Cybercriminalité : Tous concernés !

Cybercriminalité : Tous concernés !

Tout utilisateur d'internet a déjà été confronté à un acte malveillant, qu'il en soit devenu la victime ou qu'il soit parvenu à l'éviter.  Internet est à l'image de notre société humaine... Un lieu où la malveillance est susceptible de s'abattre sur chacu

NetPilote création de site internet comité d'entreprise experts en sites dynamiques.

lundi 26 octobre 2020

Tout utilisateur d'internet a déjà été confronté à un acte malveillant, qu'il en soit devenu la victime ou qu'il soit parvenu à l'éviter.  Internet...

Jeudi 21 septembre 2017

Tout utilisateur d'internet a déjà été confronté à un acte malveillant, qu'il en soit devenu la victime ou qu'il soit parvenu à l'éviter.  Internet est à l'image de notre société humaine... Un lieu où la malveillance est susceptible de s'abattre sur chacun d'entre nous. Des outils sont aujourd'hui disponibles pour les victimes mais les chances de succès sont limitées. LMC Partenaires vous renseigne sur ce sujet opaque et sur la bonne marche à adopter, pour parer cette nouvelle forme de criminalité.

Ordinateurs, tablettes, objets connectés, utilisation du cloud... Le monde se connecte et les criminels l'ont bien compris. C'est  autant de moyens désormais d'atteindre les personnes peu averties des risques présents sur le web. En effet, sur le web aucune frontière physique n'existe réellement, et les antivirus constituent de plus en plus fréquemment que des minces murailles face aux attaques. Aucune protection totale de nos systèmes d'information n'existe, de nombreuses failles étant exploitées chaque jour par les cyber-gangs.

Pour autant, plusieurs comportements peuvent permettre de limiter la menace qui plane sur les internautes, de plus en plus exposés.

En cas d'atteinte, des outils sont bien entendu à la disposition des victimes, mais les chances de succès restent encore très limitées à ce jour puisque la cybercriminalité ne constitue pas en elle-même une infraction.

Avant de revenir sur les bonnes pratiques et les réflexes à adopter en cas d'infraction cybercriminelle, il semble important d'apporter quelques éléments de définition à cette notion très large.

 

I. La cybercriminalité : la criminalité du cyberespace

 

A) Une criminalité aux masques multiples

 

Face à la cybercriminalité, la première question que l'on peut se poser est relative à leur terrain d'action. La cybercriminalité comme son nom peut l'indiquer, évolue sur internet.

Mais qu'est-ce qu'internet ? Internet est défini par l'INSEE comme étant un "Ensemble de réseaux mondiaux interconnectés qui permet à des ordinateurs et à des serveurs de communiquer efficacement au moyen d’un protocole de communication commun (IP). Ses principaux services sont le Web, le FTP, la messagerie et les groupes de discussion."

L'ampleur d'internet permet de comprendre l'ampleur et la diversité que peut comprendre la cybercriminalité.

En effet, la cybercriminalité ne constitue pas en elle-même une infraction. Elle se décline en une multitude d'actions qui peuvent aboutir à la commission d'une infraction, qui pourra être appréhendée par le droit pénal.

Le dictionnaire Larousse définit ainsi la cybercriminalité comme étant :

"Ensemble des infractions pénales commises sur les réseaux de télécommunication, en particulier Internet. On distingue les infractions liées aux technologies (virus, piratage, etc.), celles liées aux contenus (racisme, pédophilie, etc.) et celles facilitées par les réseaux (copie illicite de logiciels ou d’œuvres audiovisuelles, etc.)."[1]

 

En effet, la cybercriminalité peut notamment être classée en deux catégories :

 

  • Les atteintes spécifiques aux technologies de l'information et de communication : sont ainsi sanctionnées par le Code pénal aux articles 323-1 et suivants les atteintes aux systèmes de traitement automatisé de données ; sont également sanctionnées les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques par les articles 226-16 et suivants du Code pénal ;
  • Les infractions dont la commission est liée à l'utilisation des technologies de l'information et les réseaux : ainsi la pédopornographie est sanctionnée par l'article 227-23 du Code pénal ; les infractions traditionnelles sont également à inclure dans cette catégorie comme l'usurpation d'identité ou encore l'escroquerie.

 

Les cybercriminels utilisent plusieurs méthodes d'attaques afin de parvenir à des objectifs qui sont très divers. Les motifs peuvent en effet relever d'une volonté de faire du profit en volant des données par exemple pour les revendre par la suite (hackers isolés ou organisés en "cyber-gang"), de se lancer des défis (les jeunes hackers ou encore les script kiddies), les "hacktivistes", la vengeance (hacking plus ciblé), ou encore l'espionnage.

