Entretien avec Driss RAOUH, Expert en Cybercriminalité auprès de Cour Pénale Internationale de La Haye

Driss RAOUH : D’après la Convention de Budapest du 23 novembre 2001, la cybercriminalité est l’ensemble des infractions pénales spécifiques liées aux technologies de l’information et de la communication, ainsi que celles dont la commission est facilitée ou liée à l’utilisation de ces technologies. Nous avons assisté ces dernières années à une multiplication des attaques aux effets redoutables dont la technologie était la cible ou le moyen :

 
Quelle est l’ampleur du phénomène :

Driss RAOUH : La criminalité sur le net est omniprésente et permanente. L’internet est un moyen de communication et en même temps c’est un instrument de pouvoir et de guerre et, de ce fait, il est constamment convoité. Il existe des rapports sur la sinistralité informatique qui sont périodiquement publiés par diverses institutions dont l’Internet Crime Complaint Center aux Etats-Unis ou le Club de la Sécurité Informatique en France. Ces rapports ne reflètent qu’une partie minime de l’iceberg de la cybercriminalité, car selon le Computer Crime Research Center, seul 12% des cyber-crimes étaient connus par la justice ou la police en 2004. En 2009, selon la même source, le chiffre noir des pertes est très important.
Edward Snowden a défrayé la chronique avec ses révélations en 2013 sur ce qu’on appelle le scandale de la NSA qui a mis en place un véritable entonnoir d’espionnage industrialisé, dont les capacités de collecte et d’analyse sont démesurées et la possibilité de recherche des informations ciblées est impressionnante. De plus, la chine, le groupe de hackers issu de l’armée chinoise ayant pour activité principale le cyber-espionnage a été employé à espionner une centaine d’entreprises dans le monde de secteurs différents qui ont été surveillées et leurs données collectées et analysées. D’après le rapport McAfee/CSIS, le coût global des cyberattaques a été estimé à 300 milliards d’euros pour les entreprises en 2013. Les Etats-Unis perdent entre 17,5 et 87,5 milliards d’Euros par an et, en 2012, 556 millions de personnes dans le monde ont été victimes de cybercriminalité.
Enfin, d’après Microsoft, le Maroc est 3,5 fois plus vulnérable aux logiciels malveillants que la moyenne mondiale. Cette situation risque d‘empirer, car les investissements dans le secteur des technologies numériques enregistrent un fort potentiel de croissance, le marché des télécoms explose avec de nouvelles offres ADSL, L4G et le Wifi outdoor, la dématérialisation des processus des collectivités locales, le développement du e-commerce et du e-learning, la croissance exceptionnelle des paiements en ligne qui a fait un bond de 48% entre 2012 et 2013, l’explosion des offres Cloud, l’augmentation des utilisateurs du web qui enregistre un taux de croissance 2012-2013 d’environ 46%.
                                                                                                                                    
A votre avis le crime est-il en train de migrer du réel vers le virtuel ?

Driss RAOUH : Les technologies de l’information et de la communication sont devenues des cibles de la malveillance ou des moyens pour commettre des actions illicites. Celles-ci sont facilitées par la dématérialisation des services, des transactions des communications ainsi que la possibilité d’agir à distance, sous de fausses identités ou des identités usurpées, et de passer par plusieurs intermédiaires techniques situés dans des pays différents. Les Etats deviennent la cible. Ils sont menacés dans leur intégrité. Les éléments confidentiels piratés sont utilisés pour manipuler l’opinion, pour l’espionnage ou pour déstabiliser une économie ou un Etat.
Comme je l’ai dit auparavant, si le réseau internet est un extraordinaire outil de communication, il est aussi un instrument de pouvoir et une arme de guerre. La migration du crime du réel vers le virtuel est facilitée par la rapidité d’exécution, la suppression de toutes traces, l’usage de fausses identités ou identités usurpées, donc l’anonymat, le passage par plusieurs intermédiaires techniques et plusieurs pays, l’action à distance, l’absence de risque pour certains pays. D’autre part, les imprimantes 3D dont le prix est aujourd’hui accessible pour le grand public ont révolutionné ce phénomène. En Israël, une personne a pu à l’intérieur de la Knesset et à quelques mètres du Chef de l’Etat fabriquer une arme grâce à une imprimante 3D miniature.    
 
La cybercriminalité est-elle un métier illicite plein d'avenir ?

