La Convention sur la cybercriminalité

La Convention sur la cybercriminalité

Le Conseil de l'Europe clôt le débat sur les cybercrimes racistes

La Convention sur la cybercriminalité adoptée il y a un an par le Conseil de l'Europe avait laissé un point en suspens: la condamnation du racisme et de la xénophobie sur l'internet. Un protocole additionnel vient combler ce manque.

Le Conseil de l'Europe (CdE) a entériné le 7 novembre plusieurs mesures destinées à prévenir le racisme et la xénophobie sur l'internet. Celles-ci sont intégrées dans un protocole additionnel à la Convention sur la cybercriminalité, elle-même adoptée il y a un an par cette même assemblée consultative*.

«Ce protocole demande aux États de criminaliser la diffusion de matériel raciste et xénophobe par le biais de systèmes informatiques, ainsi que les menaces et l'insulte à motivation raciste et xénophobe, la négation, la minimisation grossière, l'approbation ou la justification du génocide ou des crimes contre l'humanité, notamment ceux qui se sont produits pendant la période de 1940 à 1945» explique le communiqué du CdE.

La question est très sensible, puisque certains pays anglo-saxons ou d'Europe du Nord se refusent à condamner de tels actes, au nom de la liberté d'expression. L'assemblée a donc gardé une rédaction diplomatique des différents articles.

Pas d'obligation faite aux États membres de signer le texte

Par «matériel raciste et xénophobe», le texte «désigne tout matériel écrit, toute image ou toute autre représentation d'idées ou de théories qui préconise ou encourage la haine, la discrimination ou la violence, contre une personne ou un groupe de personnes, en raison de la race, de la couleur, de l'ascendance ou de l'origine nationale ou ethnique, ou de la religion, dans la mesure où cette dernière sert de prétexte à l'un ou l'autre de ces éléments, ou qui incite à de tels actes».

Le CdE précise que ces infractions doivent être commises «intentionnellement» pour que la responsabilité pénale de l'auteur soit engagée. Ce qui, selon lui, préserve un fournisseur de service qui ne sert que «d'intermédiaire pour la transmission de ce type de matériel par le biais d'un site web ou d'un forum».

Ce protocole sera ouvert à signature fin janvier 2003, à l'occasion de la prochaine session de l'assemblée parlementaire à Strasbourg. Il est destiné à «ceux qui souhaitent franchir le pas», précise le Comité des ministres du CdE. C'est-à-dire qu'une nation ratifiant la Convention sur la cybercriminalité ne sera pas obligée d'adhérer également au protocole.

À ce jour, seuls deux États (Albanie et Croatie) ont ratifié cette Convention. Rappelons qu'il faut au minimum cinq signatures pour qu'elle puisse entrer définitivement en vigueur.

(*) Le Conseil de l'Europe est une assemblée consultative de 43 pays dont l'hémicycle est à Strasbourg. À ne pas confondre avec le Conseil européen, qui réunit les chefs d'exécutifs des 15 membres de l'Union européenne. Pour rédiger la Convention cybercrime et ce protocole, le CdE a également fait appel à quatre pays observateurs (Canada, Japon, Afrique du Sud et États-Unis).

Source: ZDNet (12/11/2002)

Traité sur le Cybercrime : la méthode James Bond maintenant

Wired rapporte que le Conseil de l'Europe est en train d'élaborer un second protocole additionnel à son Traité contre la Cybercriminalité, définitivement adopté en novembre dernier. Ce second additif - le premier porte sur la criminalisation d'actes racistes ou xénophobes sur le réseau -, donnerait aux Etats des pouvoirs étendus pour traquer, décrypter et intercepter les communications électroniques entre groupes terroristes ou présumés tels. Le plus étonnant est la méthode employée par l'organisme international pour élaborer son texte. Reconnu implicitement par Peter Csonka, le chef de la division des crimes économiques du Conseil, ce travail est déclaré secret et le Conseil se refuse à en dévoiler le moindre détail, jusqu'au nom des participants du groupe de travail. Une méthode un peu étonnante pour un texte aussi important, mais qui, étrangement, n'a pas pour l'instant provoqué de réaction militante importante.

Source: Homo-Numericus (27/02/2002)

Le crime rôde partout sur le Net

Pour justifier la convention sur la cybercriminalité, le Conseil de l'Europe a inventorié les délits commis sur Internet. Au menu : violation de systèmes informatiques, fraude à la carte bancaire, virus...

Trente Etats ont voté le 23 novembre la convention sur la cybercriminalité. Les signataires ont conçu un outil de défense juridique contre tous les crimes commis à travers les réseaux informatiques.

La notion de cybercriminalité couvre aussi bien les actes de piratage, la fraude informatique, la propagation de virus, la distribution d'images pédophiles, et de copies illégales d'oeuvres protégées sur Internet. Pour justifier l'utilité de cette convention, le Conseil de l'Europe a présenté quelques chiffres alarmants.

La fraude à la carte bancaire génère chaque année 400 millions de dollars de pertes dans le monde. Les pirates informatiques savent déceler les failles des systèmes informatiques pour s'emparer de données confidentielles. Ils détournent ainsi les numéros et les codes des cartes bancaires. Un groupe de fraudeurs russes et ukrainiens s'est attaqué à plus de quarante sites américains. Le butin : les numéros de 1 million de cartes de crédit.

Certains pirates sont moins chanceux. La police italienne a déjoué une tentative de détournement organisée par la Mafia. Une subvention européenne de plus de 1 milliard d'euros a failli être transférée sur la réplique du portail d'une banque.

22 000 tentatives d'infractions contre le Pentagone

Une enquête menée aux Etats-Unis révèle que 85 % des entreprises sondées ont été victimes d'intrusions sur leur réseau. L'administration n'est pas à l'abri : le Pentagone a enregistré en un an plus de 22 000 tentatives d'infractions contre ses structures informatiques. Mais ces chiffres, déjà alarmants, seraient bien en deçà de la réalité. Plusieurs études menées sur les continents américain et européen montrent qu'un tiers seulement des victimes déclarent les infractions.

D'après le FBI, beaucoup de sociétés ou d'institutions ne sont pas suffisamment protégées contre ces pirates informatiques. Quelque 5 000 infrastructures vulnérables à la cybercriminalité, et dont l'attaque pourrait déstabiliser l'économie entière d'un pays, ont été recensées.

Autre fléau de l'Internet : les virus. Selon le FBI, environ 50 nouveaux virus (de types ver et cheval de Troie) feraient leur apparition chaque semaine. Un chiffre qui risque d'augmenter : les néophytes peuvent désormais produire leur propre virus grâce à la centaine d'outils de création automatique qui circulent sur le Net. Les attaques de virus ont déjà coûté près de 12 milliards de dollars.

Le cybercrime concerne également la pornographie infantile. De 350 000 à 500 000 clichés à caractère pédophile circulent sur le Web affirme la division française pour la répression des atteintes aux personnes et aux biens (DNRAPB).

Source: 01 Net (28/11/2001)

Une convention sur la cybercriminalité pour s'attaquer au terrorisme

La première convention internationale contre la cybercriminalité a été signée vendredi à Budapest par un nombre record de 30 pays intéressés par cet outil pour la lutte contre le terrorisme. Ce traité, en rédaction depuis quatre ans, est le premier instrument juridique contraignant sur l'internet. "Cet instrument vient vraiment à point" pour lutter contre le cyberterrorisme, "après les terribles attaques terroristes qui ont frappé les Etats-Unis" le 11 septembre, a déclaré lors d'une conférence de presse Hans Christian Krueger, secrétaire général adjoint du Conseil de l'Europe, maître d'oeuvre de la convention.

L'organisation paneuropéenne a déjà mis en chantier les prolongements de ce texte et étudie les moyens de décrypter les messages terroristes sur l'internet. Un autre chantier très délicat consiste à "trouver le moyen de saisir des données informatiques transfrontalières" sur lequel aucun consensus ne s'est dégagé, selon le directeur des Affaires juridiques du Conseil, Guy de Vel. La convention permettra de réagir aux actes terroristes commis contre les systèmes informatiques et de rassembler des preuves électroniques sur les infractions liées au terrorisme, a déclaré M. Krueger.

Les Etats-Unis, le Japon, le Canada et l'Afrique du Sud, ont signé la convention, ainsi que 26 des 43 pays membres du Conseil de l'Europe, dont douze Etats de l'Union européenne. Le Luxembourg, l'Irlande et le Danemark ont reporté leur signature pour des raisons de calendrier. Le fait que 30 Etats signent la convention dès son ouverture à la signature est sans précédent, ont relevé les responsables du Conseil de l'Europe. La convention entrera en vigueur lorsque cinq pays dont trois Etats membres du Conseil de l'Europe, l'auront ratifiée.

Ce texte de compromis a connu près de 30 versions et survécu à de nombreuses critiques. Le Conseil de l'Europe a exigé des garanties pour le respect des droits de l'Homme, notamment le respect du secret de la correspondance. Les Etats-Unis et l'industrie ont refusé catégoriquement les propositions qui auraient exigé de l'industrie de "collecter et de stocker systématiquement les données pendant de longues périodes". Le projet de convention a de plus été violemment critiqué par certaines associations et fournisseurs d'accès qui le qualifiaient de "liberticide, interventionniste, complice d'une nouvelle ère de surveillance généralisée et même de nouveau "Big Brother" au Conseil de l'Europe", selon M. de Vel.

Le texte s'attaque aux infractions contre la confidentialité et l'intégrité des systèmes, à celles qui se rapportent au contenu (pornographie enfantine), aux infractions informatiques (fraudes) et à celles liées à la propriété intellectuelle (copiage et contrefaçons). Son article 9 prévoit un large éventail de mesures pour sanctionner la collecte, détention et distribution d'images pornographiques enfantines sur l'internet, ainsi que la prostitution enfantine.

La cybercriminalité coûte cher: les escroqueries à la carte de crédit ont rapporté environ 400 millions de dollars à leurs auteurs en 1999, selon le Conseil de l'Europe. Les dégâts causés par des virus informatiques ont coûté près de 12 milliards de dollars et le manque à gagner des industries victimes de copiages ou de contrefaçons atteindraient 250 milliards de dollars par an. Selon l'UNICEF, la pornographie infantile génèrerait 2 à 3 milliards de dollars de chiffre d'affaires par an, rien qu'aux Etats-Unis.

Source : Journal du Net (26/11/2001)

Cybercrime : 48 pays derrière un traité

Cybercriminels de tous les pays, inquiétez-vous ! Vendredi a été signé à Budapest le premier traité mondial contre la cyber-criminalité. En plus des 43 pays du Conseil de l'Europe, qui l'ont élaboré, le traité rassemble désormais Canada, Japon, Afrique du Sud et surtout les Etats-Unis. Au menu du traité, pédophilie, crime organisé, et piratages en tous genres, pour un traité un peu torturé par ses 27 versions successives, aux mesures pas toujours claires.

Exemple de cybercrime tiré de l'actualité : le site Internet de Playboy vient d'avouer qu'il s'était fait subtiliser les numéros de cartes de crédit de certains de ses abonnés. Chez Playboy, on avoue à demi-mot avoir mal protégé ses serveurs. Coup de chance pour l'éditeur du site de charme : rares sont les internautes qui portent plainte en pareil cas. Mais le ou les coupables pourront désormais être retrouvés et condamnés par-delà les frontières.

Aux Etats-Unis toujours, c'est le FBI qui voudrait pouvoir écouter les conversations téléphoniques, quand elles transitent sur le Net. Chez les opérateurs télécoms, on traîne les pieds, en faisant remarquer que l'opération coûtera quand même un milliard de dollars. Le FBI - toujours lui - vient d'ailleurs, après Carnivore, de dévoiler un nouvel outil d'écoute sur le web. Baptisé Magic Lantern, le logiciel est un petit mouchard qui capture tout ce que l'on tape au clavier, permettant par exemple d'intercepter un message avant qu'il ne puisse être crypté. Problème, pour installer Magic Lantern, le FBI devra à son tour pirater les machines à espionner.

Pour surveiller ce genre de dérapages, la fédération des ligues de droits de l'homme, alliée à Human Rights Watch et à nos confrères de Reporters sans Frontières, viennent de lancer libertes-immuables.net, site portail de vigilance quotidienne face aux tentations sécuritaires de l'après-11 septembre, pour que les libertés numériques ne soient pas les premières victimes de la guerre contre le terrorisme.

Source : LCI (23/11/2001)

Trente pays, dont le Canada, signent un accord sur la cybercriminalité

La première convention internationale contre la cybercriminalité a été signée vendredi à Budapest par un nombre record de 30 pays intéressés par cet outil pour la lutte contre le terrorisme.

Ce traité, en rédaction depuis quatre ans, est le premier instrument juridique contraignant sur Internet.

