2

La cybercriminalit au Maroc, 2010 Tous droits rservs, y compris droits de reproduction totale ou partielle sous toutes formes.

Dpt lgal : 2010 MO 1585 ISBN : 978-9954-9072-0-7

A mon fils Ismail

Remerciements

Ce livre naura pas t possible sans le soutien de plusieurs personnes. Mes penses vont notamment : Jean-Guy RENS, auteur du livre Lempire invisible et prsident de lassociation canadienne des technologies avances qui ma fait part de ses prcieux conseils tout au long de la rdaction de ce livre. Mohamed CHAWKI, auteur du livre Combattre la cybercriminalit et prsident de lassociation internationale de lutte contre la cybercriminalit qui a accept de rdiger la prface de ce livre. Nabil OUCHN, co-fondateur de Netpeas et expert en scurit qui a apport sa contribution et son tmoignage sur lunivers de lUnderground marocain. Tous les consultants scurit de la socit DATAPROTECT, notamment Hamza HAROUCHI et Othmane CHAFCHAOUNI qui mont soutenu tout au long de ce travail. Tous mes anciens collgues de BT NET2S avec qui jai partag des moments forts pendant plus de trois ans. Je pense notamment mon quipe scurit. Rabii AMZERIN, Younes BOURRAS, Younes ZAKIDDINE et Mohamed Amine LEMFADLI. Je vous remercie tous !

Table des matires

Prface ................................................................................................................................ 12

Introduction ....................................................................................................................... 14

Chapitre 1 : Dmystification de la cybercriminalit ........................................................... 16

1.

La cybercriminalit : concepts et enjeux .................................................................... 17 1.1 1.2 1.3 1.4 1.5 1.6 La cybercriminalit : Un nouveau concept ......................................................................17 La cybercriminalit : Une activit en pleine croissance ....................................................17 La cybercriminalit : Une activit rentable ......................................................................18 La cybercriminalit : Une activit facile ..........................................................................20 La cybercriminalit : Une activit faible risque .............................................................20 La cybercriminalit : Une activit organise....................................................................20

2.

Dmystification de la notion de la scurit de linformation ...................................... 21 2.1 2.2 2.3 2.4 2.5 La scurit nest pas seulement un enjeu technologique .................................................21 Ltre humain est le maillon faible de la chane de la scurit ..........................................23 Les incidents de scurit ne viennent pas juste de lexterne ............................................25 La scurit, ce nest pas juste la confidentialit ..............................................................26 Faire de la scurit, cest tre ferm dans un environnement compltement ouvert ....... ...................................................................................................................................28 2.6 2.7 2.8 La fin de la scurit primtrique ..................................................................................29 Lexploit dune vulnrabilit est de plus en plus rapide ....................................................31 Assurer la scurit de son SI est de plus en plus une contrainte rglementaire.................32

2.8.1 2.8.2 2.8.3

2.9 2.10

Les accords de Ble II ..............................................................................................32 PCI DSS ...................................................................................................................33 Sarbanes Oxley ........................................................................................................34
Le RSSI : un nouveau mtier ........................................................................................35 La scurit est une question de gouvernance .................................................................37

2.10.1 2.10.2

ISO 27001 .........................................................................................................37 ISO 27002 ........................................................................................................39

Chapitre 2 : Les multiples visages de la cybercriminalit .................................................. 42

1.

Lordinateur comme moyen ou cible dactes cybercriminels ...................................... 43 1.1 Latteinte la confidentialit .........................................................................................43

1.1.1 1.1.2
1.2

Lattaque virale ........................................................................................................44 Le Phishing ..............................................................................................................48

Latteinte la disponibilit.............................................................................................51

1.2.1
1.3

Le DoS et le DDoS ....................................................................................................51

Latteinte lintgrit ....................................................................................................56

1.3.1
1.4

Dfacement des sites web ........................................................................................57

Latteinte la preuve ....................................................................................................59

1.4.1 1.4.2
1.5

Latteinte logique ......................................................................................................59 Latteinte physique ...................................................................................................59

Les outils utiliss ..........................................................................................................60

1.5.1 1.5.2 1.5.3

2. 2.1 2.2 2.3 2.4 2.5

Le Botnet .................................................................................................................60 Le Keylogger ............................................................................................................64 Le Rootkit ................................................................................................................65

Lescroquerie ................................................................................................................66 La fraude la carte bancaire .........................................................................................68 Le blanchiment dargent ...............................................................................................71 Le cyberterrorisme .......................................................................................................76 La pdophilie sur linternet ............................................................................................80

Lordinateur comme facilitateur dactes cybercriminels ............................................ 66

Chapitre 3 : Lcosystme de la cybercriminalit au Maroc ............................................... 84

1.

Lunivers Underground ............................................................................................... 85 1.1 Les acteurs de lunivers Underground ............................................................................86

1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 1.1.7

1.2

Le hacker .................................................................................................................86 Les black hat hackers ...............................................................................................86 Les script kiddies ................................................................................................87 Les phreakers ..........................................................................................................87 Les carders ..............................................................................................................88 Les crackers .............................................................................................................88 Les hacktivistes ........................................................................................................88
Quelques mythes entourant lunivers Underground .........................................................89

1.2.1 1.2.2 1.2.3

1.3

Le cyberdlinquant est-il un expert informatique ?......................................................89 Le cyberdlinquant est-il quelquun dorganis ? .........................................................89 Le cyberdlinquant est-il un introverti ? .....................................................................90
Les principales motivations des acteurs de lunivers Underground....................................91

1.3.1 1.3.2 1.3.3

La curiosit intellectuelle ...........................................................................................91 LEgo .......................................................................................................................91 Lidologie ...............................................................................................................92

7

1.3.4
2.

Largent ...................................................................................................................93

Les diteurs, constructeurs, intgrateurs, distributeurs, cabinets conseils, hbergeurs

et les cybercafs. ................................................................................................................ 95 2.1 2.2 2.3 2.4 Les diteurs et les constructeurs ...................................................................................95 Les intgrateurs et les distributeurs ...............................................................................96 Les cabinets conseil ......................................................................................................97 Les hbergeurs ............................................................................................................97

2.4.1
2.5 3.

Le recours aux hbergeurs dits bulletproof.................................................................97

Le cybercaf ................................................................................................................99

Les centres de recherche et de formation ................................................................ 100 3.1 3.2 La recherche .............................................................................................................. 100 La formation .............................................................................................................. 101

3.2.1 3.2.2
4. 4.1 4.2

Lenseignement acadmique ................................................................................... 101 Les certifications en scurit ................................................................................... 101

Linvestigation et la rpression .................................................................................... 103 La veille et le signalement ........................................................................................... 108

Les organes institutionnels dinvestigation, de rpression et de veille .................... 103

4.2.1 4.2.2

La veille ................................................................................................................. 108 Le signalement ....................................................................................................... 109

5. Les acteurs institutionnels internationaux .................................................................. 110

Chapitre 4 : Larsenal juridique face la cybercriminalit au Maroc ............................... 112

1.

La loi n07-03 compltant le code pnal en ce qui concerne les infractions relatives

aux systmes de traitement automatis des donnes ..................................................... 113 1.1 Les intrusions ............................................................................................................. 114

1.1.1 1.1.2
1.2

Laccs frauduleux dans un STAD ............................................................................ 114 Le maintien frauduleux dans un STAD ..................................................................... 116
Les atteintes .............................................................................................................. 117

1.2.1 1.2.2
2. 2.1

Les atteintes au fonctionnement d'un STAD ............................................................. 117 Les atteintes aux donnes....................................................................................... 118
La preuve .................................................................................................................. 119

La loi 53-05 relative lchange lectronique de donnes juridiques ..................... 119

2.1.1 2.1.2
2.2

La redfinition de la preuve littrale......................................................................... 119 La conscration de la force probante de lcrit lectronique ....................................... 120
La signature lectronique ............................................................................................ 120

2.2.1 2.2.2

La reconnaissance juridique de la signature lectronique .......................................... 121 Les prestataires de services de certification .............................................................. 122
8

3.

La loi n09-08 relative la protection des personnes physiques lgard du

traitement des donnes caractre personnel ................................................................ 125 3.1 3.2 La nature des donnes protger ............................................................................... 125 Les droits de la personne concerne ............................................................................ 126

3.2.1 3.2.2 3.2.3 3.2.4

3.3

Le droit linformation ............................................................................................ 127 Le droit daccs ...................................................................................................... 127 Le droit de rectification ........................................................................................... 127 Le droit dopposition ............................................................................................... 127
Les obligations du responsable du traitement ............................................................... 128

3.3.1 3.3.2 3.3.3

Dclaration pralable .............................................................................................. 128 Autorisation pralable ............................................................................................. 129 Obligation de confidentialit et de scurit des traitements et de secret professionnel 129

Chapitre 5 : Vers la confiance numrique au Maroc ......................................................... 132

1.

LEtat de lart des tentatives tatiques pour garantir la confiance numrique .............. .................................................................................................................................. 133 1.1 1.2 Lexemple des Etats-Unis ............................................................................................ 133 Lexemple de la France ............................................................................................... 135

2.

La confiance numrique au Maroc ............................................................................ 135 2.1 Le renforcement du cadre lgislatif .............................................................................. 136

2.1.1 2.1.2 2.1.3

2.2

Protger les personnes physiques lgard des traitements de donnes caractre Favoriser la dmatrialisation des transactions lectroniques .................................... 137 Soutenir le dveloppement du commerce lectronique.............................................. 138
Mise en place des structures organisationnelles appropries.......................................... 140

personnel ........................................................................................................................... 137

2.2.1 2.2.2 2.2.3 2.2.4 2.2.5

2.3

Mettre en place le Comit de la Scurit des Systmes dInformation ........................ 140 Mettre en place le ma-CERT .................................................................................... 141 Mettre en place un tiers de confiance ...................................................................... 145 Mettre en place la commission nationale de la protection des donnes personnelles ... 145 Dvelopper des sites de back-up ............................................................................. 145
Promotion dune culture de scurit............................................................................. 146

2.3.1 2.3.2 2.3.3 2.3.4

Mettre en uvre un programme de sensibilisation et de communication sur la SSI .... 146 Mettre en place des formations sur la SSI destination des lves ingnieurs ............ 147 Mettre en place des formations destination des professions juridiques .................... 148 Dfinir une charte des sites marchands .................................................................... 149

Conclusion Gnrale ......................................................................................................... 150 Bibliographie .................................................................................................................... 152 Ouvrages........................................................................................................................... 152

9

Rapports ........................................................................................................................... 153 Sites utiles ........................................................................................................................ 154

Table des illustrations

Figure 1 : Les trois dimensions de la scurit .................................................................................22 Figure 2 : Un exemple de la faille humaine ....................................................................................24 Figure 3 : Top 10 des vulnrabilits applicatives .............................................................................30 Figure 4 : Le cycle de vie de la vulnrabilit ...................................................................................31 Figure 5 : Les rles, les objectifs et les chantiers du RSSI ...............................................................36 Figure 6 : Le modle PDCA ...........................................................................................................37 Figure 7 : Les 11 chapitres de la norme ISO 27002 ........................................................................40 Figure 8 : L'volution du nombre de virus ......................................................................................45 Figure 9 : Les vecteurs d'infection virale ........................................................................................46 Figure 10 : 10 ans de lutte antivirale .............................................................................................47 Figure 11 : Lvolution des attaques DDoS .....................................................................................54 Figure 12 : La structure d'un Botnet ..............................................................................................61 Figure 13 : Lvolution du nombre de PC zombies durant le 1er semestre 2009 ................................62 Figure 14 : Les principaux pays responsables de la cration des zombies .........................................63 Figure 15 : L'ampleur du phnomne du SPAM ..............................................................................64 Figure 16 : Exemple de blanchiment d'argent via une mule .............................................................74 Figure 17 : Rexpdition de marchandises "douteuses" par une mule ..............................................75

10

11

Prface

La cybercriminalit fait partie des conduites les plus odieuses que lon ait pu imaginer. Hlas, lapparition de nouvelles technologies comme celle de linternet a permis lamplification de ce phnomne insupportable, au point que cette infraction est devenue lune des sources majeures de profits pour les organisations criminelles. Au Maroc des nouvelles lois ont t promulgues, et des nouvelles organisations ont t cres pour combattre les cyberdlits. Ds lors, lutilit dun ouvrage sur les nouveaux dveloppements de cette forme de criminalit au Maroc ne saurait tre conteste.

Cest cette tche que M. El Azzouzi sest attel. Compte tenu de toutes ses qualits, celui-ci tait particulirement bien plac pour raliser ce travail. En effet, dune part M. El Azzouzi a men plusieurs missions daudit et de recherche dans le domaine de la cyberscurit. Dautre part, aprs un parcours qui la ramen grer des projets denvergure en scurit au Canada et au Maroc, il dispose aujourdhui dun retour dexprience riche et vari dans le domaine de la scurit de linformation.

De faon trs structure, lauteur tudie en plusieurs parties le phnomne de la cybercriminalit au Maroc. Ainsi, il a notamment envisag dlucider les multiples visages de la cybercriminalit tout en prenant soin de dcortiquer lcosystme qui gravite autour de ce phnomne et ce sans ngliger les aspects juridiques et lgislatifs.

Compte tenu de la qualit du contenu apport par lauteur, on ne peut que recommander trs fort la lecture de ce livre crit par un expert international qui a consacr plusieurs annes ltude du phnomne de la cybercriminalit.

Mohamed CHAWKI Conseiller dEtat adjoint Prsident de lAILCC, France

12

13

Introduction

Linternet a transform le monde en un village plantaire. Il amliore la productivit des entreprises, rvolutionne les mthodes de travail et rend possible lmergence de nouveaux modles daffaires permettant de communiquer, ngocier, changer et de commercialiser en temps rel. En ce sens, son apport est capital pour nos socits. Il est devenu au fil des temps si indispensable que peu dorganisations et de particuliers peuvent sen passer aujourdhui. Or cette rvolution a galement rendu possibles de nouvelles formes de criminalit lies au cyberespace. En effet, linternet na pas t dvelopp, ds le dpart, de manire scurise. Ses multiples composants matriels, logiciels et protocolaires taient et demeurent empreints de nombreuses failles de scurit qui peuvent avoir en cas dexploitation des consquences bien relles. Ce qui a favoris lmergence des comportements dviants dans le cyberespace. La cybercriminalit est ainsi ne.

Lanonymat que procure le cyberespace, la vulgarisation des techniques dattaques, ladoption grande chelle du web 2.0 ont acclr la croissance des actes cybercriminels ces dernires annes. En 2009, la cybercriminalit a gnr plusieurs milliards de dollars selon une rcente tude de Symantec. Pas tonnant de voir de plus en plus dadeptes sy intresser. Lattractivit du phnomne est telle que des milliers dinternautes, en qute dargent facile, nhsitent pas franchir le pas. En effet, en cette priode de marasme conomique, l'argent honnte est plus difficile gagner. De plus en plus d'individus sont attirs par le monde de la fraude pour arrondir leurs fins du mois. Ainsi, le cybercriminel de dimanche fait son apparition dans lcosystme qui gravite autour de la cybercriminalit.

Finie donc lpoque o les actes de dviance dans le cyberespace ne sont que les uvres des acteurs en qute de reconnaissance sociale. Aujourdhui, la cybercriminalit est une activit quon pratique dabord pour lappt du gain. Pour attirer lattention de son auteur, une opration cybercriminelle doit gnrer de largent. Ceci a permis une reconfiguration de lcosystme li la cybercriminalit. En effet, si avant lessentiel des actes de dviance tait

14

perptr par des individus experts en scurit certes, mais dsorganiss et souvent introvertis, aujourdhui lconomie souterraine de la cybercriminalit obit des rgles de rationalit conomique exigeant un travail en quipe, une organisation efficace et une spcialisation outrance. En outre, il nest pas ncessaire dtre un surdou en informatique pour se lancer dans la cybercriminalit. De nombreux forums proposent des packages complets permettant mme un profane de perptrer des actes cybercriminels. Il nest pas rare de constater par exemple quune attaque virale a t conue par une quipe compose par plusieurs programmeurs qui ne se sont probablement jamais vu rellement et exploite par dautres individus ayant rcuprs le programme malveillant en contre partie dun service ou de largent. Certains groupes, pour faire valoir leurs produits, vont jusqu proposer un engagement de rsultat et un service aprs vente 24h/24h et 7j/7j.

Avec cette menace grandissante qui devient plus visible pour les masses, les forces de lordre dans le monde entier redoublent d'efforts pour combattre la cybercriminalit. Bien que la coordination internationale soit entrave par une approche globale inexistante, les structures de partage des informations et des ressources s'amliorent et un certain nombre d'arrestations et de procs ont eu lieu en 2009.

Au Maroc, la cybercriminalit, qui tait jusqu une date rcente un phnomne marginal, attire de plus en plus lattention des pouvoirs publics. De nouvelles lois ont t promulgues, de nouvelles organisations ont t cres et un programme ambitieux de confiance numrique propos dans le cadre de la stratgie Maroc Numeric 2013 a t lanc. Ainsi, la culture de scurit, bien quelle nest que dans un tat embryonnaire, commence sinstaller non seulement dans les institutions publiques et privs mais aussi dans lesprit de tout un chacun.

15

Chapitre 1 : Dmystification de la cybercriminalit

Dans les rvolutions, il y a deux sortes de gens : ceux qui les font et ceux qui en profitent Napolon Bonaparte

Aot 2005 : les serveurs de Microsoft, CNN, ABC, du New York Times et de plus d'une centaine d'entreprises amricaines sont attaqus par le virus Zotob, provoquant des dgts valus plusieurs dizaines de millions de dollars. Une enqute rondement mene au niveau international aboutit quelques semaines plus tard larrestation de Farid Essebar, alias Diab10, un jeune cyberpirate marocain qui agissait depuis un cybercaf. Les journaux parlent de cyber-diable et de gnie informatique . Cette image de ladolescent cherchant dsesprment exploiter une vulnrabilit dun serveur lointain ne doit pas nous induire en erreur.

Les cyberpirates qui font la une sont des amateurs qui se font prendre plus ou moins rapidement. Cest dailleurs pour cela que leurs noms se retrouvent sur la place publique. Le vritable danger vient plutt de nouveaux groupes trs structurs qui sont lorigine dune vritable industrie de la cybercriminalit. Celle-ci simpose dsormais comme un mtier part. Elle dispose, certes de ses propres spcificits. Cependant, linstar de lactivit conomique conventionnelle, elle obit de plus en plus aux logiques conomiques de la croissance, de la rentabilit financire, de la gestion des risques, de lorganisation et de la division du travail.

16

1.
1.1

La cybercriminalit : concepts et enjeux

La cybercriminalit : Un nouveau concept

Il nexiste pas de dfinition universelle pour le terme cybercriminalit. Celui-ci est utilis gnralement pour dcrire l'activit criminelle dans laquelle le systme ou le rseau informatique est une partie essentielle du crime. Il est galement employ pour dcrire des activits criminelles traditionnelles dans lesquelles les ordinateurs ou les rseaux sont utiliss pour raliser une activit illicite. Dans le premier cas, les technologies sont la cible de lattaque. Dans le second, elles en sont le vecteur.

1.2

La cybercriminalit : Une activit en pleine croissance

Grce notamment la diffusion sur le Web de nouveaux services et outils sadressant une population mondiale de plus en plus dispose les adopter, la croissance des actes cybercriminels sest particulirement acclre ces trois dernires annes. Cette tendance samplifie rapidement depuis la vogue du Web 2.0, notamment les rseaux sociaux qui ont atteint un niveau de popularit lev parmi les sites Web. Ils sont devenus des vecteurs privilgis de propagation de programmes malveillants et de courrier indsirable. Lefficacit dune telle diffusion est denviron 10%. Ce qui est bien suprieure l'efficacit des mthodes classiques de diffusion des programmes malveillants par courrier lectronique1. Autre, les rseaux sociaux, les nouveaux services affrents aux blogs, aux forums, aux wikis, YouTube, Twitter, etc sont lorigine de la croissance dattaques. En effet, tous ces services en ligne jouent sur la confiance tablie entre les membres dun mme rseau, la facilit de tlchargement, de publication et dautres techniques dchange des informations, qui rendent leurs utilisateurs vulnrables aux infections de logiciels malveillants2. Ces nouveaux services ont donn une ampleur sans prcdent certaines formes de fraude, qui se sont particulirement panouies sur linternet. Les moyens techniques modernes permettant une rptition quasiment linfini dans lespace et dans le temps de ces activits.

Laugmentation du nombre des serveurs clandestins qui permettent aux organisations criminelles de vendre des informations voles (donnes personnelles mises par les
1 2

Baromtre annuel sur la cybercriminalit en 2008 par Kaspersky Lab. Eugne Kaspersky Dfis de la cybercriminalit , dossier Cybercriminalit, une guerre perdue ?

Documentation franaise. Hiver 2008-2009

17

gouvernements, cartes de crdit ou dbit, numros didentification personnels, numros de comptes bancaires, listes dadresses courriel) pour faciliter le vol didentit dmontre clairement la croissance dont rjouit lactivit cybercriminelle. Les Etats-Unis, lAllemagne et la Sude viennent en tte de la liste des pays qui hbergent des serveurs clandestins, avec des pourcentages respectifs de 69 %, 12 % et 9 % de ce march3. Le Maroc peut galement tre une source de cybercriminalit. Ce qui sest pass avec le jeune marocain de 18 ans qui a conu le virus Zotob est une preuve concluante que la menace peut maner de votre voisin immdiat. Depuis un cybercaf du quartier Yacoub Mansour Rabat, Farid Essebar a mis hors fonctionnement le site des deux chanes amricaines CNN & ABC, et celui du journal New York Times, du Boeing, et de laroport de San Francisco.

