Le Forum du Droit

Malheureusement cet article ne traitera pas d’un nouveau site web créé pour aider les étudiants dans leur cours de preuves. J’ai plutôt choisi ce titre accrocheur pour attirer votre attention sur la problématique de la preuve en matière de cybercriminalité. C’est un sujet qui m’a toujours fasciné et encore plus particulièrement depuis que la RIAA (Recording Industry Association of America) et la MPAA (Motion Picture Association of America) font une véritable chasse aux sorcières aux terroristes du web (comme ils semblent percevoir les jeunes de 13 ans qui téléchargent inconsciemment quelques MP3 ou encore les mères de famille qui n’ont aucune idée de comment faire) en utilisant des méthodes parfois douteuses qui finissent par donner des poursuites presque frivoles. 

Également, la propagation du fléau qu’est le phishing (cette transposition au monde virtuel de la fraude classique qui consiste à se faire passer pour une autorité ou une entreprise légitime pour profiter de la crédulité, ou de l’ignorance, des gens pour leur voler leurs informations personnelles) m’a également mené à me questionner sur les difficultés de prouver, et par conséquent de poursuivre, ces crimes en pratique. J’ai fais quelques recherches sur la question et, à ma grande stupéfaction, je n’ai trouvé pratiquement personne qui se soit penché sur la question. Voici donc le résultat de ma recherche et de ma réflexion de quelques heures sur la question. Vous me pardonnerez évidemment de ne pas être aussi exhaustif que je le voudrais. Je vous propose de suivre le parcours que doivent suivre les corps policiers et les procureurs pour identifier les malfaiteurs, mais surtout pour confirmer leur identité. 

Comme notion fondamentale, il faut comprendre que dès qu’un ordinateur est relié à internet il est identifié par un code numérique unique – l’adresse IP. C’est souvent cette seule information de leur agresseur qu’auront les victimes que ce soient le particulier qui se fait voler ses informations bancaires en répondant à un faux courriel supposément envoyé par sa Banque (phisphing), les autorités qui cherchent à faire appliquer la législation entourant les droits d’auteurs ou les entreprises qui sont la cible d’attaque par ce qu’on appelle communément des « pirates » de l’informatique. 

Vous vous en doutez probablement, l’étape suivante consiste à tenter d’associer cette adresse IP à un individu, ou au moins à un ordinateur. C’est ici que se dressent les premiers obstacles. N’importe qui, ayant moindrement de connaissances en informatique, peut dire de quel pays provient l’individu recherché et quelle organisation a fourni sa connexion à internet. À cette étape il y a 2 possibilités : soit il s’agit d’un fournisseur d’accès internet personnel comme Vidéotron ou bien il s’agit d’une institution (gouvernementale, institutionnelle ou une entreprise privée). Dans le premier cas, les fournisseurs conservent, durant un certain temps, l’information permettant d’associer adresse IP à leur client. Toutefois, cette information doit normalement être protégée par l’entreprise en respect de la Loi sur la protection des renseignements personnels dans le secteur privé. Les rumeurs sont à l’effet que certains fournisseurs respectent mieux la confidentialité des informations de leurs clients (tels que Bell Sympatico) que d’autres (tels que Vidéotron).  

Dans le deuxième cas, celui d’une institution, une difficulté supplémentaire se présente. Il faut savoir que le nombre d’adresses IP est limité et que, par conséquent, elles sont rares et relativement couteuses. Pour pallier à ce problème, les institutions publiques et privées ont recours à des procédés technologiques leur permettant d’utiliser une seule adresse IP pour tout leur parc informatique. En fait, c’est un peu le même principe qui s’applique si vous avez plus d’un ordinateur à la maison tous reliés à internet via un routeur. Dans ce cas de figure, comment savoir exactement de quel ordinateur provient l’acte frauduleux? C’est quelque chose de très difficile à déterminer, surtout s’il s’est écoulé beaucoup de temps entre l’évènement et l’enquête. 

