30 ans après la loi Godfrain : plus de cyber et moins de sécurité ?

Au mois de janvier, nous avons célébré les 40 ans de la loi dite « informatique et libertés », négligeant peut-être un autre anniversaire, tout aussi important en matière de données, à savoir les 30 ans de la loi Godfrain [1] , texte fondateur en matière de « délinquance informatique ». Ces deux lois partagent un certain nombre de points communs.
Tout d’abord, elles entendent protéger les données, qu’elles soient personnelles [2] ou non. Ensuite les deux dispositifs législatifs sont nés sous l’impulsion de la nécessité de mettre un terme à un double émoi. Premier émoi portant sur le projet SAFARI [3] qui devait donner lieu à un article au titre provocateur, « SAFARI ou la chasse aux Français », dans Le Monde du 21 mars 1974. Émoi également, lorsque, dans un article du 28 novembre 1984 [4] , des journalistes du Canard Enchaîné expliquèrent la manière dont ils avaient eu accès, à l’aide d’un Minitel et sans compétences, ni matériels particuliers, à des informations relatives aux essais nucléaires de Mururoa.
Deuxième point commun entre la loi Informatique et Libertés et la loi Godfrain, la France adopte avec ces deux textes, une position avant-gardiste sur le sujet de la protection des données. Enclenchée avec la loi informatique et libertés de janvier, laquelle propose un dispositif répressif en matière d’atteinte aux données à caractère personnel [5] , cette démarche se confirme avec la loi Godfrain s’agissant de la protection des systèmes eux-mêmes.
On aurait pu penser que les deux textes allaient cheminer de manière complémentaire, à l’aune d’une nécessité commune : la protection des données personnelles. Il n’en est rien. L’essor des questions relations relatives à la protection des réseaux et des intérêts de la nation a abouti à une tension évidente entre deux finalités.
Avant d’aller plus avant, il convient de souligner que, depuis 1988, le phénomène de la « cybercriminalité », pris dans son acception la plus courante [6] , n’a fait que croître à mesure que les progrès technologiques, et le développement des usages aussi bien privés que professionnels, ont fait du numérique un des piliers de l’économie mondiale. Pour comprendre le « poids » des données dans l’économie, et leur attrait corrélatif pour les cyberdélinquants, quelques chiffres suffisent. Les cinq plus importantes capitalisations boursières mondiales [7] reposent sur l’exploitation des données lato sensu. Pour comprendre ce phénomène, une étude du Boston Consulting Group [8] précise que la vie personnelle d’un Européen « vaudrait » 600 euros et trois fois plus en 2020. En 2016, on estime à un milliard 378 millions le nombre de données qui ont été dérobées, au rythme de 44 par seconde [9] , les banques et l’assurance étant particulièrement exposées [10] . Enfin, l’économie digitale représentait 5 % du PIB de la France en 2015 [11] .
D’un point de vue politique et stratégique, la protection des données, personnelles et commerciales est devenue un enjeu de souveraineté : depuis les premières grandes cyberattaques rendues publiques [12] , la protection des infrastructures, des réseaux et des données est considérée par la France comme une priorité de défense nationale. La France a ainsi adopté une stratégie nationale en matière de cyberdéfense et de cybersécurité [13] dès 2008 et l’a actualisée en 2013 puis en 2017. [14]
Par ailleurs, à ses origines, la loi Godfrain avait pour objet la répression des atteintes aux systèmes de traitement automatisé de données (STAD) et, plus particulièrement, les violations de la confidentialité, de l’intégrité et de la disponibilité des données et systèmes informatiques. Toutefois, ce texte a très vite manifesté ses limites, faute de prise en considération des atteintes au réseau internet. Mais pouvait-il en être autrement ? Rappelons que le protocole TCP/IP [15] est apparu en 1983 et qu’en 1987, on estime à 10 000 le nombre d’ordinateurs connectés dans le monde [16] . Depuis 1988 près d’une vingtaine de lois ont été adoptées [17] , millefeuille dessinant à la fois une cybercriminalité dont on a peine à saisir les contours et une politique répressive parfois en heurts avec les principes de la protection des données.
Face à cette croissance exponentielle des données et au développement corrélatif des atteintes dont elles font l’objet, trente ans après la loi fondatrice du 5 janvier 1988, quelle définition de la cybercriminalité est-on en mesure de donner ? Et quelles sont les évolutions des cybermenaces (I.) ? Il conviendra ensuite de se demander si la dimension répressive des législations nationales issues de la loi Godfrain ne laisse pas, peu à peu, la place à une réflexion défensive et mondialisée (II.)