Rappelons quen cette priode de marasme conomique, les attaques cybercriminelles sont censes connatre une forte hausse. En effet, il est reconnu que les priodes de ralentissement conomique sont systmatiquement caractrises par des augmentations de la criminalit. Les experts de lditeur de solutions de scurit PANDA4 ont mme tabli une corrlation intressante entre lactivit cybercriminelle et la conjoncture conomique5. Les licenciements dans le secteur des technologies de l'information et l'abandon de projets dans le secteur entranent un brusque mouvement ascendant de lactivit criminelle en gnral, et lon doit sattendre dans le ralentissement actuel une forte croissance de lactivit cybercriminelle.

1.3

La cybercriminalit : Une activit rentable

Pour attirer lattention de son auteur, une opration cybercriminelle devrait dsormais gnrer du revenu. La cybercriminalit est devenue au fil des temps une activit extrmement profitable. Des sommes importantes ont t dtournes avec succs. Rien quen 2008, la cybercriminalit a cot 1.000 milliards de dollars daprs une tude de McAfee6 prsente au forum de Davos. Certaines sources estiment que la cybercriminalit a

3 4 5 6

Symantec Internet Security Threat Report, 2007 http://www.pandasecurity.com/ http://www.mag-securs.com/spip.php?article12038 La scurit des conomies de linformation prsente par lditeur McAfee au Forum conomique mondial de http://www.lemonde.fr

Davos.

18

dpass le commerce illgal de la drogue en termes de profits en 2007. Voici quelques exemples dactions cybercriminelles perptres en 20077. Janvier 2007 : Des pirates russes, avec laide dintermdiaires sudois, auraient dtourn 800 000 euros de la banque sudoise Nordea. Fvrier 2007 : La police brsilienne arrte 41 pirates pour avoir utilis un cheval de Troie pour voler les accs des comptes bancaires et dtourner 4,74 millions de dollars. Fvrier 2007 : Dix-sept membres du Gang de fraudeurs dinternet sont arrts en Turquie aprs avoir vol plus de 500 000 dollars. Fvrier 2007 : Li Jun est arrt pour stre servi du virus Panda burning Incense pour le vol de comptes daccs utilisateurs de jeux en ligne et de messagerie instantane. Les ventes de son programme malveillant auraient rapport prs de 13 000 dollars. Mars 2007 : Cinq ressortissants dEurope de lEst sont emprisonns au Royaume-Uni pour une fraude la carte bancaire. Ils auraient drob 1,7 million de livres. Juin 2007 : 150 cybercriminels sont arrts en Italie. Ils sont accuss davoir bombard des utilisateurs italiens avec des faux messages qui leur auraient rapport 1,25 million deuros sous forme de gains frauduleux. Juin 2007 : Des cyberdlinquants russes sont accuss davoir utilis un cheval de Troie pour voler 500 000 dollars dans des banques de Turquie. Aot 2007 : Maxim Yastremsky (alias Maksik ) est arrt en Turquie. Il est accus davoir empoch 10 millions de dollars aprs le vol didentificateurs. Septembre 2007 : Gregory Kopiloff est condamn aux Etats-Unis pour avoir utilis les logiciels de partage de fichiers (P2P) Limewire et Soulseek pour collecter des donnes quil employait pour usurpation didentit. Il aurait gagn des milliers de dollars par la commercialisation de donnes voles.

Ces exemples montrent bien le caractre rentable des activits cybercriminelles. Les cas dinfraction perptres dans une perspective dappt du gain sont dsormais monnaie courante dans le cyberespace. La cybercriminalit est depuis quelques annes une source de rmunration, une activit que lon pratique dabord pour largent.

Eugne Kaspersky, dossier Cybercriminalit, une guerre perdue ? Documentation franaise. Hiver 2008-

2009

19

1.4

La cybercriminalit : Une activit facile

Avec la vulgarisation des modes opratoires cybercriminels sur linternet, aujourdhui il nest pas ncessaire de disposer de comptences techniques pour lancer une opration cybercriminelle. Le niveau dexpertise technique requis pour un projet cybercriminel na plus du sens du moment o il est possible aujourdhui dacheter librement les logiciels espions les plus labors ainsi que les donnes collectes par ces mmes logiciels : informations bancaires et informations personnelles suffisantes pour acheter en ligne ou transfrer des fonds. En outre, il est aussi possible de commander un acte cybercriminel ponctuellement auprs de prestataires spcialiss qui viennent chacun apporter leur part dexpertise dans lopration, chaque maillon gnrant des bnfices dont le montant rpond uniquement aux lois de loffre et de la demande, la raret dune comptence augmentant les prix en consquence.

Il existe de nombreuses ressources disponibles permettant de mettre au point des solutions compltes. Ces solutions vont de lusage de la simple vulnrabilit, jusqu lemploi des chevaux de Troie permettant dautomatiser des rseaux dordinateurs ou botnets8 .

1.5

La cybercriminalit : Une activit faible risque

Linternet est parfaitement adapt lactivit frauduleuse (anonymat, faibles barrires lentre, difficults dapplication de la loi des juridictions multiples), et donc, compar la perptration dun crime traditionnel les cots sont plus faibles et il est beaucoup moins probable dtre arrt. Il sagit donc dune activit faible risque compar aux chances de russite. Dans le monde rel, la dimension psychologique avec la prise de risques concrets du crime assure un certain effet de dissuasion. Mais dans le monde virtuel, les criminels ne sont jamais directement en contact avec leurs victimes ni avec les diffrentes socits quils dcident dattaquer.

1.6

La cybercriminalit : Une activit organise

Une tude conjointe entre le CERT et le FBI dmontre que dans 81% des incidents recenss dans les entreprises, les attaquants avaient planifi leur action lavance. Il ne sagit donc nullement doprations lances au hasard. La russite dun acte cybercriminel exige une discipline de fer en amont, durant et en aval de toute opration cybercriminelle. Cette
8

Un botnet est un rseau dordinateurs zombies contrls linsu de leurs propritaires

20

discipline a comme pr requis de base, un travail en quipe dont les membres ne se sont probablement jamais rencontrs rellement. Ce travail dquipe engage une segmentation et une spcialisation outrance dans les diffrents maillons de la chane cybercriminelle. Ainsi au lieu de matriser lensemble de la chane des oprations, les cyberdlinquants se concentrent sur lun de ses maillons, afin de le matriser la perfection, ce qui permet de rduire considrablement leurs prises de risques. Analysons lcosystme qui gravite autour par exemple des chevaux de troie. Souvent, ils sont conus par des dveloppeurs de logiciels, qui en gnral nexploitent plus par eux-mmes leurs crations. Ils concentrent leurs efforts sur linnovation technologique ncessaire la conception de ces codes malicieux, et sorganisent en micro-entreprises de deux ou trois dveloppeurs, comprenant une cellule de support technique et un commercial charg de dvelopper les dbouchs conomiques du groupe. Ces dveloppeurs vendent leurs crations comme de vritables produits, packags avec une documentation utilisateur dans la langue de leurs clients. Certains groupes proposent mme un support client 24/24 et offrent mme une garantie de non dtection du malware par lantivirus9.

2.

Dmystification de la notion de la scurit de linformation

Pour mieux comprendre le phnomne de la cybercriminalit, il est important de sattarder sur la notion de la scurit de linformation. En effet, le phnomne tient son expansion linscurit qui entoure lutilisation des technologies dinformation. Or la scurit est un concept qui est souvent mal compris. Do la ncessit de lever le voile sur cette notion afin de mieux en comprendre les enjeux.

2.1

La scurit nest pas seulement un enjeu technologique

Pour de nombreuses organisations, assurer la scurit du systme dinformation (SI) se limite la mise en place dun pare feu et dun antivirus. Or, ces dispositifs ne sont pas dune grande utilit quand il sagit par exemple dattaques type Ingnierie sociale10 qui connat ces dernires annes une volution spectaculaire. En effet, ds fois pour avoir une information aussi critique soit-elle, il suffit de la demander. Inutile de se lancer dans des
9

Jol Rivire Criminalit et Internet, une arnaque bon march , dossier Cybercriminalit, une guerre

perdue ? Documentation franaise. Hiver 2008-2009

10

L'ingnierie sociale (social engineering en anglais) est une forme d'escroquerie utilise en informatique pour

obtenir un bien ou une information. Cette pratique exploite l'aspect humain et social de la structure laquelle est li le systme informatique vis. Utilisant ses connaissances, son charisme, l'imposture ou le culot, le pirate abuse de la confiance, l'ignorance ou la crdulit de personnes possdant ce qu'il tente d'obtenir.

21

attaques sophistiques ayant comme pr-requis un background technique volu. Il suffit de prendre son tlphone et dappeler. Au bout de fil vous avez un interlocuteur qui nest pas sensibilis aux risques lis la diffusion de linformation. Face ce genre de menaces, la protection physique et logique du SI, aussi robuste soit-elle, ne sert rien.

La dimension organisationnelle de la scurit est souvent nglige. Si des organisations comme la CIA, le FBI ou le Pentagone ont fait lobjet dattaques, ce nest surtout pas par manque de moyens techniques de protection. Ces organisations disposent de moyens colossaux pour assurer un niveau de scurit adquat. La faille est plutt organisationnelle, voir humaine.

Certes, investir en matire technologique est invitable pour mettre en place les outils ncessaires la prvention, dtection et correction des failles de scurit. Cependant, laspect organisationnel qui consiste mettre en place une politique de scurit de linformation, une charte dutilisation des ressources et lensemble des processus et procdures oprationnels permettant dassurer un niveau de scurit minimal est aussi important voir vital pour lorganisation. Dailleurs, souvent lors des audits de scurit, nous constatons que le volet technologique est plus ou moins matris. La nature des failles que nous identifions est plutt organisationnelle. Labsence de politique de scurit, le manque de formalisation du mode opratoire de la sauvegarde, le manque de linventaire des actifs critiques sont quelques exemples de lacunes en matire de scurit organisationnelle.

Figure 1 : Les trois dimensions de la scurit

22

Le dpart dun employ Le dpart volontaire ou forc dun employ est un vnement qui peut avoir lieu dans nimporte quelle organisation. Avons-nous eu le rflexe de verrouiller tous les comptes auxquels lemploy avait accs. Avons-nous supprim son compte de messagerie. Avonsnous procd la rcupration de tous les actifs dont lorganisation est propritaire (badge, tlphone, ordinateur portable, etc). Ce qui est mis en vidence ici, cest la formalisation de la gestion des dparts. Cest un aspect purement organisationnel de la scurit qui fait impliquer le dpartement de gestion des ressources humaines et le dpartement de systme dinformation. Entre les deux entits, il faudra mettre en place une procdure de gestion des dparts de telle sorte ce que lors de chaque dpart ou de changement de poste, un mcanisme instantan se dclenche pour verrouiller ou changer tous les comptes auxquels lemploy avait accs. Combien danciens collaborateurs continuent toujours utiliser, ds fois mme des fins illicites, leur compte de messagerie et ce aprs avoir quitt lorganisation depuis des mois voir mme depuis des annes.

2.2

Ltre humain est le maillon faible de la chane de la scurit

La dimension humaine est aussi prendre au srieux. Pour se protger des attaques traditionnelles de type phishing11 par exemple, il faut sensibiliser lutilisateur. Aucune technologie ne permettra lorganisation de se prmunir totalement contre ce type dattaques. Seule une campagne de sensibilisation donnera les effets dsirables. Les experts de scurit sont unanimes pour qualifier ltre humain de maillon faible de la chane de scurit. Les pirates, lont bien compris. Ils orientent souvent leurs techniques de rcupration dinformations vers cette perspective. Kevin Mitnick12, lun des clbres pirates informatiques qui a publi plusieurs livres sur les techniques de hacking na t autre quun

11

Le phishing, appel en franais lhameonnage, est une technique utilise par des fraudeurs pour obtenir des

renseignements personnels dans le but de perptrer une usurpation d'identit. La technique consiste faire croire la victime qu'elle s'adresse un tiers de confiance banque, administration, etc. afin de lui soutirer des renseignements personnels : mot de passe, numro de carte de crdit, date de naissance, etc.. Le phishing peut se faire par courrier lectronique, par des sites web falsifis ou autres moyens lectroniques.
12

Kevin David Mitnick est un ancien pirate informatique amricain. Il se faisait appeler le Condor en rfrence

au film de Sydney Pollack Les Trois Jours du condor . Il est clbre notamment pour avoir accd illgalement aux bases de donnes des clients de Pacific Bell, ainsi qu'aux systmes de Fujitsu, Motorola, Nokia et Sun Microsystems. Il est le premier pirate informatique avoir figur dans la liste des dix criminels les plus recherchs par le FBI aux Etats-Unis.

23

surdou en matire dingnierie sociale qui consiste exploiter les failles humaines pour rcuprer de linformation.

Prenons lexemple suivant : la plupart des organisations mettent en place un plan dvacuation, qui permettra le cas chant aux employs d'avoir accs des sorties de secours en cas de danger, par exemple, un incendie. Examinons lexemple ci-dessous, la porte de secours ne doit tre ouverte que dans le cas dactivation dune opration dvacuation, et cest bien mentionn sur la porte. Lorganisation a coll un message stipulant que la porte doit toujours rester ferme. Laxe organisationnel de la scurit est donc bien rempli. Il en est de mme pour laxe technologique. Lorganisation a en effet investi dans lacquisition dune porte qui se ferme automatiquement une fois elle est ouverte. La faille doit tre recherche du ct de l'tre humain. Lemploy na pas respect la consigne en immobilisant la porte pour la garder toujours ouverte. Ce comportement est fort probablement d un manque de sensibilisation. Il suffit que lutilisateur ne suive pas la consigne pour que larsenal de protection mis en place tombe dans linutilit. Cest pourquoi ltre humain reste le maillon faible de la chane de scurit.

Figure 2 : Un exemple de la faille humaine

24

2.3

Les incidents de scurit ne viennent pas juste de lexterne

Souvent les organisations orientent leurs stratgies de scurit uniquement dans la perspective externe. Elles supposent en effet, que la menace est de nature externe. Or, les statistiques montrent qu linterne, il y a lieu aussi de sinquiter. Plus de 70% de dnis daccs par exemple sont recenss depuis linterne. Nous navons qu penser un collaborateur la fois motiv et mcontent. Mme la comptence nest pas un pr requis. En effet, avec la vulgarisation des attaques, il nest pas ncessaire dtre un surdou en informatique pour lancer telle ou telle opration. Aujourdhui, grce notamment linternet tout est accessible. Vous navez qu surfer sur Google pour vous rendre compte des possibilits illimites quoffre linternet pour nuire.

Les incidents de scurit linterne ont mont en puissance ces dernires annes. Ils ont fait plusieurs reprises la Une de lactualit. Prenons lexemple de ce qui sest pass la Socit Gnrale en France fin 2007. Un employ de la banque du nom Jrme Kerviel13 a djou les mcanismes du contrle interne et il a ainsi dissimul de nombreuses positions qui ont failli mettre en pril la banque. Quand on examine bien cette affaire, on se rend compte que ce qui sest pass nest autre quune histoire de mauvaise gestion des accs.

Vengeance, besoin de reconnaissance sont souvent les premier lments de motivation des attaques internes. Les enqutes menes par les organismes spcialiss regorgent dexemples de donnes voles ou dtruites par des employs licencis. Le rapport du CSI/FBI intitul Computer crime and security survey 200514 signale que la plupart des incidents affectant les entreprises amricaines ont une cause interne. Souvent aussi, leurs consquences sont bien plus graves que les dommages causs par les attaques externes. A titre dexemple, les responsables de la reprsentation dUBS Tokyo ont admis la disparition dun disque dur contenant des donnes hautement confidentielles sur la clientle. La dlimitation peu claire des comptences et le non-respect des directives internes sont lorigine de cette perte.

13

Jrme Kerviel est un oprateur de march de la Socit gnrale accus par son employeur d'tre le

responsable de 4,82 milliards d'euros parmi les pertes de la banque en janvier 2008 rsultant de prises de positions dissimules et contraires aux rglements de la Socit gnrale d'environ 50 milliards d'euros sur des contrats terme sur indices d'actions entre 2007 et dbut 2008.
14

http://www.cpppe.umd.edu/Bookstore/Documents/2005CSISurvey.pdf

25

Les actes de malveillance ne reprsentent pas lunique typologie dincidents internes. Les accidents et les erreurs reprsentent aussi une bonne partie dincidents recenss linterne. Ainsi, une banque marocaine a vu son systme dinformation indisponible pendant plusieurs heures et travers toutes ses agences suite un dploiement non contrl dun correctif15. Le cas de la Bourse de Casablanca, qui par carence collective grave au niveau de son management16, a vu des informations relatives aux ordres cachs, dits icebergs, vhiculs par le systme de diffusion de la BVC travers le site de Bourse en ligne Boursomaroc, est un exemple qui rappelle que les consquences des erreurs peuvent tre aussi scandaleuses que celles des actes de malveillance.

Chantage auprs de la Direction Gnrale Les employs dune socit marocaine ont reu une photo compromettante remettant en cause le caractre moral de lun de leurs directeurs. Aprs enqute, il sest avr que lattaque venait de linterne. Un employ de la socit ntant pas dans les bons termes avec sa hirarchie utilisait une boite de messagerie externe pour envoyer la dite photo lensemble des employs pour faire du chantage auprs de la direction gnrale.

2.4

La scurit, ce nest pas juste la confidentialit

La scurit des SI repose sur les quatre piliers suivants :

La disponibilit
La disponibilit se manifeste en terme daccessibilit aux ressources du SI (Ordinateurs, Serveurs, Bases de donnes, Rseaux, services, etc). Lindisponibilit est probablement lvnement indsirable le plus ressenti par les utilisateurs du SI. En effet, souvent quand un service est indisponible, on ressent les effets immdiatement. Incapacit remplir les tches quotidiennes, interruption des services et dysfonctionnements au niveau des activits de lentreprise, sont quelques exemples de consquences quune indisponibilit peut provoquer.

15

Un correctif est une section de code que l'on ajoute un logiciel, pour y apporter des modifications

mineures afin de corriger la faille de scurit.

16

http://www.financesnews.ma/article_detail.php?id_art=4983

26

Lindisponibilit peut tre provoque par plusieurs typologies dattaques malveillantes. Elle est vise notamment par les attaques qualifies de dni de service DoS 17 et dni de service distribu DDoS18 . Une attaque virale, une intrusion ou lexploitation dune vulnrabilit peuvent avoir aussi comme effet une indisponibilit totale ou partielle du SI. A cette liste, on peut ajouter les attaques physiques sur les installations informatiques ou le cblage des rseaux qui ne requirent que peu de technologie et qui engendrent les mmes effets.

Lintgrit
De manire gnrale, l'intgrit des donnes dsigne l'tat de donnes qui, lors de leur traitement, de leur conservation ou de leur transmission, ne subissent aucune altration ou destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation. L'intgrit des donnes comprend
19

quatre

lments :

l'intgralit,

la

prcision,

l'exactitude/authenticit et la validit .

Latteinte lintgrit peut avoir de lourdes consquences sur la fiabilit dun SI. A titre dexemple, la mise en cause de lexactitude des donnes stockes dans un systme de banque aurait des consquences immenses. La fausset de celles stockes dans un systme mdical reprsenterait un danger mortel. Ce type daltration peut mme faire lobjet de menaces de tentatives dextorsion envers des organismes cibls. Les virus ou autres logiciels malveillants peuvent aussi entraner la destruction ou laltration partielle de donnes.

La preuve
La preuve est la garantie de ne pas pouvoir rfuter une transaction avec possibilit de pouvoir auditer les rsultats fournis (exemple : un virement de fonds et la vrification du journal comptable partir des informations d'entre). Lorsquil ny avait que le niveau technique de la preuve (numrique), lauditabilit tait restreinte de la traabilit (capacit

17

Denial of Service (DoS), Dnis de Service en franais, est une attaque ayant pour but de rendre indisponible un

service.
18

Distribued Denial of Service (DDoS), Dnis de Service Distribu en franais, est une attaque ayant pour but de

rendre indisponible un service impliquant une multitude dordinateurs zombies .

19

http://fr.wikipedia.org/wiki/Intgrit_des_donnes

27

 garder la trace des dcisions prises et des actions entreprises), voire de limputabilit (capacit attribuer un auteur une dcision ou un excutant une action).

La confidentialit
La confidentialit demeure le pilier le plus difficile cerner. En effet, une atteinte la confidentialit est irrversible. On ne peut procder un lavage des cerveaux des personnes ayant eu un accs accidentel ou illicite une information confidentielle. Alors quune atteinte la disponibilit, intgrit ou la preuve peut tre redresse.

La copie de secrets commerciaux, lidentification des informations sensibles concernant les rseaux ou les utilisateurs suite une intrusion dans un SI, laccs aux bases de donnes sont quelques exemples dune attaque logique visant latteinte la confidentialit. Cette dernire peut tre aussi viole physiquement. On nglige souvent la copie physique et le vol des supports de stockage de donnes notamment les cls USB, qui impliquent un faible niveau de matrise technologique.

