Menaces liées à la cybercriminalité

Menaces liées à la cybercriminalitéCompte tenu de l’importance du sujet des cybercriminalités, le ministère de l’intérieur a publié en mai 2018 un deuxième rapport de réponse dédié aux cybermenaces. Comme le ministre l’affirme, il s’agit d’un panorama riche et approfondi des phénomènes cyber et des réponses actuellement apportées par le ministère. Ce rapport est composé de trois parties principales :

  • Enjeux stratégiques liés aux cybermenaces
  • Usages, phénomènes et perception de la menace
  • Les actions du ministère de l’intérieur pour la gestion des cyber-menaces

Dans la première partie concernant les enjeux stratégiques liés aux cybermenances, trois enjeux sociétaux, économiques et juridiques ont été identifiés. Quant aux enjeux sociétaux, il s’agit de l’emploi d’internet à des fins terroristes (Crowdsourcing des activités de terroristes), l’évolution des usages des technologies de l’information et des communications comme les forums de discussion et les crypto-monnaies, les trafics illicites sur les Darknets (web profond) à travers d’utilisation de plus en plus accrue des outils de chiffrement et d’anonymisation.

Les enjeux économiques concernent entre outres, le développement du marché de la cybersécurité, ainsi que le contre-ingérence économique. A titre d’exemple, pour les organisations, les atteintes motivées par l’appât du gain, le sabotage, l’espionnage ou l’ingérence économique ont des incidences financières et réputationnelles remarquables.

Quant aux enjeux juridiques et normatifs des cybermenaces l’évolution du cadre français, l’impact des directives (NIS) et règlements européens (RGPD) et de la jurisprudence de la CJUE sur la lutte contre les cybermenaces (arrêt 21 décembre 2016), les travaux du Conseil de l’Europe, l’Assemblée générale des Nations Unies et le groupe G7, ainsi que la coopération internationale, compte tenu de la dimension internationale de la cybercriminalité, ont été énumérés dans le rapport.

Dans la deuxième partie concernant usages, phénomènes et perception de la menace, trois facteurs de la vulnérabilité, l’ingénierie sociale et les logiciels malveillants ont été identifié en tant que trois vecteurs principaux de diffusions des attaques telles qu’attaque ciblée et attaques en profondeur, détournement et vol de données, dénis de services, défiguration et les attaques téléphoniques.

L’internet avec un taux de pénétration de 87% en France et 54% dans le monde a été identifié comme le support principal, notamment à travers des smartphones et des tablettes, et désormais les objets connectés et les espaces intelligents, à des fins de terroristes, des escroqueries, d’extorsions de fonds, de fraude à la carte bancaire, des marchés criminels en ligne, des atteintes aux mineurs, de contrefaçon des œuvres de l’esprit et finalement d’atteinte à la démocratie. L’étude menée sur l’ensemble des faits portés à la connaissance de la gendarmerie montre une tendance globale en hausse de 30 % par rapport à 2016 ; plus de 60 % du total de ces infractions sont des escroqueries liées à Internet.

Dans la troisième partie concernant les actions du ministère de l’intérieur, trois actions principales de prévention et protection, d’enquête et d’innovation ont été envisagées. L’actions de prévention vise le grand public, la sensibilisation du monde économique, l’intelligence économique territoriale ainsi que la protection des systèmes d’information du ministère. La protection peut être garantie par le transfert de risque par le biais de l’assurance dont la couverture du risque cyber commence à se développer, même si les actifs intangibles ne peuvent encore être assurés de façon standardisée. Quant à l’action d’enquête au-delà de l’accueil des victimes d’actes de cybercriminalité, des services spécialisés comme investigation si possible sous pseudonyme, formation et coopération ont été envisagés.

En ce qui concerne l’action d’innovation, six axes principaux ont été identifiés : il s’agit de recherche et développement (outils d’investigation et d’analyse numérique (forensics) ainsi que projet de recherche académique), partenariat public-privé (Travaux de la filière industrie de sécurité, Cercles de réflexion), Transformation numérique : mieux signaler, mieux communiquer autour du cyber (Projet Néo PN/GN), Brigade numérique de la Gendarmerie, La mise en place du réseau des référents cybermenaces zonaux, Communication de crise : Système Alerte d’Information des Populations (SAIP) et Médias Sociaux en Gestion d’Urgence (MSGU)), mieux appréhender les phénomènes de masse (Projet Thésée, Projet Perceval), aider à la remédiation à travers des plateformes d’assistance aux victimes de cyber-malveillance, identité numérique.