Driss RAOUH : A travers l’usage abondant des technologies de l’information et des télécommunications, rendu possible par l’abondance et la disponibilité des ressources techniques, d’une part, et par le rapport risque/bénéfice potentiel favorable, d’autre part, la cybercriminalité qui était considérée comme une activité illicite est devenue un métier plein d’avenir qui ne nécessite pas un énorme investissement. Personnellement, je la compare aux métiers de mercenaires qui s’introduisent dans un espace qui ne leur appartient pas et commettent des méfaits qui peuvent aller de la simple consultation jusqu’au meurtre en passant par le sabotage ou le vol. De plus, l’internet des objets est entrain de révolutionner le monde et notre quotidien. Les objets deviendront intelligents, capables de communiquer entre eux, de réagir et de s’adapter à leur environnement. A titre d’exemple, le gouvernement norvégien finance le développement de robots qui pourront sans intervention humaine prendre la décision de tirer sur une cible.
   
La cybercriminalité est elle, désormais, au service du crime organisé ?

Driss RAOUH : La convergence du crime mafieux, du crime économique et du cybercrime ainsi que le rapprochement des mondes terroristes et criminels constituent des menaces sur la sécurité des nations, des organisations publiques ou privées et des individus. Le meilleur exemple est le Bitcoin, la monnaie virtuelle préférée des cybercriminels et du crime organisé qui échappe à tout contrôle et au cadre légal. Cette cryptomonnaie est aujourd’hui au cœur de nombreux cas de criminalité organisée associé à des services de blanchiment et des intermédiaires dits de confiance. Cette monnaie qui permet des transactions anonymes est en train de migrer vers le Zerocoin qui se présente aujourd’hui comme un Bitcoin anonyme et sécurisé. 

Quel est le haut lieu mondial de la cybercriminalité ?

Driss RAOUH : Tout dépend de la nature de l’infraction. Le hit parade de création de logiciels malveillants en 2008 place la Chine en premier (32%), suivie par la Russie (24%), ensuite les Etats-Unis (7,8%), le Brésil (6,8%), le Royaume-Uni (5,5%). Pour les machines détournées, la première place est attribuée au Etats-Unis (19%), suivie par la Chine (14%), ensuite la Corée du Sud (9%), l’Allemagne (6%), la France (5,6%). Pour les crimes relatifs aux arnaques sur internet (Fondation Bill Gates, notification de gains, usurpation d’identité…), la palme revient à l’Afrique en particulier la Côte d’Ivoire et le Nigéria.

Peut on qualifier de cyberattaque la fuite d'information dont a été victime le Ministère des Affaires Étrangères marocains ?


Driss RAOUH : Avant de répondre à cette question, je tiens à dire que je ne connais ni la Ministre déléguée auprès du Ministre des Affaires Étrangères et de la coopération, Mbarka Bouaïda, ni son conjoint. Ceci étant dit, j’ai suivi comme tout citoyen marocain cette affaire dans la presse et j’étais outré de constater certaines allégations qui consistent à dire que c’est l’époux de la Ministre qui a divulgué ces informations. Cette affaire est le cas typique d’une cyberattaque. Notre pays est aujourd’hui la cible d’une opération de grande envergure menée par un pays voisin qui a recruté les meilleurs mercenaires du numérique avec pour objectif de nuire à son image afin de le déstabiliser nuire à sa cause nationale : le Sahara. Alors, cessons de jouer le jeu de nos ennemis et je profite de cette occasion pour demander à notre presse un peu de réserve. Notre pays est aujourd’hui engagé, malgré lui, dans une cyberguerre et jusqu’à maintenant il reste dans une stratégie défensive uniquement. Je rappelle qu’en mai 2012, la France a été victime d’une opération d’espionnage informatique identique. Quelques jours avant le second tour de l’élection présidentielle, des pirates ont réussi à s’introduire dans les réseaux informatiques de l’Elysée. Les intrus ont non seulement réussi à pénétrer au cœur même du pouvoir politique français, mais ils ont pu fouiller les ordinateurs des proches collaborateurs du Président Sarkozy. Des notes secrètes et des plans stratégiques ont été récupérés sur des disques durs. Tout a commencé par Facebook en se passant pour des amis et après plusieurs manipulations, ils ont récupérés les clefs numériques pour s’introduire dans le réseau le plus protégé de France et installer un programme-espion avec pour fonction de se propager d’un ordinateur à l’autre. L’origine de cette attaque était difficile à identifier car les intrus brouillent les pistes en passant par plusieurs pays situés sur les cinq continents. Il faut aujourd’hui penser à la notion de la diplomatie numérique, nos enjeux doivent être défendus par l’information qui est synonyme du pouvoir. Il faut intégrer le cyberespace dans les techniques offensives.  
 