"Cet instrument vient vraiment à point" pour lutter contre le cyberterrorisme, "après les terribles attaques terroristes qui ont frappé les États- Unis" le 11 septembre, a déclaré lors d'une conférence de presse Hans Christian Krueger, secrétaire général adjoint du Conseil de l'Europe, maître d'oeuvre de la convention.

La convention comble des lacunes législatives sur les infractions informatiques telles que les atteintes à la confidentialité, à l'intégrité et à la disponibilité des systèmes informatiques, a estimé le ministre. Le texte crée de nouvelles possibilités d'investigation et répond aux besoins accrus d'une coopération judiciaire internationale rapide et performante.

Selon un expert français du ministère des Affaires étrangères, Bruno Nédelec, la convention a été obligée de trouver des réponses à deux caractéristiques d'Internet: l'opposition entre la dimension planétaire de la cybercriminalité et l'activité policière subordonnée aux frontières nationales, ainsi que le risque non négligeable de disparition de preuve des cyberinfractions.

Une majorité d'États a tranché contre la solution de créer une cyberpolice internationale ou de donner aux juges nationaux une compétence universelle, a dit M. Nédelec. Il a donc fallu créer un système renforcé de coopération internationale.

Pour éviter la disparition des preuves, il a été envisagé d'imposer aux fournisseurs de services, l'obligation de conservation systématique pendant un certain temps, de l'ensemble des données de connexion. Cette solution, qui aurait permis aux enquêteurs de remonter à la source des messages illégaux ou à l'origine des attaques informatiques, a également été rejetée par les États.

L'organisation paneuropéenne a déjà mis en chantier les prolongements de ce texte et étudie les moyens de décrypter les messages terroristes sur Internet.

Un autre chantier très délicat consiste à "trouver le moyen de saisir des données informatiques transfrontalières" sur lequel aucun consensus ne s'est dégagé, selon le directeur des Affaires juridiques du Conseil, Guy de Vel.

La convention permettra de réagir aux actes terroristes commis contre les systèmes informatiques et de rassembler des preuves électroniques sur les infractions liées au terrorisme, a déclaré M. Krueger. Les États-Unis, le Japon, le Canada et l'Afrique du Sud, ont signé la convention, ainsi que 26 des 43 pays membres du Conseil de l'Europe, dont douze États de l'Union européenne. Le Luxembourg, l'Irlande et le Danemark ont reporté leur signature pour des raisons de calendrier.

Le fait que 30 États signent la convention dès son ouverture à la signature est sans précédent, ont relevé les responsables du Conseil de l'Europe.

La convention entrera en vigueur lorsque cinq pays dont trois États membres du Conseil de l'Europe, l'auront ratifiée.

Le projet de convention a de plus été violemment critiqué par certaines associations et fournisseurs d'accès qui le qualifiaient de "liberticide, interventionniste, complice d'une nouvelle ère de surveillance généralisée et même de nouveau "Big Brother" au Conseil de l'Europe", selon M. de Vel.

Son article 9 prévoit un large éventail de mesures pour sanctionner la collecte, détention et distribution d'images pornographiques infantiles sur Internet, ainsi que la prostitution infantile. La cybercriminalité coûte cher: les escroqueries à la carte de crédit ont rapporté environ 400 millions $US (638 millions $CA) à leurs auteurs en 1999, selon le Conseil de l'Europe.

Les dégâts causés par des virus informatiques ont coûté près de 12 milliards $US (19,16 milliards $CA) et le manque à gagner des industries victimes de copiages ou de contrefaçons atteindraient 250 milliards $US (400 milliards $CA) par an.

Selon l'UNICEF, la pornographie infantile génèrerait deux à trois milliards de dollars de chiffre d'affaires par an, rien qu'aux États-Unis.

Beaucoup de pays ont présenté des rapports nationaux sur la cybercriminalité à la conférence.

La France a ainsi relevé qu'en l'an 2000, les cyber-infractions se répartissaient ainsi: 56% d'ouvertures frauduleuses de lignes téléphoniques, 21% d'accès frauduleux aux systèmes, 13% d'atteintes aux systèmes automatisés de données, 8% de contrefaçons de logiciels et 3% d'autres infractions.

En Slovénie, environ 500 cas de cyber-infractions ont été relevée en l'an 2000 et en Slovaquie, la cybercriminalité a causé 640 000 $US de dégâts la même année.

Au Japon, 559 personnes ont été arrêtées en l'an 2000 pour des cyber-crimes, dont 154 impliquées dans des affaires de prostitution enfantine et 121 pour des affaires de pornographie impliquant des enfants.

Source : Multimedium (23/11/2001)

On négocie un accord international sur la cybercriminalité à Budapest

La convention contre la cybercriminalité qu'une trentaine d'États, dont les États-Unis, s'apprêtent à signer à Budapest est le premier instrument juridique international contraignant en la matière.

Le texte élaboré par le Conseil de l'Europe avec la collaboration étroite des États-Unis, du Canada, du Japon et de l'Afrique du Sud, prévoit que les pays signataires modifient leurs législations pour faciliter les enquêtes sur Internet: conservation des données stockées, conservation et divulgation rapide des données relatives au trafic, perquisition des systèmes et saisies de données informatiques, interception des données relatives au contenu.

Ces dispositions devront néanmoins respecter les droits de l'Homme et le principe de la proportionnalité. L'autorisation d'un magistrat ou d'une autorité indépendante sera requise.

Le texte prévoit aussi de renforcer la coopération pénale internationale de telle sorte que les autorités judiciaires et les services de police d'un pays puissent agir pour le compte d'un autre pays dans la recherche de preuves électroniques. Les perquisitions transfrontalières sont cependant interdites.

Les infractions sont répertoriées en quatre grandes catégories: les infractions contre la confidentialité, l'intégrité et la disponibilité des données et systèmes, les infractions informatiques (fraude et falsification), les infractions se rapportant au contenu (pornographie infantile) et les infractions liées aux atteintes à la propriété intellectuelle (copiage illégal à grande échelle d'œuvres protégées).

Ouverte à tous les pays du monde, la convention entrera en vigueur lorsque cinq pays, dont trois États membres du Conseil de l'Europe, l'auront ratifiée.

Source: Multimedium (22/11/2001)

Le traité cybercrime bientôt enrichi d'un protocole antiracisme ?

Le Conseil de l'Europe propose de lutter contre les discours d'incitation à la haine raciale circulant librement sur le net. Pour ce faire, un protocole pourrait s'annexer à la Convention sur la cybercriminalité.

Le jour même de la validation jeudi 8 novembre de la Convention sur la cybercriminalité, premier projet de traité international en la matière, un groupe de travail du Conseil de l'Europe a voté à l'unanimité une recommendation pour adopter un protocole spécial qui permettrait d'interdire tout discours raciste sur le net selon des critères à définir.

C'est la Commission permanente de l'Assemblée parlementaire du Conseil qui a pris cette initiative. Elle est composée de parlementaires nationaux provenant des 43 pays membres du Conseil et ne comprend donc aucun représentant des cinq pays observateurs non-européens ayant préparé le traité (dont les États-Unis et le Canada).

« Le 11 septembre a montré que les discours de haine peuvent engendrer une action d'une amplitude épouvantable », indique Ivor Tallo, membre du groupe socialiste d'Estonie, à l'origine du protocole. « C'est la raison pour laquelle les nouvelles technologies doivent avoir des garde-fous, le premier d'entre eux étant d'interdire la circulation de discours d'incitation à la haine sur internet. »

La publication de contenus de ce type est déjà interdite au Royaume-Uni selon les termes d'une loi de 1986 (Public Order Act), équivalente de la loi Gayssot en France (1990). Mais la législation britannique est impuissante si les serveurs qu'une entreprise utilise pour héberger son site se trouvent aux États-Unis. À ce jour, aucune poursuite engagée à l'encontre de tels supports sur le net ne s'est soldée par une victoire. Résultat, il n'existe aucun précédent dans la loi britannique assertant ce qui est illégal au Royaume-Uni.

Pour un protocole au-dessus des lois

« Il est difficile d'appliquer le Public Order Act à du contenu en ligne - on manque de précédents clairs pour des contenus qui ne sont pas en ligne, or ce sont eux qui nous permettraient de juger de ce qui est illégal en ligne », affirme David Kerr, président de l'Internet Watch Foundation (IWF). « Dans le monde entier, les lois ne sont pas homogènes entre elles concernant le traitement de contenus hébergés à l'étranger. Les États-Unis, qui sont protégés par le Premier amendement de leur constitution, en sont un exemple. »

Les auteurs du protocole européen ont été invités à réfléchir aux moyens d'empêcher l'"hébergement illégal", cas dans lequel des serveurs se trouvent dans un pays dont les lois sont moins rigides. Tallo souhaite que le protocole contourne les lois locales, pour que l'on puisse interdire, en vertu de celui-ci, à des groupuscules racistes de faire héberger leurs serveurs aux États-Unis sous couvert du Premier Amendement.

Après avoir été le dernier des soucis des politiques, la lutte contre la haine raciale revient donc dans leurs priorités, même s'il faudra composer avec les pays non-européens pour qu'il soit applicable, notamment, aux États-Unis. Tallo évalue le nombre de sites web à caractère raciste à 4 000, parmi lesquels 2 500 sont hébergés aux États-Unis.

La convention sur la cybercriminalité sera formellement ouverte à signature à Budapest, le 23 novembre.

Source: ZdNet (13/11/2001)

Le traité cybercrime entre dans la dernière ligne droite

Après quatre ans de négociations, la version définitive de la « convention sur la cybercriminalité » est désormais ouverte à signature auprès des 46 pays qui l'ont élaborée. Sa ratification dépendra de chaque Parlement national.

Perquisition à distance, interception des communications, rétention des données de connexion, intrusion informatique... voilà qui ressemble fort aux lois d'exception votées en urgence (ou sur le point de l'être) au sein des grandes nations industrialisées. Pourtant, il s'agit là des thèmes retenus par la Convention sur la cybercriminalité, présentée comme « le premier traité international sur les infractions pénales commises via l'internet et d'autres réseaux informatiques ».

Ce traité est le fruit de quatre ans de négociations au sein du Conseil de l'Europe (à différencier du Conseil européen, qui réunit les chefs d'exécutifs des 15 membres de l'UE), une assemblée consultative de 41 pays dont l'hémicycle est à Strasbourg. Le 8 novembre, le projet de traité a été validé par les ministres des affaires étrangères. Il sera formellement « ouvert à signature » le 23 novembre à Budapest lors d'une conférence internationale sur la cybercriminalité.

Ce projet a pu voir le jour grâce au statut d'observateurs actifs accordé à cinq pays non-européens (États-Unis, Canada, Japon, Afrique du Sud et Australie). La convention entrera en vigueur dès que cinq États, dont au moins trois membres du Conseil de l'Europe, l'auront ratifiée. Une ratification qui interviendra après la signature, et s'effectuera au niveau des Parlements des pays signataires.

Des concepteurs/éditeurs moins responsabilisés

Au moins une trentaine de versions différentes ont été nécessaires pour parvenir à un compromis final le 19 septembre dernier.

Le traité délimite son application en citant les quatre infractions concernées : « accès illégal », « interception illégale », « atteinte à l'intégrité des données » et « atteinte à l'intégrité du système ».

En gage de transparence sur un sujet qui commençait à lui échapper, le Conseil de l'Europe a décidé en avril 2000 de rendre public l'état d'avancement du projet. De nombreux correctifs ont été introduits à la lumière des réactions que ce débat a suscitées. Il était par exemple prévu d'interdire (ou plutôt d'« ériger en infraction pénale ») l'usage de logiciels de sécurité pouvant aussi servir à pirater des données (article 6). Étaient ainsi pénalisées la « production, la vente, l'obtention pour utilisation, l'importation, la diffusion (...) d'un dispositif, y compris un programme informatique, principalement conçu ou adapté pour permettre la commission de l'une des infractions [décrites dans le traité] ». Or les scientifiques et la communauté des hackers (pas les pirates, les hackers) se sont immédiatement insurgés, en indiquant que des logiciels alternatifs comme Back Orifice (outil de prise de contrôle à distance) seraient les premiers visés, avant certains produits commerciaux qui permettent eux aussi de commettre des actes illégaux. Le texte a été modifié pour en tenir compte : il n'y a pas de « responsabilité pénale lorsque la production, la vente, [etc.] n'a pas pour but de commettre une infraction (...) comme en cas d'essais autorisés ou de protection d'un système informatique ». Ca va mieux en le disant, mais le présent article manque alors cruellement de substance... puisqu'il revient désormais à l'accusation de prouver que le logiciel a été créé dans l'intention de nuire.

