CAPRIOLI & Associés, Cabinet d'Avocats à Nice et Paris

Le droit au service de la confiance digitale

Dimanche 18 Février 2018

Le Ransomware ou l’avènement de la prise d’otage numérique, une nouvelle forme de racket

Le Ransomware ou l’avènement de la prise d’otage numérique, une nouvelle forme de racket
Les menaces cyber en croissance exponentielle. La cybercriminalité se développe constamment que ce soit de façon quantitative ou qualitative. Les attaques prennent des contours très variés et en constante évolution. La société Symantec dans son rapport annuel de 2015 sur l’évolution des menaces informatiques dans le monde a souligné l’augmentation de plus de 36% des logiciels malveillants (ou malwares) par rapport à 2014 (en 10 ans, on serait passé d’environ 22.000 à 430 millions de logiciels malicieux). Cela peut aussi se traduire par du piratage de données plus ou moins sensibles, comme par exemple Ashley Madison (site de rencontres extra-conjugales avec 37 millions d’utilisateurs concernés) ou le fabricant de jouets connectés VTech (soit 6,3 millions de profils d’enfants dont 1,2 million d’enfants français). OS Microsoft, Mac, Linux, Androïd, Apps, tous les terminaux (Ordinateurs fixes et mobiles, téléphones portables et smartphones, tablettes, IOT) et tous les systèmes sont visés par des « malwares ». Il n’en demeure pas moins que c’est bien la recrudescence des « ransomwares » qui marque les deux dernières années. Pour la France, le baromètre de la cyber-sécurité des entreprises de Janvier 2016 du Club des Experts de la Sécurité de l’Information et du Numérique constate que 61% des entreprises  interrogées ont été victimes de demandes de rançons. On a recensé 391.000 attaques de ce type en France ! Tout récemment, le malware Wanacry en mai 2017 a affecté de nombreuses entreprises industrielle dont Renault et des établissements publics comme des hôpitaux dans une centaine de pays dans le monde. Quelques semaines plus tard, ce fût au tour du ransomware Petya de se propager en Europe et aux Etats-Unis, dont en France l’industriel Saint Gobain. Selon les experts en sécurité, ce dernier cacherait en fait un « wiper », c’est-à-dire un malware visant à effacer les données des postes visées, sans qu’il soit possible de les récupérer. C’est dire si les risques et les dommages potentiels liés aux ransomwares sont importants !Qu’est-ce que le Ransomware ? Le ransomware est un logiciel malveillant qui a la particularité de prendre en « otage » des données d’une entité en les chiffrant ou de bloquer l’accès à une machine à tout utilisateur. Pour déchiffrer les données avec une clé cryptographique ou disposer de l’équipement ou de la clé permettant de déverrouiller la machine, la victime doit verser une somme d’argent, qui, le plus souvent, s’effectue à l’aide de Bitcoins. En mars 2016, l’AFP a été victime de deux tentatives avec le ransomware Locky qu’elle a déjoué sans payer la rançon. A côté de ces procédés reposant sur du