I. CYBERCRIMINALITE : DIFFICILE DEFINITION ET LOGIQUE REPRESSIVE

1. Une définition floue

La première question qui vient à l’esprit est de savoir ce que recouvre la notion de cybercriminalité. Trente ans après la loi Godfrain, la dimension tentaculaire et protéiforme du sujet se traduit par un constat sans appel : l’incapacité d’en donner une définition précise en raison même de la multiplication et des évolutions des cybermenaces.
La Convention du Conseil de l’Europe sur la cybercriminalité du 23 novembre 2001 [18] , instrument normatif international de référence dans ce domaine, ne donne pas de définition, mais dresse une liste d’infractions. En France, pour l’ ANSSI [19] , il s’agit des « Actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible ». Enfin, la Commission européenne [20] se borne à constater : « Faute d’une définition communément admise de la criminalité dans le cyberespace, les termes cybercriminalité, criminalité informatique ou criminalité liée à la haute technologie sont souvent utilisés indifféremment. » La proposition de règlement sur la cybersécurité visant à renforcer les pouvoirs de l’ ENISA [21] et à établir un cadre européen de certification de cybersécurité évoque quant à elle les cybermenaces [22] dans des termes d’une extrême généralité.
Le rapport Robert [23] souligne qu’en France, 248 NATINF [24] « et donc autant d’infractions, concernent spécifiquement la cybercriminalité, soit par leur objet, soit parce que leur mode de commission est saisi par la loi, le plus souvent au titre des circonstances aggravantes ». S’ajoutent à cette liste, d’une part 181 NATINF relatives à des infractions dont le texte d’incrimination ne fait pas référence expressément à la cybercriminalité, mais dont la commission par ce moyen est constatée et 46 autres au titre d’infractions concernant les communications électroniques [25] . En tout, 475 infractions se recommandent de la cybercriminalité, litanie impressionnante mais incomplète.
En effet, quid des cyberinfractions qui ne donnent lieu à aucune plainte ? Les exemples sont nombreux. Soit il s’agit d’entreprises qui rechignent à étaler publiquement leurs infortunes numériques [26] , ou bien encore l’agression concerne des particuliers, mais elle est passée inaperçue comme c’est le cas du détournement d’une « machine zombie ». [27] Les délais de détection d’une attaque sont par ailleurs assez longs. Dans la région Europe, Moyen-Orient et Afrique, le délai médian entre une attaque informatique et sa découverte serait passé de 106 jours en 2016 à 175 jours en 2017 [28] .
À ce périmètre flou correspond un environnement législatif pléthorique.

2. Définitions fluctuantes, législation foisonnante

Les préoccupations qui ont donné lieu à la loi Godfrain ont suscité une litanie ininterrompue de lois [29] dont certaines donnent la mesure de la distance qui, parfois, peut séparer la protection des données personnelles et celle des données et réseaux. Nous n’en retiendrons que trois.
Tout d’abord, la loi du 24 juillet 2015 relative au renseignement qui a été votée suite aux attentats parisiens de janvier 2015, tout comme le Patriot Act avait été adopté suite aux attentats du 11 septembre.
On se souvient que l’article L. 851-3 du Code de la sécurité intérieure permet d’imposer aux opérateurs l’installation sur leurs réseaux, pour une durée de deux mois renouvelables, des « traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des connexions susceptibles de révéler une menace terroriste ». Bien que validée par le Conseil constitutionnel [30] , cette disposition introduit une détection automatique de comportements « suspects », faisant planer le risque d’une surveillance de masse. Lors de l’examen de l’avant-projet de loi par la Cnil, cette dernière s’était émue [31] , de même que l’ ARCEP [32] , du contenu de ce projet.
Cette émotion s’imagine d’autant mieux que ce texte conduit à mettre en œuvre des outils algorithmiques destinés à identifier les germes du terrorisme, les termes « informations et documents » ouvrant la porte au traitement d’un nombre considérables de données (données de connexion, géolocalisation, métadonnées… ) [33] .
On se souviendra qu’un an avant la loi renseignement, la Cour de Justice de l’Union européenne (CJUE) [34] avait invalidé purement et simplement la directive sur la conservation des données et affirmé que « la circonstance que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est susceptible de générer dans l’esprit des personnes concernées, […] le sentiment que leur vie privée fait l’objet d’une surveillance constante ». [35]
Le 6 octobre 2015, la CJUE [36] invalidait de nouveau un texte. Cette fois-ci, il s’agissait de la décision de la Commission européenne du 26 juillet 2000 (2000/520/CE) estimant que les principes du Safe Harbor assuraient un niveau de protection adéquat des données personnelles des citoyens européens en cas de transferts de celles-ci vers les États-Unis. Cette décision trouvait son fondement dans le fait que le droit américain permettait la collecte et le traitement à grande échelle des données à caractère personnel stockées ou traitées par des sociétés établies aux États Unis. Depuis lors, la législation américaine n’a fait que renforcée cette crainte.