Quelles données de connexion seront conservées

Le traité demande aussi à chaque État de légaliser les « interception de données relatives au contenu [et cela] en temps réel » (article 21) sur la base des lois existantes sur les écoutes téléphoniques. Il élève pour la première fois en « crime » et non plus en simple délit (article 10) l'atteinte à la propriété intellectuelle (piratage de logiciels ou d'oeuvres protégées). Et il institue (article 19) le droit de « perquisitionner ou [d']accéder d'une façon similaire à un système informatique ».

Autre sujet chaud du moment : la surveillance du trafic des utilisateurs de réseaux de communication (article 16). Un thème déjà largement abordé au niveau national et européen (notamment au sein du projet de directive européenne 380 traitant de la vie privée, du spam et des cookies), sur lequel le Conseil de l'Europe est plutôt timide. Si les 15 sont sur le point d'imposer, dans leur législation, une durée de conservation d'un an (ou plus), le traité ne parle que de 90 jours « maximum » (« conserver et protéger l'intégrité desdites données pendant une durée aussi longue que nécessaire, jusqu'à maximum 90 jours, afin de permettre aux autorités compétentes d'obtenir leur divulgation »).

De son côté, l'article 18 donne plus de détails sur les données susceptibles d'être conservées. Elles concernent le trafic (« l'origine, la destination, l'itinéraire, l'heure, la date, la taille et la durée de la communication ») ; le contenu (relevant du secret des correspondances) ; et enfin l'abonné, afin d'établir « le type de service de communication utilisé (...), l'identité, l'adresse postale ou géographique et le numéro de téléphone de l'abonné, et tout autre numéro, d'accès, les données concernant la facturation et le paiement (...) ». Autant d'éléments qui aideront le Conseil d'État à compléter la LSQ lors de la rédaction des décrets d'application.

Enfin, de multiples dispositions d'entraide judiciaire sont prévues pour que ces obligations soient également mises en oeuvre lors d'enquêtes diligentées à partir de l'étranger, notamment via de nouvelles procédures d'extradition (article 24).

Source: ZDNet (12/11/2001)

Cyberterrorisme et violence urbaine au menu du nouvel ordre policier européen

Les propositions antiterroristes avancées par la Commission européenne seront étudiées des lundi par le Parlement de Strasbourg. Certaines mesures encouragent l'amalgame entre piratage informatique et infraction terroriste...

La commission des libertés du citoyen, de la justice et des affaires intérieures du Parlement européen discutera, lundi 15 octobre, des propositions antiterroristes préconisées par la Commission européenne (CE). En cherchant à harmoniser les procédures policières dans l'Union, la CE, soutenue en ce sens par le Conseil (les quinze gouvernements), remet en cause bon nombre de droits fondamentaux. Dans un texte daté du 19 septembre, elle menace notamment de suspicion le simple usage à des fins politiques et militantes d'un système informatique, et envisage, comme en Grande-Bretagne, d'assimiler un acte d'intrusion informatique à du terrorisme... Plus généralement, ces mesures risquent également de créer l'amalgame entre la contestation politique, la simple manifestation et les « infractions terroristes ».

Unifier les notions d'infractions terroristes en Europe

Selon nos sources, le président de la commission des libertés, le député britannique Graham Watson, a déjà exprimé son mécontentement à l'exécutif de Bruxelles au sujet de la « précipitation » dont les autorités européennes ont fait preuve avec ce texte. Seule une version en anglais est disponible au public, mais nous nous sommes procurés la version française.

Ce « projet de décision-cadre du Conseil » comprend 16 articles et vise essentiellement à « rapprocher les infractions des États membres concernant les infractions terroristes ». Un autre volet de l'arsenal européen concerne le projet d'abandon de la procédure d'extradition entre chaque État membre, qui dépend de l'adoption de « mandats européens », mandats d'arrêt comme de perquisition.

En matière d'infractions, une liste exhaustive de 14 définitions est proposée. Si certaines paraissent évidentes (meurtre, dommages corporels, enlèvement, chantage, vols, détention d'armes ou d'explosifs, libération de substances toxiques, perturbation des systèmes d'énergie, puis direction ou soutien d'un groupe terroriste, etc.), d'autres sont plus ambiguës, comme la « capture illicites d'installations étatiques », « la commission d'attentats en perturbant un système d'information », ou encore la « menace de commettre l'une de ces infractions ».

Amalgame entre "hacking" et terrorisme

Dans son exposé des motifs, la Commission de Bruxelles évoque les « infractions terroristes commises par ordinateur ou par des dispositifs informatiques ». Certes « moins violentes », « elles peuvent représenter une menace aussi grave que les [autres infractions] », conclut la CE dans une formule lapidaire.

Le document cite aussi allègrement en exemple la loi « Terrorism Act of 2000 », dont s'est doté le Royaume-Uni l'an dernier. Une disposition qui fait ouvertement l'amalgame entre un acte d'intrusion informatique et du terrorisme.

En préambule la CE précise que ces infractions sont déjà réprimées dans l'Union européenne en « droit commun ». Mais ils deviennent « actes terroristes » s'ils sont commis dans l'optique de « menacer et [de] porter gravement atteinte ou à détruire les structures politiques, économiques et sociales d'un pays ». La Commission met les points sur les i : « Cela pourrait couvrir des actes de violence urbaine, par exemple ».

Des infractions de droits communs transformés en actes terroristes

Début octobre, ce raccourci a littéralement scandalisée Evelyne Sire-Marin, présidente du Syndicat de la magistrature (SM) : « Ainsi, tout acte qui vise à menacer, à porter gravement atteinte ou à détruire les structures politiques, économiques ou sociales d'un pays sera passible de deux à vingt ans de prison. Donc, les manifestations antimondialisation et les arrachages de plantes transgéniques vont devenir des actes terroristes. Ne visent-ils pas clairement à menacer les structures économiques de l'Europe ultralibérale en proposant un autre modèle de développement ? », avance-t-elle dans une tribune publiée, comme d'autres témoignages, sur un site français qui a ouvert une rubrique « Dommages collatéraux », en référence aux droits menacés par l'urgence antiterroriste. Le 12 octobre, le SM a lancé un appel à la vigilance avec des membres d'Attac, des Verts et d'autres syndicats.

L'amalgame entre un hacker, un manifestant anti-OMC et un fanatique kamikaze n'est pas à prendre à la légère. Un prévenu suspecté de tels actes n'a pas les mêmes droits (garde à vue de 72 heures sans avocat, en France par exemple), et les peines en sont considérablement aggravées. A propos du mandat d'arrêt européen, Evelyne Sire-Marin résume son inquiétude : « Ainsi, tout Français accusé par la police italienne de violences au sommet de Gênes, d'homosexualité ou d'avortement par la police irlandaise pourra être arrêté en France et transféré devant les tribunaux de ces pays [sans l'extradition et les droits qu'elle garantit à la défense]. (...) Désormais, sous couvert de la lutte contre le terrorisme, les manifestants, les étrangers et les opposants à l'ordre néolibéral n'auront qu'à bien se tenir ! »

Ce « projet de décision-cadre », qui fera donc dès lundi sa première navette à Strasbourg, avant de rejoindre le Conseil des ministres. Il faudra attendre que la commission se prononce, en proposant une résolution à l'ensemble des députés. Selon nos sources, cela repousserait la fin de la première lecture aux environs de la mi-novembre.

Source: ZDNet (12/10/2001)

L´Europe est sévère avec le cybercrime

Les délégués des ministres des 43 États membres du Conseil de l´Europe viennent d´approuver le projet de convention sur la cybercriminalité. Avec un leitmotiv : convaincre que les cybercriminels sont très très dangereux...

On les aura !

C´est à peu près ainsi que l´on peut résumer l´esprit du projet de convention sur la cybercriminalité. La 27e version du texte vient d´être approuvée par les délégués des ministres des 43 États membres du Conseil de l´Europe. On les aura... Qui ? Eh bien, ces criminels décrits comme ultra dangereux pour (au choix) : les internautes, les grandes entreprises, les pays, la démocratie, les administrations publiques... Le projet s´attaque à la fraude informatique, à l´accès illégal aux données ainsi qu´à la pornographie infantile. Il est par ailleurs prévu de le compléter par un protocole additionnel visant la criminalisation de toute diffusion de propagande raciste et xénophobe par le biais des réseaux informatiques. Ces dispositions s´imposeront à 43 pays européens, mais aussi aux États-Unis, au Canada, au Japon et à l´Afrique du Sud. Le texte sera vraisemblablement approuvé par les ministres des Affaires étrangères des pays membres le 8 novembre à Strasbourg. Il sera ouvert à la signature des États membres lors d´une cérémonie officielle qui se tiendra en novembre à Budapest. La Convention entrera en vigueur dès que cinq États, dont au moins trois du Conseil de l´Europe, l´auront ratifiée.

Marketing de la peur

Pour nous convaincre de la dangerosité des cybercriminels, le Conseil de l´Europe n´a pas lésiné sur l´arsenal marketing. Le site web regorge d´arguments. Ainsi autour du projet de texte sont disposés des articles aux titres alléchants : "Des crimes informatiques de toutes sortes", "Les cibles du cybercrime et son impact économique", "Des menaces qui touchent aussi les démocraties", "Une nouvelle conscience des dangers", "État de droit entre Big Brother et Far West". Le contenu ne peut qu´affoler la ménagère de moins de cinquante ans. On peut ainsi lire, par exemple : "Selon les spécialistes, Internet réunit pratiquement tous les ingrédients pour réaliser le crime parfait, anonymat, volatilité des preuves, absence de frontières et présence policière très limitée..." Brrrr, ça fait froid dans le dos. Pour Ronald L. Dick, le nouveau patron du FBI, cité par le Conseil, "la criminalité informatique est capable de déstabiliser l´économie entière d´un pays". Rien de moins. On pourrait timidement rétorquer que de vrais terroristes avec des vrais avions font visiblement plus de dégâts... Et que l´heure d´un cybercrime de cette envergure ou d´une cyberguerre n´est pas encore venue. Les criminels manquent heureusement d´imagination et de ressources humaines.

Texte amendé

Depuis sa première mouture, le texte a été sensiblement modifié. Notamment grâce à l´action des défenseurs des droits de l´homme, comme les 22 associations réunies sous l´appellation "Global Internet Liberty Campaign" (GILC) qui jugent ce texte liberticide. Le texte est moins stupide qu´il n´a pu l´être. Même si des dispositions très angoissantes sur la perquisition à distance, l´interception en temps réel de données ou l´interception du contenu restent en bonne place du traité, la mise à disposition ou la détention d´un outil de sécurité informatique n´est, en effet, plus un crime. S´il n´est pas utilisé pour commettre un acte répréhensible, bien entendu. Mais il faudra expliquer ça à un officier de police lors d´une éventuelle téléperquisition...

Source: Transfert (20/09/2001)

La convention européenne sur la cybercriminalité adoptée

Les délégués des ministres du Conseil de l'Europe ont approuvé le projet de convention sur la cybercriminalité, appelé à devenir le premier document international contraignant dans le domaine. Le texte sera officiellement adopté le 8 novembre prochain. Les ambassadeurs des 43 Etats membres du Conseil de l'Europe ont approuvé le projet de convention sur la cybercriminalité qui doit devenir le premier document international contraignant dans le domaine d'Internet, indique le Conseil de l'Europe.

Le texte, qui avait reçu en avril l'aval de l'assemblée parlementaire du Conseil de l'Europe, sera officiellement adopté par les ministres des Affaires étrangères des 43 pays le 8 novembre à Strasbourg. Il sera ouvert à la signature des Etats membres lors d'une cérémonie officielle qui se tiendra fin novembre à Budapest.

Les Etats-Unis, le Japon et le Canada, qui ne sont pas membres du Conseil de l'Europe mais bénéficient du statut d'observateur auprès de l'organisation, seront également invités à signer et à ratifier ce texte, à la rédaction duquel ils ont été associés.

La Convention entrera en vigueur dès que cinq Etats, dont au moins trois du Conseil de l'Europe, l'auront ratifiée.

Ce traité, qui a suscité pas moins de 27 versions en quatre années d'élaboration, vise à l'adoption d'une « politique pénale commune destinée à protéger la société contre le cybercrime, notamment par l'adoption d'une législation appropriée et la stimulation de la coopération internationale ».

Il enjoint les Etats à poursuivre pénalement un certain nombre d'infractions relatives à l'usage des réseaux, telles que les accès illégaux, la falsification de données, la diffusion de virus ou les atteintes à la propriété intellectuelle, mais également aux contenus lorsqu'il s'agit de pornographie enfantine.

Il fixe également aux fournisseurs d'accès des règles pour la conservation et le stockage des données afin de permettre un contrôle éventuel, par les autorités compétentes, des opérations et des messages informatiques susceptibles de constituer des délits.