chiffrement, il existe d’autres procédés apparentés sans utilisation de produits cryptographiques qui par exemple, orientent la victime vers des numéros gratuits mais qui sont en réalité surtaxés ou de faux techniciens supports de Microsoft qui imitent des pages d’erreurs et bloquent l’ordinateur avec une prise de contrôle à distance par le biais de  Team Viewer. Parmi les ransomwares les plus connus, on peut citer Cryptowall (actuellement la V.4.0) ou TeslaCrypt, et plus récemment Samsam qui s’attaque aux serveurs utilisant Jboss ou encore Wanacry et Pethya. Quels risques juridiques ? Les risques juridiques sont de natures diverses. Parmi eux, on citera non seulement les pertes de données à caractère personnel, mais également la préservation de la sécurité des données afin notamment qu’elles ne soient pas déformées, endommagées ou que des tiers non autorisés y aient accès (art. 34 de la loi Informatique et Libertés du 6 janvier 1978) sous peine de sanctions de la CNIL ou de sanctions pénales (art. 226-17 du code pénal : 300.000 euros d’amende et 5 ans de prison). Cependant, avec le nouveau Règlement européen (RGPD) n°2016/679 du 27 avril 2016 sur la protection des données, applicable à compter du 25 mai 2018, toutes les entreprises petites et grandes, ainsi que les collectivités publiques auront l’obligation de notifier les violations de données à caractère personnel à leur autorité de contrôle (la CNIL pour la France), contrairement à la loi « Informatique et libertés » du 6 janvier 1978 actuellement en vigueur qui ne vise que les fournisseurs de services de communications électroniques en vertu de l’article 34 Bis. Selon l’article 33 du RGPD, cette notification doit intervenir dans les 72 heures à compter de sa connaissance auprès de l’autorité de contrôle et lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne, la notification à la personne concernée doit s’opérer dans les meilleurs délais (art. 34 du RGDP). Il convient de souligner que les sous-traitants, tels que les prestataires de services dans le cloud computing ou de services de confiance auront également l’obligation de notifier sans délai au responsable de traitement (le client) dès qu’ils ont connaissance de la violation. Les fondements juridiques des poursuites judiciaires. Le droit n’est pas sans réponse. En effet, le code pénal dispose d’un arsenal apte à répondre à ces menaces. A ce titre, le dispositif légal consiste à réprimer les atteintes aux systèmes d’information prévues aux articles 323-1 et 323-2 du code pénal : introduction, maintien frauduleux dans un système d’information, altération du fonctionnement du SI. Les sanctions varient entre 2 et 5 ans d’emprisonnement et entre 60 et 150.000 euros d’amende (sauf si c’est un SI de l’Etat, les sanctions sont plus fortes). Mais pour le ransomware, ce sera plutôt l’article 323-3 du code pénal qui jouera : « le fait d’introduire frauduleusement des données » dans un SI, « d'extraire, de détenir,...