2.5

Faire de la scurit, cest tre ferm dans un environnement

compltement ouvert
Linternet, en tant quenvironnement nappartenant la fois personne et appartenant tout le monde, offre des opportunits daffaires illimites. Plusieurs entreprises lont bien compris. Elles ont construit leurs modles daffaires sur cette base. Le cas dAmazon20 qui nest autre quune immense base de donnes de livres, offrant la possibilit de se procurer un livre en one clic est apprhender. En effet, Amazon nest pas un diteur de livre. Pourtant, elle sengage vous fournir le livre que vous souhaitez avoir, sous rserve quil soit disponible, dans un dlai trs court. Autrement dit, Amazon est une entreprise en rseau ayant un systme dinformation interconnect avec celui de ses fournisseurs, partenaires et clients. Sans le web, le modle daffaires de Amazon naurait pas t possible. Lexemple de Dell21est aussi mditer. Lentreprise ayant comme stratgie de diffrenciation, la personnalisation des offres et la vente directe des ordinateurs, nest pas un constructeur dordinateur, cest un assembleur. Nanmoins, elle sengage vous fournir lordinateur que vous souhaitez avoir dans un dlai trs court. La carte mre tant fabrique dans un pays,
20 21

http://www.amazon.com http://www.dell.com

28

lcran dans un autre, lassemblage se fait quelque part dans le monde. Dell nest autre quune entreprise en rseau qui tire profit du Web pour faire aboutir son modle daffaire. Il est dailleurs, extrmement difficile de dlimiter les frontires du SI dune entreprise comme Dell. Les fournisseurs, les partenaires logistiques, les clients se trouvent sur le mme SI. Sans le Web ce modle daffaire ne serait pas possible.

Souvrir donc, attire plus dopportunits. Mais, ceci ramne aussi de nouvelles menaces auxquelles il faudra faire face. En oprant dans un environnement ouvert, les organisations se trouvent exposes des attaques qui ne peuvent avoir lieu dans un environnement compltement ferm. Une entreprise qui propose ses clients des services transactionnels sur son site Web, se voit contrainte dinvestir en scurit pour mieux protger ses intrts et ceux de ses clients.

Etant donn quaujourdhui, les organisations sont contraintes sous leffet de la concurrence de plus en plus froce dimaginer de nouvelles faons doprer en proposant des services valeur ajoute, la tendance est plutt vers louverture. Les entreprises marocaines ny chapperont pas pour longtemps. Dans cette perspective, continuer scuriser son SI reviendra tre ferm dans un environnement compltement ouvert. Ce qui est loin dtre simple. Cet quilibre est trs difficile aller chercher.

2.6

La fin de la scurit primtrique

La premire chose laquelle nous pensons pour scuriser le SI dune organisation est le primtre externe. Dployer un Pare-Feu, mettre en place des mcanismes de filtrage de contenu et de filtrage URL, installer un systme de dtection et de prvention dintrusion, sont quelques exemples de la scurit primtrique.

Depuis

quelques

annes,

nous

constatons

une

meilleure

prise

en

compte

des

recommandations ce niveau. Il en rsulte quune attaque est plus difficile oprer sur le primtre externe. Il fallait donc monter dans les couches du modle OSI22 pour notamment passer au travers les dfenses primtriques directement par les serveurs applicatifs et les applications mtiers et indirectement via les postes utilisateurs qui sont gnralement moins

22

Le modle OSI (Open Systems Interconnection) est un modle de communications entre ordinateurs propos

par l'ISO (Organisation internationale de normalisation). Il dcrit les fonctionnalits ncessaires la communication et l'organisation de ces fonctions.

29

protgs et qui offrent plus de fonctionnalits et de services (accs au rseau interne, accs lInternet, etc). Lintrt est multiple :

Flux autoriss vers les serveurs (http, ftp, etc.) ; Produits ayant davantage de vulnrabilits (Web) ; Applications mtiers propritaires (non prouves, peu audites, etc) ; Lien direct avec les donnes mtiers.

Il en rsulte quaujourdhui la menace est de plus en plus applicative. Quand on dveloppe une application, la scurit reste le dernier souci. Nous dveloppons en fonction dun cahier des charges qui prcise les fonctionnalits cibles quil va falloir couvrir. Par consquent, nous arrivons avec une application qui certes, rpond des exigences fonctionnelles, mais sur le plan de scurit prsente souvent des vulnrabilits critiques allant jusqu la possibilit de prise en main distance dun serveur applicatif. Des statistiques rcentes montrent quel point la menace applicative est devenue srieuse.

OWASP Top 10 2007 (Previous)

A2 Injection Flaws A1 Cross Site Scripting (XSS) A7 Broken Authentication and Session Management A4 Insecure Direct Object Reference A5 Cross Site Request Forgery (CSRF) <was T10 2004 A10 Insecure Configuration Management> A10 Failure to Restrict URL Access <not in T10 2007> A8 Insecure Cryptographic Storage A9 Insecure Communications A3 Malicious File Execution A6 Information Leakage and Improper Error Handaing

OWASP Top 10 2010 (New)

A1 Injection A2 Cross Site Scripting (XSS) A3 Broken Authentication and Session Management A4 Insecure Direct Object References A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration (NEW) A7 Failure to Restrict URL Access A8 Unvalidated Redirects and Forwards (NEW) A9 Insecure Cryptographic Storage A10 Insufficient Transport Layer Protection <dropped from 2010> <dropped from 2010>

Figure 3 : Top 10 des vulnrabilits applicatives23

Sur l'ensemble des vulnrabilits identifies en 2008, 63 % concernaient des applications Web, contre 59 % en 200724.

23 24

Source : OWASP http://www.owasp.org Symantec Internet Security Threat Report :2008

http://www.symantec.com/fr/fr/about/news/release/article.jsp?prid=20090414_01

30

2.7

Lexploit dune vulnrabilit est de plus en plus rapide

Sil y a quelques annes, le temps moyen entre la publication dune vulnrabilit et son exploitation tait quelques semaines, en 2008, 80% des exploits de vulnrabilit taient disponibles aprs 1 9 jours de la divulgation de vulnrabilit au public. Durant la mme anne, Qualys Labs identifi 56 exploits de failles zro-jour, y compris la vulnrabilit RPC qui produisait Conficker25. En 2009, la premire vulnrabilit publie par Microsoft, MS09-001 avait un exploit disponible dans un dlai de sept jours26. En 2003, un ordinateur non protg, dot dun systme type Windows et connect linternet, pouvait rsister 40 minutes avant dtre infect par un virus. En 2004, 20 minutes. En 2009, un ordinateur non scuris est infect, en moyenne, au bout de 4 minutes selon des conclusions rcentes de linstitut SANS27. Comme on peut le constater sur la figure ci-dessous, le nombre de victimes volue rapidement. Seule une veille de vulnrabilits permettra de ragir au bon moment afin dapporter les corrections ncessaires.
Victimes

Automatisation

Exploit

Temps

Dcouverte de la faille

(Re)dcouverte de la faille ou fuite

Publication

Correctif Correctif disponible appliqu

Correctif complet

Figure 4 : Le cycle de vie de la vulnrabilit

25

Il sagit dun virus apparu fin novembre 2008, connu aussi sous les noms de Downup, Downandup et Kido). Il

est principalement install sur les machines fonctionnant sous Windows XP

26 27

Les lois de vulnrabilits 2.0 , Qualys http://www.qualys.com/docs/Laws_2.0.pdf https://isc2.sans.org/survivaltime.html

31

2.8

Assurer la scurit de son SI est de plus en plus une contrainte

rglementaire

Les organisations ayant un niveau de maturit lev en matire de scurit ninvestissent en scurit quaprs avoir men un Business Impact Analysis. Seule donc, une analyse de risque permettra lorganisation de savoir quels sont les risques quelle court et surtout quel sera limpact si jamais ils se matrialisent. Cette dmarche aboutit un choix plus ou moins rationnel en termes dinvestissements en scurit.

La dmarche de Business Impact Analysis a cd la place depuis quelques annes la pression rglementaire qui impose notamment aux banques, oprateurs tlcoms et filiale de multinationale une conduite stricte en matire de scurisation du SI. Plusieurs cadres rglementaires ont vu le jour. Nous retenons ici :

2.8.1 Les accords de Ble II

Initialement bases sur une approche purement financire des risques, les recommandations du comit Ble ont t profondment tendues en 2004 via l'accord Ble II. Ces recommandations sont mises en uvre par l'immense majorit des tablissements financiers au niveau mondial. L'innovation majeure de ce nouvel accord par rapport celui de 1988 tient l'introduction du risque oprationnel, recouvrant les risques relatifs la scurit des biens et des personnes (incendies, vol et fraude, etc.), les risques informatiques (dveloppement, maintenance et exploitation des systmes) et les risques lis aux procdures de gestion interne (erreurs humaines, malveillance, etc.). Diffrentes approches sont possibles pour valuer ce risque oprationnel, mais la plus performante est base sur l'historique des vnements et des pertes associes. L'accord Ble II vise mettre sous contrle l'ensemble des risques auxquels sont soumis les tablissements financiers, et non plus seulement les risques financiers directement lis leur activit. Tout en restant spcifiquement adapt au secteur bancaire, et notamment sa grande maturit en matire de gestion des risques, il se rapproche ainsi de rglementations plus gnriques comme la loi Sarbanes-Oxley.

32

Au Maroc, de nombreux projets de scurisation SI ont vu le jour dans les tablissements bancaires sous la pression des accords Ble II. Nous citons, notamment : La mise en place dune cartographie des risques (y compris les risques lis la scurit des SI) ; La mise en place dun plan de continuit dactivit ; La mise en place de solutions de dtection et de prvention de fraudes.

2.8.2 PCI DSS

Tous les acteurs conomiques qui traitent, stockent et transmettent des donnes et transactions de cartes bancaires, doivent intgrer la norme PCI DSS (Payment Card Industry

Data Security Standard). Cette norme est encadre par le PCI Security Standards Council,
une organisation fonde en 2005 par les principaux acteurs du secteur des cartes bancaires :

MasterCard, Visa, American Express, Discover Financial Services et JCB.

La norme PCI est prsente comme la garantie d'un haut niveau de scurit. Elle correspond une srie de douze exigences auxquelles sont assujetties les organisations dont les rseaux, les serveurs et les applications entrent en contact avec les donnes des titulaires de carte. Concrtement, ces organisations doivent : 1. Installer et grer une configuration de pare-feu afin de protger les donnes des titulaires de carte ; 2. Ne pas utiliser les paramtres par dfaut du fournisseur pour les mots de passe et les autres paramtres de scurit de systme ; 3. Protger les donnes des titulaires de cartes stockes ; 4. Crypter la transmission des donnes des titulaires de carte sur les rseaux publics ouverts ; 5. Utiliser et mettre jour rgulirement un logiciel antivirus ; 6. Dvelopper et grer des applications et systmes scuriss ; 7. Limiter laccs aux donnes des porteurs de carte aux cas de ncessit professionnelle absolue ; 8. Attribuer une identit dutilisateur unique chaque personne disposant dun accs informatique ; 9. Limiter laccs physique aux donnes des titulaires de carte ; 10. Suivre et surveiller tous les accs aux ressources du rseau et aux donnes des titulaires de carte ; 11. Tester rgulirement les systmes et procdures de scurit ;
33

12. Disposer dune politique rgissant la scurit de linformation. Si une ou plusieurs des exigences PCI ne sont pas satisfaites, les organisations sexposent des mesures punitives qui pourraient comprendre des amendes proportionnelles linfraction, pouvant atteindre des centaines de milliers de dollars, la rvocation du privilge de traitement des cartes de crdit et le refus dmettre un certificat de conformit. Linobservation des normes PCI pourrait en outre porter prjudice la marque et la rputation de lentreprise, et mme entraner sa faillite. Les commerants peuvent aussi recevoir des incitatifs importants pour se conformer aux exigences de la norme PCI DSS. Au Maroc, Attijariwafa Bank, Banque Marocaine du Commerce Extrieur, Banque Populaire, Centre Montique Interbancaire, Poste Maroc et Maroc Tlcommerce ont dmarr, sous la pression notamment de VISA, les chantiers de conformit aux exigences de la norme PCI

DSS. 2.8.3 Sarbanes Oxley

La loi Sarbanes Oxley (SOX), du nom respectif des deux snateurs Paul Sarbanes et Michael G. Oxley, a t adopte par le congrs amricain en Juillet 2002. Elle a vu le jour suite aux multiples scandales comptables et financiers : Enron, Tyco International ou encore

WorldCom. Plusieurs points lis la scurit des SI doivent faire lobjet dun contrle strict
au sens de SOX. Il sagit notamment de : 1) La gestion des mots de passe Le niveau de scurit des mots de passe ; La vrification du changement des mots de passe tous les six mois ; L'tude des notes dlivres par le responsable scurit aux employs sur la politique des choix de mots de passe ; Un exemple concret de test consisterait valuer la scurit des mots de passe de 30 utilisateurs, et identifier la proportion de mots de passe faibles. 2) L'tude de rseau informatique Vrification de l'authentification des accs VPN ; Protection du rseau interne par 2 niveaux de pare-feux ; Contrle et journalisation des accs Internet ; Signature d'une charte de bon usage d'Internet ; Authentification des utilisateurs pour accder Internet ; Rvocation des certificats lors du dpart des collaborateurs ;

34

Filtrage des emails vis--vis des menaces connues: virus, chevaux de Troie, etc. 3) Plan de reprise en cas de dsastres Sauvegarde des serveurs principaux ; Externalisation des supports de sauvegarde ; Rdaction d'un document de procdure de restauration pour chaque serveur. 4) La journalisation & Audits Mener des audits internes afin d'assurer le bon fonctionnement des mesures de scurit prises par l'entreprise ; Vrification de l'existence des fichiers de logs des serveurs mails, des navigateurs internet et des accs VPN ; Traabilit des accs aux applications financires et ressources humaines ; Sauvegardes des emails conserves durant 1 mois minimum (destinataire, l'envoyeur, le sujet, la date et l'heure et l'IP ).

2.9

Le RSSI : un nouveau mtier

Sil y a quelques annes, la fonction de scurit ntait, au mieux, quun ensemble de tches ralises par le responsable des rseaux, aujourdhui elle simpose comme un mtier part. Une organisation ayant atteint une taille minimale en termes de nombre dordinateurs (plus de 500 postes de travail) dans son parc informatique, ne peut continuer traiter la fonction de la scurit dune faon parpille. En effet, en remettant la scurit aux mains de lexpert informatique (gnralement le responsable des rseaux ou le responsable de lexploitation), seulement laspect technologique de la scurit est pris en compte. Souvent, assurer la scurit dans une telle configuration se limite lacquisition de logiciels adquats. Les risques purement organisationnels et humains ne peuvent tre pris en charge dans un tel contexte. Beaucoup dorganisations ont bien saisi les limites dune telle approche. Elles disposent aujourdhui dune fonction entirement ddie la scurit prise en charge par ce qui est communment appel RSSI (Responsable de Scurit des Systmes dInformation).

Dpendamment du niveau de maturit de la scurit au sein de lorganisation, le RSSI peut tre rattach hirarchiquement diffrentes entits de lentreprise. Le rattachement la direction gnrale peut tre fait au sein de trs grandes entreprises mais avec un rle beaucoup plus large tendant plus vers le management du risque de la socit toute entire28. Souvent, dans des organisations structures, le RSSI est rattach la direction des systmes
28

Bernard Foray La fonction RSSI , Edition Dunod, 2007

35

dinformation. Dans les structures de taille moyenne, le RSSI a souvent un positionnement orient vers l'expertise technique. Il garantit avant tout la prennit et l'volution de l'infrastructure pour faire face aux attaques et aux risques extrieurs. Il n'encadre gnralement pas d'quipe. Alors que, en raison notamment dune culture interne forte en matire de gestion des risques, le poste de RSSI revt un enjeu stratgique et dispose en consquence de moyens plus importants qu'ailleurs. Il gre son budget, encadre gnralement une quipe d'experts techniques, voire fonctionnels, et occupe un positionnement transverse dans l'entreprise.

I - LES ROLES DU RSSI

II SES OBJECTIFS

III SES CHANTIERS

Protger le patrimoine de son entreprise Identification de la valeur mtier valuation des menaces et des protections Garant du patrimoine Connatre et matriser les risques Risques existants, expositions, volution Solutions/cots Aide au choix des risques couvrir

Cartographies des ressources Chartes de scurit Veille technologique/scurit Plan de continuit dactivit

Gestionnaire de risque

Audit de scurit Analyse/Cartographie des risques Cible de scurit Solutions de scurit Budget

RSSI

Organisateur

Organiser la scurit Organiser et dcliner la scurit Lintgrer dans les processus mtiers Pilotage : contrle/reporting

Organisation des chantiers de scurit Gouvernance de la scurit des SI Politique et processus de scurit Dispositif de contrle et de reporting Tableau de bord

Leader de communication

Animer, piloter, suivre Progresser sur les chantiers Accompagner les volutions Contrle/suivi/reporting

Garant lgal Se conformer aux rglements/aux standards Veille rglementaire, suivi des standards

Sensibilisation/Communication Scurit Assistance MOA/MOE Lancement/Animation des chantiers Gestion du changement Suivi/Budget

Recueils de bonnes pratiques Analyse de conformit rglementaire (Lois et rglements spcifiques) Certification (ISO 27001)

Figure 5 : Les rles, les objectifs et les chantiers du RSSI

36

2.10

La scurit est une question de gouvernance

La scurit de linformation a t longtemps pargne des mouvements de meilleures pratiques et de rfrentiels. Les RSSI se trouvaient souvent dsarms face la bonne canalisation des nergies en matire de scurisation SI. Labsence de repre en la matire compliquait constamment leurs tches. Aujourdhui, grce lmergence de plusieurs rfrentiels de scurit, notamment la famille des normes ISO 27000, les RSSI disposent de la matire pour mettre en place la gouvernance de la scurit de linformation. Parmi ces rfrentiels, ISO 27002, en tant que bibliothque de meilleures pratiques, demeure le rfrentiel le plus utilis quand il sagit daborder la scurit dans une perspective transversale. En effet, outre les aspects lis la scurit logique, les aspects lis la scurit physique, la scurit lie aux ressources humaines et aux aspects juridiques sont largement couverts travers cette norme.

2.10.1 ISO 27001

L'ISO/CEI 27001 est une norme internationale de systme de management de la scurit de l'information (SMSI), publie en octobre 2005 par l'ISO.

L'ISO/CEI 27001 dfinit l'ensemble des tests et contrles effectuer pour s'assurer du bon respect d'ISO/CEI 27002. Elle sest inspire du modle PDCA (Roue de Duming) rappele, ciaprs :

Figure 6 : Le modle PDCA

Le modle PDCA (Planifier, Dployer, Contrle et Agir) impose le respect des points contrles par rapport chaque section.

37

1) Planification : Etablir le SMSI Lorganisme doit respecter les points de contrles suivants : Dfinir le champ dtaill dapplication du SMSI (processus mtiers, organisation, location, biens, technologies) ; Dfinir la politique du SMSI ; Dfinir lapproche dvaluation des risques (mthode, critre dacceptation, etc.) ; Identifier les risques (biens traits, menaces, vulnrabilits potentielles, impacts) ; Analyser et valuer les risques (impact mtier, probabilit, gravit) ; Dfinir la stratgie de traitement des risques (transfert, accepte, etc.) ; Dfinir les mesures (objectifs, points de contrle) de limitation des risques ; Obtenir laccord du management sur la stratgie de traitement des risques ; Obtenir laccord du management pour implmenter le SMSI ; Formaliser la stratgie de traitement des risques (choix des mesures mettre en uvre, liste des mesures dj appliques, justification de llimination de points de contrle). 2) Dploiement : Mettre en place et exploiter le SMSI Lorganisme doit respecter les points de contrles suivants : Dfinir un plan dactions de traitement des risques (mesures de protection, ressources, responsabilits, priorit, etc.) ; Organiser le dploiement du plan dactions de traitement des risques ; Dployer les points de contrle / les mesures de protection ; Dfinir la stratgie de suivi et de mesure de lefficacit des actions ; Dployer un programme de formation / sensibilisation ; Piloter / grer les aspects oprationnels du SMSI ; Mettre en uvre des procdures et des moyens de dtection et de traitement des incidents. 3) Contrle : Contrler et valuer le SMSI Lorganisme doit respecter les points de contrles suivants : Mettre en uvre les procdures et les moyens de suivi (dtection derreurs, suivi des incidents, des tentatives dexploitation de failles, contrle des performances humaines et technologiques, etc) ; Organiser le suivi de lefficacit du SMSI prenant en compte les rsultats daudit, les relevs dincidents, les mesures defficacit, les suggestions et avis des intervenants dans le SMSI, etc.) Mesurer et contrler lefficacit des mesures dployes ;

38

Rvaluer rgulirement les risques ; Effectuer rgulirement des audits du SMSI ; Organiser le suivi du SMSI au niveau du Management (Direction Gnrale) ; Adapter / mettre jour le plan dactions scurit (prendre en compte les indicateurs de suivi defficacit) ; Enregistrer / les actions et les vnements qui peuvent avoir un impact sur lefficacit du SMSI. 4) Action : Soutenir et amliorer le SMSI Lorganisme doit respecter les points de contrles suivants : Implmenter les modifications identifies dans le SMSI ; Prendre des mesures correctives et prventives (prendre en compte les retours dexprience internes ou externes) ; Communiquer sur les mesures et les adaptions du SMSI aux personnes impliques ; Vrifier que les correctifs/modifications rpondent aux objectifs fixs.

2.10.2 ISO 27002

L'ISO/CEI 27002 est un ensemble de 133 mesures dites best practices , destines tre utilises par tous ceux qui sont responsables de la mise en place ou du maintien d'un Systme de Management de la Scurit de l'Information (SMSI). La scurit de l'information est dfinie au sein de la norme comme la prservation de la confidentialit, de l'intgrit et de la disponibilit de l'information .