En réponse aux critiques émanant ces derniers mois de l'Union européenne et des organismes de défense d'Internet, l'article 15 du texte a été modifié. Il prévoit désormais que les Etats signataires doivent s'assurer que leur législation nationale respecte les dispositions du Conseil de l'Europe en matière de défense de la vie privée, ainsi que celles des Nations unies et d'autres organismes internationaux de défense des droits de l'homme.

Les Etats doivent également soumettre leur législation à un contrôle judiciaire indépendant. Les rédacteurs sont toutefois restés sourds aux appels des fournisseurs d'accès à Internet qui demandaient un assouplissement de la mesure les obligeant à stocker au moins 60 jours les données pouvant servir aux enquêtes.

Source: 01 Net (19/09/2001)

Ces lois qui font de chaque ordinateur un délateur

Après quatre ans de travaux et 27 versions successives, la première convention internationale sur la cybercriminalité devrait être formellement adoptée durant la première quinzaine de septembre. Mis au point au Conseil de l'Europe avec le concours d'experts américains, canadiens et japonais, ce texte organise au niveau global la répression du «crime informatique», quelle qu'en soit la nature (piratage, pédophilie, etc.) et régularise l'usage de nouveaux outils d'investigation : «écoutes» des cybercommunications, téléperquisitions des ordinateurs...

Cette convention suffira-t-elle à transformer le «Far West électronique» (terme employé dans les communiqués du Conseil de l'Europe) en Etat de droit? Beaucoup en doutent, soulignant par exemple que la répression de la propagande raciste et xénophobe en ligne n'est traitée que dans un «protocole additionnel» auquel les Etats signataires ne seront pas obligés de souscrire. A l'inverse, le risque est grand de voir cette puissance de feu numérique se retourner contre les libertés publiques et individuelles, estiment 22 associations européennes, américaines, japonaises, australiennes et canadiennes, regroupées au sein du Global Internet Liberty Campaign (GILC). L'Assemblée parlementaire du Conseil de l'Europe a elle-même souligné le «défi» posé par le traité en matière de protection des données privées.

Si les méfaits des pirates informatiques trouvent généralement un large écho, les dérapages de la technosurveillance par la puissance publique sont souvent plus discrets. Cependant, des affaires récentes commencent à mobiliser l'opinion aux Etats-Unis (lire page 3). L'Angleterre, qui vient de se doter de la loi anticybercriminalité la plus rigide d'Europe, connaît un débat houleux autour des problèmes d'application du texte. Cette loi, la Regulation of Investigatory Powers Act (ou RIP Act) autorise en effet la police, les douanes, les services d'espionnage (MI5 et MI6) et même le Trésor public à accéder aux boîtes aux lettres électroniques, à consulter la correspondance et les carnets d'adresses. Le tout sans nécessité de mandat judiciaire. Les fournisseurs d'accès seront obligés d'installer des «bretelles» sur leurs systèmes pour centraliser la surveillance. Les autorités réclament à ces sociétés de se doter d'une infrastructure permettant d'«écouter» en permanence un internaute sur 10 000. Pour BT, qui dessert 21 millions de clients, cela signifie une capacité de monitoring simultané de 2 100 comptes!

Le RIP Act ne s'arrête pas à l'interception des e-mails, il vise toutes les formes de communication électronique: fax, forums Internet, messages écrits (SMS) échangés entre téléphones mobiles. Les associations de défense des libertés civiles, telles Liberty et Watch, ont bien réclamé que les motifs d'interception soient précisés afin de limiter les abus. Mais le gouvernement reste sourd pour le moment. «L'interception de toute donnée devrait faire l'objet d'une demande systématique de permission. Le RIP Act n'offre aucune garantie de protection des communications privées au citoyen», déplore-t-on à Liberty. Le ministère de l'Intérieur a répliqué, dans un bel effort de sophistique, que «ce n'était pas parce que le dispositif est mis en place qu'il serait utilisé à sa capacité maximale». Pas de quoi démobiliser les associations, qui invoquent la Convention européenne des droits de l'homme, désormais intégrée au droit britannique.

La conjugaison du RIP Act et d'Echelon, système de surveillance et d'écoute globale mis en place par un club des Etats anglo-saxons (Etats-Unis, Grande-Bretagne, Canada, Australie et Nouvelle-Zélande), donne une image peu flatteuse du pays en matière de libertés civiles. James Bamford, auteur américain de Body of Secrets, estime qu'Echelon, «s'il reste incontrôlé, risque de se transformer en police cybersecrète. Sans cour de justice ni droit à la défense». Le ministère de l'Intérieur britannique clame pour sa part que les écoutes électroniques sont «une question de confiance» entre le citoyen et l'Etat.

Rien ne dit que la convention internationale sur la cybercriminalité aboutira à une généralisation du cas britannique. Mais ce dernier constitue une opportune mise en garde. La convention, une fois adoptée, entrera en vigueur dès que cinq Etats (dont au moins trois membres du Conseil de l'Europe) l'auront ratifiée.

Source: Liberation (25-26/08/2001)

Cyber-criminalité : pourquoi tant de haine ?

Les pays européens se dotent, les uns après les autres, de textes répressifs qui pourraient bien brider l´avenir du Net. Pire, leurs initiateurs sont souvent de bonne foi.

On croirait un concours international : projet de loi sur la société de l´information (PLSI) en France, Regulation of investigatory powers act (RIP act) en Grande-Bretagne, LSI en Espagne, Traité du Conseil de l´Europe sur la cyber-criminalité, Convention de La Haye... Autant de textes qui, sous couvert de favoriser le commerce électronique, tentent de brider l´usage pourtant légitime qui peut être fait du Réseau. Ces projets ou textes sont particulièrement répressifs et traduisent principalement une peur de ce que l´expression publique peut entraîner. À chaque fois, l´identification, le fichage, la surveillance des internautes est au centre du dispositif réglementaire. Pourquoi ? Pour mieux identifier toute personne qui prendrait position contre une entreprise ? Comme un journaliste auteur d´un site parodique de Danone lourdement condamné ? Tout se passe comme si les États souhaitaient donner les moyens aux entreprises de réprimer toute information critique publiée sur un Réseau non maîtrisable et dont elles commencent à saisir l´effet boule de neige...

Il ne s´agit pas de soutenir l´idée que tout peut être dit au nom de la liberté d´expression. Mais plutôt de rappeler que la prise de position responsable, via Internet ou tout autre médium, ne doit pas être criminalisée. Qui s´offusque de ce qui est publié dans les journaux satiriques? Quelle entreprise demande par mail à ce que soient brûlés tous les anciens numéros d´un journal sous prétexte qu´un article a déplu à la direction de la communication ? C´est pourtant souvent le cas pour les webzines.

Tous pirates !

Pour faire bonne mesure, à côté des vilains utilisateurs de fichiers MP3, les auteurs de ces textes n´hésitent pas à criminaliser tous les script-kiddies du monde. À trop vouloir emprisonner (5 ans dans le PLSI) des enfants qui lancent des attaques de type déni de service ou qui apposent leur tag sur une page d´accueil, il y a un léger risque que les responsables politiques ne semblent pas prendre en considération. Celui de taper sur les lampistes. Car les vrais pirates, ceux qui peuvent avoir une influence sensible sur l´économie ou sur un groupe d´entreprises, ceux-là ne se font pas attraper. Ou moins souvent, tout du moins.

Par ailleurs, l´élaboration de ces textes se fait dans la désorganisation la plus totale en dépit des dénégations des autorités. On trouve ainsi dans le PLSI un article 35 qui précise que la mise à disposition d´un programme permettant de réaliser un délit informatique doit être sanctionnée. Ce dérapage intellectuel avait été modifié dans le projet de Convention du Conseil de l´Europe. En effet, il sera sans doute difficile de mettre Bill Gates en prison sous prétexte qu´il fournit des fenêtres DOS capables de lancer des pings par milliers. Ou de lui reprocher la mise à disposition de chevaux de Troie (pardon, d´outils d´administration à distance), comme c´est le cas de la plupart des sociétés commercialisant des logiciels de sécurité informatique. Ne parlons même pas des protocoles du Réseau qui permettent, en toute légalité, de " faire parler " une machine connectée à Internet à un point qui ferait pâlir n´importe quel auteur de ces textes. C´est un problème qui renvoie à la manière dont le réseau a été construit. Rien à voir avec les pirates. Le problème lié à cet article 35 est par ailleurs terrible pour les auteurs de logiciels libres de sécurité informatique. Car ils ne bénéficieront même pas de la présomption d´innocence accordée - à on ne sait quel titre - aux entreprises du secteur... Et il ne restera plus aux administrateurs et aux responsables sécurité, après l´adoption du PLSI, qu´à tester leurs réseaux avec des incantations chamaniques.

L´obscurité vaut-elle mieux que la lumière?

Il est par ailleurs probable que ces textes aient un effet contraire au but recherché. À force de rendre mille choses illégales, ceux qui veulent prendre la parole (même de manière responsable) ne le feront plus en public. En d´autres termes, le Web deviendra une vitrine commerciale à peu près aseptisée tandis que de petites communautés se créeront autour de thèmes qui ne plaisent pas forcément aux autorités ou aux entreprises initiatrices de ces textes. La sécurité informatique ne sera plus un sujet partagé et discuté ouvertement. Quelques " élus " se partageront les failles dans la plus grande obscurité. Pourtant, il n´est pas nécessaire d´être commissaire divisionnaire pour comprendre qu´il est plus facile, pour un représentant de l´ordre, de surveiller un groupuscule ayant pignon sur rue, plutôt qu´un groupe terroriste passé dans la clandestinité... Non ?

Source: Transfert (25/06/2001)

La cybercriminalité a son traité

Le Conseil de l'Europe a publié la version finale de son projet de convention internationale sur la cybercriminalité, qui prévoit un renforcement des mesures de protection des données privées en ligne.

Ce projet de convention deviendra le premier document international amendé afin de garantir le respect de la vie privée lors des enquêtes policières sur des crimes tels que le piratage informatique, la diffusion de virus ou l'utilisation frauduleuse de numéros de cartes bancaires. Le projet de convention, dont c'est la 27e version, sera soumis en septembre au conseil des ministres du Conseil de l'Europe, et sera ensuite ratifié par les différents états au cours des deux ans à venir. Cette dernière version inclut des modifications effectuées sur l'article 15, qui stipulent que les états signataires doivent s'assurer que leur législation nationale respecte les dispositions du Conseil de l'Europe en matière de défense de la vie privée, ainsi que celles des Nations Unies et d'autres organismes internationaux de défense des droits de l'homme. Les Etats devront aussi soumettre leurs législations à un contrôle judiciaire indépendant… Les auteurs de la proposition sont toutefois restés sourds aux requêtes des fournisseurs d'accès (FAI) qui demandaient une diminution du temps de stockage obligatoire des données pouvant servir aux enquêtes. Celui-ci est définitivement fixé à 60 jours. Cette version finale de la convention accorde toujours de larges pouvoirs aux autorités policières, ce qui est loin de plaire à tout le monde. Peu importe : le but principal de la convention est atteint. Elle fixe pour la première fois la procédure selon laquelle les polices de différents pays coopéreront pour rassembler des données sur un pirate informatique, obtenir son arrestation et même son extradition. Sans oublier les mesures de coopération internationales pour la lutte contre la pédophilie ou les violations de droits d'auteurs… Le texte est enfin prêt, il ne reste plus qu'à le mettre en pratique !

Source: Les News.Net (28/05/2001)

Cybercrime : 1, vie privée : 0

Le projet de Convention sur la cybercriminalité, dont la 27e version a été récemment ratifiée par le Conseil de l´Europe, attire, une fois de plus, les foudres des ONG de défense des droits de l´homme

Le GILC (Global Internet Liberty Campaign), qui regroupe plusieurs dizaines d´associations et organismes internationaux de défense des droits de l´homme numériques, repart en guerre contre le projet de Convention sur la cybercriminalité du Conseil de l´Europe. Dans un contre-rapport, le GILC estime qu´"en l´absence de réelle considération des libertés civiles, de la vie privée et d´un processus équitable, la Convention continuera de menacer les droits de l´homme les plus fondamentaux". En résumé, la Convention donnerait plein pouvoirs aux forces de l´ordre pour installer des outils de type Carnivore et criminaliserait l´utilisation de la cryptographie. De plus, elle permettrait à un pays tiers de faire surveiller quelqu´un situé à l´étranger et ce, même si son propre pays ne reconnaît pas le genre de crime pour lequel il est poursuivi. La police française pourrait ainsi se retrouver à placer sous cybersurveillance un dissident pourchassé dans son pays et ce, même si son statut de réfugié politique est censé le protéger au regard de la loi française...