Transposition de la Directive Services de Paiement : quelles nouveautés en Droit français ?

Transposition de la Directive Services de Paiement : quelles nouveautés en Droit français ?
Qu’apporte cette Ordonnance pour les agréments des prestataires et la supervision du marché ?  Transposant la DSP 2 en droit français, l’Ordonnance complète les conditions d’octroi de l’agrément des établissements de paiement, à savoir des personnes morales autres que les établissements de crédit et de monnaie électronique qui fournissent à titre de profession habituelle des services de paiement, tels que les versements ou retraits d'espèces, les prélèvements, les opérations de paiement effectuées avec une carte, les virements, ou les transmissions de fonds. En outre, pour les établissements dont la moyenne mensuelle de la valeur totale des opérations de paiement ne dépasse pas 3 millions d'euros, un agrément simplifié est ouvert. Les dispositions relatives aux établissements de monnaie électronique sont également adaptées, et ce dans les mêmes conditions.En matière de supervision des activités transfrontalières, les pouvoirs de l'Autorité de contrôle prudentiel et de résolution (ACPR) sont renforcés, cette dernière pouvant désormais prendre des mesures conservatoires en cas d'urgence à l'égard des établissements agréés dans un autre Etat membre de l'Union européenne et exerçant leur activité en France, lorsqu'une action immédiate est nécessaire pour contrer une menace grave pour les intérêts collectifs des utilisateurs de services de paiement.En matière de nouveaux services ? Deux nouveaux services de paiement sont intégrés dans le Code monétaire et financier, à savoir :les services d'information sur les comptes, qui permettent à l'utilisateur de services de paiement d'avoir une vue d'ensemble de sa situation financière à tout moment et de gérer au mieux ses finances personnelles, et les services d'initiation de paiement, qui permettent aux consommateurs de payer leurs achats en ligne par simple virement, tout en donnant aux commerçants l'assurance que le paiement a été initié de sorte que les biens peuvent être livrés ou les services fournis sans délai. La fourniture de chacun de ces services représentant un risque modéré en raison de l'absence de détention de fonds par leurs prestataires, ces activités bénéficient d'un régime prudentiel dérogatoire - absence de capital initial et, pour les prestataires de services d'information sur les comptes, absence de fonds propres. Les dispositions relatives à leur régime quant aux obligations relatives à la lutte contre le blanchiment et le financement du terrorisme sont également précisées dans le cadre de cette ordonnance.On notera en parallèle que les prestataires de ces nouveaux services disposant d’un régime juridique légal sont souvent considérés comme des fintech. D’autres types de services émergent qui sont désormais objets de l’attention de l’Autorité Bancaire Européenne. Un renforcement des droits et obligations des utilisateurs. Désormais, les utilisateurs de moyens de paiement voient leur responsabilité réduite de 150 euros à 50 euros en cas de paiements non autorisés, c'est-à-dire de paiements consécutifs à un vol, une perte ou un détournement de l'instrument de paiement. Les utilisateurs doivent également être informés sans délai des incidents opérationnels et de sécurité majeurs - c'est-à-dire des incidents affectant le fonctionnement de l'établissement ou la sécurité de l'opération de paiement - lorsque l'incident est susceptible d'avoir des répercussions sur leurs intérêts financiers. Enfin les utilisateurs de services de paiement doivent être informés des procédures de réclamation existantes, ainsi que des procédures de règlement extrajudiciaire en cas de litige.Un dernier point et non des moindres : l’authentification forte. Pour renforcer la sécurité pour les paiements électroniques et la protection des données financières des consommateurs, le Code monétaire et financier intègre désormais des dispositions sur l'authentification forte du client. Elle consiste à vérifier l'identité du payeur lors de l'opération de paiement, suivant des conditions précisées par l'Autorité bancaire européenne. Pour l’heure, les standards techniques relatifs à l’authentification forte ne devraient pas tarder à être publiés. On retiendra ainsi que l’authentification forte repose sur l'utilisation de deux éléments ou plus appartenant aux catégories "connaissance" (quelque chose que seul l'utilisateur connaît), "possession" (quelque chose que seul l'utilisateur possède) et "inhérence" (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en cause la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification.De plus, certaines des méthodes actuelles d’authentification à double facteur comme l’OTP SMS sont en train d’être battus en brèche pour des raisons de sécurité technique, mettant ainsi en valeur les facteurs d’authentification biométriques comme les reconnaissances vocale ou faciale, reconnues plus fiables. L’entrée en vigueur des nouvelles dispositions du Code monétaire et financier est prévue le 13 janvier 2018, à l'exception de dispositions transitoires prises conformément à la directive eu égard à l'entrée en vigueur différée de normes techniques de réglementation.Aux établissements bancaires, financiers et aux compagnies d’assurance maintenant de prévoir les évolutions requises par cette nouvelle législation en conjonction avec les exigences de privacy by design prévues dans le RGPD. Pascal AGOSTI, avocat au Barreau de Nice, Docteur en droit

Identité numérique sous « emprise » : le code pénal en force !