Le deuxième texte est celui par lequel les États-Unis ont adopté, le 27 mars 2018, une loi sur l’accès transfrontalier aux preuves électroniques (Cloud Act [37] ). Cette loi autorise les autorités gouvernementales américaines, dont les agences de renseignement, à accéder, auprès d’entreprises américaines, ou des sociétés qu’elles contrôlent, aux informations qu’elles détiennent, même si celles-ci sont hébergées hors des États-Unis, sans qu’il soit besoin d’autorisation judiciaire préalable. Cette faculté ne vise en principe que les « serious crime » et ne pourrait concerner que des ressortissants américains. Sous réserve pour le gouvernement américain de signer des accords avec des gouvernements étrangers (ou l’Union européenne), ces derniers  pourront  demander aux entreprises fournisseurs de services de communication, traitement et stockage électronique relevant de la juridiction américaine un accès identique, exception faite des informations visant des ressortissants américains. Si le Cloud Act ne fait pas exception aux dispositions protectrices, notamment celles du RGPD [38] , son existence ouvre la porte à de potentielles  pratiques inquiétantes, notamment dénoncées par l’Union des Libertés Civiles Américaines (ACLU) [39] .
Pour faire pièce à ce texte, la Commission européenne a présenté, le 17 avril 2018 [40] , une proposition de règlement [41] afin de rendre plus facile et plus rapide, pour les autorités policières et judiciaires, l’obtention de preuves électroniques.
Dans ce contexte d’empilement de textes qui poursuivent tous une finalité identique, de collecte de renseignements aux fins de lutte contre le terrorisme, la décision de la CEDH du 4 décembre 2015 [42] jugeant qu’un requérant pouvait se prétendre victime d’une violation issue de la seule existence de mesures de surveillance secrète, à la condition que la législation concernée puisse le concerner [43] prend toute sa saveur. Fut-ce pour la bonne cause, la légalisation de tels accès aux données ne fait-elle pas redouter un déclin des libertés publiques ? Certes, la CEDH peut demander à ce que l’État signataire de la convention EDH apporte la preuve de l’efficacité de son système de surveillance afin d’atteindre l’objectif légitimant une ingérence à la vie privée [44] . Modeste consolation.
Le dernier texte topique concerne la loi HADOPI 1 du 12 juin 2009 relative à la mise en œuvre d’un dispositif de lutte contre les téléchargements irréguliers. Ainsi, plus de 10 millions de mails (avertissement et rappel) ont été émis en 7 ans par la HADOPI [45] sur une population de 66,9 millions de personnes. Est-il bien raisonnable de parler de cybercriminalité lorsque près de 15 % de la population est « délinquante », ou bien faut-il y voir une forme de résistance civile [46] ?

II. DES CYBERMENACES EN VOIE D’EXPANSION ET DE DIVERSIFICATION

1. Des tendances sociétales lourdes favorisent l’essor de la « cyberdélinquance »

Les difficultés à atteindre une définition stable de la « cybercriminalité » et, en conséquence, à identifier les « cyberinfractions » tiennent en grande partie au caractère hautement évolutif des « cybermenaces » elles-mêmes. Pour s’en rendre compte, il suffit d’examiner les grandes caractéristiques de ces phénomènes
La première tendance à souligner est la compétition que se livrent acteurs publics et privés pour la maîtrise du « cyberespace. » En raison de la férocité de la concurrence et de la faiblesse de la gouvernance [47] , la tentation est grande de recourir à des tactiques et des techniques agressives sans se soucier du cadre normatif qui régit cet espace.
Le cyberespace est encore largement ouvert, car la moitié de la population mondiale n’est pas encore connectée à Internet. Les acteurs publics et privés de l’Internet sont en conséquence engagés dans des courses à la maîtrise de cet espace qui n’est pas sans rappeler la compétition engagée entre puissances coloniales aux XVIIIe et XIXe siècles pour prendre place le premier sur les espaces considérer comme à conquérir.
Aujourd’hui comme alors, chaque acteur essaye de conquérir le maximum d’espace avant que les positions ne se consolident et afin de décourager les nouveaux entrants, y compris par des pratiques illégales. Dans cette compétition, des partenariats parfois peu lisibles se nouent entre les États et les nouvelles « compagnies des Indes » contemporaines que sont par exemple Facebook, Google et Huawei (Les trois proposent de connecter l’Afrique par satellite, ballon captif ou câble).