Cette norme n'a pas de caractre obligatoire pour les entreprises. Son respect peut toutefois tre mentionn dans un contrat : un prestataire de services pourrait ainsi s'engager respecter les pratiques normalises dans ses relations avec un client.

La norme ISO/CEI 27002 est compose de onze sections principales, qui couvrent le management de la scurit aussi bien dans ses aspects stratgiques que dans ses aspects oprationnels. Chaque section constitue un chapitre de la norme :

Chapitre 1 : Politique de scurit Chapitre 2 : Organisation de la scurit de l'information Chapitre 3 : Gestion des biens Chapitre 4 : Scurit lie aux ressources humaines Chapitre 5 : Scurit physique et environnementale
39

Chapitre 6 : Gestion des communications et de l'exploitation Chapitre 7 : Contrle d'accs Chapitre 8 : Acquisition, dveloppement et maintenance des systmes d'information Chapitre 9 : Gestion des incidents lis la scurit de l'information Chapitre 10 : Gestion de la continuit d'activit Chapitre 11 : Conformit lgale et rglementaire

Chaque section spcifie les objectifs atteindre et numre un ensemble de mesures (les best practices ) permettant d'atteindre ces objectifs. La norme ne dtaille pas les mesures, car chaque organisation est cense procder une valuation de ses propres risques afin de dterminer ses besoins avant de choisir les mesures qui seront appropries dans chacun des cas possibles.

Cette norme est de plus en plus utilise par les entreprises du secteur priv comme un rfrentiel d'audit et de contrle, en complment de la politique de scurit de l'information de l'entreprise. Le fait de respecter cette norme permet de viser, moyen terme, la mise en place d'un Systme de Management de la Scurit de l'Information, et long terme, une ventuelle certification ISO/CEI 27001.

Conformit lgale et rglementaire Gestion de la continuit

Intgrit

Politique de scurit Organisation de la scurit

Confidentialit

Gestion des biens

Gestion des incidents

Information
Scurit lie aux resources humaines
Disponibilit Preuve

Dveloppement et maintenance Gestion des communications et dexploitation

Scurit physique et environnementa Contrle des accs

Figure 7 : Les 11 chapitres de la norme ISO 27002

40

Conclusion du chapitre La cybercriminalit est un business organis, facile, faible risque et surtout trs rentable. De nombreux utilisateurs peu scrupuleux et en qute dargent facile nhsitent pas sy lancer. Lincomprhension qui entoure lunivers de la scurit de linformation leur facilite grandement la tche. En effet, la scurit est souvent apprhende comme un pur phnomne technologique. Or, la menace organisationnelle peut avoir un impact aussi important quune faille technique. En outre, ltre humain reste le maillon faible de la chane de la scurit et il faut le considrer en tant que tel. A quoi sert la scurit dun SI, aussi robuste soit-elle, si lutilisateur continue mettre son mot de passe sur un bout de papier et le coller sur son ordinateur.

Une bonne gouvernance de la scurit SI doit sinspirer des meilleures pratiques en la matire. Le recours un rfrentiel adressant les trois dimensions de la scurit savoir : la dimension organisationnelle, la dimension technologique et la dimension humaine est vital pour toute organisation souhaitant scuriser son SI.

41

Chapitre 2 : Les multiples visages de la cybercriminalit

Deux choses sont infinies : LUnivers et la btise humaine Albert Einstein

La cybercriminalit a de multiples visages. Chaque jour, elle se manifeste dune nouvelle manire. Tantt elle nest que la virtualisation danciennes mthodes descroqueries tantt elle nous surprend par le caractre novateur du mode opratoire quelle applique. Les attaques cybercriminelles sont potentiellement illimites. En effet, lmergence de nouvelles applications va ncessairement gnrer des failles de scurit29. Le lancement de chaque logiciel comporte des failles non rfrences que des cybercriminels sempresseront dexploiter des fins de racket ou despionnage industriel ou autre (type attaque Zero Day). Les cybercriminels ont donc de beaux jours encore devant eux. Il y aura toujours une activit dviante dans le cyberespace tant que nous continuons utiliser des applications potentiellement vulnrables.

Pour prsenter les diffrentes formes de la cybercriminalit, il nous a sembl pertinent de les apprhender travers les objectifs viss par rapport aux quatre piliers de la scurit savoir, la disponibilit, lintgrit, la confidentialit et la preuve. Par ailleurs, nous tenons prciser que plusieurs typologies dattaques peuvent avoir un impact sur plusieurs piliers de scurit. A titre dexemple, une attaque virale peut avoir comme consquence une atteinte la disponibilit, lintgrit, la confidentialit ou la preuve dpendamment de la nature des objectifs viss.

29

Il est gnralement reconnu dans lindustrie logicielle que chaque 1000 ligne de code peuvent gnrer en

moyenne 7 8 failles de scurit.

42

1.
1.1

Lordinateur comme moyen ou cible dactes cybercriminels

Latteinte la confidentialit

A lheure du tout informatique, la confidentialit semble tre lun des piliers le plus touch par la cybercriminalit. De nombreuses attaques ont souvent pour but de rechercher des donnes sensibles au moyen de programmes robots ou autres logiciels malveillants pour les utiliser ou les revendre. Selon Symantec30, 24% des demandes des clients des pirates porteraient en effet sur des informations dtailles relatives des cartes de crdit, et 18% sur des informations relatives des comptes bancaires31. Laccs ces donnes ne peut tre considr comme une fin en soi. Ce nest quun objectif transitoire. Les donnes de cartes de crdit par exemple pourront tre utilises ultrieurement pour commettre des fraudes en ligne, ce qui classera ce dlit dans la catgorie des objectifs convertibles. Le cot des donnes personnelles drobes dpend directement du pays o vit le dtenteur lgitime de ces donnes. Par exemple, les donnes compltes de rsidents des Etats-Unis valent entre 5 et 8 dollars. Sur le march noir, les donnes d'habitants de l'Union europenne sont particulirement recherches : elles cotent deux trois fois plus que les donnes de rsidents des Etats-Unis et du Canada32. Lappt du gain nest pas le seul but recherch par latteinte la confidentialit des donnes. Lespionnage industriel voir mme politique sappuie de plus en plus sur les attaques cybercriminelles pour rcuprer de linformation confidentielle. Ainsi, mener des intrusions dans le systme dinformation dune organisation concurrente dans le but de rcuprer de linformation stratgique sur ses produits et services est devenu une pratique courante dans de nombreuses organisations. Sous couvert de lintelligence conomique, tous les moyens sont bons pour gagner plus de parts de march.

La confidentialit des informations peut tre aussi viole physiquement. On nglige souvent la copie physique et la destruction dinformations installes sur un CD ou un dispositif de stockage de type cl USB. De nombreuses attaques peuvent sappuyer sur des techniques
30 31

Editeur de logiciels de scurit Symantec Report on the Underground Economy July 07June 08

http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_underground_economy_report_112008 14525717.en-us.pdf
32

Yury Namestnikov Economie des rseaux de PC zombies , Kaspersky Lab

http://www.viruslist.com/fr/analysis?pubid=200676201

43

conventionnelles de rcuprations de donnes stockes sur un support physique lectronique ou documentaire. Ainsi, la socit Sunsilk, filiale de la multinationale Unilever, a vu ses poubelles explores par une socit dintelligence conomique qui a t mandate par son concurrent Procter & Gamble. Lopration sest solde par la rcupration de plus 80 documents dont le plan de lancement de nouveaux produits, la politique des ressources humaines et la stratgie commerciale33.

Parmi les attaques portant atteinte la confidentialit, le Phishing ainsi que les logiciels malveillants notamment les chevaux de Troie restent les plus utiliss. Appuyes de plus en plus sur un rseau dordinateurs zombies34, ces attaquent gnrent une grande partie dargent de la cybercriminalit.

1.1.1 Lattaque virale

Lpoque des virus infectant des machines pour rendre indisponible un service donn et gner le travail de lutilisateur est rvolue. Aujourdhui, lattaque virale est de plus en plus oriente vers lappt du gain. Pour y parvenir, les infections dues ces virus sont diriges pour rechercher des donnes sensibles et les envoyer ladresse lectronique dun tiers sur ordre du concepteur du virus. Ainsi, une nouvelle gnration de virus appele malware35 ou cheval de troie36 est ne. Au fil du temps, elle est devenue la pierre angulaire de la majorit dattaques cybercriminelles. Le dtenteur dun tel code malicieux peut rcuprer des informations sensibles sur les postes de ses victimes telles que les informations lies sa carte bancaire, son code daccs ses services de banque en ligne, ses identifiants daccs dautres sites privatifs notamment les sites des rseaux sociaux et de la messagerie personnelle. Le caractre multifonctions de ces codes malveillants a dailleurs rendu obsoltes les dfinitions usuelles des notions de virus , cheval de troie , porte
33

Panorama de la cybercriminalit , Clusif 2001

http://www.clusif.fr/fr/production/ouvrages/pdf/PanoCrim2k1-fr.pdf
34

Une machine zombie est un ordinateur contrl l'insu de son utilisateur par un pirate informatique. Ce dernier

l'utilise alors le plus souvent des fins malveillantes, par exemple afin d'attaquer d'autres machines en dissimulant sa vritable identit.
35

Un logiciel malveillant (malware en anglais) est un logiciel dvelopp dans le but de nuire un systme

informatique. Les virus et les vers sont les deux exemples de logiciels malveillants les plus connus.
36

Un cheval de Troie (ou trojan) est un logiciel dapparence lgitime, mais conu pour excuter subrepticement

(de faon cache) des actions linsu de l'utilisateur. En gnral, un cheval de Troie tente dutiliser les droits appartenant son environnement pour dtourner, diffuser ou dtruire des informations, ou encore pour ouvrir une porte drobe qui permettra un attaquant de prendre, distance, le contrle de l'ordinateur.

44

drobe 37. Aujourdhui un malware moderne rpond lui seul plusieurs de ces dfinitions.

Le phnomne dattaques virales perptres dans le but de rcuprer des donnes sensibles monnayables semble connatre une croissance phnomnale ces dernires annes. Une rcente tude mene par Symantec confirme cette tendance. Le nombre de virus a progress de 165% entre 2007 et 200838. Plus de 1,6 million de nouveaux programmes malveillants ont t dtects au cours de la seule anne 2008. Depuis sa cration, lditeur a recens 2,6 millions de virus. Ceux apparus en 2008 reprsentent donc 60% de lensemble de ces codes malveillants. La tendance lexplosion du nombre de virus se poursuit donc, et sacclre comme le montre le graphe suivant.

Figure 8 : L'volution du nombre de virus39

Autre les failles des navigateurs et des systmes dexploitation, lattitude de confiance par dfaut envers les sites web visits et louverture des pices jointes reues dexpditeurs
37

Didier Sanz, Un nouveau terrain daction : la chasse aux donnes personnelles , La dlinquance

lectronique, Problmes conomiques et sociaux, Octobre 2008

38

Symantec Global Internet Security Threat Report. Trends for 2008

http://eval.symantec.com/mktginfo/enterprise/white_papers/bwhitepaper_internet_security_threat_report_xiv_04-2009.en-us.pdf
39

Idem

45

inconnus sont autant de vecteurs dinfection dans le cyberespace. Selon une tude mene par Trend Micro en 200840, le tlchargement en direct sur linternet est de loin le vecteur le plus utilis (plus de 53%). En deuxime position, on trouve la prsence pralable dun code tiers (43%), les interactions avec des emails frauduleux (12%) prennent la 3me place, suivi de trs prs par les infections par priphriques de stockage amovibles (10 %) comme les cls USB dont les risques lis aux fonctionnalits dexcution automatiques ne sont pas nouveaux. Le graphe suivant montre la place occupe par les diffrents vecteurs dinfection virale.

Figure 9 : Les vecteurs d'infection virale41

La multiplication des vecteurs dinfection virale et lascension fulgurante du nombre de codes malicieux compliquent le travail des diteurs de logiciels antivirus. Rien quen 2007, plus 3.000 souches ont t identifies en moyenne chaque jour42. Rappelons, quil est de plus en plus difficile dobtenir un chantillon de chaque souche virale en circulation. Les mutations incessantes de ces codes malicieux leur assurent un niveau de dtection trs faible. Il est devenu donc extrmement difficile aux diteurs de solutions de scurit uniquement bases sur les signatures de suivre le rythme. Le processus allant de la dtection, lanalyse et enfin la diffusion des mises jour est trop lent. Plusieurs diteurs commencent

40

Trend Micro 2008 Annual Threat Roundup

http://us.trendmicro.com/imperia/md/content/us/pdf/threats/securitylibrary/trend_micro_2009_annual_threat_ro undup.pdf
41 42

Malware Blog , Trend Lab, http://blog.trendmicro.com/most-abused-infection-vector/ Les malwares atteignent un stade pidmique http://www.darkreading.com/document.asp?doc_id=143424

46

dvelopper une approche plusieurs couches, avec contrle dapplications, prvention dintrusion et analyse comportementale. Cette situation incite mme certains experts de la scurit annoncer la mort de lantivirus comme le montre limage suivante :

Figure 10 : 10 ans de lutte antivirale

Prenons lexemple du virus Conficker. Le 16 janvier 2009, lditeur de logiciels de scurit

F-Secure dclarait que Conficker avait infect presque 9 000 000 ordinateurs, ce qui en ferait
une des infections les plus largement rpandues des annes 200043.La propagation du virus se fait par tous les moyens de contamination existants : sites Internet pigs, rseaux peer-

to-peer, cls USB, mails, etc...

Une fois le virus Conficker est introduit dans lordinateur, il installe discrtement un petit serveur qui lui permet de rester en contact avec le rseau des machines pilotes distance. Le centre de scurit Windows Update est aussi dsactiv et les points de restauration du systme sont supprims pour interdire lutilisateur de rtablir une configuration valide. Ce code malicieux prvient aussi les utilisateurs que leurs ordinateurs sont attaqus par un virus en leur offrant un antivirus fictif intitul (spyware Brockt 2009) 49,95 dollars et si les utilisateurs lachtent, le virus rcupre les coordonnes de leurs cartes de crdit. Au Maroc, au dbut du mois de mai 2009 et aprs avoir chang son mode opratoire, ce virus a infect plusieurs entreprises prives et organismes publiques. Ainsi, plusieurs grandes structures ont vu leurs systmes dinformations indisponibles pendant plusieurs heures.

43

Barry Neild, Downadup virus exposes millions of PCs to hijack , CNN, 16 janvier 2009

47

1.1.2 Le Phishing
Une attaque de phishing classique peut se drouler comme suit44 : tape 1. Lhameonneur envoie sa victime potentielle un message lectronique qui semble en apparence provenir de la banque de cette personne ou dune autre organisation susceptible de dtenir des informations personnelles. Dans cette tromperie, lhameonneur reproduit avec soin les couleurs, le graphisme, les logos et le langage dune entreprise existante. tape 2. La victime potentielle lit le message lectronique et mord lhameon en donnant lhameonneur des informations personnelles, soit en rpondant au message lectronique, soit en cliquant sur un lien et en fournissant linformation au moyen dun formulaire sur un site web qui a lapparence de celui de la banque ou de lorganisation en question. tape 3. Par le biais de ce faux site web ou du courrier lectronique, les informations personnelles de la victime sont directement transmises aux cybercriminels. Le succs des attaques phishing sexplique largement par le recours des techniques d'ingnierie sociale, c'est--dire des mises en scne bties sur des conventions sociales admises en vue de troubler psychologiquement les victimes et de recueillir des informations sensibles45. Daprs une rcente tude prsente par le Groupe Intrepidus46, compte tenu des mthodes de plus en plus personnalises employes par les hamonneurs 23% des personnes dans le monde seront vulnrables aux attaques phishing. En outre, les attaques

phishing qui utilisent un ton autoritaire ont 40% plus de succs que ceux qui tentent dattirer
les utilisateurs par le biais de rcompenses ou des donations. Tout en continuant viser les banques et sites de commerce lectronique bien connus, les hameonneurs tentent maintenant datteindre des victimes moins nombreuses mais de manire plus personnalise, ce qui pourrait les rendre encore plus dangereux. Un rapport de McAfee dat de 200647 rvle que les fraudeurs abandonnent les messages de type mettez jour vos renseignements personnels tout de suite au profit de messages plus personnaliss. Les

44 45 46

Document exploratoire sur le vol didentit en ligne , OCDE 2007 Olivier Iteanu, Lidentit numrique en question , Edition EYROLLES, 2008 La compagnie derrire le site web http://www.phishme.com quest un service de sensibilisation aux enjeux de

phishing
47

McAfee Virtual Criminology Report, 2006

http://www.mcafee.com/us/local_content/misc/mcafee_na_virtual_criminology_report.pdf

48

techniques dhameonnage sont de plus en plus perfectionnes et difficiles dtecter. Les formes principales sont les suivantes : Le pharming : ce type de message utilise le mme genre de faux identifiants que dans une attaque dhameonnage classique et, en mme temps, redirige les utilisateurs dun site web authentique vers un site frauduleux qui reproduit lapparence de loriginal. Le smishing : lutilisateur dun tlphone mobile reoit un message ( SMS ) en vertu duquel une entreprise confirme son abonnement lun de ses services, indiquant quune certaine somme lui sera facture quotidiennement sil nannule pas sa commande sur le site web de cette entreprise. Le spear-phishing ( harponnage ) : lexpditeur se fait passer pour un collgue ou employeur du destinataire dans le but de saisir les mots de passe et noms dutilisateur de membres du personnel pour finalement accder au systme informatique de lentreprise. Selon une tude ralise par The Radicati Group, le nombre dattaques par phishing aura plus que doubl en 200848. Cela corrobore la tendance identifie par Symantec qui signalait que lactivit de phishing est en hausse de 66% par rapport 2007. Ces attaques visaient essentiellement les acteurs du secteur des services financiers. De mme, 12 % de tous les vols de donnes constats en 2008 concernaient les numros de carte de crdit49. Cette forte croissance sexplique notamment par lutilisation des rseaux zombies qui facilitent lutilisation de la technologie Fast-flux permettant ainsi de modifier intervalle de quelques minutes l'adresse IP des sites tout en conservant le nom de domaine, ce qui prolonge la dure de vie de ces rseaux et complique leur dcouverte et leur mise hors-service50. Tout comme pour le cas dune attaque virale base de code malicieux, une attaque phishing nest pas une fin en soi, elle nest quune tape intermdiaire pour se livrer diverses fins telles que lobtention dun crdit, de largent, des biens, des services, ou toute autre chose de valeur utilise sous le nom de la victime sans son consentement. Parfois, les voleurs didentit nutilisent pas eux-mmes lidentit de la victime pour commettre une fraude. Ils la vendent dautres parties qui commettront elles-mmes la fraude ou gnreront de nouvelles formes illgales didentit personnelle (comme un certificat de naissance, un permis de conduire ou un passeport). Daprs une enqute auprs de victimes mene par
48 49 50

http://www.radicati.com/ Symantec Global Internet Security Threat Report . Trends for 2008 Les rseaux de PC zombies rapportent des millions de dollars aux cybercriminels , Kaspersky Lab

http://www.kaspersky.com/fr/news?id=207217176

49

lIdentity Theft Resource Centre (ITRC ) aux Etats-Unis en 2006, les actes de vol didentit
sont classs en trois grandes catgories : Louverture de nouveaux comptes (cartes de crdit, comptes bancaires ou emprunts) et autres types de fraude (par exemple, bnficier de soins mdicaux) ; Lutilisation illicite de comptes sans carte de crdit ; Lutilisation illicite de cartes de crdit seulement. Naturellement, les banques restent la cible idale ce genre dattaques. La croissance des activits de banque en ligne ne peut quacclrer ce phnomne. Selon les chiffres publis en 2008 par l'Anti-phishing Working Group51 (APWG), la majorit des entreprises cibles par le phishing appartiennent au domaine de la banque et de la finance. Parmi elles, sept marques (non cites dans le rapport) occupent elles seules 80% des campagnes de

phishing. On imagine sans peine qu'il s'agit des grandes banques amricaines et
europennes et de quelques services en ligne tels PayPal ou eBay. Mais, elles ne sont pas les seules touches par le phishing. En 2007, il suffisait un internaute marocain de commettre une lgre faute de frappe sur le site web institutionnel de Attijariwafa bank (www.atijariwafabank.com au lieu de www.attijariwafabank.com) pour se retrouver sur un vrai-faux site web du premier groupe financier marocain. Derrire cette opration, il y avait un jeune informaticien sans antcdents judiciaires. Au dbut, son but tait dacheter des noms de domaines qui prtent confusion avec celui dattijariwafa bank et de les revendre aprs pour raliser une plus value. Cest de la pure spculation. Cependant, aprs avoir envoy plusieurs courriels Attijariwafa bank sous couvert du pseudonyme Mol Mol , il sest rendu compte de linefficacit de son plan dattaque. Le jeune informaticien ira dans un deuxime temps jusqu cloner le site dattijariwafa bank et lhberger sur le site quil avait achet sous le nom de domaine www.atijarwafabank.com. Cette opration lui a valu une amende de 600 000 DH pour la partie civile52. Le secteur financier marocain nest pas le seul tre victime dattaque de phishing, les oprateurs tlcoms, ont subi aussi plusieurs attaques de ce type. Ainsi, Meditel a dcouvert en 2007 qu'une tentative de piratage visait ses clients utilisant les cartes tlphoniques pr payes. La technique consistait envoyer un courriel qui propose dacheter par cartes bancaires des recharges Meditel travers le faux site web http://meditel.medi-recharge.ma (site web clon partir du site web institutionnel http://www.meditel.ma ).