Un lifting

Le GILC reconnaît que l´article 15 du traité a été "modestement amélioré" pour faire référence aux divers traités et conventions internationales régissant la protection de la vie privée. Mais "les protections proposées sont insuffisantes en regard des techniques invasives parsemant le reste de la Convention". Ces modifications, intervenues dans la... 27ème version du projet, relèverait bien plus d´un lifting cosmétique que d´une réelle prise de conscience des droits et libertés des internautes. Le GILC regrette ainsi que le Conseil n´ait pas saisi l´opportunité pour imposer aux pays faisant peu de cas de la protection de la vie privée des standards a minima, alors même qu´il les invite à développer la surveillance électronique de leurs citoyens.

À qui profite le crime ?

Le GILC s´étonne également qu´au titre de l´article 15.3 du projet de Convention, le financement de la surveillance des gens incombe aux fournisseurs d´accès internet et autres opérateurs privés, et non aux forces de police. Selon les associations, l´absence de facturation des écoutes électroniques ne ferait qu´encourager, sinon démultiplier, la cybersurveillance domestique, au lieu de ne la réserver que pour des cas exceptionnels. Dans la même veine, bien qu´il ne défende pas les mêmes valeurs, Hans Kraaijenbrink, président de l´European Telecommunications Network Operators Association (ETNO), qui fédère 45 des plus gros opérateurs européens, estime, lui aussi, que le projet de Convention va à l´encontre de la vie privée des clients, et que les FAI n´ont pas à servir d´auxiliaires de police, qui plus est bénévoles. Selon la lettre spécialisée du Monde du Renseignement, l´ETNO mènerait en ce moment un intense travail de lobbying à l´échelon européen pour imputer aux états le financement de la cybersurveillance. De plus, rien n´est réellement prévu pour protéger la vie privée des clients des prestataires techniques qui, au titre de l´article 20, sont tenus de collaborer avec les forces de l´ordre. Le GILC note aussi que les pouvoirs dévolus aux policiers ressembleraient fort à ceux du FBI, et de son sinistre Carnivore, sans qu´aucune forme de contrôle démocratique ou indépendant de leurs cyber-écoutes ne soit réellement prévue.

La vie privée criminalisée

Enfin, selon le GILC rappelle que les nombreux débats autour des notions de surveillance électronique et de vie privée numérique sont souvent nés de la question de la liberté d´utilisation de la crypto. Technologie qui, à l´exception de quelques pays "autoritaires", comme la Chine ou la Russie, a finalement été libéralisée. Sauf que le projet de Convention entend faire passer des lois dans tous les pays signataires afin que les citoyens soient obligés de déchiffrer les messages codés, ou de remettre leurs clefs de cryptage, sur ordre des autorités. Seuls Singapour, la Malaisie, l´Inde et l´Angleterre ont, à ce jour, voté de telles lois, en attendant la France, qui a prévu de telles dispositions dans son projet de Loi sur la société de l´information. L´auto-incrimination, principe proscrit depuis... le droit romain, est pourtant contraire à la Convention européenne des Droits de l´homme. C´est dire le genre d´avancées juridiques que nous promet la Convention...

Source: Transfert (12/06/2001)

Traité sur la cybercriminalité : l'Europe donne son feu vert

Perçu par de nombreuses associations comme un danger pour la liberté de l'Internet, le texte du traité international sur la cybercriminalité est enfin figé. Il a nécessité quatre ans de débats au sein du Conseil de l'Europe. L'assemblée parlementaire du Conseil de l'Europe a donné son feu vert au projet de convention sur la cybercriminalité, qui doit devenir le premier document international contraignant dans ce domaine.

Ce traité, qui a déjà connu pas moins de vingt-cinq versions depuis 1997, doit harmoniser la lutte contre la délinquance sur les réseaux informatiques et notamment sur le premier d'entre eux, Internet. Il pourrait être adopté par les ministres des quarante-trois Etats membres du Conseil de l'Europe, l'automne prochain, et être ouvert à la signature dans la foulée.

Les Etats-Unis, le Japon et le Canada, qui ne sont pas membres du Conseil de l'Europe mais qui bénéficient du statut d'observateur auprès de l'organisation, seront également invités à signer et à ratifier ce texte à la rédaction duquel ils ont été associés. « La réussite de ce projet dépendra en grande partie de [leur] adhésion », souligne le socialiste estonien Ivar Tallo, rapporteur du projet d'avis de l'assemblée parlementaire au nom de la commission des questions juridiques et des droits de l'Homme.

Par trente-cinq voix contre quatre et deux abstentions, l'assemblée a adopté un avis qui reconnaît que « la lutte contre la criminalité cybernétique constitue un enjeu de toute première importance au regard du développement des nouvelles technologies que cette forme de criminalité peut entraver ». Le projet de traité enjoint aux Etats d'ériger en infractions pénales un certain nombre de pratiques relatives à l'usage des réseaux, telles que les accès illégaux, la falsification de données, la diffusion de virus ou les atteintes à la propriété intellectuelle. Les contenus sont aussi visés surtout lorsqu'il s'agit de pornographie enfantine. Il fixe également des règles pour la conservation et le stockage des données afin de permettre un contrôle éventuel, par les autorités compétentes, des opérations et des messages informatiques susceptibles de constituer des délits.

Un protocole additionnel pour la propagande raciste

Certaines associations d'internautes se sont inquiétées du contenu d'un traité perçu comme potentiellement attentatoire à la liberté de communication. L'assemblée parlementaire du Conseil de l'Europe s'est efforcée par le vote de quelques amendements, de renforcer la protection des libertés individuelles à l'intérieur du texte. Elle demande ainsi que la conservation des données qui peuvent être ordonnées par les autorités judiciaires soit limitée à « soixante jours au minimum et un an au maximum ». Elle propose également de considérer comme interceptions illégales celles qui concerneraient les communications à caractère privé ou confidentiel des employés au sein de leur entreprise.

C'est toutefois sur la question des contenus illicites que les débats ont été les plus vifs entre les parlementaires, certains, notamment français, s'étonnant qu'ils ne prennent en compte que la pornographie enfantine. Le rapporteur du texte s'est toutefois opposé au vote d'un amendement demandant l'inclusion d'un nouvel article sur la discrimination raciale en estimant qu'un tel ajout empêcherait « une ratification rapide » du traité.

A la place, l'avis parlementaire demande aux Etats d'engager « sur le champ » la rédaction d'un protocole additionnel au traité incriminant de nouvelles infractions dont la diffusion de propagande raciste, l'utilisation d'Internet aux fins de trafic d'êtres humains ou l'hébergement abusif de communications haineuses.

Source: 01net (25/04/2001)

Le cybercrime ne passe pas l'oral

L"'audition sur la cyber-criminalité", à propos du projet de Convention du Conseil de l'Europe qui a eu lieu mardi 6 mars à Paris, fut une scène de théâtre non seulement pour ceux qui cherchent à faire peur, plutôt que de dire la vérité, mais aussi pour ceux qui contestent vivement ce recul patent en matière de protection de la vie privée.

Depuis 1997, le Conseil de l'Europe travaille à la rédaction d'un projet de Convention sur la cyber-criminalité. Les 43 pays membres (plus les États-Unis, le Canada, le Japon et l'Afrique du Sud) en sont à la 25e rédaction, c'est dire l'âpreté des négociations et l'importance des enjeux. Présenté comme une "véritable première mondiale", il devrait être soumis à la session de printemps de l'Assemblée parlementaire du Conseil de l'Europe (23-27 avril) et finalisé d'ici à la fin de l'année 2001. Selon son rapporteur, "le texte est fortement contesté par certaines associations qui craignent notamment une restriction de la liberté d'expression. C'est pourquoi une audition paraissait indispensable à la préparation de notre avis sur la Convention". Cette réunion s’est tenue en début de semaine à Paris dans les locaux de l’Assemblée nationale. Bizarrement, elle n’a accueilli aucune association d'utilisateurs, de défense des droits de l'homme ou encore de la liberté d'expression. Ainsi, aucune des nombreuses organisations signataires de l'appel de la Global Internet Liberty Campaign n'était présente. Un appel qui dénonçait pourtant, dans le projet de Convention, un certain nombre d'atteintes fondamentales aux droits et libertés des internautes.

De la désinformation…

En revanche, les participants à la réunion eurent droit à une intervention de Bruce Mc Connell qui, après avoir travaillé 15 ans pour le gouvernement des États-Unis, où il a "beaucoup participé à la lutte contre la cryptographie", est aujourd'hui à la tête d'un cabinet de consulting privé et l’auteur d'une enquête intitulée Crime cybernétique… et châtiment ? sur la situation de l'Internet et du droit dans 52 pays. On apprend dans ce document, que Love Bug a causé "des milliards de dollars de dégâts". Dans un article intitulé Le virus de la désinformation, nos confrères de Libération avaient démonté l'entourloupe de cette estimation qui avait fait le tour des rédactions, à la grande joie des partisans de la répression (et des éditeurs d'antivirus). On retiendra également l'envolée lyrique de Béatrice Métraux, de l'Institut suisse de droit comparé. Venue parler de la "cyberxénophobie", elle a entamé son intervention en révélant que "la société allemande Only Solutions a recensé 50 000 croix gammées sur le Web planétaire". On pourrait objecter que n'importe quel site d'histoire consacré à la seconde guerre mondiale arbore une svastika...

...à l'intoxication

Dans le même genre, le briefing presse donné aux journalistes avance que "le piratage de logiciels aurait entraîné la perte de 109 000 emplois pour les seuls États-Unis". Le chiffre émane d'un rapport de la Business Software Alliance, dont les méthodes, et les statistiques, sont sujettes à caution depuis des années. Le texte distribué à la presse explique aussi que "la criminalité informatique peut perturber le trafic aérien, entraîner des coupures de courant, et porter ainsi atteinte à des infrastructures vitales pour un pays", témoignant ainsi de la propension du Conseil de l'Europe à instiller la peur pour faire passer ses arguments. L’audition de mardi était une initiative de la Commission des questions juridiques et des droits de l'homme de l’Assemblée parlementaire du Conseil de l’Europe. On est pourtant plus proche de l’invitation à la répression que de la défense des droits de l’homme...

Au mépris de la vie privée

Néanmoins, des voix discordantes ont réussi à faire passer quelques critiques. Ainsi, Philippe Quéau, directeur de la division Société de l'information de l'UNESCO, intervenant sur le copyright et la propriété intellectuelle, s'est-il ému de la criminalisation de la communauté des internautes toute entière au travers de l'amalgame copie=piratage. Il a pris l'exemple des poursuites judiciaires engagées contre un enfant dont le crime était d'avoir fait un site web en hommage à Harry Potter, dont les "droits" sont "réservés". Fred Eisner, représentant de l'Association néerlandaise des providers, a quant à lui dénoncé le "manque d'équilibre" de la Convention, qui requiert des prestataires de services l'installation d'outils de surveillance trop coûteux. Les plus gros devront s'équiper de cinq à dix appareils coûtant chacun 500 000 euros, sans compter les salaires de ceux qui devront les exploiter. Ces coûts revenant aux prestataires (et donc, au final, aux clients), pour le coup transformés en auxiliaires de police. Pour Stefano Rodota, président du groupe de travail sur la protection des données personnelles de la Commission européenne, "toutes les enquêtes dans tous les pays le prouvent : la première préoccupation des citoyens est la protection de la vie privée". Le Conseil devrait ainsi "renforcer dans la convention tous les points concernant la protection des données, qui est presque absente du texte".

Source: Transfert (08/03/2001)

L'Europe et la cybercriminalité

Alors que dans plusieurs pays européens, l'opinion et les gouvernements sont sensibilisés aux risques considérables de la criminalité sur Internet, des initiatives sont déjà prises depuis quelques années pour mettre en place des réglementations à l'échelon international. C'est ainsi que le Conseil de l'Europe a présenté en 2000 le fruit de travaux menés depuis mai 1997, dans un projet de convention internationale sur la cybercriminalité. Ce projet, issu de plusieurs moutures, a provoqué une impressionnante - et même violente, selon le Conseil de l'Europe - levée de boucliers de la part de nombreuses associations de défense des droits des internautes.

Alors que le texte proposé avait pour objectif d'harmoniser les textes permettant la lutte contre le piratage, la fraude financière, l'usage des virus informatiques ou la pédophilie sur Internet, ces associations ont immédiatement demandé son retrait, en invoquant son caractère attentatoire à la libre circulation de l'information et des idées, et le risque de menaces pour le respect de la vie privée. Ces associations ont notamment dénoncé le fait qu'« imposer la responsabilité des intermédiaires techniques sur les contenus d'un tiers fait peser une charge déraisonnable sur les fournisseurs de nouveaux services Internet et encouragera un contrôle injustifié des communications privées ».

La nouvelle version de ce projet de convention, disponible sur le site du Conseil de l'Europe, ne semble pas avoir connu un meilleur succès, puisqu'une association de défense des entreprises de l'industrie informatique américaine (ITAA) s'est même ralliée aux critiques des associations d'internautes.