2. Des acteurs aux différentes motivations, sources de menaces multiformes

Premièrement, les États cherchent dans le numérique des sources d’économie, d’influence et de puissance. Une inquiétude commence à naître sur la pérennité de leurs souverainetés : maîtriseront-ils leur avenir s’ils ne maîtrisent ni leurs données, ni les équipements qui les produisent, les transportent, les traitent et les stockent ? Et leur légitimité ne sera-t-elle pas affectée si une part essentielle du quotidien des citoyens est régie par les services « offerts » par des entreprises multinationales ?
Il s’agit là d’une interrogation sur leur « souveraineté numérique » exposée à la « cybermalveillance », à la « cybercriminalité organisée » et à la « cyberguerre » dont les attaques russes contre l’ Estonie [48] et les attaques américaines contre l’ Iran [49] sont des exemples devenus topiques. En la matière, les États sont soit des victimes de « cyberagressions » soit des sources de « cyberconflictualité » soit même les deux, comme dans le cas des États-Unis, de la Russie et de la République Populaire de Chine. Et ils sont donc à l’origine directe ou indirecte des évolutions des « cyberattaques » : directement quand ils encouragent ou organisent les attaques et indirectement quand ils mettent en place des stratégies défensives qui incitent en retour les « cyberagresseurs » à s’adapter et à transformer leurs modes opératoires.
Deuxièmement, les entreprises voient dans le cyberespace à la fois un gisement de nouvelles richesses (nouveaux produits et nouveaux clients), de productivité (baisse des coûts et optimisation des moyens), un moyen d’attirer les talents et une source de menaces pour leurs actifs numériques et pour leur image. Ainsi, les entreprises les plus avancées repensent complètement leurs métiers pour tirer parti des nouveaux paradigmes offerts par le numérique (Big Data, effet de réseau, loi des rendements croissants…) et celles qui ne le font pas disparaissent. Mais, ce faisant, elles accroissent leurs vulnérabilités : leurs actifs (bases de données, archives, images, etc.) sont donc exposés à des malveillances, des prédations ou des destructions par « cyberattaques ». Ainsi, lorsque le site Internet de TV5 Monde a fait l’objet d’une attaque massive en avril 2015, elle a vu plusieurs de ses actifs diminués en raison d’un phishing : son site Internet, sa relation avec ses publics ou encore son image. La cybercriminalité est ici étroitement liée aux nouveaux modèles de développement des entreprises.
Troisièmement, les citoyens bouleversent rapidement leur mode de vie et leur relation au travail. Les formats de consommation (les « co »voiturages, « crowd »funding…) évoluent en permanence : tout ce qui contribue à simplifier la vie des gens est rapidement adopté. Les jeunes qui arrivent sur le marché du travail sont « digital native ». Ils ne voient que des opportunités dans le numérique. À l’inverse, les cadres dirigeants sont obligés de conceptualiser le numérique où ils y voient surtout des menaces pour les modèles de production actuellement en place. Le risque de choc des générations et de repli sur les modèles anciens est avéré. Après les réseaux sociaux, la tendance de fond est celle des objets connectés.
Loin d’être anecdotique, cette évolution va conduire à une augmentation exponentielle de la production de données ouvrant la voie au Big Data : transformation des données en connaissances par le biais d’algorithmes. Grâce aux puissances de calcul aujourd’hui disponibles, il est possible d’agréger des données en temps réel pour orienter des décisions : personnaliser les trajets, prédire les pannes, établir des corrélations inaccessibles à l’esprit humain… Cette multiplication des usages renforce les vulnérabilités à la cybercriminalité : d’une part, les actifs numériques des particuliers se multiplient de sorte que les actes agressifs à leur encontre peuvent mécaniquement augmenter. D’autre part, la maîtrise croissante des outils numériques par la population diffuse mécaniquement les outils technologiques d’acte de « cyberdélinquance ». En sorte que la population des « cyberdélinquants » potentiels croît à la même vitesse que la population des « cybervictimes potentielles ».