Une fois toutes ces épreuves surmontées et l’ordinateur identifié, si cela a été possible, il reste à déterminer qui l’a utilisé au moment de l’attaque. Dans le cas d’une résidence, la liste de suspects est courte et il est probablement facile de déterminer qui est le responsable. Dans le cas d’une entreprise privée où chaque employé a son propre poste informatique, c’est également assez facile. La tâche se complique quelque peu si l’ordinateur identifié est un poste mis à la disposition d’une multitude d’utilisateurs comme dans une bibliothèque par exemple. 

Comme si tous ces obstacles courants n’étaient pas suffisants, il peut se présenter des cas particuliers. Notamment, ces dernières années nous avons connu une expansion fulgurante des réseaux sans-fils. Le problème est que la très grande majorité des réseaux sans-fils domestiques, et parfois même ceux des petites entreprises, ne sont aucunement sécurisés et sont ouverts au public. Si vous voulez en avoir la preuve, promenez vous en voiture dans quelques quartiers de Montréal armé de votre ordinateur portable et vous serez impressionnés de voir le nombre de réseaux auxquels vous pourrez vous connecter d’un simple clic de souris sans aucun mot de passe. Si l’ordinateur identifié fait donc parti d’un tel réseau, comment s’assurer que la personne recherchée ne s’est pas également promené dans les rues équipée de son ordinateur portable à la recherche d’un réseau non sécurisé? 

Même dans la situation la plus simple soit celle où l’ordinateur identifié serait le seul d’une résidence où une personne habite seule, il est possible que les choses se compliquent infiniment. Le cauchemar des experts en sécurité porte le nom d’«ordinateur zombie». C’est ainsi qu’on désigne un ordinateur qui, en apparence, fonctionne très bien, mais qui a été en réalité infecté par un virus. Ce virus reste inactif jusqu’au jour où un esprit malveillant l’active pour pouvoir passer à travers cet ordinateur, l’utilisant comme relai, pour réaliser ses cyberdélits. 50 à 80% de tous le pourriel (spam en anglais) que vous recevez est envoyé par ces ordinateurs zombie de particuliers comme vous et moi. Si la personne suspectée par les autorités peut prouver que son ordinateur est effectivement un ordinateur infecté, ce qui est plutôt simple, comment être sur, encore une fois, qu’on a la bonne personne? 

Je finirai avec un dernier exemple. Vous avez sans doute déjà regardé un film ou une série télévisée comme 24 dans laquelle les « méchants » utilisaient plusieurs relais à travers le monde pour brouiller leur piste? Eh bien sachez que ce n’est pas du tout de la science-fiction et que cette technique pour brouiller les pistes est accessible à n’importe quel utilisateur lambda. C’est effectivement ce que vous permet de faire gratuitement le logiciel Tor. Le leitmotiv de ce système est l’anonymat pour tous et il n’est évidemment pas conçu pour les esprits malveillants, mais… 

J’espère ne pas vous avoir perdu dans toutes ces technicalités. Si oui, imaginez un jury tout aussi néophyte que vous qui se ferait adroitement expliqué en détails tout cela par l’avocat de la défense… Dans ces conditions, comment établir la culpabilité hors de tout doute raisonnable des cyber-délinquants qui se font de plus en plus nombreux?  Je crois qu’il sera, tôt ou tard, nécessaire que les juristes de demain que nous sommes réfléchissent à un encadrement législatif plus adapté à la cybercriminalité… 

Note: Cet article a été publié dans l’édition du 18 septembre 2007 du Pigeon Dissident, journal étudiant de la Faculté de Droit de l’Université de Montréal.

Jean-Sébastien Dupont
Monday, September 10th, 2007 at 6:35 pm.
Filed under Droit des technologies, Droit pénal, Juridique, Preuve et procédures.
Subscribe to RSS 2.0.
Comments and trackbacks disabled.