De son côté, l'Union européenne, qui a fait des nouvelles technologies de l'information l'une de ses priorités, vient de révéler ces jours derniers ses projets en matière de lutte contre la cybercriminalité. Au terme d'une communication intitulée « Créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité », la Commission dresse un état des lieux et expose, dans les grandes lignes, ses propositions législatives et « autres que législatives ». Au nombre des premières, des textes qui viseront à rapprocher les législations des Etats membres dans le domaine des infractions relatives à la pornographie enfantine et, plus généralement, un rapprochement des systèmes de droit pénal pour la criminalité utilisant des hautes technologies (piratage, attaques par déni de service, racisme...).

La Commission annonce également la création d'un forum européen regroupant les autorités chargées de l'application des lois, des fournisseurs de services, des opérateurs de réseaux, des associations de consommateurs et des autorités chargées de la protection des données.Mais aussi la poursuite d'initiatives et de plans d'action, comme e-Europe, en faveur de la sécurité et de la confiance. Cette communication, disponible sur le site de la Commission, peut donner lieu par « toutes les parties intéressées » à des observations jusqu'au 23 mars 2001. Une audition publique se tiendra le 7 mars 2001.

Source: Le Monde (14/02/2001)

Un cadre juridique international pour la cybercriminalité

Lors des Rencontres de la société en réseau, qui se sont déroulées à Autrans il y a quelques jours, Jacques Chirac a milité pour l'instauration d' " un véritable Etat de droit international ", seul moyen de lutter efficacement contre la cybercriminalité. Partant du constat que la diversité des législations permettaient aux cybercriminels de rester impunis, le Chef de l'Etat propose " un cadre juridique universel à la mesure du cadre mondial de l'internet ", seul moyen d'unifier les législations nationales, et d'assurer une véritable sécurité du réseau.

Un exemple fort médiatisé permet de comprendre la nécessité d'une telle action. Il s'agit bien entendu de Yahoo ! et des objets nazis mis en vente aux enchères sur la version américaine du site. Aux Etats-Unis, c'est la liberté d'expression qui prime. En Europe, une telle vente serait bien sûr interdite mais aussi pénalement sanctionnable. Un choc des cultures que le développement de la toile rend problématique. En effet, tout citoyen français peut accéder au site américain. Pratiquement, la commémoration du régime nazi, véhiculée par de telles ventes, a donc lieu sur le territoire français, par le biais de n'importe quel ordinateur équipé.

Dès lors, pour obtenir ce cadre juridique international, somme toute nécessaire au respect de la loi française sur le sol français ( !), le problème est avant tout de convaincre les anglo-saxons. Et l'idée, après avoir connu des débuts chaotiques, recueille maintenant un consensus de plus en plus large. C'est le cas en Europe (le Président de la République a ainsi rappelé que " le Conseil de l'Europe prépare une convention qui sera pionnière ") mais aussi à l'échelon mondial, puisque Yahho ! a décidé d'autocensurer de telles ventes. Le prochain rendez-vous déterminant sera sans doute la réunion des gouvernements du G8 à Tokyo en mai 2001. Une affaire à suivre donc.

Source: Village de la Justice (23/01/2001)

Cybercriminalité : Chirac demande un cadre juridique international

Jacques Chirac a prôné l'instauration d'"un véritable état de droit international, un cadre juridique universel à la mesure du cadre mondial de l'internet", pour "lutter contre la cybercriminalité et assurer la sécurité des réseaux". Dans un message adressé aux "Rencontres de la société en réseau" qui se déroulent à Autrans, le président français a estimé que "l'internet met aujourd'hui notre droit et nos institutions à l'épreuve".

"Au plan international, nous devons surmonter l'obstacle qui provient de la différence entre les législations. Les criminels en jouent. Ils en exploitent les failles, a-t-il souligné. Nous aurons rapidement besoin d'un véritable état de droit international, un cadre juridique universel à la mesure du cadre mondial de l'internet. Un cadre qui dans le respect des souverainetés des Etats, définisse les infractions et fixe les procédures pour les prévenir et les réprimer".

M. Chirac a notamment indiqué que "le Conseil de l'Europe prépare une convention qui sera pionnière". Elle permettra à chacun de disposer "d'une loi-cadre internationale sur laquelle fonder ses actions contre les criminels où qu'ils soient, qui prennent internet pour vecteur ou pour cible".

Se félicitant par ailleurs de la récente décision de Yahoo! de cesser d'offrir à la vente des objets commémoratifs du régime nazi, le chef de l'Etat français a ajouté que "cette décision met en évidence l'émergence d'une éthique de la société en réseau, qui par-delà les lacunes actuelles du droit, impose une loi commune à l'internet."

Source: Le Journal du Net (12/01/2001)

Cyber criminalité : faites ce que je dis, pas ce que je fais

Cette semaine, un rapport du cabinet américain d'audit McConnell International tente de faire le point sur la lutte contre la cyber criminalité à travers le monde. Selon ce rapport, le principal frein à l'avènement d'un véritable commerce global est l'absence d'une législation commune réprimant les crimes et délits liés à l'informatique. Les 52 pays audités sont ainsi classés en trois catégories:

- les cancres (33 pays parmi lesquels la France, l'Italie et la Norvège) qui n'ont pas mis leur législation à jour et "ne peuvent pas poursuivre l'auteur d'un crime informatique" ;

- les moyens-mais-peut-mieux-faire (10 pays dont le Canada et l'Espagne) qui n'ont pas achevé cette mise à jour ;

- les bons élèves (8 pays dont les Etats-Unis, l'Australie et l'Inde) qui ont substantiellement mis à jour" leur législation.

Les Philippines reçoivent le prix d'excellence car elles seraient le seul pays totalement paré au niveau juridique contre les cyber criminels (sans doute suite à l'affaire du virus I Love You, originaire de l'archipel).

Enfin, le rapport cite en exemple le projet de traité du Conseil de l'Europe comme une "approche modèle" du problème.

Cette conclusion paraît d'autant plus étrange que ce projet a fait l'objet de nombreuses critiques de la part des associations de défense des droits de l'homme mais aussi plus récemment des chambres de commerce américaines. Ces dernière craignent que le dispositif policier mis en place soit un "frein coûteux et inutile" au développement du commerce électronique. Cette crainte n'est cependant pas partagée par l'administration américaine qui a inspiré ce projet et qui le soutient toujours mordicus.

Source: Internet Actu (21/12/2000)

La cybercriminalité délie les langues

En dépit des révisions multiples, le projet de traité sur la cybercriminalité du Conseil de l’Europe continue de susciter des réactions enflammées

Rien à faire. Plus les membres du Conseil de l’Europe révisent leur projet de traité sur la cybercriminalité, plus les associations de défense des libertés font preuve d’un intérêt critique pour ce texte. Et réagissent. On vient d’atteindre la version 24.2. Les différents acteurs qui discutent du texte ont, semble-t-il, fait de grosses concessions. C’est par exemple le cas des logiciels de hacking qui ne sont plus proscrits. Leur utilisation pour un acte délictueux est désormais très clairement réprimée. De plus, les auteurs du texte démontrent, comme s’il le fallait, leur difficulté à mettre tous les pays d’accord en précisant à de très nombreuses reprises que ceux-ci pourront plus ou moins déroger aux dispositions du texte si celles-ci ne leur conviennent pas. Reste, tout de même, quelques points flous qui risquent bien de poser problème en termes de libertés individuelles. Le projet étant clairement d’inspiration policière – dans le mauvais sens du terme – et politique – dans le mauvais sens du terme, également –, il est visiblement impossible pour les auteurs de supprimer des points comme la surveillance des contenus, la téléperquisition des ordinateurs ou encore l’interdiction du spoofing (pourtant essentiel dans des pays à régimes dictatoriaux) qui serait puni pénalement.

Opposants inattendus

La plupart des opposants naturels au projet continuent de vilipender l’action du Conseil de l’Europe. C’est le cas du GILC (Global Internet Liberty Campaign) et de son représentant français IRIS (Imaginons un réseau solidaire). Ils réclament que "des limites aux pouvoirs accordés par ce projet soient formulées explicitement, comme l’exigence d’un examen de constitutionnalité, la prémunition contre l’auto-incrimination, la finalité de la collecte des données, la proportionnalité des moyens utilisés en toute occasion et le respect des principes de protection des données". De son côté, l’association Cyber-Rights & Cyber Liberties, rappelle utilement que "le désir impétueux de réprimer le crime ne doit pas, par exemple, exposer les citoyens honnêtes au risque de voir leurs clefs cryptographiques être accessibles à l’État". Dans la liste des réactions au projet de traité, il y a quelques demi surprises… Ainsi, la fédération américaine des Chambres de commerce a demandé au Congrès de s’opposer fermement au texte du Conseil de l’Europe. Pas vraiment dans un souci de protection de la vie privée des citoyens, mais plutôt afin d’éviter que ce texte ne soit un "frein coûteux et non nécessaire" au commerce électronique… Les Pays-Bas, eux, se montrent enthousiastes. Ce pays annonce qu’il va adapter ses lois pour être prêt à ratifier le traité avant même que la préparation de ce dernier ne soit achevée…

De son côté, la Commission européenne dévoilera jeudi 21 décembre une liste de recommandations à destination des États membres, afin qu’ils luttent contre le crime via Internet. Un sujet décidément à la mode. Gardons tout de même à l’esprit que les vrais crimes sont commis dans le monde réel. Internet, ou toute autre technologie, n’est qu’un vecteur, un moyen comme une voiture ou une arme pour des braqueurs qui s’attaquent à une banque…

Source: Transfert (15/12/2000)

Cyber criminalité : le traité qui fâche

Le traité élaboré par le Conseil de l'Europe pour lutter contre la cyber criminalité n'en finit pas de faire des remous. Ce texte a déjà été remanié plus d'une vingtaine de fois mais il continue de provoquer la colère des associations de défense de la vie privée. Pourtant, le Conseil de l'Europe avait promis, en novembre, de tenir compte des nombreuses remarques formulées par ces associations mais aussi par de nombreux experts en sécurité informatique. D'après eux, la criminalisation induite par le texte était trop large et les garanties pour les droits de l'homme inexistantes.

Cela n'empêchera vraisemblablement pas le comité d'experts mandaté par l'assemblée d'adopter le "nouveau" projet dès cette semaine. D'après Iris (Imaginons un Réseau Internet Solidaire), qui relaie en France cette campagne de protestation, la nouvelle version n'a pas pris acte des critiques. Iris appelle donc la France à clarifier sa position avant toute ratification et surtout avant l'adoption du texte par l'exécutif du Conseil de l'Europe courant 2001.

Source: Internet Actu (14/12/2000)

Les USA approuvent

Les Etats-Unis ont approuvé l'essentiel des propositions européennes visant à lutter contre la cyber criminalité, malgrès la levée de boucliers que le texte a provoqué parmi les associations de défense des droits de l'Homme et des libertés civiles. Le département américain de la Justice a estimé que le projet de convention internationale du Conseil de l'Europe était "cohérent avec les lois et les procédures américaines", dans un message publié sur son site web consacré à la criminalité en ligne. Cependant, les autorités américaines ne décideront si elles se joignent à ce pacte qu'une fois sa version définitive rédigée, probablement à la fin du mois de décembre, et ouverte à signature, probablement à la fin de l'année prochaine, précise le ministère de la Justice. Cette convention vise à harmoniser les lois censées combattre le piratage, la fraude financière, l'usage des virus et la pédophilie sur internet. Elle propose en outre des méthodes communes pour établir des preuves numériques et repérer les criminels. Le Conseil de l'Europe y travaille depuis mai 1997.

Source: ZaTaZ (11/12/2000)

Lutte contre le cyber-crime et la corruption: l'Europe fourbit ses armes

Le Conseil de l'Europe fourbit ses armes pour lutter contre la cyber-criminalité et la corruption, en mettant notamment la dernière main à un projet de convention qui devrait être adopté par ses experts à la fin de cette semaine à Strasbourg.

L'aspect novateur de la convention est de donner aux autorités compétentes la possibilité de perquisitionner les systèmes et stockages informatiques et de saisir, copier et supprimer des données litigieuses. "Le virus informatique «ILOVEYOU» a démontré, il y a quelques mois, l'importance d'avoir des normes communes pour lutter contre le cyber-terrorisme", a souligné Guy de Vel, directeur général des Affaires juridiques au Conseil de l'Europe, lors d'une conférence de presse.

Le projet de convention sur la cyber-criminalité est le premier traité international à aborder sous l'angle du droit pénal et des procédures criminelles les différentes formes de délits et crimes visant les systèmes, réseaux et données informatiques. Les Etats-Unis, le Canada, le Japon et l'Afrique du Sud, qui ne sont pas membres du Conseil de l'Europe, ont participé étroitement à l'élaboration de ce traité et ils pourront le ratifier, lorsqu'il aura été définitivement adopté par l'exécutif de l'organisation paneuropéenne, d'ici à la fin de 2001.