Tant pour des raisons juridiques que techniques, ce nouvel espace offre aujourd’hui une impunité quasi-totale à l’attaquant. Cette situation est bien sûr une aubaine pour les groupes de cybercriminels mais aussi pour les États qui peuvent ainsi agir de manière clandestine sans beaucoup de risques : ainsi, dans les scandales liés à la publication de courriels internes au Parti démocrate durant les dernières élections présidentielles américaines, il a été très difficile d’établir l’origine des attaques [50] . En outre, cela complexifie grandement les possibilités de riposte : en l’espèce, il a été impossible d’empêcher la pénétration des « cyberdélinquants » dans les fichiers et la publication.
Le développement d’une arme numérique sophistiquée, par les moyens et le temps qu’il exige, reste l’apanage des États ou de leurs avatars. Mais elle ne le reste pas longtemps : la différence majeure par rapport à une arme classique est qu’une fois utilisée, elle devient accessible à l’analyse et potentiellement réutilisable, ou du moins en partie. Même si l’arme perd de son efficacité à mesure qu’elle est utilisée (un code connu devient plus facilement détectable et donc blocable), la dissémination s’avère le plus souvent difficilement incontrôlable. Par exemple, le ver informatique Stuxnet, développé pour l’attaque de l’usine d’enrichissement iranienne [51] , est aujourd’hui réutilisé par des groupes d’attaquants qui le modifient en fonction de leurs besoins. On assiste aujourd’hui à une véritable prolifération des armes numériques qui part de la cyberguerre étatique jusqu’à la cyberdélinquance la plus ordinaire. L’obsolescence d’une arme numérique étant rapide (à mesure que les failles de sécurité sont comblées) et son emploi contribuant à la rendre progressivement inopérante, les États sont engagés dans une course aux armements numériques.
Une autre caractéristique des armes numériques réside dans leur réversibilité et leur discrétion. N’étant pas « cinétique » autrement dit destinée, par le mouvement, à détruire des cibles physiques, une arme numérique peut être utilisée puis retirée sans que la victime s’en aperçoive. Les armes numériques peuvent être utilisées à un niveau tactique (indisponibilité d’un réseau GSM, intrusion dans un système de vidéosurveillance) ou stratégique (Stuxnet), et probablement à terme comme arme de dissuasion. Si certains doutent de l’existence d’une « cyberguerre » formelle [52] , on ne peut plus douter aujourd’hui des dangers y compris politiques et administratifs présentés par la « cybercriminalité » et les « cyberattaques ».
Le renseignement ou espionnage numérique à grande échelle est une démarche dont les coûts baissent au même rythme que les capacités de calcul et de mémoire augmentent. À titre d’exemple, Google scanne et enregistre en permanence la quasi-totalité du web mondial. Parmi les techniques de renseignement utilisées, le « scan de port » est une démarche relativement simple d’interrogation à distance des serveurs. Grâce à elle, l’attaquant dispose de nombreuses informations : les systèmes d’exploitation en fonction et leur version, le modèle de firewall en place et ses réglages, les ports ouverts… Avec ces informations et la connaissance des vulnérabilités, l’attaquant peut s’introduire dans le système.
La concentration du marché informatique autour de quelques acteurs clés (Microsoft, Cisco, Intel…) a pour conséquence qu’une faille de sécurité dans un de leurs produits ouvre la porte dans de très nombreux systèmes.
Enfin, la majeure partie des défenses étant « périmétriques » et non dans la profondeur (surveillance interne), une fois dans le réseau, l’exploitation (exfiltration de données ou sabotage) est relativement aisée.