51 52

http://www.antiphishing.org http://www.bladi.net/attijariwafa-piratage-internet.html

50

1.2

Latteinte la disponibilit

Les organisations sont de plus en plus dpendantes de leurs systmes dinformation. Lindisponibilit peut avoir un impact important sur le chiffre daffaires et sur limage de marque de lorganisation. Par exemple, lindisponibilit dun lien pour un oprateur tlcom pendant quelques minutes peut se chiffrer en millions de dirhams. Cest la raison pour laquelle, tous les moyens sont envisageables pour rtablir la situation. Quitte mme payer une ranon une organisation cybercriminelle en contre partie dun retour la normale.

Latteinte la disponibilit peut se faire de diverses faons. Du piratage jusquau recours aux logiciels malveillants en passant par les attaques de dnis de service, aujourdhui les attaques sont orientes vers lappt du gain. Finie donc lpoque o on lanait des attaques contre des gants dindustries informatiques, juste pour manifester son dsaccord idologique ou pour avoir plus de renomme dans lunivers Underground.

La disponibilit peut aussi tre atteinte suite des attaques physiques, ne requrant que peu de technologies, sur les installations informatiques ou le cblage des rseaux. Mais la forme dattaque la plus dangereuse et la plus rpandue dans lunivers Underground reste incontestablement lattaque DDoS.

1.2.1 Le DoS et le DDoS

Les attaques en Dnis de Service (DoS) ont pour objectif de consommer tout ou partie des ressources dune cible, afin de lempcher de pouvoir rendre ses services de faon satisfaisante. En effet, les routeurs qui ont la charge de fluidifier et de rationnaliser le trafic
53

IP

ne peuvent quelques fois plus supporter une telle masse de requtes. Par consquent,

ils sont submergs et ne peuvent assurer le trafic non seulement sur le site attaqu mais galement sur les sites qui lui sont connects54. Cest un effet boule de neige assur. Les premiers types dattaques en Dnis de Service ne mettaient en cause quun seul attaquant

(DoS), mais rapidement, des attaques volues (DDoS) sont apparues, impliquant une
multitude dordinateurs zombies .

53 54

Internet Protocol Franck Franchin et Rodolphe Monnet, Le business de la cybercriminalit , Edition LAVOISIER, 2005

51

Sil y a quelques annes, les oprations DDoS taient assez compliques et ncessitaient des connaissances pointues en informatique, aujourdhui elles se sont dmocratises. De nombreux outils ont t dvelopps pour rendre lattaque plus accessible. Il en rsulte une recrudescence des attaques par dnis de service. Selon Verisign55, elles croissent plus rapidement que la bande passante alloue linternet56. Ainsi plus de 190 000 attaques par dni de service distribu ont t organises en 2008, ce qui aurait rapport aux cybercriminels plus de 20 millions de dollars57. Pour mieux comprendre le phnomne, il savre important dtudier les techniques les plus utilises dans ce domaine, qui doivent leur notorit des clbres attaques ayant vises des sites web dentreprises de renom. Le tableau ci-dessous rsume les techniques de dnis de services les plus utilises.
Techniques dattaques Description

Cette attaque consiste envoyer une multitude de demandes de connexions TCP afin de monopoliser les ressources dun serveur. Une connexion TCP normale stablit ainsi : 1) Demande de connexion au serveur en envoyant un message SYN (synchronize) SYN flood 2) Le serveur accepte la connexion au client en envoyant un message SYN-ACK (synchronize acknowledgment) 3) Le client rpond en envoyant un message ACK (acknowledgment) pour tablir la connexion. 4) Le pirate ne renvoie pas le message ACK, une latence du serveur ainsi quune consommation excessive des ressources-serveur se fait alors sentir et entrane un dni de service. LUDP flood consiste en une multitude de requtes UDP envoyes sur un UDP flood serveur (les paquets UDP sont prioritaires sur les paquets TCP) afin de saturer celui-ci. Packet Fragment (attaque par fragmentation) Ping of Death (Ping de la Mort)
55 56 57

Le pirate va sattaquer la fragmentation de la pile TCP/IP en plaant des informations de dcalage (offsets) errones empchant le rassemblage des paquets (overlapping). Le Ping of Deatth consiste envoyer un ping suprieur 65535 octets (taille maximale) provoquant un crash systme.

Firme en charge notamment de grer les noms de domaines en .com http://www.generation-nt.com/commenter/attaque-dos-internet-verisign-deni-service-actualite-45530.html Yury Namestnikov Economie des rseaux de PC zombies , Kaspersky Lab

http://www.viruslist.com/fr/analysis?pubid=200676201

52

Techniques dattaques

Description

Le smurf repose sur lenvoi dun maximum de ping (protocole ICMP) un Smurf attack (attaque par rflexion) rseau en broadcast. La cible se fera alors inonde de rponses ping par lensemble des machines du rseau saturant compltement sa bande passante. Le pirate envoie des paquets ayant la mme adresse IP (et port) au niveau Land Attack de son adresse source et de son adresse destination. De plus, cette technique utilise le flag SYN arm (voire SYN flood). Le buffer overflow consiste envoyer plus de donnes quun programme Buffer overflow (dbordement ou dpassement de tampon) est capable den grer. Les instructions en attente dexcution sont stockes dans un buffer (pile ou stack). Si la taille des donnes est suprieure la capacit du buffer, lapplication renverra une erreur : une adresse de retour invalide. Le pirate remplace ladresse crase par une autre pointant vers un code arbitraire (injection de code lui permettant par exemple douvrir un terminal : shellcode) pour prendre le contrle de lordinateur-cible. Mail Bombing Cette attaque permet lenvoi massif de-mails un destinataire pour saturer le serveur mail.
Tableau 1: Les techniques d'attaques par Dni de Service

En terme de popularit des attaques par saturation, celles visant les applicatifs (serveurs web, bases de donnes SQL par exemple) et celles par saturation des ports utiliss pour les services (UDP, ICMP par exemple) restent les plus populaires58.

De nos jours, le moyen le plus couramment utilis pour lancer des attaques par dnis de services est lutilisation des rseaux de zombies. Si on prend comme hypothse que chacun de ces zombies a accs une bande passante typique de lADSL, la victime doit faire face une attaque forte de plusieurs dizaines de Gigabits par seconde, rpartie en termes de provenance sur linternet mondial. Selon un rapport publi en Novembre 2008 par Arbor Networks59, les attaques DDoS ont franchi durant lanne 2008 la barrire des 40 gigabits par seconde soit 64% de lchelle des attaques par rapport lanne 2007. Peu dorganisations peuvent y faire face.

58 59

http://www.zdnet.fr/actualites/informatique/0,39040745,39384798,00.htm 2008 Worldwide Infrastructure Security Report , Arbor Networks http://www.arbornetworks.com/report

53

Figure 11 : Lvolution des attaques DDoS60

Si lorigine des gants comme Microsoft, Cisco, eBay, Facebook, Google, Twitter61 et mme les serveurs racines de noms de domaines62 (le cur du rseau de linternet) ont fait lobjet dattaques par dni de services, ce ntait absolument pas dans le but de leur demander une ranon. Cibler de telles organisations revenait tout simplement se faire une place de renomme dans lunivers Underground. Aujourdhui, de telles motivations se font de plus en plus rares. Le vritable but recherch est dsormais lappt du gain. En effet, avec la forte augmentation du nombre dchanges commerciaux sur linternet, le nombre de chantages au dni de service est lui aussi en trs forte progression. Toute entreprise ralisant un chiffre daffaire important dans une activit en ligne fort effet de levier, est potentiellement vulnrable aux attaques par dnis de service. Il est vident que le ralentissement, voir mme le blocage de leurs services pendant quelques heures est synonyme de pertes substantielles et pourrait occasionner beaucoup de dsagrments pour leurs clients. Ces socits ont donc tout intrt obir ou trouver une parade pour s'en protger, sans quoi les menaces seraient mises excution et pourraient perdurer63. Voici quelques exemples dattaques par dnis de service perptres ces dernires annes. Mars 2003 : Le site web de la chane dinformation Al Jazzera a t lobjet dattaque par dnis de service. La page daccueil du site a t remplace par un logo reprsentant une bannire toile accompagne de linscription. let freedom

Ring . Replace dans son contexte, cette attaque sest inscrite dans le sillage de la
60 61 62 63

Idem http://www.itespresso.fr/attaque-dos-twitter-facebook-et-google-pris-pour-cible-30841.html http://www.cases.public.lu/fr/actualites/actualites/2007/02/06_internet/index.html La revue MISC, Dossier spcial cybercriminalit . Janvier 2009.

54

seconde guerre du golf, o la diffusion par cette tlvision dimages de soldats de la coalition morts avait choqu lopinion publique amricaine. Juillet 2004 : La police russe a arrt des personnes souponnes davoir organis un racket de sites britanniques dentreprises et de paris. Elle a par ailleurs, indiqu que ce gang avait lanc des dizaines dattaques contre des sites Web. Il a fallu une collaboration active et pousse entre les polices russes et britanniques pour aboutir une telle arrestation. Juillet 2004 : La socit DoubleClick a vu le trafic sur son site web fortement paralys pendant de longues heures, entranant dans son infortune les sites de ses clients, qui dpendent de sa technologie pour grer leurs bannires de publicit. Septembre 2008 : La cour de Balakov a condamn trois pirates informatiques 8 ans de prison suite un chantage envers des sites de jeux en ligne. Les internautes demandaient plusieurs dizaines de milliers de dollars pour ne pas faire subir aux sites des attaques par dnis de service distribu. Aot 2009 : Twitter, Facebook et Google ont subi une attaque par dni de service. Une opration unique, massive et coordonne selon Twitter. Un bloggeur gorgien serait la cible des pirates qui ont paralys ces trois sites. Il utilise LiveJournal,

Facebook, YouTube et Twitter pour militer sur le web en faveur de la Gorgie. Un

militantisme qui n'aurait pas plu des "activistes" russes et qui auraient dcid de bloquer ses comptes (blogs, Twitter et Facebook). Seule faon d'y parvenir : envoyer un grand nombre de messages vers ces sites pour les bloquer. Aot 2009 : Le site de la loterie nationale danoise a subi une attaque par dni de service. Le communiqu de presse officiel mentionne en effet 10 millions de tentatives douvertures de session pour le samedi 15 aot. Le serveur de Command &

Control (C&C) du botnet lorigine de cette attaque est opr, sans grande surprise,
sur un nom de domaine russe, lui-mme hberg sur un serveur localis Taiwan. Les entreprises prives ne sont pas les seules organisations cibles par les attaques par dni de service, les Etats travers notamment ses institutions publiques peuvent aussi faire lobjet de ces attaques. En Juillet 2009, une srie de sites gouvernementaux amricains et sud-corens ont quasi-simultanment t cibls par une attaque de dni de service. Cette attaque massive visait les rendre inaccessibles, et de fait, les sites des dpartements du Trsor, des Transports, de la Commission fdrale des Echanges (FTC), du Secret Service et de plusieurs autres dpartements fdraux taient inaccessibles pendant plusieurs heures. En Core du Sud, des cibles similaires ont t attaques, telles que les sites de la Prsidence

55

sud-corenne, des ministres de la Dfense et des Affaires Etrangres, et de lAssemble Nationale. En France, lattaque par dni de service est considre comme le deuxime risque pour le pays derrire le terrorisme64. Lattaque contre lEstonie Tout a commenc par une action symbolique, lenlvement dans un jardin public de Tallin (capitale de lEstonie), dun mmorial de guerre datant de la priode sovitique. Pour lEstonie, ctait une faon daffirmer un peu plus la jeune indpendance du pays face au grand voisin russe. Mais Moscou, certains y ont vu au mieux une provocation, au pire un outrage. Et la rplique fut terrible. En quelques heures, ce pays, qui compte parmi les plus connects dEurope, fut lobjet dune srie dattaques par dni de service distribu sans prcdent lchelle dun pays. Les sites gouvernementaux furent les premiers viss. Puis vint le tour des banques, des mdias et des partis politiques. Le numro des urgences (ambulances, incendies) est mme rest indisponible pendant plus dune heure. Les attaques DDoS furent si virulentes que certaines administrations, dont celles de la dfense nationale, ont t obliges de couper l'accs de leur site web toutes les IP trangres au pays pendant plusieurs jours.

La densit des requtes tait telle que les experts ont enregistr une cration de trafic allant jusqu 5 000 clics par seconde sur certains sites cibls65.

1.3

Latteinte lintgrit

Latteinte lintgrit est rarement lobjet dattaque cybercriminelle ayant pour but lappt du gain. La modification non autorise ou laltration de donnes ne peuvent tre exploites dans une perspective directement lie largent. Cependant, comme cela a dj tait le cas, des organisations peuvent recourir aux services de cybercriminels afin daltrer les donnes

64

Le livre blanc sur la dfense et la scurit nationale en France .

http://lesrapports.ladocumentationfrancaise.fr/BRP/084000341/0000.pdf
65

http://www.01net.com/editorial/350759/lestonie-denonce-les-cyber-attaques-terroristes-russes/

56

dune organisation cible. Il sagit notamment dattaques ayant pour objet de nuire limage de marque dune entreprise concurrente ou dune organisation ennemie . Le dfacement des sites web reste la meilleure manifestation de ce genre dattaques. Il sagit dattaques provoques par l'utilisation de failles prsentes sur une page Web ou tout simplement une faille du systme d'exploitation du serveur Web. La plupart du temps, les sites dfacs le sont uniquement sur la page d'accueil.

1.3.1 Dfacement des sites web

Un dfacement, dfaage ou dfiguration (defacing en anglais) est un anglicisme dsignant la modification non sollicite de la prsentation d'un site Web, suite au piratage de ce site. Il s'agit donc d'une forme de dtournement de site Web par un pirate66.

Une page dface peut contenir plusieurs lments : Un fond uni, qui peut tre le seul indice de dfacement d'un site; la plupart du temps la page d'accueil est blanche ou noire ; Un simple mot, comme owned, hacked ou bien le pseudonyme du dfaceur ; Une image est assez souvent prsente, et affiche les revendications du dfaceur. On trouve souvent des symboles se rfrant la mort (crnes), un drapeau sous lequel le dfaceur est fier d'agir etc ; Parfois plus qu'un simple mot, plusieurs phrases, pouvant tre de diffrente nature (insultes envers des tats, des dfaceurs adverses; une revendication spcifique) ; Une explication simple de la faon dont le dfaceur a acquit l'accs en criture sur le site, accompagne l'occasion d'une moquerie envers le webmestre ou

l'administrateur du site en question ; Plus rarement un fichier audio.

Au Maroc, lampleur du phnomne de dfacement des sites web est arrive un point tel que certains analystes avancent que les sites marocains constituent un terrain dentranement pour les pirates trangers67. Notons par ailleurs, que le dfacement des sites web est un acte identitaire presque tous les pays en voie de dveloppement. Les statistiques de Zone-H68 donnent une ide prcise sur lorigine des assaillants (turcs,

66 67 68

http://fr.wikipedia.org/wiki/D%C3%A9facement http://www.1stpaca.com/actualites-paca/actualite.php?debut=96&idactu=569 http://www.zone-h.org/

57

iraniens, tunisiens, algriens, saoudiens et marocains). Le tableau ci-dessous reprsente une liste non exhaustive des sites web institutionnels des organismes gouvernementaux ayant fait lobjet dun dfacement69.

Date

Attaquant

Domaine

Systme

2009/05/28 2009/04/27 2009/01/08 2008/11/21 2008/11/20 2008/09/23 2008/09/16 2008/08/17 2008/08/17 2008/08/04 2008/08/02 2008/06/30 2008/06/28 2008/05/29 2007/12/09 2007/10/08 2007/05/01 2006/06/11 2005/10/24 2005/10/14 2005/06/05 2005/05/13 2005/01/18

Dr.Anach Hmei7 GANG hackers ARABS Old.Zone Old.Zone ExSploiters NetKiller mor0ccan nightmares mor0ccan nightmares Sm4rT Security Cr3w Handrix Mafia Hacking Team Mafia Hacking Team Swan Fox Team United Arab Hackers Arabian-FighterZ Arabian-FighterZ WizardZ WizardZ Arabian-FighterZ PRI[ll Fatal Error

www.marocainsdumonde.gov.ma/im... www.habous.gov.ma/sidishiker/i... Docs.justice.gov.ma/ang.txt www.equipementransport.gov.ma/... www.mtpnet.gov.ma/index.htm www.lagencedusud.gov.ma www.affaires-generales.gov.ma/... agadir-indh.gov.ma www.essaouira-indh.gov.ma www.dapr.gov.ma www.invest.gov.ma/all4one.htm www.environnement.gov.ma/feedd... www.minenv.gov.ma/feedd/defaul... Marocurba.gov.ma/du/forum/down... www.social.gov.ma/fr/index.asp www.marocainsdumonde.gov.ma/fo... www.mce.gov.ma/index.html www.minculture.gov.ma/owned.html asl.minculture.gov.ma/r0v.htm www.minculture.gov.ma/r0v.htm www.septi.gov.ma/livreor/defau... www.septi.gov.ma/livreor/defau... www.mhu.gov.ma

Linux Win 2003 Win 2003 Win 2003 Win 2003 Win 2003 Win 2000 Linux Linux Linux Win 2003 Win 2000 Win 2000 Win 2000 Win 2003 Win 2003 Win Win Win Win Win Win Win 2003 2003 2000 2000 2003 2003 2000

Tableau 2 : Liste de sites web marocains dfacs70

Le phnomne de dfacement des sites web gouvernementaux a atteint un niveau insupportable en 201071. En effet, aprs plusieurs attaques contre les sites de la primature, du ministre de lnergie et de la justice, la cellule de la lutte contre la cybercriminalit de la Sret Nationale a multipli les coups de filet. Plusieurs groupes ont t arrts. Il sagit notamment du groupe de pirates baptis Team Rabat-Sal connu dans lunivers

69 70 71

http://www.zone-h.org/archive/filter=1/domain=gov.ma/page=1 Source : http://www.zone-h.org Voir les articles publis par Hamza HAROUCHI ce sujet sur son blog http://www.hamza.ma

58

Underground marocain pour ses attaques dirigs contre les sites israliens et ceux du
Polisario.

1.4

Latteinte la preuve

La preuve, en tant que pilier de la scurit, reste le caractre le moins touch par la cybercriminalit. En effet, latteinte la traabilit notamment des vnements de scurit est rarement monnayable. Cependant, le recours vers les techniques permettant de porter atteinte la couche de traabilit, notamment lors des intrusions dans les SI, est de plus en plus frquent. En effet, lors dune attaque, linformation contenue dans les fichiers logs peut tre vrifie pour dfinir les traces de lattaque et aboutir une preuve accusatrice. Les informations pertinentes contenues dans les fichiers logs reprsentent la preuve qui est le besoin indispensable pour linvestigation. Cest le seul moyen pour identifier lattaquant afin de le poursuivre judiciairement72. Un attaquant qualifi pntrant dans un systme a intrt donc effacer les fichiers logs ou modifier leur contenu.

1.4.1 Latteinte logique

Les donnes faisant objet de preuve informatique sont gnres par le logging. Il sagit des fichiers logs qui tracent tous les vnements qui arrivent pendant lactivit dun systme. Ils peuvent contenir la preuve en dtail de toute activit exceptionnelle, suspecte ou non dsire.

Les fichiers logs constituent une source critique de preuve pour Forensics, ils peuvent contenir les empreintes des attaquants et indiquer les menaces et les attaques en cours. Ils reprsentent une forme de donnes qui peut-tre efface ou falsifie par un attaquant afin deffacer la trace de lattaque ou modifier le cours de lattaque. Si les fichiers logs sont effacs ou errons, on perd toute preuve dattaque et par consquent le processus de

Forenscis ne peut russir. Des mesures de protection doivent tre prises en compte vis vis
des fichiers logs. La politique de scurit dune organisation doit inclure les procdures de protection des fichiers logs des composants du SI73.

1.4.2 Latteinte physique

72

Hassina Bensefia, Fichiers logs : preuves judiciaires et composant vital pour Forensics

http://www.webreview.dz/IMG/pdf/bensefia.pdf
73

Idem

59

La preuve informatique, peut aussi faire lobjet dune atteinte physique. Cest le cas par exemple de la destruction des documents par le management de la socit Enron74 dans le cadre du scandale financier qui a vu le jour en 2001.

Cest le cas aussi de la socit Intel qui a perdu de nombreux courriers lectroniques que la socit devait produire devant le juge, dans le cadre de l'affaire de comportement anticoncurrentiel dont l'a accus son concurrent AMD aux Etats-Unis. Selon les avocats

d'Intel, ces courriers sont perdus, alors qu'ils devaient tre conservs pour le procs. Ces
documents, la plupart des emails internes de chez Intel, taient considrs par AMD comme des preuves conviction indispensables75.

1.5

Les outils utiliss

Chaque opration cybercriminelle sappuie invitablement sur lutilisation des programmes malveillants. Lefficacit de ces outils dpendra de leurs capacits dissimuler les traces et viter au cybercriminel quon remonte jusqu lui. Parmi ces outils, nous citons notamment les botnets, les rootkits et les keylogger.