A l’ère de l’économie numérique et face à la transformation numérique, la cybersécurité constitue un enjeu crucial à la fois pour les consommateurs adoptant davantage des pratiques d’achat et d’usage en ligne notamment les mineurs ainsi que pour les secteurs privé (notamment le secteur bancaire et financier, ainsi que le secteur de la santé) et public. La stratégie de la lutte contre les cybermenaces doit être l’affaire de tous (le secteur public, privé et les individus). Il convient ainsi de renforcer la capacité collective à prévenir et lutter contre le terrorisme…

RGPD et WHOIS de noms de domaine : point à date

Whois et RGPD : quelle problématique ?

Le RGPD encadre le traitement de données à caractère personnel au regard de l’Union européenne de façon bien plus stricte que par le passé. Dans cette dynamique, le nouveau règlement européen oblige désormais les offices d’enregistrement (registry) et les bureaux d’enregistrement (registrar), ces intermédiaires entre l’ICANN et le réservataire gérant la réservation de noms de domaine, à obtenir le consentement des réservataires pour la collecte de leurs données à caractère personnel et interdit leur divulgation au public. En effet, le WHOIS soulevait un problème pour la protection de la vie privée des personnes. La diffusion publique de l’identité, voire d’autres informations relatives au détenteur d’un nom de domaine, ainsi que celles des contacts administratifs et techniques qui peuvent être des personnes physiques, ouvrait la porte à l’exploitation commerciale de ces données sans consentement préalable. Or, il s’agit précisément d’une des problématiques que le règlement entendait traiter. Des changements relatifs à l’accès aux données à caractère personnel des fiches Whois étaient dès lors essentiels pour une mise en conformité effective.  Le modèle de Whois a également été remis en cause par le registrar allemand EPAG. Ce dernier qui fait une interprétation stricte du règlement a cessé de collecter les données des contacts administratif et technique pour les nouveaux enregistrements. L’ICANN a alors engagé une action judiciaire devant le tribunal régional de Bonn afin de requérir la continuation de la collecte de toutes les données WHOIS, et maintenir ainsi l’intégrité de la base de données WHOIS. Déboutée en première instance, l’ICANN a fait appel, action qui a conduit le tribunal de Bonn à se ressaisir de l’affaire.

La mise en conformité de l’ICANN

L’ICANN a donc été contrainte de faire évoluer sa politique de WHOIS. A cet effet, elle a modifié le 31 juillet 2017 ses contrats avec les registry concernant la collecte de données à caractère personnel (point 2.18 du contrat d’accréditation de Registry). La modification porte sur les relations entre regitry et registrar en imposant à ces derniers, lors de l’enregistrement de nom de domaine, d’obtenir le consentement des réservataires quant à la collecte et au traitementde leurs données pour inscription dans la base WHOIS et leur traitement conformément au contrat d’enregistrement des noms de domaine.  Dans cette optique, l’ICANN a retenu le 28 février 20184un modèle provisoire de WHOIS nommé le « Calzone Model » réduit à son minimum et appliqué à tous les titulaires de noms de domaine, dans et hors de l’Union européenne. Son but est de mettre en conformité à court terme l’exploitation de la base WHOIS avec les dispositions du RGPD, préalablement à une révision totale du système afin de permettre un équilibre optimal entre la lutte contre la cybercriminalité et la protection des données à caractère personnel. Les informations mises à disposition du public seront notamment le nom de domaine lui-même, les informations administratives et techniques (dates, statuts, nom du bureau d’enregistrement, serveurs dns), l’état et le pays du titulaire, le nom de l’organisation s’il s’agit d’une société ainsi qu’un moyen de contacter le titulaire (email anonymisé ou formulaire).  Dans le Calzone Model, les autres informations ne sont pas publiées et seuls des utilisateurs accrédités selon des critères non définis à ce jour pourront y avoir accès. Les utilisateurs accrédités envisagés seraient par exemple les autorités policières et judiciaires… et les titulaires de droits. Les propositions initiales de l’ICANN relatifs aux critères d’accréditation ont été rejetées par le Comité Européen de la Protection des Données (CEPD – anciennement G29). A ce jour, l’accès aux données complètes WHOIS est incertain et soumis à la seule appréciation des registrars.