3. L’essor de la cyberdéfense « à la française »

Lorsqu’elles sont détectées, les actions de renseignement et d’espionnage ne sont que rarement traitées à la hauteur de la menace qu’elles représentent pour les entreprises, les administrations et les particuliers [53] . Cette prise en compte insuffisante s’explique par un manque de compréhension des enjeux pour leurs métiers à tous les niveaux de hiérarchie, malgré les efforts des Pouvoirs Publics [54] : quels sont les biens à protéger ? Quelles sont les conséquences d’une compromission en confidentialité, en disponibilité ou en intégrité ? Une meilleure caractérisation de la menace permettrait d’évaluer le retour sur investissement d’un renforcement de la sécurité.
À l’image de la reconquête d’une ville par combat urbain, la remédiation d’un système d’information après une attaque est une opération délicate pouvant finir de déstabiliser la victime : la fermeture des « portes » du système d’information, la protection des « centres vitaux », l’expulsion de l’attaquant sans qu’il active ses « charges », la continuité de l’activité… sont des opérations longues (deux mois a minima), coûteuses (souvent plusieurs dizaines de millions d’euros pour une multinationale) et à risques. À titre d’exemple, lorsque les groupes comme Google achètent une start-up, ils vérifient au préalable la sécurité de son réseau. Un réseau insuffisamment protégé conduit à une baisse du prix voire à une annulation de la vente si le patrimoine immatériel de la start-up a été compromis. Les 800 entreprises françaises de cybersécurité, bien qu’au meilleur niveau techniquement, en partie grâce à l’investissement publique, peinent à émerger économiquement sur un marché domestique insuffisant pour satisfaire une croissance de nature à leur donner une dimension internationale. Avec une progression de 30 % des dépenses de sécurité informatique en 2015, la tendance est toutefois positive.
Lors de la Guerre froide, la France a tiré parti de son non-alignement américain ou soviétique. Aujourd’hui, sur les marchés mondiaux, elle peut se positionner comme un partenaire ni américain, ni russe, ni chinois, ni israélien. Dans le domaine numérique, il est nécessaire de distinguer sécurité et confiance. Un haut niveau de sécurité peut être vérifié par des processus de certification. Par contre, il est quasi impossible de s’assurer de l’absence de « fonctionnalités additionnelles » (les fameuses back-doors) installées par le fournisseur. Dès lors, la question devient : avec qui accepte-t-on de prendre le risque d’être écouté ?
Pour faire face à ces menaces, la priorité des autorités françaises a été d’empêcher le renseignement et éviter le chaos numérique. Le village mondial numérique s’étant transformé en ville et même en mégalopole proliférante, il faut désormais fermer sa porte et ses fenêtres, et mettre ses bijoux au coffre. Le renforcement de la sécurité de l’information et non seulement des systèmes d’information n’est plus une option. C’est l’objet en France de la stratégie nationale de sécurité du numérique.
Celle-ci a mis l’accent sur les objets connectés : le but est de les faire bénéficier d’un meilleur niveau de sécurité dès leur conception pour prévenir les actes de « cyberdélinquance ». Avec des estimations allant jusqu’à 100 milliards d’objets connectés en 2020, ils seront un vecteur de renseignement omniprésent. Par exemple, la plupart des appareils médicaux lourds comme les scanners sont peu sécurisés : ils sont souvent pilotés par une vieille version de Windows et sont connectés au réseau de l’hôpital, lui-même connecté à internet.
L’emploi d’armes contre les « cyberattaques » par les États doit être parfaitement maîtrisé tant les risques de réutilisation contre leurs citoyens, leurs infrastructures et leurs intérêts sont élevés. C’est pour cette raison que les autorités publiques françaises ont choisi de développer des compétences techniques et opérationnelles à l’échelon national : c’est la « cyberdéfense » à la française. À titre d’illustration, toutes les réflexions menées sur le risque de dommages collatéraux doivent également être déclinées dans le domaine cyber. Il n’est en effet pas rare que les attaquants utilisent des serveurs d’hôpitaux ou de structures critiques pour mener les attaques.
Étant donné le caractère multiforme et transversal de ces attaques, les Pouvoirs Publics ont décidé d’adopter une approche interministérielle. Depuis 2016, la prise de conscience est rapide dans l’opinion, les administrations et les forces armées : l’insécurité numérique est susceptible de remettre en cause la transition numérique de la société, principal levier de croissance dont la France dispose. Plus radicalement, les « cyberattaques » peuvent mettre en péril l’exercice autonome de la souveraineté politique. C’est pour cette raison que les administrations les plus puissantes (SGDSN, MINDEF, MINECO, MININT, SGMAP, services) voient dans la sécurité numérique un nouvel espace, où les équilibres sont encore instables, et cherchent à préempter la plus grande surface possible avant que les positions se figent.
Les forces armées ont, elle aussi, fait leur aggiornamento pour prendre en compte les « cyberattaques ». Dans un contexte de cybermenaces diffuses et en essor, les armées ont donc une obligation de résilience numérique. Les principes de sûreté nucléaire peuvent servir de guide en la matière (redondance, diversification et séparation physique) mais doivent intégrer le caractère dynamique des systèmes d’information : les « centres de gravité numériques » évoluent aussi vite que l’information elle-même.
Ni l’examen statistique ni l’étude de sciences politiques ne permettent d’avoir une vision claire et une définition fixe de la cybercriminalité et de ses formes. La profusion des formes de cyberattaques et des types de cybercriminalité laisse l’examen définitionnel dans la difficulté. Face à ces apories, voyons si la loi permet de distinguer les lignes de force de cette notion.

III. À LA RECHERCHE DU BON EQUILIBRE

La nébuleuse de textes sécuritaires, ajoutée à l’exhibitionnisme numérique suscité par les réseaux sociaux fait craindre que la vie privée ne soit plus qu’un incident de parcours, survivance anachronique d’une société révolue. Un concept décrit cette situation, la «  publitude » [55] , fondé sur le principe « si vous n’avez rien à cacher, pourquoi être inquiet ? ». Afin de survivre, les démocraties doivent-elles devenir des « démocratures » [56] et renier ainsi ce qui fait leurs raisons d’être ? La question majeure que posent ces divers textes est celle de l’espace de liberté qui reste dans le maillage de surveillances que nécessite l’impératif de protection de nos libertés fondamentales. Si la sécurité doit être la garantie, notamment de nos données personnelles, n’y a-t-il pas un point d’équilibre qui reste à découvrir ?
 