1.5.1 Le Botnet
Un botnet est un rseau dordinateurs zombies contrls linsu de leurs propritaires. Il est souvent utilis des fins malveillantes comme envoyer des spams et lancer des attaques de type DoS contre des entreprises, administrations ou mme contre un pays76. Les rseaux zombies, qui rassemblent aujourdhui plusieurs dizaines de millions dordinateurs de par le monde77, peuvent galement tre utiliss pour commettre des dlits comme le vol de donnes bancaires et identitaires grande chelle. Ils sont devenus la principale source de propagation du courrier indsirable, des attaques DDoS et de diffusion de nouveaux virus78.
74

Enron fut l'une des plus grandes entreprises amricaines par sa capitalisation boursire. Outre ses activits

propres dans le gaz naturel, cette socit texane avait mont un systme de courtage par lequel elle achetait et revendait de l'lectricit, notamment au rseau des distributeurs de courant de l'tat de Californie. En dcembre 2001, elle fit faillite en raison des pertes occasionnes par ses oprations spculatives sur le march de l'lectricit ; elles avaient t maquilles en bnfices via des manipulations comptables. Cette faillite entrana dans son sillage celle d'Arthur Andersen, qui auditait les comptes d'Enron. Source : Wikipdia
75 76 77 78

http://www.pcinpact.com/actu/news/35071-AMD-Intel-antirust-destruction-preuve.htm Voir plus haut lattaque contre lEstonie Votre ordinateur est-il devenu un zombie ? , Orange http://assistance.orange.fr/1185.php?dub=2& Baromtre annuel sur la cybercriminalit en 2008 : lutte pour la survie , Kaspersky Lab

http://www.kaspersky.com/fr/reading_room?chapter=200463550

60

Certains experts redoutent mme lutilisation du temps de calcul de ces rseaux dordinateurs pour casser des cls de cryptage utilises pour scuriser certains protocoles sensibles. La cration d'un Botnet se fait en deux tapes au minimum, la premire tant d'infecter quelques dizaines de PC (les Matres), qui leur tour se chargeront de corrompre plusieurs dizaines de milliers, voire millions, d'autres ordinateurs (les zombies). Ce processus permet au pirate de conserver un anonymat absolu, plus il y a de machines entre la victime et l'instigateur de l'attaque, plus il est difficile de retrouver sa trace79.

Figure 12 : La structure d'un Botnet80

Ce schma illustre leffet dmultiplicateur dont dispose un botnet. Au cours du deuxime trimestre de 2009, prs de 14 millions de nouveaux ordinateurs zombies ont t dtects. Cela reprsente une augmentation de plus de 150 000 nouveaux zombies chaque jour81. Cette hausse est en bonne partie attribuable, selon les experts de Shadowserver82, au nombre de plus en plus lev de sites web contenant des composantes malicieuses. Elle laisse prsager dans les annes venir une croissance spectaculaire des revenus gnrs par les diffrentes activits cybercriminelles affrentes aux rseaux zombies. Rappelons par

79

Laurence Ifrah lEurope face la criminalit informatique , Questions dEurope N70, 3 septembre 2007

http://www.robert-schuman.eu/question_europe.php?num=qe-70
80 81

Idem Rapport de lditeur McAfee sur le paysage des menaces, 2me trimestre 2009

http://www.3dcommunication.fr/pdf/Threat%20report%20Q2%202009.pdf
82

http://www.shadowserver.org

61

ailleurs, que ces revenus sont directement proportionnels la fiabilit des rseaux zombies et son rythme de croissance83.

Figure 13 : Lvolution du nombre de PC zombies durant le 1er semestre 200984

Les botnets sont considrs mme par certains analystes comme un phnomne gopolitique. Il est important donc, dexaminer la production des ordinateurs zombies par pays. Cette production peut tre value partir de la provenance des pourriels dtects85. A eux seuls, les Etats-Unis sont responsables denviron 2,1 millions de nouveaux zombies durant le deuxime trimestre de 2009. Soit une augmentation de 33 % par rapport au premier trimestre de la mme anne, passant ainsi devant la Chine. Le Brsil, la Russie et l'Allemagne sont respectivement en troisime, quatrime et cinquime positions du classement. 2me trimestre 2009 Pays Etats-Unis % 15,7

83

Yury Namestnikov conomie des rseaux de PC zombies , Kaspersky Lab

http://www.kaspersky.com/fr/reading_room?chapter=200463607
84

Rapport de lditeur McAfee sur le paysage des menaces : 2me trimestre 2009

http://www.3dcommunication.fr/pdf/Threat%20report%20Q2%202009.pdf
85

Le nombre de pourriels en provenance d'un pays par rapport la quantit globale de pourriels dtects donne

une indication du nombre de machines zombies d'un pays par rapport l'ensemble des machines connectes sur le rseau.

62

Chine Brsil Russie Allemagne Italie Rpublique de Core Inde Royaume Uni Espagne TOTAL

9,3 8,2 5,6 5,3 4,0 3,8 3,2 3,0 2,6 60,7

Figure 14 : Les principaux pays responsables de la cration des zombies86

Qualifis darmes de zombies par les analystes du domaine, les botnets offrent ceux qui les contrlent une force de frappe ingale. Ils sont la base dune conomie sous terraine en pleine croissance. En effet, grce notamment aux attaques par dni de service distribu, la collecte d'informations confidentielles, la diffusion de courrier indsirable, au phishing, et au tlchargement de logiciels publicitaires et d'applications malveillantes, les botnets assurent des gains importants ceux qui les commandent87. Ainsi, certains cyberdlinquants se sont spcialiss dans la leve darmes de zombies , quils peuvent ensuite louer des tiers peu scrupuleux. La cration de rseaux de zombies en vue de les vendre ou de le louer est une pratique qui est devenue courante dans lunivers Underground. Le prix d'un

botnet varie entre 5 et 1 000 dollars amricains en fonction de la diffusion du bot, de sa

dtection par les logiciels antivirus, des instructions qu'il prend en charge, etc88. Ce sont les spammeurs qui apprcient le plus les rseaux zombies en raison notamment de la vitesse et l'ampleur de la diffusion que procurent ces rseaux. Ils leur permettent d'envoyer des millions de messages en trs peu de temps. En 2008, le top 11 des botnets

86

Rapport de lditeur McAfee sur le paysage des menaces : 2me trimestre 2009

http://www.3dcommunication.fr/pdf/Threat%20report%20Q2%202009.pdf
87

Les rseaux de PC zombies rapportent des millions de dollars aux cybercriminels , Kaspersky Lab

http://www.kaspersky.com/fr/news?id=207217176
88

Idem

63

tait capable d'envoyer plus de 100 milliards de messages spam chaque jour dans le monde89. En 2008, les spammeurs ont empoch environ 780 millions de dollars90.

Figure 15 : L'ampleur du phnomne du SPAM

Compte tenu du caractre rentable des activits cybercriminelles lies lutilisation des

botnets, il faut s'attendre ce que les cybercriminels acclrent le processus de

dveloppement des technologies propres aux rseaux de zombies. Ces derniers resteront donc, lun des principaux problmes de dlinquance lectronique auquel devra faire face les organisations et les Etats dans les annes venir. Seule une collaboration troite entre les diteurs de logiciels antiviraux, les fournisseurs daccs Internet et les autorits judiciaires est de nature freiner le dveloppement rapide des botnets.

1.5.2 Le Keylogger
Un keylogger (en franais, enregistreur de frappe) est un logiciel91 ou un matriel92 qui enregistre les frappes clavier linsu de lutilisateur. Le recours un tel outil permet potentiellement de rcuprer par exemples, des numros de cartes bancaires, des mots de passe de banques en ligne ou de Webmail. Certains Keyloggers sont capables denregistrer les URL visits, les courriers lectroniques consults ou envoys, les fichiers ouverts, voir de

89 90

Joe Stewart, SecureWorks, RSA Conference http://www.clubic.com/actualite-135320-pc-robots-100-spam.html Yury Namestnikov conomie des rseaux de PC zombies , Kaspersky Lab

http://www.kaspersky.com/fr/reading_room?chapter=200463607
91

Il sagit dun processus furtif (inclus dans un autre processus ou portant un nom ressemblant fortement au nom

dun processus systme) crivant les informations captes dans un fichier cach.
92

Il sagit dun dispositif intercal entre le port clavier de lordinateur et le clavier.

64

crer une vido retraant toute lactivit de lordinateur.

Trs sollicits dans le cadre doprations despionnage conomique et politique, les

keyloggers ne sont pourtant pas toujours dtects par les antivirus. Ce nest donc pas
vident pour les utilisateurs de les remarquer. Notons, cependant qu la diffrence des autres types de programmes malveillants, le keylogger ne prsente aucun danger pour le systme. Toutefois, il peut tre trs dangereux pour l'utilisateur.

Lancs directement au dmarrage de la machine hte, les keyloggers enregistrent au fur et mesure tout ce qui est frapp sur le clavier. Si la machine cible ne dispose pas d'une connexion internet, le keylogger enverra discrtement, une adresse mail ou un serveur internet, un fichier, gnralement crypt, contenant tous les renseignements collects. Le mode opratoire des keyloggers est identique, mme s'il existe une multitude de keyloggers diffrents. Ils sont installs directement par le pirate sur la machine vise, si l'ordinateur n'a pas de connexion internet permettant une installation distance via un cheval de Troie93. Les keyloggers figurent dsormais parmi les principales formes de cybercriminalit. Ils ont dailleurs dtrn l'hameonnage en tant que mthode privilgie pour le vol d'informations confidentielles94. En effet, tandis que dans le cas de l'hameonnage, l'utilisateur attentif peut se protger en ignorant les messages les plus suspects, il ne peut pas agir de la sorte contre les keyloggers et il devra absolument compter sur l'aide de dispositifs de protection spcialiss. A noter que les fonctionnalits des keyloggers ont volu avec lavnement des claviers virtuels, censs se protger contre les keyloggers. En effet, il existe des

keyloggers dont la fonctionnalit ne se limite plus la capture des frappes clavier, mais
surveillent aussi les clics de la souris et ralisent des captures dcran.

1.5.3 Le Rootkit
Un rootkit (en franais, kit racine) est un programme ou un ensemble de programmes permettant un tiers dautomatiser la dissimulation et leffacement des traces sur une machine. Lintrt, cest de pouvoir maintenir dans le temps un accs frauduleux un

93 94

Spyware et scurit Internet , http://coatmeur.fr/informatique/spyware.pdf Phishing : la mode est aux keyloggers , http://www.itespresso.fr/phishing-la-mode-est-aux-keyloggers-

13467.html

65

systme informatique. Le terme rootkit tait dj utilis il y a une douzaine dannes, dsignant un kit de petits programmes permettant un attaquant de maintenir son accs un niveau root (ou administrateur) sur un systme. Mais aujourdhui, il va plus loin. En plus doctroyer les privilges administrateurs lattaquant, il est normalement indtectable sur un ordinateur. Pour y parvenir, il doit tre ncessairement discret. En effet, les oprateurs systmes souponnant une intrusion peuvent recourir une investigation pour rechercher un programme malveillant ou une activit inhabituelle et ainsi compromettre laction du pirate. Do lintrt pour le pirate doprer au niveau noyau afin de pouvoir aisment modifier les fonctions utilises par tous les logiciels, y compris les outils de scurit. A partir de ce moment, un rootkit peut empcher un outil de scurit de sexcuter directement en lui masquant des informations95. Rien voir donc avec un virus ou ver de nouvelle gnration. Un rootkit ne se rplique pas. La plupart des techniques utilises par un rootkit ont pour objectif de masquer des fichiers et des rpertoires. On peut aussi trouver dautres fonctionnalits permettant, par exemple, de capturer des paquets de donnes sur le rseau ou bien de masquer lmission de certaines informations. Le plus souvent, cest limbrication de ces fonctionnalits qui feront des rootkits une menace non ngligeable.

2.

Lordinateur comme facilitateur dactes cybercriminels

Un acte cybercriminel peut tre aussi lincarnation nouvelle dune opration criminelle classique avec la seule diffrence, lutilisation dun ordinateur comme facilitateur. Parmi les actes de dlinquance lectronique les plus recenss dans le cyberespace, nous retenons lescroquerie, la fraude la carte bancaire, le blanchiment de largent, le cyberterrorisme et la pdophilie sur linternet.

2.1

Lescroquerie

Lescroquerie nest pas un phnomne nouveau. Il est aussi ancien que lHomme. Cependant, depuis que linternet est accessible au grand public, et en raison notamment de lanonymat que procurent gnralement les actes descroquerie perptrs sur le cyberespace, ce phnomne ne cesse de crotre. Certains types dactes descroqueries se pratiquent mme plus aisment sur linternet que dans la vie relle. Il en rsulte quaujourdhui tout le monde se retrouve menac par le-arnaque. Qui na jamais reu un

95

Loc Falletta, Rootkits : La menace ultime , MAGSECURS, N21

66

SMS ou un courrier lectronique type Vous avez gagn 1 million de dollars , ou Vous
tes lheureux gagnant du jeu Coca Cola ou encore Vous avez gagn une bourse dtudes de la fondation Bill Gates . Facilits notamment par lutilisation du SPAM, les cyberescrocs recourent de plus en plus vers les techniques dingnierie sociale pour duper les mes crdules. La plus courante est certainement la fraude nigrienne , surnomme aussi le Scam 41996, qui consiste jouer sur la cupidit de la victime pour la convaincre de transfrer une somme importante en esprant en recevoir davantage en retour. Tantt le cyberescroc fait appel lhumanit de sa cible en lui annonant quil se voit provisoirement prive dimportantes ressources. Tantt, il lui promet de gagner de largent facilement. Tous les moyens sont bons pour prendre au pige la victime. Prenons lexemple de la manipulation frauduleuse du cours dun titre en bourse. La technique consiste, pour le cyberescroc investir, en bourse, sur les titres de socits nayant aucune valeur. Par un envoi massif de courriels, il recommande lachat de ces actions. A force de spam, de plus en plus de personnes investissent, ce qui donne de la valeur laction. En effet, plus la demande augmente, plus le cours de la bourse senvole. Le cyberescroc revend ses actions quand elles ont atteint un niveau consquent, et ne donne plus de nouvelles aux victimes. Au bout dun moment, celles-ci commencent paniquer et revendent leurs actions qui nont plus alors de valeur. Lattaquant, lui, pendant ce temps est dj pass sa nouvelle arnaque97. Au Maroc, le phnomne de lescroquerie sur linternet gagne du terrain comme le tmoigne les nombreux cas rapports dont voici quelques exemples : Janvier 2007 : La Direction Gnrale de la Sret Nationale (DGSN), et aprs avoir t informe dune opration descroquerie sur linternet ciblant les marocains souhaitant migrer au Canada, a appel la vigilance lorsquil sagit dutiliser linternet pour la transmission des demandes dmigration. En effet, une femme non identifie qui prtend tre la nice de lambassadeur du Canada Abidjan arrive faire croire aux victimes rencontres sur le Chat de Yahoo quelle disposait du pouvoir de les aider migrer au Canada, travers une intermdiation en vue de leur

96 97

Appele ainsi daprs le numro de la section concerne du code pnal nigrien qui pnalise ce dlit. Les modles conomiques de la cybercriminalit la loupe , GIROP

http://www.globalsecuritymag.fr/GIROP-les-modeles-economiques-de,20090314,7959

67

procurer les documents de sjour98. Pour y arriver, le candidat lmigration doit faire parvenir ladresse de lambassade canadienne Abidjan, son passeport, une photocopie de la Carte dIdentit Nationale (CIN) et des photos didentit et 533 Euros en faux frais de visa envoyer au nom dun certain John Lavry, au moyen de la socit de transfert de fonds Western Union. Mai 2009 : Les lments de la police judiciaire d'Essaouira en collaboration avec leurs homologues de Rabat ont dnou les fils d'une affaire d'escroquerie par linternet dont ont t victimes une quinzaine de femmes. L'enqute a t dclenche lorsqu'une tudiante Essaouira a dpos une plainte auprs de la police de la ville contre X pour piratage de donnes personnelles, des photos plus particulirement, et extorsion sous menace. Le cyberescroc, originaire de Rabat et qui se faisait passer pour "un Emirati", promettait ses victimes parmi les femmes rencontres sur le Web un emploi dans un pays de la pninsule arabique et exigeait des photos personnelles. Une fois les photos reues, le cyberescroc qui a eu son actif, une quinzaine d'oprations identiques rclamait des sommes d'argent allant de 2 000 2 500 DH sous peine de diffusion des dites photos sur linternet99. Un numro de tlphone fourni la police par la plaignante qui a reconnu avoir effectu au profit de l'escroc deux versements de 500 et 700 DH retirs auprs d'une agence Wafacash Sal, a permis de remonter la personne recherche.

2.2

La fraude la carte bancaire

Le phnomne de fraude la carte bancaire est en volution constante. Certes lavnement de linternet grand public a favoris lutilisation frauduleuse des coordonnes bancaires sur les sites marchands. Mais la fraude la carte bancaire sur le web n'est rien en comparaison avec la fraude offline. En effet, le paiement par carte bancaire sur linternet reste globalement un phnomne mineur par rapport au total des oprations ralises par cartes physiquement. Linternet est rarement le lieu dorigine de la compromission des informations bancaires de lacheteur. Selon une tude ralise par FIA-NET100, les donnes drobes le

98

Maroc : la DGSN met en garde contre une escroquerie par Internet

http://www.fmaroc.com/news+article.storyid+68.htm
99

Essaouira: dnouement d'une affaire d'escroquerie par internet

http://biladi.ma/1012982-essaouira-denouement-d-une-affaire-d-escroquerie-par-internet.htm
100

FIA-NET est un prestataire de service dont le mtier est d'assurer un climat de confiance entre les acheteurs

et vendeurs sur le web.

68

sont le plus souvent dans le monde physique et linternet est avant tout un lieu dutilisation de ces informations bancaires101 comme le dmontre les exemples suivants : Mars 2002, les gendarmes franais ont russi le dmantlement dun rseau international de falsification de cartes. Le systme utilis tait ingnieux, les malfrats de vritables stratges. Il s'agissait de camras fixes sur les pompes essence automatiques de stations- service. Elles permettaient d'espionner distance les codes secrets des clients : 143 automobilistes avaient t pigs pour un prjudice global estim 260 000 Euros102. Juillet 2007, le chef prsum d'une bande organise de piratage de cartes bancaires a t arrt par les officiers de la police judiciaire de Toulouse. L'homme en question, tait recherch par la police depuis quatre ans. Il tait la tte dun rseau de pirates qui se servaient des outils dits skimmers103 pour dtourner de largent via des distributeurs de billets104. Juillet 2007 : Un rseau international de contrefaon de cartes bancaires a t dmantel. Ses membres pirataient des donnes bancaires en Asie avant de les recopier sur des cartes vierges en France. Les enquteurs ont dcouvert un vritable arsenal lors des perquisitions: cinq ordinateurs, trois encodeurs, deux machines embosser (qui impriment les numros en relief de la carte) ou encore 1 200 cartes vierges et 14 dj contrefaites. Le prjudice slve plusieurs centaines de milliers deuros105. Juillet 2009 : Vingt-quatre personnes ont t arrtes lors d'une opration policire visant dmanteler un rseau international de fraude la carte bancaire actif dans plusieurs pays europens. Le rseau est suspect d'avoir copi au moins 15.000 cartes de paiement dans l'Union Europenne, pour plus de 35.000 transactions frauduleuses d'un total d'environ 6,5 millions d'euros106.

101

FIA-NET La fraude la carte bancaire : le livre blanc 2008 http://static.fia-

net.com/__docs/livre_blanc_juin-2008.pdf
102 103

http://marches.lefigaro.fr/news/societes.html?OFFSET=1&ID_NEWS=132400235&LANG=f Ce matriel lectronique est capable de lire la bande magntique d'une carte bancaire afin d'en extraire les

informations. Celles-ci permettent ensuite de cloner, l'identique, la carte usurpe sur une carte vierge.
104 105 106

http://www.01net.com/editorial/354916/un-important-reseau-de-pirates-de-cartes-bancaires-demantele/ http://www.lexpress.fr/actualite/societe/carte-bleue-un-reseau-de-piratage demantele_465800.html

http://www.7sur7.be/7s7/fr/1505/Monde/article/detail/951732/2009/07/31/Fraude-a-lacarte-bancaire-24-

personnes-arretees-en-Europe.dhtml

69

Le Maroc nchappe pas au phnomne de fraude la carte bancaire. En effet, le nombre de cartes bancaires contrefaites au Maroc est pass de 1.694 cartes en 2000 plus de 6.000 en 2008. Soit le triple. En parallle, le montant des sommes dtournes connat lui aussi une hausse vertigineuse. De 4,4 millions de dirhams en 2000, ce montant est pass 20 millions en 2008107. Une telle croissance sexplique notamment par lengouement que suscite lutilisation de la carte bancaire. Selon le Centre Montique Interbancaire108 (CMI), les oprations par cartes bancaires, marocaines et trangres, au Maroc ont atteint au terme de l'anne 2009 : 138 millions d'oprations pour un montant global de 119 milliards de DH. Ce montant est en progression de 16,3% par rapport lanne prcdente. Cet engouement nest pas sans risque comme le rappelle les exemples suivants : 2005 : La gendarmerie royale a arrt 7 personnes souponnes davoir dtourn 4,6 millions de DH en copiant des cartes bancaires laide de matriel informatique109. 2008 : Deux employs dun centre dappel bas Casablanca, ont t interpells par les agents de la brigade centrale de police. Ils ont dtourn dimportantes sommes dargent en utilisant les donnes de porteur de cartes (nom de titulaire de carte,

PAN110, date dexpiration, etc) quils enregistraient lors des conversations

tlphoniques avec les clients franais et transmettaient par la suite une complice base en France qui se chargeait dacheter des biens sur linternet et de les revendre aprs. Laffaire a t porte la connaissance de la brigade centrale de police par France Tlcom. Loprateur franais avait en effet rclam aux autorits marocaines denquter sur les dtournements dont ont t victimes une dizaine de ses clients111. 2009 : Un rseau international spcialis dans la falsification de cartes bancaires a t dmantel par la police de Casablanca. Larrestation a eu lieu suite une alerte lance auprs de la police par le responsable dun htel o avait lhabitude de sjourner lun des membres du groupe, et ce aprs avoir dcouvert, cach dans les gaines, un matriel lectronique compos notamment dun encodeur qui sert falsifier les cartes bancaires et de plusieurs camras. Ainsi, 1.400 cartes falsifies ont t saisies. Le procd est le mme. Insrer une minuscule camra et un appareil

107

Attention, cartes bancaires pirates , Maroc Hebdo

http://www.marochebdo.press.ma/MHinternet/Archives_844/html_844/attentioin.html
108 109

http://www.cmi.co.ma Piratage: Attention vos cartes bancaires , lEconomiste

http://www.leconomiste.com/print_article.html?a=65366
110 111

Primary Account Number (PAN) est le numro qui est compos des 16 chiffres qui figure sur la carte bancaire. http://www.bladi.net/arnaque-centres-appel-maroc.html

70

type skimmer dans des guichets automatiques des quartiers aiss de la mtropole conomique112. Devant la professionnalisation accrue des malfaiteurs, il devient de plus en plus difficile de reprer la fraude. Partant de ce constat, les autorits et organismes comptents doivent se doter des outils de dtection et des moyens ncessaires pour lutter efficacement contre ce flau.

