerte dès qu'un danger est détecté.
Plus largement, nous avons un effort pédagogique à faire. Tous les usagers doivent savoir ce qu'ils peuvent faire et ne pas faire sur Internet et doivent être avertis des dangers potentiels. C'est un travail de prévention qui se fera naturellement au même rythme qu'Internet se généralisera. Un adolescent devra savoir que même s'il est très doué en informatique les plaisanteries qu'il peut faire sur Internet peuvent constituer des infractions graves qui le conduiront en prison. Internet n'est plus un jouet.
Ce problème a des aspects économiques, compte tenu du coût pour les entreprises d'un stockage massif de données, et pour les intermédiaires techniques de contribuer à l'identification de leur contribution éventuelle à une identification des auteurs d'infractions. Ce problème recouvre surtout un enjeu de liberté individuelle, que j'ai évoqué, et qui n'est pas le même selon qu'on considère le droit de s'exprimer ou le droit du simple consommateur. Nous nous rencontrons pour étudier les modalités de cette "co-régulation" nécessaire, confronter nos visions de ce qui est efficace pour la sécurité, de ce qui est acceptable en termes de libertés.
Je suis convaincu que si nous croyons fermement à quelques principes solides et de bon sens nous saurons affronter sereinement tous ces menaces qui sont bien réelles mais qui ne doivent pas nous conduire à nous orienter dans des directions qui seraient contraires à ce que sont nos valeurs fondamentales. Les solutions qui progressivement s'imposeront seront le fruit d'une concertation étroite entre les entreprises et les Etats, dont cette conférence est une magnifique illustration..
(Source : http://www.interieur.gouv.fr, le 30 mai 2000)