Le projet prévoit notamment de sanctionner l'accès illégal ou l'interception illégale de données, la détérioration ou la suppression illégales de données, ou l'utilisation illégale de mots de passe ou de codes d'accès. La fraude et la falsification informatiques, ainsi que toutes les infractions se rapportant à la pornographie enfantine, ou à la propriété intellectuelle seront aussi sanctionnées, selon le texte.

Parallèlement, le Conseil de l'Europe a lancé une vaste offensive contre la corruption dans le cadre du GRECO (Groupe d'Etats contre la Corruption), un accord ouvert (sans obligation d'adhésion) aux 41 membres de l'organisation paneuropéenne, mais aussi à des pays tiers. 27 Etats au total en sont partie, et notamment les Etats-Unis et la Bosnie-Herzégovine (non membres). En deux ans d'existence, le GRECO a déjà produit tout un arsenal de traités internationaux: conventions pénale et civile contre la corruption, code de déontologie des fonctionnaires...

Selon le président du GRECO, Michel Gauthier, une dizaine de pays volontaires ont déjà reçu la visite d'experts européens. Les premiers rapports d'évaluation de quatre pays - Belgique, Slovénie, Slovaquie, Finlande - seront adoptés vendredi. Mais seuls des résumés seront publiés, les rapports restant confidentiels. La France, également volontaire pour une évaluation, sera visitée en janvier. Les pays suivants sur la liste sont la Géorgie, le Luxembourg, l'Espagne et la Suède, a précisé M. Gauthier.

Les rapports contiennent des recommandations aux gouvernements concernés et précisent des délais pour s'y conformer.

Source: Check-Point OnLine (13/12/2000)

Cybercriminalité : les USA copient l'Europe

Le nouveau traité de lutte contre le cybercrime, qui a été développé par un comité d'experts du Conseil de l'Europe et qui sera présenté à l'assemblée du Conseil au début de l'année prochaine, sera probablement adopté par les Etats-Unis.

Cette convention vise à harmoniser les lois censées combattre le piratage, la fraude financière, l'usage des virus et la pédophilie sur internet. Elle propose en outre des méthodes communes pour établir des preuves numériques et repérer les criminels. Le Conseil de l'Europe y travaille depuis mai 1997, et elle devrait être ratifiée avant la fin 2001 par les représentants des 41 états membres du Conseil. Les Etats-Unis devront alors décider s'ils souhaitent rejoindre ces états et adopter les mêmes stratégies de lutte contre le crime en ligne, ou s'en tenir à la législation américaine. Déjà, les différentes associations américaines de protection de la vie privée s'insurgent : le point concernant l'obligation des FAI de stocker les informations concernant leurs clients, entre autres, a suscité une vive réaction. Entre-temps, les ministres européens de la Justice ont approuvé le 30 novembre la mise à jour d'un texte baptisé Régulation Bruxelles 1, dont l'article 15 fait frémir les états-majors des sites américains. Cette disposition place toute entreprise de commerce électronique sous la juridiction de chacun des 15 membres de l'UE : le texte autorise les consommateurs européens à poursuivre devant un tribunal local un site Internet vendant des biens ou des services depuis un pays étranger. La loi devrait entrer en vigueur au mois de mars. Les américains suivront-ils le mouvement ?

Source: Les News.net (08/12/2000)

Cybercriminalité : le traité de la discorde

Le projet de traité du Conseil de l'Europe sur la cyber criminalité refait parler de lui. Malgré les promesses de revoir sérieusement sa copie, le Conseil de l'Europe ne semble pas avoir tenu compte des critiques formulées par les différentes associations de défense des libertés individuelles. Le comble est que cette 24e version parvient même à attirer les foudres des lobbies de l'industrie américaine. L'ITAA (Information Technology Association of America), une association de défense des poids lourds de l'industrie informatique américaine, explique dans un communiqué que les procédures envisagées sont trop lourdes pour les fournisseurs d'accès, obligés de stocker un volume important d'informations sur leurs abonnés. De plus, certaines dispositions bannissent l'emploi de différents outils indispensables aux professionnels de la sécurité informatique. Un seul acteur a apporté son soutien à ce projet de traité : le gouvernement américain. Dans un avis rendu cette semaine, il a affirmé que le projet était en conformité avec les lois et règlements américains. Il ne faudrait pas oublier qu'il a, lui-même, suggéré l'adoption d'un tel traité par le Conseil de l'Europe.

Source: Internet Actu (07/12/2000)

L'impossible définition universelle de la cybercriminalité.

Le sommet de Berlin, relatif à la cybercriminalité n'aura permis de dégager qu'une seule certitude : il est pour l'instant impossible de s'accorder sur une définition universelle de la cybercriminalité. Et l'on peut même se demander si une entente sera un jour possible !

Pour cela, il faudrait pouvoir concilier la position nord américaine qui accorde une primauté presque aveugle à la liberté d'expression, et celle du Conseil de l'Europe, beaucoup plus restrictive. Prenons un exemple : les sites consacrés à la propagation d'idées nazies, racistes et xénophobes, pudiquement appelés sites politiques d'extrême droite. Ils sont légalement autorisés dans le continent nord américain, mais sévèrement punis en Europe, d'autant plus en Allemagne (pour l'Autriche, j'ai un doute).

En définitive, le texte adopté par le Conseil de l'Europe le 2 octobre 2000 à Strasbourg n'a donc pas emporté l'adhésion des non européens. Mais, tant qu'à faire de réunir les gouvernements du G8, il fallait bien aboutir à quelque chose : l'entente minimale a donc porté sur des problèmes techniques (donner l'alerte le plus vite possible en cas de nouveau virus…), de collaboration entre les polices des huit pays.

Résumons nous : les 8 se sont réunis en mai à Paris, en juin au Japon et maintenant à Berlin. Il reste un espoir à court terme, Tokyo en mai 2001. Vous y croyez vraiment, vous ?

Source: Village de la Justice (07/12/2000)

Le traité anti-cybercriminalité serait-il hors la loi ?

Le Conseil de l'Europe, chargé de la rédaction d'un traité international de lutte contre la cybercriminalité, doit revoir sa copie dans le courant de la semaine. C'est ce que vient d'annoncer l'un des responsables de l'organisation, qui met en avant le mauvais accueil du projet par la société civile. Selon l'agence Reuters, qui révèle le report, les autorités chargées de négocier le traité auraient reçu pas moins de 400 e-mails de protestation depuis avril dernier : "Nous avons été surpris par la violence de ces remarques" a ainsi déclaré Peter Csonka, l'un des responsables des services de lutte contre le crime économique au Conseil de l'Europe. 400 e-mails en 7 mois suffiraient-ils à faire changer d'opinion les négociateurs, policiers ou politiques, de 47 pays ? Selon des sources proches du Conseil, le délai accordé serait au moins autant dû aux critiques faites à l'encontre du projet qu'à la difficulté qu'il y a à mettre d'accord autant de cultures juridiques, policières et politiques différentes. Le texte du traité en était déjà à sa 22e mouture !

Tollé international

Il y a quelques mois, des responsables du Conseil de l'Europe, réunis à Paris pour le premier sommet du G8 consacré à la lutte contre la cyber-criminalité, se targuaient d'avoir mis à disposition sur l'Internet leur projet de traité, fait inédit dans l'élaboration de conventions internationales relatives aux services de police. Sûrs d'eux, ils affirmaient aux journalistes que rien ni personne n'entraverait la bonne marche du projet, qu'ils avaient bien reçu quelques e-mails de protestation depuis qu'ils en avaient mis le brouillon en ligne, mais que ceux-ci étaient bien souvent caricaturaux, sinon insultants, et que cela ne changerait rien à l'affaire. Quelques mois plus tard, la dernière mouture du projet soulevait enfin un tollé international, la lettre ouverte de la Global Internet Liberty Campaign, relayée en France par l'association IRIS (Imaginons un réseau internet solidaire), recueillant les signatures d'une trentaine d'organisations de défense des droits de l'homme et des liberté sur le réseau.

Contraire au droit de l'Homme

"Nous ne voulons pas adopter un texte contre l'avis des gens, déclare aujourd'hui Peter Csonka à Reuters, nous avons appris qu'il est important d'expliquer ce que nous voulons signifier en termes clairs parce que les termes légaux peuvent parfois prêter à confusion." Le problème reste néanmoins entier : c'est moins l'incompréhension des "termes légaux" que les risques de dommages collatéraux, en matière d'atteintes à la vie privée, que contestent ceux qui s'opposent à l'actuelle rédaction du traité. La lettre du GILC avance ainsi que le projet, en l'état, est incompatible avec plusieurs articles de la Déclaration Universelle des Droits de l'Homme et de la Convention Européenne sur le même sujet. Les cyberflics se seraient-ils aperçus qu'il existe d'autres "termes légaux" qui iraient à l'encontre de leur projet ? Suite en fin de semaine.

Source: Transfert (13/11/2000)

Le G8 se penche sur la cyber-criminalité

Les experts en matière de sécurité informatique des pays les plus industrialisés se sont réunis à Berlin pour tenter d'élaborer une nouvelle approche de la cyber- criminalité. "Le vol de données et l'espionnage, les fraudes à la carte de crédit, la pédophilie, l'extrémisme de droite et le terrorisme sont de plus en plus courants sur internet", a déclaré le ministre allemand des Affaires étrangères Joschka Fischer, s'adressant à la centaine d'experts dépêchés par les gouvernements du G8 et les entreprises du secteur. "Aujourd'hui déjà, les pertes engendrées par la cyber-criminalité se chiffrent à 100 milliards de marks (42,9 milliards de dollars) par an. Et ce n'est sans doute qu'un début", a-t-il poursuivit. Illustrant les propos du ministre, Michael Sussmann, le représentant de la délégation américaine, a rappelé le vol de dix millions de dollars aux dépens de Citibank dont un hacker russe s'était rendu coupable en 1994 sans autre moyen que son ordinateur portable. Evoquant le danger que le piratage représente pour les secteurs vitaux de l'économie, Timur Lakhonin, le représentant russe, a cité l'attaque menée en 1998 contre Gazprom, le fleuron de l'industrie russe. Otto Schily, ministre allemand de l'Intérieur, a pour sa part souligné le fait que l'immense majorité des crimes commis par le biais d'internet en Allemagne trouvaient leur origine à l'étranger. "Les réseaux de données mondiaux ne connaissent pas de frontières et les cyber-criminels ne s'arrêtent évidemment pas aux limites de notre territoire. Sur l'ensemble des activités criminelles enregistrées en 1999, 80% montrent des indices qui mènent aux Etats-Unis, au Canada, au Japon, en Australie et en Russie", a-t-il précisé.

Equilibre entre respect de la vie privée et sécurité

Selon les experts rassemblés pour l'occasion, les hackers s'en prennent constamment aux gouvernements et au secteur privé, parfois avec l'intention de commettre un délit, mais le plus souvent par simple défi intellectuel. Les logiciels qui permettent aux pirates de s'introduire dans les systèmes informatiques sont largement diffusés sur internet. Dans certains pays comme la Russie, on les trouve même en vente sur les marchés. Pour la ministre allemande de la Justice, Herta Daeubler-Gmelin, il est du devoir des gouvernements de soutenir l'évolution technologique pour faire en sorte qu'elle apporte rapidement les moyens de repérer les activités informatiques illégales. "Si la situation actuelle perdure, nous devrons réclamer l'assistance étrangère et attendre l'approbation, autant dire qu'il vaut mieux oublier l'idée d'arrêter le criminel. Nous devons rendre possible technologiquement un moyen de remonter à travers le réseau jusqu'à la machine du criminel", a-t-elle déclaré. Les représentants se sont prononcés en faveur d'une harmonisation des législations, mais pour y parvenir, les gouvernements devront d'abord accorder leurs violons. Qui plus est, de nombreux experts, appuyés par le ministre allemand des Affaires étrangères, ont estimé qu'étendre le pouvoir des autorités sur le réseau entamerait le respect de la vie privée dû aux internautes. "Notre objectif n'est pas celui (...) d'une transformation du net en une structure policière mondiale", a déclaré Joschka Fischer. "Dans la société de l'information, où se trouve le juste équilibre entre le respect des libertés fondamentales et la sécurité ?", s'était-il interrogé à l'ouverture de la conférence. La question reste posée.

Source: Reuters (24/10/2000)

Stop au traité !

28 ONG membres du Global Internet Liberty Campaign (GILC) ont adressé une lettre aux membres du Conseil de l’Europe chargés de préparer le traité international sur la cybercriminalité. Le GILC considère en effet que ce projet de Convention présente un danger pour les libertés individuelles.