Quelle stratégie pour se protéger ?

Driss RAOUH : Il est clair qu’en cybercriminalité le risque zéro n’existe pas. Quels que soient les moyens de prévention et de protection mis en place, il restera toujours une probabilité pour que l’attaque réussisse. Il faut faire en sorte que si elle arrive, les conséquences de cette attaque soient minimes. Personnellement, j’ai travaillé sur des méthodes d’évaluation de la sécurité informatique et j’ai conçu une méthodologie qui permet d’évaluer et de minimiser les risques. Cette méthode est utilisée dans le secteur informatique et elle a contribué au développement de l’assurance des risques informatiques. Il faut renforcer les moyens matériels et humains, procéder à une modification de la législation, développer une culture de l’informatique et pas seulement de la sécurité, trop souvent fondée sur la peur, et associer le secteur privé à la lutte contre ce fléau.
Il faut accentuer l’approche préventive afin de réduire les possibilités de commettre des actes sur le cyberespace, c'est-à-dire qu’il faut augmenter la difficulté des attaques tout en diminuant les profits potentiels. Cela signifie le renforcement de la robustesse des infrastructures informatiques et de télécommunications à l’aide de procédures techniques, organisationnelles et managériales en mettant en place à la fois des partenariats entre les secteurs privés et publics et un système juridique et répressif efficace. Une coopération internationale est indispensable, car les pays qui ne sont pas dotés de lois contre la cybercriminalité sont des paradis numériques où foisonnent des criminels qui peuvent lancer des attaques informatiques ou héberger des sites avec des contenus illicites en toute impunité, bref où ils peuvent mener une vrai guerre numérique en toute quiétude. Ce qu’il faut savoir, c’est que la prévention s’appuie sur des structures de veille et d’alerte telles que le CERT/CC américain. Ces organismes ont un rôle clef d’anticipation et ils sont actifs dans la diffusion des découvertes des attaques, des solutions de sécurité, des solutions de gestion de risques…
 
Quid de la coopération internationale ?

Driss RAOUH : La cybercriminalité a créé des enjeux nouveaux en matière de coopération internationale du fait de la difficulté de la mise en évidence du caractère organisé des fraudes, du caractère transfrontière du délit (absence de frontière), du morcellement du préjudice, du coût exorbitant des enquêtes ainsi que de l’absence de législation adaptée dans de nombreux pays.
La question qui reste posée c’est les limites de la compétence d’un Etat : jusqu’où peut-on poursuivre un criminel ? Cette question est loin d’être uniquement une interrogation de juristes. Elle présente un aspect également moral : peut-on laisser des crimes odieux impunis sous prétexte qu’aucun pays n’est territorialement compétent ou parce que le pays du lieu de l’infraction refuse de poursuivre ? C’est la raison pour laquelle a été créée la Cour Pénale Internationale dont le but est de promouvoir le droit international et le mandat est de juger les individus et non les Etats (qui est du ressort de la Cour Internationale de Justice). Elle n’est compétente que pour les crimes les plus graves commis par des individus : génocides, crimes de guerre, crimes contre l’humanité. Ces crimes peuvent être facilités ou commis par les technologies nouvelles.
Avant que l’on puisse poursuivre un individu, il faut collecter des preuves pour le confondre et le principe de souveraineté interdit qu’un juge d’un pays enquête dans un autre pays. C’est la raison pour laquelle il existe des conventions pénales internationales prévoyant des systèmes d’entraide entre pays. La convention de Budapest sur la cybercriminalité, ratifiée par le Maroc, est l’une de ces conventions. Elle a le mérite de régler les problèmes de compétence et d’entraide entre Etats et d’obliger à conserver certaines données pour permettre la traçabilité de l’infraction. Elle a également le mérite de citer plusieurs infractions (accès illégal, interception illégale, atteinte à l’intégrité des données, atteinte à l’intégrité des systèmes…) pour lesquelles chaque pays signataire doit adopter une législation spécifique. En plus de cette convention, les Etats doivent avoir une volonté politique et une coopération efficace de leurs services de justice et de police et des personnes compétentes pour faciliter cette coopération. Et afin de rendre cette coopération efficace, il est nécessaire de s’intéresser aux problèmes de gouvernance d’internet et de dépendance vis-à-vis d’internet, des fournisseurs de solutions et de services, des opérateurs et des acteurs de la cybercriminalité. Plusieurs groupes de réflexion sur la gouvernance de l’internet se multiplient. Certains s’interrogent sur la pertinence d’une réglementation, d’autres demandent qu’Internet soit déclaré comme bien commun et souhaitent qu’il soit placé sous le contrôle de l’ONU ou d’un organisme intergouvernemental autonome. En Europe, c’est la complémentarité des normes privées et étatiques qui prime et la Convention de Montevideo sur l’avenir de la coopération pour l’internet d’octobre 2013 s’inscrit dans ce mouvement de réflexion.
 