Les attaques peuvent être massives ou ciblées, cette dernière catégorie étant plus faible.

Ces pirates du cyberespace ont à leur disposition plusieurs méthodes, stratégies très diverses.

Une revue non exhaustive des malwares, ou logiciels malveillants, permettra de comprendre l'ampleur des outils des cybercriminels :

 

  • Ver : Programme se reproduisant sur plusieurs ordinateurs par l'intermédiaire du réseau informatique
  • Spyware : Programme permettant d'espionner l'utilisation d'internet mais également d'enregistrer les frappes de clavier, ou encore de prendre le contrôle de la webcam ou du micro d'un ordinateur.
  • Botnet : réseau de robots, d'ordinateurs infectés par un logiciel malveillant, contrôlés à distance par le cybercriminel appelé serveur de commande et de contrôle. Ce réseau est constitué en balayant la toile pour trouver des objets connectés non protégés. Le botnet permettra aux cybercriminels de lancer leurs attaques d'ampleur notamment.
  • Virus : Logiciel de petite taille, qui se transmet par réseau et qui infecte une machine en parasitant son fonctionnement et pouvant aller jusqu'à la suppression des données de l'ordinateur.[2]
  • Cheval de troie/ Trojan : Programme comprenant un autre programme malveillant permettant de prendre le contrôle d'un ordinateur ou objet connecté.
  • Rootkits : Programme permettant de dissimuler la présence de malwares.

 

Outre ces moyens techniques, la cybercriminalité prospère par le biais de modes opératoires particulièrement bien rodés :

  • Le phishing ou hammeçonnage : cette technique de fraude tendant au vol de données personnelles et confidentielles (identité, coordonnées bancaires etc.) transite par le biais d'un envoi massif de mails. Le hacker se présente sous une fausse identité, celle d'une personne de confiance (entrepris connue, instance officielle, banque etc.). Le destinataire du mail est invité à ouvrir une pièce jointe infectée par un logiciel malveillant ou à se rendre sur un site internet par le biais d'un lien hypertexte qui dirige vers un site internet copie conforme d'un site internet officiel. Dans la seconde hypothèse, il lui est demandé par le biais d'un formulaire, dans la majorité des cas, de renseigner un certain nombre d'informations confidentielles. Le cybercriminel est alors soit introduit dans le système informatique de la victime au sein duquel il pourra collecter des données, soit immédiatement détenteur des informations volontairement données par la victime.
  • Le spearphishing : Il s'agit d'un phishing ciblé, la victime ayant été préalablement identifiée et étudiée afin de personnaliser le mail dont elle sera la destinataire.
  • Arnaque au président ou escroquerie aux faux ordres de virement: attaque personnalisée permettant d'obtenir d'un employé d'une entreprise un virement sur un compte bancaire étranger sur ordre du prétendu président/dirigeant.
  • Ransomware : après avoir introduit un logiciel malveillant dans la cadre d'une attaque de masse, qui transite le plus souvent par email, ledit logiciel chiffre l'ensemble des données de la victime lui bloquant ainsi tout accès. Une rançon est sollicitée en échange d'une clé de déchiffrement permettant d'accéder de nouveau aux données kidnappées. Le phishing est notamment le vecteur du ransomware. Aucune protection n'est efficace face au ransomware, une fois que l'ordinateur est infecté.
  • Attaque DDoS ou déni de service : Attaque d'ampleur ayant pour objectif de rendre impossible l'utilisation d'un service en surchargeant son serveur par exemple (blocage d'un site internet de commerce en ligne par exemple).
  • Logiciels de sécurité non désirés : Dans cette hypothèse un message de sécurité s'affiche lorsque vous consultez un site internet vous invitant à télécharger un programme afin de mettre un terme à la menace.

 

Chacun de ces "outils" peut se combiner avec d'autres, certains étant utilisés comme des canaux des autres, selon le but souhaité par le cybercriminel.

Les attaques de sécurité nationale ne seront ici pas évoquées, même si tout utilisateur d'internet peut se retrouver concerné.

Face à la menace sur internet, classée deuxième menace de sécurité nationale après la menace terroriste (Source : ANSSI) , des réponses législatives sont apportées.

 

B) La cyberlaw : un ensemble législatif en construction

 

Tant le droit national que le droit de l'Union européenne appréhendent les problèmes relatifs à l'utilisation d'internet et à leur exploitation à des fins malveillantes.

La loi n°78-17 du 6 janvier 1978 dite informatique et libertés, réglemente le traitement des données personnelles. Elle a notamment abouti à la création de la CNIL, autorité administrative indépendante en charge de la protection des données personnelles. La protection des données personnelles a été significativement améliorée par la loi pour une République numérique du 7 octobre 2016. Cette loi a notamment pour objectif d'anticiper l'application du règlement européen du 27 avril 2016 n°2016/679, prévue pour le 25 mai 2018.