La lettre publié par le GILC, l’organisation qui fédère les associations de protection des libertés civiles du monde entier, est adressée aux membres du comité d’experts chargé d’établir la Convention internationale sur la cybercriminalité. Le projet de Convention est certes nécessaire, car il permettra d’homogénéiser les lois sur les crimes liés aux nouvelles technologies en simplifiant la tâche des enquêteurs, notamment en ce qui concerne les enquêtes nécessitant la collaboration de plusieurs pays. Mais la Convention prévoit aussi de donner des nouveaux pouvoirs aux forces de l’ordre, comme l’accès aux correspondances privées, le «pistage» en ligne, ou l’autorisation de perquisitionner chez tout individu suspect. Ces dispositions ont été jugées illégales et antidémocratiques par les membres du GILC, qui demandent que «toute proposition de créer une nouvelle autorité d’investigations et de poursuites devrait prendre en considération les articles 8 et 10 de la Convention européenne des droits de l’homme». La lettre se termine en exhortant le comité d’experts à ne pas approuver le projet de traité «en l’état», et demande «une meilleure version de ce document, visant non seulement à réprimer, mais aussi à prévenir les délits informatiques».

La lettre:

Projet de Convention du Conseil de l'Europe sur la cybercriminalité Lettre des membres de GILC - 18 octobre 2000

Le 18 octobre 2000

À mesdames et messieurs les membres du comité d'experts sur la criminalité dans le cyberespace, du comité des ministres et de l'Assemblée parlementaire du Conseil de l'Europe

Nous vous écrivons au nom d'un grand nombre d'organisations de la société civile dans le monde pour nous opposer à l'adoption du projet de convention sur la cybercriminalité. Nous estimons que le projet de traité proposé est contraire aux normes bien établies de protection de l'individu, qu'il étend abusivement les pouvoirs de police des gouvernements nationaux, qu'il sapera le développement des techniques de sécurité du réseau, et qu'il réduira la responsabilité des gouvernements dans la conduite future de l'application des lois.

Précisément, nous nous opposons aux dispositions qui exigent des intermédiaires techniques sur Internet de conserver l'enregistrement des activités de leurs abonnés (Articles 17, 18, 24, 25). Ces dispositions introduisent un risque significatif pour la vie privée et les droits de l'homme des utilisateurs d'Internet et sont en contradiction avec les principes bien établis de protection des données personnelles tels qu'exprimés dans la Directive sur la protection des données personnelles de l'Union européenne. Des informations similaires ont été utilisées dans le passé pour identifier des dissidents ou persécuter des minorités. Nous vous exhortons à ne pas établir cette exigence dans un réseau moderne de communication. Selon nous, l'ensemble de l'article 18 est incompatible avec l'article 8 de la Convention européenne des droits de l'homme et avec la jurisprudence de la Cour européenne des droits de l'homme.

Nous nous opposons en outre au concept de « dispositifs illégaux » établi par l'article 6. Nous estimons que ce concept manque des précisions nécessaires pour garantir qu'il ne deviendra pas une base permettant n'importe quelle enquête sur des individus impliqués dans une activité parfaitement légale liée à l'informatique. Comme l'ont montré des experts techniques, cette disposition découragera aussi le développement de nouveaux outils de sécurité et donnera aux gouvernements un rôle abusif dans la régulation de l'innovation scientifique.

Nous nous opposons aussi à l'extension dramatique de la notion d'infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes telles que définies dans l'article 10 proposé. Il n'est guère établi que les peines criminelles soient un remède approprié aux infractions au copyright, ni que les traités auxquels il est fait référence imposent de telles exigences. De nouvelles infractions pénales ne devraient pas être établies par une convention internationale dans un domaine où la loi nationale est si instable. Plus généralement, nous sommes en désaccord avec les initiatives qui autorisent une assistance mutuelle lorsqu'il n'y a pas double commission d'infraction. Cette exigence est centrale pour préserver l'autorité souveraine des nations.

Nous croyons en outre qu'il importe de convenir de procédures claires dans les enquêtes internationales et qu'aucune agence d'application de la loi d'une juridiction différente ne puisse agir au nom d'une autre nation sans claires procédures d'investigation à l'intérieur de sa propre juridiction. Différents pays ont des procédures différentes, certes, mais c'est maintenant l'occasion de les harmoniser, à la condition d'assurer un haut niveau d'uniformité des protections des droits individuels.

Les exigences en matière criminelle des articles 9 et 11 pourraient mener à geler la libre circulation de l'information et des idées. Imposer la responsabilité des intermédiaires techniques sur les contenus d'un tiers fait peser une charge déraisonnable sur les fournisseurs des nouveaux services Internet et encouragera un contrôle injustifié des communications privées.

L'article 14 stipulant les exigences en matière de perquisition et de saisie des données informatiques stockées manque des garanties de procédure nécessaires pour protéger les droits de l'individu et pour assurer un processus judiciaire adéquat. En particulier, il n'y a aucun effort pour assurer qu'un examen judiciaire indépendant, garantissant le respect des libertés fondamentales, aurait lieu avant que soit entreprise une perquisition par l'État. De telles recherches constitueraient une « intervention arbitraire » selon les normes légales internationales.

Les articles 14 et 15 pourraient mener à l'exigence d'un accès gouvernemental aux clés de chiffrement et cela pourrait contraindre les individus à s'incriminer eux-mêmes, ce qui pourrait bien être incompatible avec l'article 6 de la Convention européenne des droits de l'homme et avec la jurisprudence de la Cour européenne des droits de l'homme. Nous nous interrogeons également sur l'ambiguïté qui naît de cet article sur l'accès des États aux clés de déchiffrement. Le Conseil de l'Europe devrait clarifier cette disposition pour que les États membres ne considèrent pas la convention comme un mandat pour outrepasser la loi en autorisant l'auto-incrimination.

Nous nous opposons aussi en termes très vigoureux à la manière dont ce projet a été développé. Les organisations de police et de puissants intérêts privés agissant en dehors des règles démocratiques de contrôle ont cherché à utiliser un processus secret pour établir des règles qui auront pour effet de lier la législation. Nous croyons que cette démarche viole les exigences de transparence et ne convient pas à une prise de décision démocratique.

Les experts en protection de la vie privée ont montré leur opposition à ce projet. Un expert a averti que les efforts pour développer une convention internationale sur la cybercriminalité conduirait à « des restrictions fondamentales sur la vie privée, l'anonymat et le chiffrement ».

Les représentants officiels des agences de protection des données personnelles ont montré leur opposition à ce projet. Le Groupe de travail international sur la protection des données dans les télécommunications avait précédemment critiqué les tentatives d'exigence de conservation des données de trafic sur les réseaux et recommandé des améliorations de la sécurité dans les nouvelles lois pénales.

Les experts techniques ont montré leur opposition à ce projet. Une lettre de spécialistes de la sécurité, praticiens, enseignants et vendeurs, déclare que « le traité proposé peut involontairement se traduire par la criminalisation de techniques et de logiciels couramment utilisés pour rendre les systèmes informatiques résistants aux attaques » et que le traité proposé « pourrait au contraire avoir des conséquences sur les praticiens, chercheurs et enseignants spécialistes de la sécurité ».

Aujourd'hui, un nombre important d'organisations représentant la société civile à travers le monde montre clairement notre opposition à ce projet.

Nous estimons que toute proposition de créer une nouvelle autorité d'investigations et de poursuites devrait soigneusement prendre en considération les articles 8 et 10 de la Convention européenne des droits de l'homme et la jurisprudence de la Cour européenne des droits de l'homme relative à cette Convention. Nous ne pensons pas que cet instrument a reçu la considération adéquate dans le développement de cette proposition. En outre nous estimons que les lignes directrices de l'OCDE en matière de politique de chiffrement et de politique de sécurité des systèmes d'information reflètent une vue plus équilibrée et plus évolutive du besoin de promouvoir des techniques fortes de sécurité pour réduire le risque de criminalité informatique que le projet actuellement envisagé.

Enfin, la Déclaration universelle des droits de l'homme impose explicitement aux États de protéger le caractère privé des communications et de préserver la liberté d'expression dans les nouveaux médias. L'article 12 stipule que « Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance ». L'article 19 ajoute que « Tout individu a droit à la liberté d'opinion et d'expression, ce qui implique le droit de ne pas être inquiété pour ses opinions et celui de chercher, de recevoir et de répandre, sans considérations de frontières, les informations et les idées par quelque moyen d'expression que ce soit ».

Nous vous exhortons à ne pas approuver ce traité en l'état. Nous, soussignés, sommes prêts a aider le Conseil de l'Europe en mettant à sa disposition des experts du domaine afin d'élaborer une meilleure version de ce document, visant non seulement à réprimer mais aussi à prévenir les délits informatiques.

Source: Les News.net (22/10/2000)

Cyber-criminalité : l'Europe dégaine l'arsenal répressif

Les professionnels de la sécurité informatique ont beau crier à l’aberration, la nouvelle version du projet de convention européenne de lutte contre la cyber-criminalité, concoctée par le Conseil de l’Europe est toujours aussi floue. Et donne tous les moyens imaginables aux forces de police pour fouiller dans vos octets…

Il y avait déjà la Russie et son projet Sorm, les États-Unis et Carnivore et la Grande-Bretagne et son Rip Act. Mais l'instauration de systèmes d'interception des communications via Internet deviendra bientôt une réalité dans bien d'autres pays. Si le projet de convention de lutte contre la cyber-criminalité du conseil de l’Europe continue sur sa lancée, avec la même impulsion et dans une même opacité, la plupart des pays membres imposeront en effet sous peu un arsenal répressif étonnant. Réalisée début octobre 2000, la mise à jour du projet clarifie ce que les 41 États membres du Conseil devront faire en matière d’écoutes et de surveillance des communications via les réseaux informatiques. Dans chaque pays, les "fournisseurs de services" devront tout simplement être en mesure de "collecter ou enregistrer les données" circulant au travers de leurs tuyaux.

De source policière, on indique qu’il n’y a là rien de bien grave… "Tout ce que cela va impliquer, c’est la mise en place des moyens techniques nécessaires à une interception. Ces moyens sont parfois absents chez des fournisseurs d’accès, ce qui est très pénalisant dans le cadre d’une enquête." En somme, rien de bien ennuyeux pour la protection de la vie privée et pour le droit à une certaine confidentialité des échanges entre clients de FAI… Car seuls seront écoutés des suspects de "graves infractions". "Vous ne vous inquiétez pas du fait qu’un pédophile ou qu’un trafiquant de drogue soit mis sur écoute téléphonique dans le cadre d’une enquête ? Et bien c’est exactement la même chose", poursuit ce policier. Effectivement. Sauf que la liste des dérives liées à l’utilisation des technologies d’écoutes téléphoniques est longue. Demain, qui empêchera des interceptions sauvages, pratiquées par une officine quelconque ou le fournisseur d'accès lui-même ? De plus, le texte est flou en ce qui concerne les "données relatives au contenu de certaines communications" qui seront interceptées. Selon ce policier, il s’agit de stockage ponctuel du contenu des communications, et non pas des logs de connexion. "Qu’on se rassure, il est impossible de stocker tout ce qui circule via Internet chez un FAI."

Bill Gates bientôt incarcéré ?

La nouvelle mouture du texte du Conseil de l'Europe devait prendre en compte les mails et suggestions des internautes reçus à l’adresse daj@coe.int. Mais les spécialistes de la sécurité informatique s’étranglent toujours à la lecture de certains articles du texte. Exemple criant : l’article 6, relatif aux "dispositifs illégaux". Il s’agit de ce que l’on appelle à tort des outils de hacking. En fait, des logiciels utiles à l’administration de réseaux et systèmes informatiques. Il sera fait une distinction selon qu’ils soient utilisés légitimement (par un administrateur sur son propre réseau) ou illégalement (pour pirater un réseau). Mais le texte ne dit rien du sort réservé à ceux qui produisent ces logiciels. Sauf que "sera érigé en infraction pénale lorsqu’il est commis intentionnellement et sans droit : la production, la vente ou l’obtention pour utilisation, l’importation, la diffusion ou d’autres formes de mise à disposition" de ces outils. Bill Gates ne va donc pas tarder à se retrouver devant un tribunal pour "production, vente (…), importation et diffusion" d’un tel dispositif. En effet, une fenêtre DOS, accessible dans n’importe quel système d’exploitation Windows, permet de récolter mille informations sensibles sur un réseau distant… "Il ne faut pas faire de mauvaises généralités, explique toujours ce policier rompu aux enquêtes sur la cyber-délinquance. Il s’agit d’un texte suffisamment englobant pour répondre à peu près à tous les cas de figure. Mais il ne faut pas confondre la lettre et l’esprit de la loi. Et surtout, la réalité. Personne ne sera traduit devant un tribunal pour avoir utilisé un outil permettant de faire un traceroute ou un ping …". Espérons…

Source: Transfert (17/10/2000)