Les cyberattaques constituent-elles des menaces d'ordre stratégique ?

Driss RAOUH : Evidemment, car dans un contexte perpétuel de guerre économique, de recherche de profit conséquent rapide et immédiat, de crise financière internationale, d’injustice sociale. Comment faire pour lutter contre les cyberattaques.

Dans quel espace géographique se concentrent les phénomènes cyber criminels les plus significatifs?

Il est clair que le marché de la cybercriminalité  dans son volet d’espionnage est partagé par les Etats-Unis et la Chine. Le nombre d’agents de la NSA affectés à ces tâches est impressionnant, sans parler de la logistique et du budget alloué. Pour la chine, cette activité est située au sein même de l’armée chinoise, qui a mis en place des bataillons de soldats numériques. L'informatique est devenue l'arme du 21e siècle, utilisée par des pirates individuels, mais aussi par des Etats. L'Iran est ainsi la cible depuis deux ans d'attaques virales à répétition, aux conséquences lourdes pour son programme nucléaire. Une guerre invisible qui se joue sur la toile et dans les systèmes informatiques.
                                
Quels horizons géopolitiques pour la cybercriminalité ?

Driss RAOUH : Le printemps arabe a été favorisé par l’utilisation massive des moyens de communication. Twitter, Facebook, Youtube et autres nous ont permis de suivre en temps réel les révoltes et d’agir en conséquence. Les autorités ont été dépassées par ce qui se passait dans le cyberespace, difficile à neutraliser. Internet est aujourd’hui intégré dans la stratégie de sécurité et de défense des puissances internationales. Les Etats-Unis sont en avance sur le reste du monde en matière de stratégie du cyberespace qui englobe aussi bien les secteurs économique, diplomatique et militaire. Il ne faut pas oublier de citer les organisations intégristes comme Al-Qaïda ou Daech qui utilisent massivement les technologies nouvelles et les réseaux sociaux pour leur propagande et pour le recrutement des jeunes.
 
La technique ne saurait donc fournir la sécurité ?

Driss RAOUH : Les protections techniques sont nécessaires, mais pas suffisantes. La coopération internationale et la mobilisation de tous les acteurs, du citoyen à l’Etat, sont requises.
 
Un mot pour conclure…

Driss RAOUH : Lutter contre la cybercriminalité est un enjeu majeur pour le monde actuel. L'arsenal juridique doit constamment s'adapter à cette criminalité organisée et internationale utilisant les ressources des technologies numériques et Internet comme cibles ou vecteurs d'infraction. L'esprit du Web, basé sur le partage de l'information, banalise l'outil informatique et génère des failles largement exploitées par les cyberdélinquants pour usurper des identités, voler des données personnelles, voire créer des marchés parallèles. Notre pays est en danger. Les failles touchent l'administration et nos infrastructures clé. Elles constituent des menaces pour notre sécurité nationale, publique et économique. Il faut que la cybersécurité soit un chantier prioritaire et passe du stade défensif à celui offensif. La création d’une structure civile placée à un haut niveau devient une nécessité. Elle aura pour vocation la centralisation des informations et de la coordination entre les services civils et militaires. Elle disposera également d’un centre de documentation chargé de recueillir des statistiques spécifiques afin de les analyser. Cette structure jouera un rôle opérationnel en prévention des phénomènes d’un caractère sensible et de dimension internationale. Elle signalera, dans le cadre de son opération de veille, les contenus illicites sur Internet. Elle apportera une assistance technique aux profits du secteur public ou privé. Elle sera également chargée de la formation et de la sensibilisation. Cette structure assurera, sur le plan international, les relations avec Interpol (High Tech Crime), Europol (AWF), la Commission Européenne (ExpertGroup) et le G8 (Criminalité High Tech) et mettra en place une plateforme de signalements. Tel est mon dessein et j’espère que j’aurai un jour l’occasion de revenir sur ce projet.