La loi GODFRAIN n°88-19 du 5 janvier 1988 relative à la fraude informatique a été la première législation relative aux atteintes aux Systèmes de Traitement Automatisé des Données.

Cette loi a notamment été complétée par la Loi pour la Confiance dans l'Economie Numérique du 21 juin 2004, transposant la directive européenne 2000/31/CE ou encore la loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme consacrant le vol de données.

Plusieurs instances permettent de protéger les utilisateurs d'internet, à l'instar de l'ANSSI, à l'origine du Référentiel Général de Sécurité qui a notamment pour objet de sécuriser les échanges et les transactions entre les usagers et les autorités administratives.

Une nouvelle directive européenne dite directive NIS du 6 juillet 2016, transposable en droit interne avant le 9 mai 2018, a pour objectif de renforcer la coopération européenne en matière de cybersécurité, et l'adoption de règles communes en la matière.[3]

 

II. Victime?! Les réflexes à adopter 

 

En cas d'attaque identifiée rapidement, il est conseillé de déconnecter immédiatement son ordinateur du réseau internet, notamment en le débranchant du réseau.

Il est également conseillé en cas de fraude de se rapprocher immédiatement de son établissement bancaire afin de faire opposition et de sécuriser son compte bancaire.

L'Agence Nationale de la Sécurité des Systèmes d'Information a notamment mis en ligne un certain nombre de sites permettant d'être assisté en cas d'attaque : https://www.ssi.gouv.fr/en-cas-dincident/

Le gouvernement a également mis en place un site internet permettant aux victimes de cyberattaques d'être conseillées et redirigées vers des professionnels en fonction de leur situation : www.cybermalveillance.gouv.fr

Le dépôt de plainte est également essentiel, les services de la gendarmerie et de la police nationale étant désormais composés d'équipes spécialisées dans les cyberattaques. Cette démarche est primordiale, d'autant plus si vos données ont été dérobées, et votre identité risque d'être usurpée afin de commettre des infractions.

Les cyberattaques peuvent avoir des conséquences dramatiques. Perte financière, destruction du matériel ou encore atteinte à l'image et à la réputation de l'entreprise. Autant de dommages auxquels les victimes de cyberattaques peuvent se retrouver confrontées.

Si les cyberattaques sont potentiellement sanctionnées pénalement, il n'en demeure pas moins que l'identification des hackers est extrêmement difficile.

De ce fait, la prévention constitue la meilleure réponse à la cybermenace.

 

  • Les bonnes pratiques : une hygiène de vie connectée

 

La formation et la communication sont les maîtres mots en la matière. Seule une réelle connaissance des dangers d'internet permet de se protéger le plus efficacement possible face aux cyberattaques. L'organisation de formations au sein des entreprises apparaît essentielle afin d'alerter les collaborateurs sur les risques et les encourager à adopter des bonnes pratiques.

Le second conseil serait qu'en cas de doute, il convient de s'abstenir. Il est recommandé de supprimer les mails non désirés ou suspects sans y répondre. Au préalable il est extrêmement important de vérifier l'expéditeur des mails, tout en ayant conscience que des données personnelles et confidentielles ne sont en principe jamais demandées par mails.

Il est tout aussi important d'effectuer toutes les mises à jour conseillées par le fabriquant de votre matériel informatique, permettant de protéger vos ordinateurs contre les failles identifiées au fur et à mesure.

La connexion sur un wifi non sécurisé est également déconseillée, de même que le branchement d'une clé USB inconnue.

Il convient d'être attentif aux sites visités, de même qu'au choix des mots de passe qui doivent être sécurisés.

Enfin, et surtout, une sauvegarde régulière et sécurisée des données est extrêmement conseillée tant aux particuliers qu'aux entreprises, afin de se prémunir de tout attaque de ransomware.

 

[1] https://www.larousse.fr/encyclopedie/divers/cybercriminalit%c3%a9/39269#H7DXjEOFxGq0ek0I.99

[2] https://support.microsoft.com/fr-fr/help/129972/how-to-prevent-and-remove-viruses-and-other-malware

[3] Actualité ANSSI "Adoption de la directive Network and Information Security (NIS) : l'ANSSI, pilote de la transposition en France »

LMC Partenaires

En bref !