1 Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique. 2 Notamment pénalement : cf. articles 50 à 52 de loi informatique et libertés. 3 SAFARI (système informatisé pour les fichiers administratifs et répertoires des individus). Projet de création d’une base de données centralisée de la population au travers du fichier de sécurité sociale, dénominateur commun de l’ensemble des fichiers administratifs. 4 La première cyberattaque, au sens « contemporain » du terme, a eu lieu 2 novembre 1988, lorsque Robert Tappan Morris, étudiant au MIT Boston lança un ver qui, pense-t-on, infecta 1/10e des machines connectées à internet. Un ver informatique (worm) est un programme capable de se propager au travers d’un réseau par auto-réplication, sans recours à un support physique ou logique (hardware, programme, fichiers, etc.). 5 À partir de la réforme introduite par la loi 2004-801 du 6 août 2004. 6 Nous verrons que le terme est très fortement polysémique. 7 Apple, Alphabet Inc. (maison-mère de Google hébergeant les activités mobiles et en ligne du groupe (YouTube, Android…), la recherche et la publicité), Microsoft, Amazon, Tencent (entreprise chinoise spécialisée dans les services internet et mobiles ainsi que la publicité en ligne). 8 Évoquée dansl’article de C. Vincent, « La ruée vers l’or des données personnelles », Les Échos du 7 mars 2013. 9 Breach Level Index Gemalto. Il s’agit d’une estimation puisque 52 % des brèches de 2016 n’ont pas permis de révéler le nombre exact de données compromises lors de leur signalement. Par ailleurs, l’annonce faite en 2016 par de Yahoo ! relative à 2 violations majeures de données portant sur 1,5 milliard de comptes d’utilisateurs, n’est pas comptabilisée, les faits étant survenus en 2013 et 2014. 10 Article « Le risque cyber se fait plus menaçant dans la finance », Les Échos du 27 mars 2018, évoquant un nombre de 125 intrusions par an contre à peine 40 en 2012. 11 Étude Digital Dividends publiée par la Banque Mondiale en janvier 2016. 12 https://www.lesechos.fr/tech-medias/dossiers/0211816939625/0211816939625- cyberattaques-le-danger-permanent-2066626.php. 13 https://www.ssi.gouv.fr/publication/la-strategie-de-la-france-en-matiere-decyberdefense- et-cybersecurite/ 14 https://www.defense.gouv.fr/dgris/enjeux-transverses/cyberdefense/cyberdefense 15 La suite TCP/IP est constituée des protocoles nécessaires pour le transfert des données sur Internet. Elle est souvent appelée TCP/IP, d’après le nom de ses deux premiers protocoles : TCP (Transmission Control Protocol) et IP (Internet Protocol). 16 Hobbes Internet Timeline - https://tools.ietf.org/html/rfc2235. 17 Sans garantie d’exhaustivité – Cf. annexe. 18 Dite également Convention de Budapest - https://rm.coe.int/168008156d. 19 Agence Nationale de la Sécurité des Systèmes d’Information. Créée en 2009 est la l’héritière de la « Direction Technique du Chiffre », créée à Alger en 1943. https://www. ssi.gouv.fr/entreprise/glossaire/c/ 20 Communication de la Commission au Parlement européen, au Conseil et au Comité des régions du 22 mai 2007- Vers une politique générale en matière de lutte contre la cybercriminalité {SEC(2007) 641} {SEC(2007) 642} 21 Agence européenne chargée de la sécurité des réseaux et de l’information. 22 COM (2017) 477 final - article 2-8 : “cyber threat” means any potential circumstance or event that may adversely impact network and information systems, their users and affected persons. 23 Marc Robert « Protéger les internautes » – Rapport sur la cybercriminalité spéc. p. 25 et s. Sur le même thème, rapport Thierry Breton « Chantier sur la lutte contre la cybercriminalité ». 24 Rapport Robert, spéc. p. 14. Table de recensement des NATtures d’INFractions (crimes, délits et contraventions de 5 ° classe) prévus par la loi française (loi, décret-loi, ordonnance, décret), pour lesquelles l’objet ou le moyen utilisé relève, selon le texte légal d’incrimination, de la cybercriminalité. Sont exclues, les infractions prévues par l’article 6 de la loi du 21 juin 2004 sur l’économie numérique, en raison des difficultés d’interprétation qu’elles posent, ni celles créées par la loi du 18 décembre 2013 relative à la programmation militaire, comptetenu du caractère récent de cette dernière à la date du rapport. 