Internet-Hacker

« Ce qui est criminel, c’est télécharger pour en faire commerce »

INTERNATIONAL/Monaco est sur le point de ratifier la convention sur la cybercriminalité du Conseil de l’Europe (1), qu’il a signée en mai dernier. Pour L’Obs’, Alexandre Seger, chef de la division cybercrime de cette institution, décrypte les conséquences.

Alexandre Seger

ILLEGAL/« [Pour le téléchargement illégal] ce qui est considéré comme criminel, c’est qu’un individu télécharge un film ou une chanson et en fasse commerce. »© Photo Conseil de l’Europe

Les enjeux pour Monaco avec cette convention de Budapest ?
Il est question pour la principauté de transposer les articles de la convention sur la cybercriminalité dans son droit pénal. Il s’agit, par exemple, de l’interception illégale de données. Dès qu’il sera partie de la convention, Monaco sera notamment capable de coopérer en la matière avec des pays comme les Etats-Unis, l’Australie ou la France.

Il y a un délai pour appliquer cette convention ?
Dès qu’un pays dépose l’instrument de ratification, la convention entre en vigueur trois mois plus tard. Mais si à cette date l’Allemagne fait par exemple une demande de commission rogatoire à Monaco sur un cybercrime et que Monaco n’a pas appliqué la convention, ça peut poser problème.

La convention doit être appliquée dans son intégralité ?
Sur certains articles, comme ceux sur la pornographie enfantine, de nombreux éléments apparaissent obligatoires. Mais chaque pays a le droit d’émettre des réserves.

Beaucoup de pays le font ?
Beaucoup de pays choisissent des solutions différentes pour la mise en application de la convention, mais toujours dans le respect de celle-ci. Nous avons un comité sur la cybercriminalité qui se réunit deux fois par an. Il évalue la mise en œuvre de la convention. Il n’y a pas que la quantité d’articles transposés qui est prise en compte, il y a aussi la qualité. Seuls un ou deux pays ont dû faire l’objet de recommandations.

Combien coûte la cybercriminalité ?
C’est très difficile à estimer. On ne peut pas avancer de chiffres, mais c’est énorme. Néanmoins, lors d’une conférence Octopus sur la cybercriminalité qui s’est déroulée récemment à Strasbourg, un représentant de la sécurité publique de l’Autriche a indiqué que pour son pays, le seul coût de la fraude informatique s’élevait à 800 millions d’euros par an.

Quelle est la menace la plus dangereuse ?
Le botnet, qui est un réseau d’ordinateurs zombies détournés par des pirates informatiques à l’insu de leurs propriétaires, reste le moyen préféré des criminels pour disséminer des virus, des malwares et autres logiciels malveillants dans les machines. Ce qui pose problème désormais, ce sont les questions liées à l’affaire de cyber-espionnage PRISM (2). Il y a violation des droits de l’homme.

La convention peut s’étendre au cyber-espionnage entre Etats ?
S’il y a infiltration d’un système ou interception de données par un pays, ça relève de la cybercriminalité. Mais dans le cadre de relations entre Etats, la portée du droit pénal est limitée.

La coopération entre Etats peut en pâtir ?
C’est aux Etats de trouver des accords entre eux pour éviter que ce genre d’infractions se produise.

La convention de Budapest a été adoptée en novembre 2001. Une mise à jour est envisagée ?
Elle est utilisée comme un standard référence par 120 pays. Le comité sur la cybercriminalité a commencé à préparer des notes directrices pour expliquer comment utiliser la convention pour des phénomènes qui n’étaient pas d’actualité il y a 12 ans. Par exemple, les botnet. Le comité explique comment tel ou tel article de la convention peut s’appliquer à ce phénomène. Il ne suffit que de quelques mois pour sortir une note. Ça prend moins de temps que de faire signer un accord entre parties. C’est davantage une interprétation de la convention qu’une mise à jour.

L’article 10 évoque la protection des œuvres artistiques et de leurs créateurs : quelle est sa portée ?
Cet article n’introduit pas une mesure nouvelle. Si un pays dispose de textes concernant la protection de la propriété intellectuelle, la transposition de la convention peut faire en sorte que ces textes s’appliquent aux atteintes réalisées via un système informatique.

Ça concerne aussi le téléchargement illégal (3) ?
Oui. Mais ce qui est considéré comme criminel, c’est qu’un individu télécharge un film ou une chanson et en fasse commerce. La dimension « commerciale » des actes commis est importante. Les malentendus sont fréquents avec cet article de la convention.

Les Nations-Unies plancheraient sur un texte sur la cybercriminalité ?
A ma connaissance, les Nations-Unies ont réuni un groupe de travail en 2010 sur le sujet. Un projet de rapport a été discuté en février 2013. Il peut y avoir un accord presque complet sur l’assistance technique pour la formation des juges, des avocats, des experts en ce qui concerne la cybercriminalité. Mais il n’y en a aucun sur tout le reste. C’est très difficile de négocier un accord international sur ce sujet. Le plus grand avantage de la convention de Budapest, c’est qu’elle existe déjà.
_Propos recueillis par Adrien Paredes

(1) La convention sur la cybercriminalité est aussi connue sous le nom de convention de Budapest sur la cybercriminalité ou de convention de Budapest.
(2) PRISM est un programme d’écoutes électroniques réalisé à grande échelle depuis 2007 par la National Security Agency (NSA), le renseignement américain et révélé par The Guardian et The New York Times en juin 2013.
(3) Voir notre dossier complet publié dans L’Obs’ n° 107.

écrit par Adrien