01/10/2020 + Avocat Divorce à Montigny-le-Bretonneux - Avocats LMC
Au sein du cabinet d’avocats LMC Partenaires à Montigny-le-Bretonneux, l’avocat en charge de votre demande de divorce sera à votre écoute et vous...
23/09/2020 + Les impayés en entreprise, comment les gérer ?
Crise économique et impayés en entreprise, comment les gérer ? La crise sanitaire a fait quasiment doubler le nombre de factures impayées mettant la...
10/08/2020 + Comment annuler un testament fait chez le notaire ?
Lors d'une succession, on distingue les testaments authentiques rédigés devant notaire, des testaments olographes. Comment annuler un testament fait...
29/06/2020 + Avocat en Droit du Travail à Montigny-le-Bretonneux
Le cabinet d’avocats LMC Partenaires à Montigny-le-Bretonneux regroupe des avocats en droit du travail qui accompagnent les entreprises dans...
14/05/2020 + Collecte de données personnelles par les employeurs rappels de la CNIL
Dans la perspective du déconfinement suite à la crise sanitaire de coronavirus COVID-19, la CNIL rappelle quelques principes concernant la collecte...
11/05/2017 - Proportionnalité et légitime défense le cas sauvage
Au moment où l'alignement du régime de la légitime défense des policiers sur les gendarmes anime nombre de débats, la Cour de cassation a eu...
09/05/2017 - Gestation pour autrui : la volonté de l'Etat supérieure à l'intérêt de l'enfant
La Grande Chambre de la Cour Européenne des Droits de l'Homme vient d'annuler par un arrêt du 24 janvier 2017 (CEDH, Gr. Ch., 24 janvier 2017,...
04/05/2017 - Transsexualisme : la simplification du changement de sexe
La loi dite de modernisation de la justice du XXIème siècle du 18 novembre 2016 n°2016-1547, a apporté une modification majeure  pour les personnes...
03/05/2017 - Retour sur la réforme de la prescription en matière pénale
La loi n°2017-242 du 27 février 2017 portant réforme de la prescription en matière pénale a été promulguée à la suite de longs débats et navettes...
14/04/2017 - Les robots et le droit : vers la consécration juridique (épisode II)
Dans le premier épisode de cette courte série dédiée à la révolution numérique, nous avions évoqué l'impact des technologies de l'information sur la...
13/04/2017 - Le Droit et les robots : à l'heure de la révolution numérique (épisode I)
Blockchain, legal techs, big and open data... autant de termes qui constituent désormais une nouvelle langue étrangère dont les professionnels du...
07/04/2017 - La vie numérique après la mort
Facebook, Twitter, Instagram, banque en ligne, correspondance par mail, espaces clients... notre vie se déroule désormais en grande partie sur...
06/04/2017 - La cession de parts sociales n'emporte pas cession du compte-courant d'associés
Le compte-courant d'associés ne constitue pas un accessoire des parts sociales ou actions. C'est ce qu'est venue rappeler la Cour de cassation, dans...
30/03/2017 - Bail d'habitation et prescription
Par un arrêt rendu le 26 janvier 2017 (Civ. 3ème, 26 janvier 2017, n°15-27.580), la Cour de cassation est venue affirmer sa position selon laquelle...
24/03/2017 - Alerte à la clause : la garantie du passif en présence d'un cessionnaire peu diligent
La chambre commerciale de la Cour de cassation est venue rappeler le 25 janvier 2017 (Com. 25 janvier 2017, n°15-17.137 et 15-18.246) une solution de...
20/03/2017 - La Cour de Justice de l'Union Européenne lève le voile
  Sur un sujet aussi sensible que le port du voile ou de tout signe religieux en entreprise, une cohérence des différentes jurisprudences était...
17/03/2017 - La clause Molière : légale ou discriminatoire?
La clause dite “Molière” qui défraye la chronique depuis quelques temps, vise à imposer le français sur les chantiers publics afin de...
27/02/2017 - Le préjudice d'angoisse de mort imminente est-il indemnisable ?
La chambre criminelle de la Cour de cassation a le 27 septembre 2016 (n° de pourvoi : 15-83.309), dans un arrêt à tiroirs, précisé le concept de...
21/02/2017 - Cadres heures supplémentaires : vers une preuve impossible
Si la plupart des Cadres se voient aujourd'hui appliquer des clauses des forfaits jours, il n'est pas rare que la validité de ces clauses soit...
20/02/2017 - Agression par un mineur, la responsabilité civile du mineur est-elle engagée ?
La Cour de cassation est venue rappeler le 20 octobre 2016 (pourvoi n°15-25.465) le principe depuis longtemps acquis selon lequel la minorité de...
COVID-19 ]
Accueil ] [ Le Cabinet ] [ Entreprises ] [ Particuliers ] [ Formations ] [ Honoraires ] [ Nos succès ] [ Actualités ] [ Contact ]
Accueil ]
LMC Partenaires
6 rue Jean-Pierre Timbaud
Immeuble Le Campus
78180 Montigny le Bretonneux
FRANCE
telephone formation IT+33 (0)1 30 21 18 92
contacter formateur par mailmail@lmcpartenaires.fr