2.3

Le blanchiment dargent

Le blanchiment d'argent est le processus consistant dissimuler la source de l'argent ou des biens tirs d'activits criminelles. Une grande varit d'activits illgales est motive par le profit, notamment le trafic de stupfiants, la contrebande, la fraude, l'extorsion de fonds, la corruption et la cybercriminalit. Lenjeu financier est important - quelque 500 milliards un billion de dollars amricains dans le monde entier chaque anne113. Sur linternet, en raison notamment de la multiplication des banques en ligne, des casinos virtuels, des sites de paris en ligne et des possibilits de placements boursiers en ligne, les possibilits de blanchiment dargent sont illimites. Ainsi, transfrer des capitaux sur le web est devenu une activit fleurissante. Les intermdiaires recruts sont qualifis de mules114 et peuvent gagner une somme dargent considrable, en toute illgalit. Avec ces modes opratoires, les activits cybercriminelles demeurent incontrlables et les poursuites en justice se rvlent parfois impossibles115. En outre, compte tenue de limplication de la plante toute entire dans la lutte contre le financement du terrorisme international, sous limpulsion des Etats-Unis, largent sale provenant des activits criminelles ne peut plus circuler librement, mme dans les paradis fiscaux116. Par consquent, les diverses mafias se sont logiquement tournes vers la Toile pour lactivit de blanchiment de largent.

112

Attention, cartes bancaires pirates , Maroc Hebdo

http://www.marochebdo.press.ma/MHinternet/Archives_844/html_844/attentioin.html
113

Source : Centre danalyse des oprations et dclarations financires au Canada (CANAFE)

http://www.canafe-fintrac.gc.ca/intro-fra.asp
114

Une mule est quelquun qui sert dintermdiaire pour blanchir de largent, provenant descroqueries

commises sur Internet ou dautres pratiques frauduleuses.

115

Solange Ghernaouti-Hlie La cybercriminalit : Le visible et linvisible , collection le savoir suisse, Edition

2009, Page 101

116

http://cybercriminalite.wordpress.com/2008/11/30/internet-jeux-en-ligne-blanchiment-dargent-un-trio-

devastateur

71

De ce phnomne se dgage deux principales tendances. Il sagit du recours de plus en plus croissant vers les casinos en ligne et lemploi de plus en plus facile des mules.

2.3.1 Les casinos en ligne

Le recours aux jeux de hasard en ligne demeure une tendance srieuse en matire de blanchiment dargent. Les casinos en ligne sont devenus les terrains de prdilection des organisations mafieuses modernes constate le Groupe dAction Financire117 (GAFI). Ils permettent aux cybercriminels de placer en toute impunit leur argent sale, et dencaisser en retour les gains de jeu officiels. La cration de tels sites se fait en toute illgalit. Ceux-ci sont qualifis de sauvages , trs mobiles puisquils changent constamment de pays et de serveur, afin de brouiller les pistes. Selon une rcente tude de McAfee, plus 87 % des sites de jeux de hasard proposs sur linternet ralisent une activit clandestine (sans licence)118. L'absence de cadre juridique permet quiconque d'enregistrer un site web dans l'anonymat puis de facturer les clients via un compte bancaire anonyme dans un paradis fiscal ou un systme montaire virtuel. Au Maroc, les jeux de hasard et d'argent font l'objet d'une rglementation trs stricte. Ce qui permet de contrler troitement les conditions d'enregistrement et d'exploitation de ces activits. De ce point de vue, la situation des casinos virtuels est doublement illgale119. Dabord, parce quils ne peuvent tre cres que dans certaines villes du royaume. Ensuite, le transfert de devises ne peut tre opr dans un tel contexte.

2.3.2 Les mules

A lorigine le mot mule est utilis dans le jargon du trafic de stupfiant pour dsigner toute personne charge de faire transiter des produits illicites au travers de frontires. Lconomie sous terraine de la cybercriminalit possde aussi ses propres mules. Il sagit des

117

Le Groupe d'Action financire (GAFI) est un organisme intergouvernemental visant dvelopper et

promouvoir des politiques nationales et internationales afin de lutter contre le blanchiment de capitaux et le financement du terrorisme. http://www.fatfgafi.org/pages/0,3417,fr_32250379_32235720_33631745_1_1_1_1,00.html
118

Franois Paget Fraude financire et oprations bancaires en ligne : menaces et contre-mesures , McAfee

Avert Labs http://www.mcafee.com/us/local_content/reports/6168rpt_fraud_0409_fr.pdf

119

Bouchab Rmail, Criminalit informatique ou lie aux nouvelles technologies de linformation et de la

communication , Edition Somagram, page 101

72

individus recruts via linternet pour servir d'intermdiaires afin de rcuprer les fonds illicitement.

En contrepartie des oprations de transferts de fonds dont elle aura la charge, la mule reoit titre de commission entre 5 et 10% du montant transfr. Les fonds en question sont retirs par la mule sous forme de liquide aprs les avoir reus sur son propre compte bancaire et renvoys par la suite aux cybercriminels laide de services de transfert dargent tels que Webmoney, E-Gold, Western Union, MoneyGram, PayPal, etc

Le recrutement des mules s'effectue gnralement via lenvoi de spam. Le destinataire se voit proposer de devenir partenaire d'une socit respectable. De telles offres figurent aussi de plus en plus sur des sites de recherche demploi parfaitement lgitimes. En novembre 2008, le site www.bobbear.co.uk consacr la dnonciation des sites frauduleux impliqus dans le recrutement de mules, recensait 193 offres demploi en ligne consacres au recrutement de mules120.

Pour tre ligible loffre, on demandera la personne vise souvent de parler anglais, d'avoir environ deux heures consacrer cette activit par jour et, surtout, de disposer ou d'ouvrir un compte en banque pour effectuer des transactions. Si le destinataire de message manifeste son intrt, il recevra un pseudo contrat qui va le lier son nouvel employeur. Il sera contact par la suite pour linformer qu'une somme d'argent a t verse sur son compte et qu'il devra par la suite transfrer souvent via Webmoney, E-Gold, Western

Union, Moneygram, ou PayPal, une personne bien dtermine qui se trouve souvent dans
un autre pays. En agissant ainsi, la mule sans le savoir des fois, participe une opration de brouillage de pistes qui permettra au cybercriminel de rcuprer de largent blanchi. Remarquons par ailleurs, que de nombreuses personnes en qute dargent facile en cette priode de marasme conomique121 nhsitent pas se porter volontaires tel point que certains experts nhsitent pas qualifier le travail de mule comme une profession part entire122.
120

Les dessous de lhameonnage : La mcanique explique , ZERO SPAM

http://www.isiq.ca/entreprise/publications/articles/articles_pdf/zerospam_fiche-dessous_hameconnage.08.pdf
121

Blanchiment dargent : La cybercriminalit en plein recrutement .

http://www.zataz.com/news/18426/blanchiment--argent-faux--emploi.html
122

Franois Paget Fraude financire et oprations bancaires en ligne : menaces et contre-mesures , McAfee

Avert Labs

73

Pour mieux illustrer la mcanique derrire limplication des mules, analysons prsent les deux scnarios suivants123 : Dans le 1er scnario, le commanditaire a pour objectif de collecter des fonds issus de comptes PayPal pralablement compromis.

Figure 16 : Exemple de blanchiment d'argent via une mule124

1. Le commanditaire se connecte sur les comptes PayPal vols 2. Le commanditaire transfre l'argent depuis les comptes PayPal compromis vers celui de la mule. 3. La mule accde son compte PayPal

http://www.mcafee.com/us/local_content/reports/6168rpt_fraud_0409_fr.pdf
123

Source : Ces deux scnarios ainsi que les schmas correspondants ont t repris intgralement partir du

blog Scurit de Orange Business Services. Article Recrutement de "mules" : Petit cas d'espce et schmas d'utilisation , Jean-Franois Audenard. http://blogs.orange-business.com/securite/2009/03/recrutement-de-mules-petit-cas-despece-et-schemasdutilisation.html
124

Orange Business Services Blog Scurit Jean-Franois Audenard http://blogs.orange-

business.com/securite/

74

4. La mule provisionne son compte bancaire classique partir de l'argent de son compte

PayPal tout en gardant une commission prdfinie.

5. Elle envoie un mandat (ici via Western Union) l'adresse indique par le commanditaire. L'tape finale passant d'un mode "lectronique" un mode "classique" (PayPal vers Western

Union) peut tre apparente une notion de "rupture de protocole". Cela rendra plus
complexe la remonte ventuelle de la chane pour les forces de l'ordre. Dans le deuxime scnario, le commanditaire souhaite recevoir des marchandises achetes avec des cartes bancaires voles.

Figure 17 : Rexpdition de marchandises "douteuses" par une mule125

1. Le commanditaire achte des biens ou marchandises en utilisant des numros de cartes bancaires vols. Les marchandises sont livres la mule. Typiquement, la livraison est faite une mule rsidant dans le mme pays que celui des cartes bancaires, ce afin de rduire la dtection ventuelle. 2. La mule effectue un ventuel regroupement des marchandises (ou un dballage/remballage sous forme de cadeaux) et les envoie au commanditaire. 3. Les frais d'envoi sont typiquement pays la mule via un transfert d'argent depuis un compte bancaire vol.

125

Idem

75

Dans les deux schmas prsents, c'est la mule qui sera suspecte en priorit : C'est son compte PayPal vers lequel les sommes ont t verses depuis les comptes

PayPal pirats
C'est son adresse qu'ont t livres les marchandises achetes avec des cartes Au Maroc, bien que nous disposions dune rglementation stricte en matire de transfert de largent ltranger, nous assistons de plus en plus un recrutement des mules comme le laisse entendre les nombreuses annonces de travail domicile localises sur les sites demplois marocains. Autre lappt du gain, le blanchiment dargent sur linternet peut tre aussi motive par une action de financement des groupes terroristes. Il sagit dune manifestation parmi tant dautres du cyberterrorisme.

2.4

Le cyberterrorisme

Le cyberterrorisme est un terme controvers. Il peut tre dfini comme lutilisation de linformation et du contrle des systmes dinformation, par des groupes organiss ou par un individu, comme arme stratgique pour exercer des pressions et intimider ladversaire126. Il peut sagir de manipulation de linformation, de dsinformation, dinfiltration de rseaux, de sabotage des infrastructures tlcoms, de perturbation des services publics etc.

La vulnrabilit des infrastructures critiques dun pays nest plus dmontrer de nos jours. En effet, les secteurs comme le transport, les tlcommunications, les services mdicaux, leau, lnergie et les services de ladministration recourent de plus en plus une utilisation massive des technologies de linformation. Limportance de tels secteurs est telle quaujourdhui, la dpendance vis--vis les technologies de linformation est trs forte. Lindisponibilit dun service public critique peut avoir un impact colossal sur le bon fonctionnement des activits dun pays. Par exemple, la perturbation des services lis une centrale des systmes de production et de distribution dlectricit est de nature porter atteinte la scurit publique en entranant de la panique, en gnrant de la terreur et en mettant en danger les capacits de survie, voir en causant des pertes humaines. Par

126

Provient de lOffice Qubcois de la Langue Franaise (OQLF) http://www.olf.gouv.qc.ca/

76

consquent, la prise de contrle de ces infrastructures pourrait constituer un objectif privilgi du cyberterrorisme127.

La cybercriminalit peut donc avoir une dimension terroriste. Selon un rapport de l'Intelligence Advanced Research Projects Activity128 (IARPA), le cyberterrorisme peut se manifester plusieurs niveaux. Il en a identifi cinq129 : 1. Les communications secrtes : Cest lun des aspects les plus visibles. Les terroristes utilisent le cyberespace comme outil de communication efficace pour, entre autres, y faire de la propagande et du renseignement, pour recruter, former, entraner, rechercher des cibles, organiser, planifier des oprations et communiquer. Linternet, peu surveill, offre potentiellement une formidable plateforme de communication aux groupes terroristes. En effet, le rapport des terroristes avec le cyberespace nest pas anodin. Lexemple de lattaque perptre par un Kamikaz dans un cyber caf casablancais en mars 2007 est plein denseignement. Si le cyber n'tait pas la cible de l'attaque, lincident dmontre quel point le recours linternet est important pour la prparation des attaques terroristes130. 2. Entranement: Le caractre de plus en plus rel des mondes virtuels, ainsi que leur caractre modulable (la possibilit de crer des environnements spcifiques) permet aisment aux terroristes de simuler une attaque (avant de la mettre en uvre dans le monde rel), et de dvelopper de nouvelles stratgies. Lexemple de Google

Earth131 est difiant. En effet, cet outil offre aux terroristes sans risque et en toute
impunit toutes les informations et photos ncessaires pour identifier des cibles dactions y compris pour les zones qualifies comme sensibles. Les terroristes peuvent alors disposer de tout ce qui est ncessaire pour que leur action soit performante132.

127

Solange Ghernaouti-Hlie La cybercriminalit : Le visible et linvisible , collection le savoir suisse, Edition

2009, Page 88
128

IARPA est une agence gouvernementale amricaine spcialise dans la trs haute technologie de

communication, quivalent de la DARPA militaire pour les services de renseignement

129 130

http://lefrontasymetrique.blogspot.com/2008/04/terrorisme-et-cyberterrorisme-dans-les.html http://www.infosdumaroc.com/modules/news/articles-4181-internet-maroc-du-paradis-virtuel-a-l-enfer-

terror.html
131

Google Earth est un logiciel, proprit de la socit Google, permettant une visualisation de la Terre avec un

assemblage de photographies ariennes ou satellitaires.

132

Solange Ghernaouti-Hlie La cybercriminalit : Le visible et linvisible , collection le savoir suisse, Edition

2009, Page 89

77

3. Transfert/Blanchiment d'Argent: Il est dsormais possible pour des groupes terroristes de transfrer des fonds de manire virtuelle et de les convertir ensuite, au besoin, en argent rel. L'argent est ainsi blanchi par l'intermdiaire de bureaux de change, de courtiers ou agents de change, des socits crans, etc 4. Cyberattaques: Jusqu une date rcente, la cyberguerre tait considre comme tant une simple vision virtuelle sans consquences relles. Malheureusement quelques vnements rcents ont contredit cette vision. Plusieurs exemples significatifs ont marqu ces dernires annes nos esprits. Il sagit notamment de : Mai 2007 : L'Estonie a t soumise une cyber-attaque massive la suite de la suppression d'un monument commmoratif de la seconde guerre mondiale. Malgr les spculations que l'attaque avait t coordonnes par le gouvernement russe, le ministre de la dfense de l'Estonie a admis qu'il n'avait aucune preuve liant les cyber-attaques aux autorits russes. La Russie a appel sans fondement les accusations de son implication, et signal que ni l'OTAN ni les experts de la commission europenne n'ont pu trouver des preuves de la participation officielle du gouvernement russe133. Octobre 2007 : Le site du prsident ukrainien Viktor Yushchenko a t attaqu. Un groupe de jeunes nationalistes russes, l'office eurasien Youth

Movement, a revendiqu la responsabilit134.

Aot 2009 : De nombreux sites web gorgiens se sont trouvs paralyss, rendus inaccessibles par des attaques de type DDoS, ou bien dfigurs, leurs pages modifies par des hackers. Parmi les sites touchs on compte ainsi celui du prsident Mikhal Saakachvili, celui du ministre des affaires trangres, du Parlement, du ministre de la dfense, de la banque nationale de Gorgie, du portail d'information Georgia On-Line, du site rustavi2.com de la chane Georgian TV, de sosgeorgia.org (qui fait depuis dfiler sur son site un bandeau pour informer les internautes qu'il fait l'objet d'attaques massives de la part des hackers russes), etc. Lexemple de la Gorgie est intressant puisquil est le seul cas o les cyberattaques ont accompagn une vraie guerre135.

133 134 135

http://www.01net.com/editorial/350759/lestonie-denonce-les-cyber-attaques-terroristes-russes/ http://www.ukrspravka.info/fr/3302.html http://www.ecrans.fr/La-Russie-mene-aussi-une-cyber,4861.html

78

Juillet 2009 : Plusieurs cyber-attaques ont t lances contre le Pentagone et la Maison Blanche aux Etats-Unis et des agences gouvernementales en Core du Sud. Ces deux gouvernements ont accus la Core du Nord d'avoir lance ces attaques136. Janvier 2010 : Des hackers chinois ont lanc des attaques sophistiques contre le gant amricain Google. Cette attaque qui a t relaye par des complicits humaines au sein de Google, auraient procd en deux vagues. La premire qualifie d'ultrasophistique s'en serait prise des codes sources de logiciels Google. La seconde, travaillant de faon plus rustique par phishing. Cet incident, qui a ouvert le bal une guerre froide numrique entre les deux pays, sest termin par un retrait de la socit amricaine Google du march chinois137. Compte tenu de limportance des consquences de telles attaques, plusieurs pays nont pas hsit mettre des mesures drastiques pour une surveillance et une protection plus serres des rseaux internes et pour la cration de leurs propres moyes de cyberdissuasion138. Voici quelques exemples de mesures prises en 2009. Avril 2009 : Le gouvernement britannique confirme son projet d'un systme de pistage de 2 milliards de livres, aussi appel Interception Modernisation

Programme (IMP), pour explorer le trafic rseau la recherche d'activits

criminelles ou dangereuses139. Juin 2009 : Les Etats-Unis annoncent la cration de l'US Cyber Command, une structure militaire officielle ddie la dfense contre les cyber-invasions et les attaques l'encontre des rseaux informatiques ennemis140. Juin 2009 : Le Royaume-Uni annonce son intention de former l'Office for

Cyber Security, l'quivalent britannique de l'US Cyber Command, et refuse de

nier qu'il attaque d'autres pays dans le cyberespace141.

136

http://www.20minutes.fr/article/337970/Monde-La-Maison-Blanche-et-le-Pentagone-victimes-d-une-cyber-

attaque.php
137 138

http://www.huyghe.fr/actu_750.htm Rapport 2010 sur les menaces la scurit , SOPHOS http://www.sophos.fr/security/topic/security-report-

2010.html
139 140 141

http://www.theregister.co.uk/2009/04/27/imp_consultation156 http://www.govexec.com/nextgov/0609/gates_cybercommand_memo.pdf http://www.sophos.com/blogs/gc/g/2009/06/26/uk-attack-countries-cyberspac

79

Juillet 2009 : Un membre rpublicain du Congrs, aussi membre minent du "House Intelligence Committee", incite le prsident Obama prendre de solides cyber-mesures contre la Core du Nord en reprsailles de son rle suppos lors des cyber-attaques sur les Etats-Unis et la Core du Sud142. Novembre 2009 : l'Inde annonce des projets semblables l'IMP britannique, suite lutilisation de la voix sur IP et Google Earth par des terroristes pour planifier et coordonner les attaques massives Bombay143. Au dbut de l'anne, l'Inde fait par ailleurs l'objet d'attaques de spyware au Ministre de l'Education, que beaucoup imputent la Chine144. Dcembre 2009 : Le prsident amricain Obama nomme Howard Schmidt responsable du Cyberspace145. 5. Guerre Informationnelle: Les terroristes peuvent faire circuler leur propagande et recruter de nouveau membres dans un univers qui ressemble encore largement au "wild west", selon la IARPA. Vis plusieurs reprises par les attentats terroristes, le Maroc a entrepris plusieurs mesures dans le cadre de sa lutte antiterroriste dont la principale est la promulgation de la loi n 0303 relative la lutte contre le terrorisme. Une loi qui rprime aussi le cyberterrorisme. Elle est claire ce sujet et ne prte aucune confusion. En effet, lactivit terroriste est apprhende en combinant deux critres, savoir lexistence dun crime ou dun dlit de droit commun prvu par le code pnal, en lespce les infractions informatiques et dautre part la relation de ces crimes ou dlits avec une entreprise individuelle ou collective ayant pour but de troubler gravement lordre public par lintimidation ou la terreur.