Identité numérique sous « emprise » : le code pénal en force !
S’il est vrai que certains donnent mandat à un tiers professionnel (exemple : un webmaster d’un site dédié à la communication d’une personne) pour gérer leur image virtuelle, l’usage indu et non autorisé des attributs de notre identité sur le net - qui plus est à mauvais escient - relève de l’offense et de l’atteinte inacceptables. C’est l’expérience amère et parfois hautement préjudiciable qu’ont pu faire un nombre inexorablement croissant de personnes à travers le monde au gré de toutes les formes d’usurpation d’identité : usage détourné du nom, de l’état civil, des titres, des données personnelles, de l’image, etc. Plus près de nous, en 2014, l’affaire Rachida Dati avait mis un coup de projecteur intéressant sur la problématique en portant sur les fonts baptismaux des prétoires, l’article 226-4-1 du Code Pénal réprimant expressément l’infraction d’usurpation d’identité numérique.En novembre 2016, la Cour de Cassation a clôturé cette affaire de référence en ouvrant la porte à d’autres questionnements. Rappel du baptême du feu de l’article 226-4-1 du Code pénal. L’espèce concernait un informaticien ayant créé une réplique du site officiel de la Député-Maire du VII arrondissement de Paris (reprise de la photographie, mise en page et des éléments graphiques propres au site officiel) et ayant profité d’une faille de sécurité de type XSS pour permettre la navigation des internautes du site officiel vers son avatar sans s’en rendre compte, comme s’il s’agissait du même et unique site. Or, ledit faux site permettait précisément à tout internaute plus ou moins bien intentionné à l’endroit de la victime de « rédiger un texte court  et de l’afficher sous la forme d’un communiqué de presse présentant l’aspect du site officiel », le tout étant enrichi par la possibilité de publier « via les réseaux sociaux Twitter et Facebook un lien affichant les faux communiqués de presse de la députée-maire présentant l’apparence d’être hébergés sur son site officiel ». La promotion du site factice avait été assurée, notamment, par l’envoi d’un lien auprès des 4.000 contacts Twitter du prévenu. Résultat : en apparence, le site officiel de Madame Rachida Dati charriait des messages apocryphes, à caractère obscène, injurieux, diffamatoire ou bien politiquement compromettant pour la victime. L’affaire « Dati » confirme l’extension du domaine de la lutte contre l’usurpation d’identité. Si le Tribunal de Grande Instance de Paris a retenu aussi bien l’usurpation d’identité numérique que l’introduction frauduleuse de données dans un STAD, la Cour d’Appel de Paris, en novembre 2015, a réformé partiellement la décision en écartant ce dernier fondement. Il est vrai que la faille de sécurité offrait un argument de repli opportun puisque l’accès frauduleux est hypothéqué par la négligence du concepteur du site.Il n’en demeure pas moins que sur les critères constitutifs de l’infraction telle que définie par l’article 226-4-1 du code pénal, tout y est !L’élément matériel prend sa consistance, notamment, dans la reprise de la photographie de la victime et de la charte graphique d’origine du site officiel, c’est-à-dire dans la reprise de données permettant d’identifier la personne. Il n’est donc pas forcément nécessaire que les éléments « primaires » de l’identité (le nom et le prénom) soient concernés, corroborant ainsi le caractère extensif de la notion d’identité numérique au sens du code pénal français. L’élément moral, quant à lui, était cristallisé par de multiples indices dont la tolérance et la favorisation de la publication de faux communiqués de presse aux contenus explicitement attentatoires à l’honneur et à la dignité de la victime. Quand bien même le principal prévenu ne serait pas l’auteur, son intention de nuire ne faisait aucun doute. L’usurpation d’identité exclusive de la liberté d’expression ? Par un arrêt relativement lapidaire en date du 16 novembre 2016, la Cour de Cassation vient donc de clore cette affaire par la confirmation de la condamnation de l’informaticien « indélicat » sur le fondement de l’usurpation d’identité numérique. Au-delà de la concision du libellé de l’arrêt, il convient de relever que la Cour de Cassation retient que l’infraction est « exclusive de l’application de l’article 10 de la Convention européenne des droits de l’homme ». Peut-on en déduire que le fait d’usurper l’identité numérique d’une personne par quelque biais que ce soit – éléments d’identité ou données d’identification - vicie nécessairement tout acte ou démarche fondée sur la sacro-sainte liberté d’expression ?Il faudra certainement plus de recul pour pouvoir être aussi tranché. Mais, en tout état de cause, en l’espèce, rien n’aura donc résisté à la qualification de l’article 226-4-1 du code pénal, pas même les ressorts pourtant éprouvés de la liberté d’expression. La défense n’avait pas lésiné sur l’argument de l’humour et de la parodie satirique pour convaincre les différentes instances. En vain !Les juges mobilisés face à des risques de démembrement et de perversion de l’identité. Depuis les premiers « actes » de cette affaire « Dati », la jurisprudence s’est richement étoffée sur la base de la seule qualification de l’article 226-4-1 du code pénal. Ainsi, même en référé, les juges reçoivent désormais volontiers le caractère manifeste des infractions sur le fondement de l‘usurpation d’identité numérique. Ainsi en est-il de l’ordonnance de référé du Tribunal de Grande instance de Paris en date du 12 août 2016 reconnaissant le trouble manifestement illicite causé par l’usurpation de l’identité...