Une application hétérogène par les registrars

En raison du rejet des propositions de l’ICANN par le CEPD et la mise en place dans la précipitation d’un modèle intérimaire, nous constatons une grande hétérogénéité dans les nouvelles politiques de confidentialité.  Par exemple, certains registrars masquent toutes les données tandis que d’autres n’appliquent pas encore les règles fixées par l’ICANN. Afin de communiquer avec le titulaire du nom de domaine enregistré, il est possible d’utiliser un formulaire en ligne qui permet de contacter directement le déposant (GoDaddy, Etats-Unis). D’autres bureaux ont mis en place un service proxy permettant la confidentialité des données à caractère personnel des réservataires (Namecheap). A l’inverse, certains registrars chinois continuent pour l’instant de divulguer les informations des titulaires européens.

Quelle stratégie adopter ?

L’application des dispositions du RGPD au regard des noms de domaine est aujourd’hui disparate.

Le cabinet Dreyfus suit l’évolution de la situation et élabore de nouvelles stratégies de défense des marques sur Internet pour s’adapter aux dispositions transitoires mises en place parl’ICANN. Il est en effet nécessaire de voir comment avancera le dialogue des différents acteurs afin de finaliser un modèle de Whois conforme aux dispositions du RGPD et garantissant un accès aux données à des tiers autorisés. Pour l’heure, le seul changement notoire à noter est l’impossibilité d’identifier via les données Whois des cybersquatteurs « à répétition » et d’engager des actions visant plusieurs noms de domaine simultanément. Nous vous tiendrons informés des avancées concernant ces problématiques.

A ce stade, notre équipe se tient à votre entière disposition pour toute question ou information complémentaire.

La protection de catalogues de maisons de vente aux enchères par le droit d’auteur

La protection de catalogues de maisons de vente aux enchères par le droit d’auteurLa société Camard, maison de vente aux enchères, avait fait appel à un photographe afin de réaliser des photographies pour différents catalogues de vente aux enchères. Ces derniers ont par la suite constaté que Artprice.com avait numérisé et mis en ligne sur sa base de données lesdits catalogues, sans autorisation. Le photographe et la société Camard ont alors assigné Artprice.com en contrefaçon au motif que le site portait atteinte à leurs droits d’auteur sur les photographies et les catalogues en question. Le TGI de Paris  rejette la demande de la société Camard et du photographe pour l’absence d’originalité au sens du droit d’auteur. Ces derniers ont alors interjeté appel contre ce jugement.

La Cour d’appel de Paris a reconnu que la numérisation desdits catalogues sur le site Internet Artprice.com constituait un acte de contrefaçon car lesdits catalogues étaient protégeables au titre du droit d’auteur.  Les juges d’appel infirment le jugement et condamnent Artprice.com au paiement de 120 000 euros au titre de dommages-intérêts en réparation d’actes de contrefaçon de droits d’auteur par reproduction des catalogues.

La Cour de Cassation va confirmer cet arrêt suite au pourvoi formé par Artprice.com. Pour ce faire, les juges ont effectué une étude approfondie des photographies et des catalogues afin d’apprécier leur originalité au regard des articles L.111-1 et L.112-2 du code de la Propriété Intellectuelle.

Ils ont constaté que les catalogues étaient présentés suivant une « présentation méthodique et ordonnée des lots, une notice biographique des auteurs des œuvres et une description de celle-ci qui les replace dans leur contexte historique, culturel et social ».  Le mobilier était également représenté par des photographies anciennes des salles où ils étaient exposés, présentés de manière « organisée par motifs, périodes, écoles ou régions… ». Tous ces éléments traduisent donc un « parti pris esthétique empreint de la personnalité des auteurs des catalogues ».

Les juges ont également admis que les photographies présentées dans les catalogues étaient le fruit de « choix esthétiques arbitraires » des auteurs, au regard notamment de leurs choix sur le positionnement, le cadre ou la prise de vue particulière des objets ou encore par la création d’une dynamique particulière entre les objets présentés et l’ajustement des couleurs et des contrastes.

Cette décision clôt cette affaire riche d’enseignements puisqu’elle permet de mieux cerner l’appréciation du critère de l’originalité par les juges, notion abstraite en droit d’auteur. Dans cette espèce, les auteurs n’ont pas seulement élaboré des catalogues avec une représentation fidèle des objets de la vente mais ils ont effectué un véritable travail, fruit de choix arbitraires et de partis pris esthétiques.