25 Prévues par le code des postes et des communications électroniques. 26 Ainsi UBER a attendu le 21 novembre 2017 pour dévoiler un vol de données ayant eu lieu en octobre 2016. Ce vol portait sur 50 millions de clients et 7 millions de chauffeurs. 27 Il peut s’agit de tout objet connecté infecté par un virus qui, à l’insu de son propriétaire, passent sous le contrôle d’un cybercriminel qui utilise ces objets pour conduire des attaques, par exemple par déni de service, en noyant sa cible sous des requêtes multiples. 28 9e édition du rapport M-Trends de Fire eye d’avril 2018 - https://www.fireeye.com/ content/dam/collateral/en/mtrends-2018.pdf. La région Asie-Pacifique aurait des délais supérieurs à un an pour identifier des attaques informatiques (489 jours en 2017, contre 172 jours en 2016). 29 Cf. annexe. 30 Cons. const., 23 juillet 2015, n° 2015-713 n° 2015-713 DC, consid. 60. 31 https://www.cnil.fr/fr/publication-de-lavis-sur-le-projet-de-loi-relatif-aurenseignement. La CNIL évoque des techniques « particulièrement intrusives (pose de balises de localisation, de micros ou utilisation de key-loggers) » qui ne devraient « être utilisées par les services de renseignement qu’en dernier ressort, si aucun autre moyen n’est utilisable ». 32 Autorité de Régulation des Communications Electroniques et des Postes : https://www. arcep.fr/uploads/tx_gsavis/16-0025.pdf. 33 Pour le Règlement 2016/679 du 4 mai 2016 (RGPD) – Une donnée personnelle (art. 4) est : « […] toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». 34 CJUE, Grande Chambre, 8 avril 2014, Digital Rights Ireland Ltd & Michael Seitlinger et al., affaires jointes C-293/12 & C-594/12. Chron. M. Aubert, E. Broussy et H. Cassagnabère, D. 2014, 1355, note C. Castets-Renard, ibid. 2317, obs. J. Larrieu, C. C. le Stanc et P. Tréfigny. 35 Ibid. § 37. 36 Affaire C 362/14, Maximillian Schrems c/Data Protection Commissioner. 37 CLOUD significant « Clarifying Lawful Overseas Use of Data » – https://www. hatch.senate.gov/public/_cache/files/6ba62ebd-52ca-4cf8-9bd0-818a953448f7/ ALB18102%20(1).pdf Ce texte est apparu dans un projet de loi de finances de plus de 2 200 pages, essentiellement destiné à éviter le « governement shutdown ». 38 Articles 45 à 49 et G29 Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 – adoptées le 25 mai 2018. 39 https://www.aclu.org/letter/coalition-letter-cloud-act. 40 Communiqué de presse (IP/18/3343). 41 COM(2018)225 final. 42 CEDH, aff. 47143/06, Roman Zakharov c/ Russie. 43 Ibid., pt. 171. 44 Ibid., pt. 284. 45 Les Échos, le 19 septembre 2017. 46 A. Ogien, « La désobéissance civile peut-elle être un droit ? », Droit et société, 2015/3 (n° 91), pp. 579-592 : https://www.cairn.info/revue-droit-et-societe-2015-3-page-579. htm ; R. Encinas de Munagorri, « La désobéissance civile : une source du droit ? », RTD civ. 2005, p. 73 et s. 47 Bernard Benhamou, « La gouvernance de l’internet après Snowden », in Dossier « Internet : une gouvernance inachevée », Politique étrangère, Institut français des relations internationales, n° 4-2014, hiver 2014-2015, pp. 15-25. 48 lemonde.fr/technologies/article/2007/05/18/l-otan-s-alarme-des-cyberattaquesdont- est-victime-l-estonie_912135_651865.html#meter_toaster. 49 slate.fr/story/30471/stuxnet-virus-programme-nucleaire-iranien. 50 lemonde.fr/ameriques/article/2018/04/20/elections-americaines-2016-le-partidemocrate- attaque-en-justice-la-russie-l-equipe-de-campagne-de-trump-etwikileaks_ 5288450_3222.html. 51 lefigaro.fr/sciences-technologies/2010/09/27/01030-20100927ARTFIG00417-stuxnet-liran- se-dit-victime-de-guerre-electronique.php. 52 Nicolas Arpagian, « Cyberguerre : longtemps annoncée, désormais réalité ? Une nouvelle forme de la guerre moderne », in RAMSES 2018, pp. 156-159. 53 www.senat.fr/espace_presse/actualites/201207/la_cyberdefense_un_enjeu_ mondial_une_priorite_nationale.html. 54 www.entreprises.gouv.fr/politique-et-enjeux/cyber-attaques-quels-risques-quellessolutions. 55 Fondé par Vinton Cerf, vice-président and Chief Internet Evangelist pour Google, l’un des pères de l’Internet. 56 Néologisme composé par Gérard Mermet, sociologue, dans son ouvrage Démocrature : comment les médias transforment la démocratie, Aubier-Montaigne, Paris, 1987.