2.5

La pdophilie sur linternet

Linternet en tant quenvironnement, la fois appartenant tout le monde et nappartenant personne, apporte une scurit indite aux rseaux pdophiles. En effet, grce la diffusion des technologies assurant lanonymat, notamment le chiffrement des courriels et

142 143 144 145

http://www.sophos.com/blogs/gc/g/2009/07/13/republican-urges-obama-launch-cyber-attack-north-korea http://www.theregister.co.uk/2009/11/27/imp_india/ http://www.sophos.com/blogs/gc/g/2009/02/16/indian-government-computers-hit-spyware-attack http://www.washingtonpost.com/wp-dyn/content/article/2009/12/21/AR2009122103055.html162

80

lutilisation du proxy146, il est devenu extrmement difficiles de surveiller les activits des rseaux pdophiles. La prolifration des contenus pdophiles sur linternet est telle quen 2006, le nombre de sites contenant des images ou des vidos de pornographie juvnile a dpass 3000 sites web selon Internet Watch Fondation147. Bien que ce chiffre ait baiss en 2008 de 10%148, les rseaux pdophiles continuent toujours faire de linternet une vritable zone de non-droit. Un havre de paix o schangent par centaines de milliers et en toute impunit les supports multimdias pdophiles149. Rappelons par ailleurs quavec le dveloppement du haut dbit, lchange dimages pdophiles se transforme en change de squence vido. Le cam to cam est devenu un vritable phnomne de socit. Un pdophile peut donc approcher ses futures victimes en toute quitude, cach derrire son cran.

Selon un chiffre dsormais largement diffus, un mineur sur cinq a t confront des avances sexuelles sur linternet150. Le Maroc nchappe pas ce phnomne. Il est de plus en plus vis par les rseaux pdophiles. En effet, selon les rsultats dune enqute ralise par Center for Media Freedom in the Middle East and North Africa (CMF-MENA)151 auprs de 106 enfants de la ville de Casablanca, plus des deux tiers des enfants interviews auraient reu des offres de voyages, des cadeaux ou des propositions de mariages via linternet de la part dinconnus. Ces dernires annes ont t marques par plusieurs affaires de pdophilie sur linternet au Maroc. Nous citons notamment152 : 2005 : Herv Le Gloannec, un touriste franais a t condamn par le tribunal de premire instance de Marrakech 4 ans de prison ferme. Il ne stait pas content dinfliger des svices sexuels sur des enfants Marrakech, mais il stait galement adonn lexploitation de leur vertu travers la production et la distribution de films pornographiques utilisant des enfants. Son ordinateur personnel regorgeait de 17.000
146

Un serveur mandataire ou proxy (En anglais) est un serveur informatique qui a pour fonction de relayer des

requtes entre un poste client et un serveur.

147 148

Un organisme de surveillance des activits pdopornographie sur le Web bas en Grande-Bretagne Guillaume Belfiore, Pdopornographie : menace en baisse mais plus complexe

http://www.clubic.com/actualite-273492-cyber-pedo-pornographie.html
149

Jol Rivire, Criminalit et Internet, une arnaque bon march , dossier Cybercriminalit, une guerre

perdue ? Documentation franaise. Hiver 2008-2009

150

Agns Leclair, Les Ados auteurs de 90% des avances sexuelles sur Internet , Le Figaro

http://www.lefigaro.fr/actualite-france/2009/01/21/01016-20090121ARTFIG00520-les-ados-auteurs-de-desavances-sexuelles-sur-internet-.php
151 152

Un centre de recherche sur les mdias bas Londres Source : CMF-MENA

81

photos

et

140.000

enregistrements

vido

quil

envoyait

vers

des

sites

pornographiques153. 2005 : Un journaliste belge de lhebdomadaire Le Soir prenait des photos pornographiques des jeunes filles dAgadir et les publiait sur un site pornographique. Parmi ses victimes, il y avait des prises montrant des filles mineures. 2006 : Le directeur du thtre Mogador Paris a t condamn par le tribunal de premire instance de Marrakech quatre mois de prison avec sursis aprs avoir t pris en flagrant dlit en train dabuser sexuellement dun mineur quil a rencontr sur linternet selon les rapports de police. 2006 : Un touriste franais a t condamn 4 ans de prison aprs avoir t pris en flagrant dlit, en train de prendre des photos denfants mineurs dans des positions sexuelles. Il possdait dans son appareil photo 117.000 photos pornographiques. Cette liste est loin dtre exhaustive. De nombreux cas de pdopornographie sur linternet au Maroc ne font pas lobjet dinvestigation. Rares sont les victimes qui vont aller jusqu dnoncer en justice leurs agresseurs. Quoi quil en soit, les scandales cits nous montrent quel point les crimes sexuels sur les mineurs marocains prennent de lampleur sur linternet. Certains criminels considrs avant comme des pdophiles passifs ont fait le pas vers la pdophilie active. Lapparition notamment de sites de rencontre et de discussion, et leur rappropriation massive par les jeunes en particulier les pradolescents les a fortement encourags basculer vers la pdophilie active.

153

Lassociation Touche pas mon enfant , Rapport annuel, 2008 tlchargeable ladresse suivante :

http://www.touchepasamonenfant.com/Rapportannuel/tabid/210/Default.aspx

82

Conclusion du chapitre La cybercriminalit peut se manifester de plusieurs faons. En effet, lordinateur peut non seulement tre la cible et le moyen dattaque mais aussi le facilitateur dactes cybercriminels.

Appuyes de plus en plus sur les rseaux de zombies, qui resteront lun des principaux problmes auquel devra faire face les autorits de rgulation de linternet dans les annes venir, les attaques sont de plus en plus varies et difficiles dtecter.

De lattaque virale lespionnage industriel, en passant par le phishing, le carding, le blanchiment dargent et la pdopornographie en ligne, rien nchappe au phnomne de la cybercriminalit. Seule limagination du cyberdlinquant demeure une limite srieuse lexpansion de la cybercriminalit.

La convergence de la criminalit classique vers une criminalit numrique est en passe de devenir la rgle. Ainsi, les mafias voient de plus en plus dans la cybercriminalit une alternative qui prsente des avantages srieux par rapport la criminalit dans le monde rel.

83

Chapitre 3 : Lcosystme de la cybercriminalit au Maroc

Internet est le produit d'une combinaison unique de stratgie militaire, de coopration scientifique et d'innovation contestataire Manuel Castells

Chaque acte cybercriminel suppose linteraction entre plusieurs acteurs aux aspirations diverses. Il ne peut tre la rsultante dune action perptre par un seul individu. Mener bien une opration cybercriminelle, ayant notamment comme objectif lappt du gain, repose invitablement sur une logique de spcialisation, de division de travail et de rpartition des tches. Une telle logique est ncessaire pour la formation dun cosystme cybercriminel.

Etudier lcosystme de la cybercriminalit est un exercice intellectuel difficile. En effet, lunivers Underground, qui est lune de ses composantes majeures, est difficilement pntrable. Ses acteurs agissent en parfaite discrtion et tirent profit de lanonymat que leurs procurent les nombreux outils de cyberespace. En outre, de nombreuses organisations refusent de communiquer autour des actes cybercriminels dont elles font lobjet. Ces oprations chappent donc aux analyses et investigations permettant une meilleure comprhension de lconomie souterraine de la cybercriminalit.

Si les industriels de scurit composs notamment des diteurs de logiciels et de fournisseurs de services ne cessent de faire voluer leurs produits et services souvent avec laide du milieu universitaire pour tenir compte des nouvelles menaces les acteurs de lunivers Underground sont toujours la recherche de nouvelles vulnrabilits permettant doutrepasser les mesures de scurit. Nous avons eu dailleurs souvent le sentiment que les industriels de scurit se trouvent dpasss par les vnements.

84

Au Maroc, lcosystme de la cybercriminalit est dans un tat embryonnaire. Il a en outre, ses propres spcificits. Par exemple, le cybercaf joue un rle extrmement important dans lunivers Underground. On ne peut donc le comparer lcosystme dun pays comme la France, le Canada o les Etats-Unis dont la formation date de plusieurs annes.

1.

Lunivers Underground

Contrairement ce quanime souvent notre imaginaire collectif, le pirate nest quun maillon de la longue chane constituant lunivers Underground. Ce dernier se compose dune

multitude dacteurs aux aspirations diffrentes. Des logiques diverses animent lunivers

Underground. Ds lors, la recherche dune classification est presque impossible pour cerner
le phnomne. Les frontires sont de plus en plus floues. LEthical Hacker, qui nest autre quun hacker reconverti offrant ses services aux cabinets conseil dans le cadre notamment des missions de tests dintrusion est une meilleure illustration de la complexit rgissant lunivers de lUnderground. Les acteurs basculent facilement et souvent dun cot lautre. Ce constat a mme incit certains experts identifier une nouvelle catgorie dacteurs qualifis de cybercriminels de dimanche pour dsigner les adeptes des petites escroqueries numriques154.

Lunivers Underground a toujours laiss rveur toute une gnration dadolescents en mal dtre. Ctait une forme de rbellion et danticonformisme, par laquelle sexprimait cette jeunesse. Ceux qui maitrisaient les techniques secrtes du monde du hacking, taient sans quivoque les nouveaux matres. Incontestablement, les modles taient Legion of Doom155,

Master of Deception ou encore Kevin Mitnick alias The Condor, alors star montante de lUnderground amricain et certainement dautres chevaliers du ct obscur (Marc Abene
alias Phiber Optik, Kevin Poulsen alias Dark Dante, Vladimir Levin)

A cette poque, internet ntait pas le moyen de communication sophistiqu que lon connat actuellement. Par consquent, linformation tait matrise par une lite et il fallait beaucoup de comptences et dingniosit pour contourner les systmes de protection et de scurit.

154

Gatan Pouliot, Avec la crise, les cybercriminels du dimanche attaquent ,

http://www.rue89.com/2010/04/21/avec-la-crise-les-cybercriminels-du-dimanche-attaquent-148231?page=1
155

http://en.wikipedia.org/wiki/Legion_of_Doom_%28hacking%29

85

1.1

Les acteurs de lunivers Underground

1.1.1 Le hacker
Le Hacker est utilis pour dsigner en informatique les programmeurs astucieux et dbrouillards. Plus gnralement, il dsigne le possesseur dune connaissance technique lui permettant de modifier un objet ou un mcanisme pour lui faire faire autre chose que ce qui tait initialement prvu. Utilis souvent tort et travers, il devient de plus en plus difficile de trier le bon grain de livraie dans la masse exponentielle des informations sans cesse disponibles dans les diffrents mdias sur le sujet. Dans lunivers de la cybercriminalit, le hacker est souvent utilis pour dsigner un pirate informatique. De ce fait, il est souvent assimil lauteur de la fraude informatique. Ce qui nest pas toujours le cas. De nombreux hackers ont choisi la voie de la sagesse en vitant de dployer leurs comptences pour nuire. Nous parlons alors dans ce cas de white

hat hackers . Le but recherch par cette catgorie de hackers est daider lamlioration
des systmes et technologies informatiques. De part leurs connaissances avances dans divers domaines, ils dcouvrent souvent de nouvelles vulnrabilits diffrents niveaux (rseau, systme, application), mais ces dcouvertes ne sont pas exploites. Dans sa signification largement adopte par les mdias et diffuse auprs du grand public, le terme fait surtout rfrence aux "black hats" ou chapeaux noirs.

1.1.2 Les black hat hackers

La communaut des hackers est reprsent aussi par les black hat hackers , plus couramment appels pirates, cest--dire des personnes sintroduisant dans les systmes informatiques des fins malveillantes. Ils peuvent dtruire ou drober des donnes, attaquer dautres systmes, ou effectuer tout autre acte nuisible. Rappelons par ailleurs que si lorigine le hacker qui pntre par effraction dans des systmes ou des rseaux avait un objectif personnel, aujourdhui derrire ces actes malveillants, il y a lappt du gain. Crateurs de virus, cyber-escrocs ou espions, leurs actions sont motives par le profit, la destruction ou toute action qualifie de nfaste. Cependant, tomber du ct obscur n'interdit pas de changer ultrieurement de profil pour devenir en quelque sorte un repenti. Celui-ci ne manque souvent pas d'intresser les firmes spcialises dans la scurit. Une reconversion en tant que consultant est courante. Kevin Mitnick ou Kevin Poulsen sont deux exemples de pirates ayant rejoint le clan des white hats.
86

En ralit, cette distinction n'est bien videmment pas aussi nette, dans la mesure o certains white hat hackers ont parfois t black hat hackers auparavant et parfois inversement. Les habitus des listes de diffusion et des forums voient souvent des sujets propos de la diffrence qu'il convient de faire entre pirate et hacker.

1.1.3 Les script kiddies

Les script kiddies sont de jeunes utilisateurs du rseau utilisant des programmes trouvs sur linternet, gnralement de faon maladroite, pour vandaliser des systmes

informatiques afin de s'amuser. Souvent peu comptents, ils se contentent dutiliser des outils dexploitation automatique la recherche souvent alatoire de machines potentiellement vulnrables156. Malgr leur niveau de qualification faible, les script kiddies sont parfois une menace relle pour la scurit des systmes. En effet, autre le fait quils peuvent par incomptence altrer quelque chose sans le vouloir ou le savoir, dune part les script kiddies sont trs nombreux, et dautre part ils sont souvent obstins au point de passer parfois plusieurs jours essayer toutes les combinaisons possibles dun mot de passe, avec le risque dy parvenir bien que souvent, cest le script kiddie lui-mme qui se fait infecter157. Il existe plusieurs types de script kiddies, mais ils sont gnralement renis par la plupart des communauts de pirates.

1.1.4 Les phreakers

Le mot anglais phreaking est obtenu par la contraction de phone et freak, le terme freak signifiant marginal , ou personne appartenant une contre-culture. Le pirate tlphonique est appel un phreaker. La plupart des premiers pirates taient des phreakers. Ces derniers se sont apparus avant linvention de lordinateur et bien avant celle du rseau de linternet. Dans certains cas, le phreaker peut utiliser le rseau tlphonique dune manire non prvue par loprateur afin daccder des fonctions spciales, principalement afin de ne pas payer la communication et de rester anonyme. Toutefois, les premiers phreakers, et un certain

156

Christophe CASALEGNO, Carnet de route dun Hacker ,

http://www.christophe-casalegno.com/2007/01/30/hackers-crackers-consultants-securite-qui-sont-ils-vraiment/
157

http://fr.wikipedia.org/wiki/Script_kiddie

87

nombre de phreakers actuels, sont des passionns cherchant effectuer une prouesse technique sans mauvaises intentions158.

1.1.5 Les carders

Les carders s'attaquent principalement aux systmes de cartes bancaires pour en comprendre le fonctionnement et en exploiter les failles. Le terme carding dsigne le piratage de cartes bancaires. Daprs une tude ralise par Actimize, un spcialiste de la conformit dans le domaine du secteur financier, le carding devient un mtier qui rapporte gros159.

1.1.6 Les crackers

Un cracker - on trouve aussi parfois le terme de craqueur, casseur et dplombeur - est une sorte de pirate informatique spcialis dans le cassage des protections dites de scurit des logiciels, notamment les partagiciels (qui ncessitent des cls d'enregistrement). Un crack est ainsi un programme charg de modifier le logiciel original afin d'en supprimer les protections. Un bon cracker crira aussi ses propres programmes pour s'en servir comme outils dans son activit. Ces outils peuvent tre gnriques ou spcifiques au programme cracker160. Mener des oprations de cracking ne se limite pas l'attaque ni l'tude de logiciels, mais ncessite souvent des connaissances en cryptographie, domaine dans lequel leurs connaissances mathmatiques et informatiques font de certains crackers d'excellents casseurs de code.

1.1.7 Les hacktivistes

Le hacktivisme est une contraction de hacker et activisme que l'on peut traduire en cybermilitantisme ou cyberrsistance. Un hacktiviste est donc un hacker mettant son talent au service de ses convictions idologiques allant jusqu infiltrer les rseaux et organiser des oprations de piratages, de dtournements de serveurs et remplacement de pages daccueil par des tracts refltant ses positions idologiques. Ce sont des actions qui peuvent prendre la forme de dsobissance civile.

158 159 160

http://fr.wikipedia.org/wiki/Phreaking http://www.actimize.com/index.aspx?page=news196 http://fr.wikipedia.org/wiki/Cracker_(d%C3%A9plombeur_de_logiciels)

88

Il existe plusieurs types d'hacktivistes; la plupart sont des personnes qui dfendent leurs ides en dfaant des sites contraires leur thique. Ils peuvent aussi faire des Google

Bombings161 ou des chanes de mails pour essayer de faire passer un message par la voix de
la cyber-information.

1.2

Quelques mythes entourant lunivers Underground

Lunivers Underground a fortement volu dans le temps. Le profil de ses acteurs nest plus le mme. Leurs motivations encore moins. Quand nous analysons trs finement les caractristiques de cet univers, nous nous rendons compte que de nombreux mythes sont en train de tomber.

1.2.1 Le cyberdlinquant est-il un expert informatique ?

Dans limaginaire collectif, en raison notamment de la surmdiatisation dont bnficie le phnomne de la dlinquance numrique, le cyberdlinquant serait un expert informatique avec des comptences hors du commun. Cette affirmation nest pas toujours vraie. En effet lunivers Underground est notamment compos par des scripts kiddies qui appliquent machinalement et mthodiquement les instructions que les experts de reverse engineering et en programmation ont mis en ligne. Ainsi, se rapproprient-ils les outils dvelopps par les

hackers pour les utiliser des fins malveillantes162.

Aujourdhui, grce notamment la vulgarisation des modes opratoires des attaques, de nombreux tutoriels trs pdagogiques et suffisamment explicites sont accessibles sur le web. Ils permettent ainsi aux profanes de perptrer des attaques qui taient jusqu une date rcente rserves aux experts en informatique. Il en rsulte quun cyberdlinquant na pas vraiment besoin dune trs bonne expertise en informatique pour se faire une place dans lunivers Underground. Il suffit dtre motiv.

1.2.2 Le cyberdlinquant est-il quelquun dorganis ?

Contrairement ce que nous pensons, le cyberdlinquant ne serait pas toujours quelquun qui agit dune faon hasardeuse et dsorganise. La complexit des systmes et rseaux informatiques est telle quaujourdhui une personne elle seule ne peut dvelopper de

161

Le bombardement Google (Google bombing en anglais) est une technique de rfrencement visant

influencer le classement d'une page dans les rsultats du moteur de recherche Google.
162

Franck Franchin et Rodolphe Monnet, Le business de la cybercriminalit , Edition LAVOISIER, 2005

89

lexpertise dans tous les domaines informatiques. Le recours dautres acteurs de lunivers

Underground est invitable pour mener bien une opration cybercriminelle. Ds lors, les
comptences deviennent de plus en plus segmentes et cibles. Do la tendance vers la spcialisation et lorganisation de lactivit dviante dans le cyberespace. La cration, la diffusion et l'utilisation des programmes malveillants sont ralises par des groupes diffrents.

Lunivers Underground est davantage organis aujourdhui en rseau dopportunits, relations bases sur lachat-vente de prestations et de donnes personnelles voles en change de largent. Un tel rseau ne possde donc pas de hirarchie fixe, et ne prsente que des relations hirarchiques ponctuelles et temporaires de client-marchand et/ou prestataire-commanditaire 163.

1.2.3 Le cyberdlinquant est-il un introverti ?

Ce mythe consiste faire du cyberdlinquant un acteur isol antisocial et qui ne trouve pas son compte dans linteraction avec les autres. Ici encore, ce mythe est controvers par la ralit. Il nest autre que la consquence de limage vhicule par les mdias. En effet, dans le systme de valeurs qui rgit lunivers Underground, la cohsion demeure une valeur trs prise. Elle est la base mme de lide de lquipe Underground. Ce qui exige une certaine ouverture desprit lgard des autres. En outre, les diffrentes techniques de rcupration de linformation sensible, notamment la technique de lingnierie sociale, qui serviront de base dattaques posteriori, supposent des qualits personnelles autres que celles de lintroversion et de lisolement. Par ailleurs, les acteurs de lunivers Underground tendent de plus en plus se rassembler physiquement notamment lors des confrences internationales ddies leurs activits164. Cest le cas par exemple de Defcon hacking conference165 qui se tient chaque anne Las Vegas ou encore de Chaos Computer Club166 qui se tient en Allemagne.

163 164

Idem Hackers : quand les jeunes loups se rassemblent en meute organise

http://techno.branchez-vous.com/actualite/2009/07/hackers_quand_les_jeunes_loups.html
165 166

http://www.defcon.org/ Le Chaos Computer Club, que l'on dsigne souvent par l'acronyme CCC, est l'une des organisations de hackers

les plus influentes en Europe.

90

1.3

Les principales motivations des acteurs de lunivers Underground

Bien quils appartiennent tous une sous culture o la lgitimit des normes violes est souvent remise en cause, les acteurs de lunivers Underground ne disposent pas du mme rfrentiel idologique. Par consquent, les sources de motivation ne seront pas les mmes dun acteur lautre. En effet, si le white hat hacker est anim notamment par la curiosit intellectuelle en mettant l'preuve des technologies jusqu' leurs limites afin de tendre vers un idal plus performant, le black hat hacker trouve sa source de motivation dans la vengeance, lintrt de renomme et lappt du gain financier.

1.3.1 La curiosit intellectuelle

La soif de la connaissance et le dsir dexplorer de nouvelles comptences sont lorigine de lapparition du phnomne de hacking. Lintrusion sur les rseaux et le dtournement des systmes ne sont que lincarnation de cette curiosit intellectuelle qui dveloppe chez un certain nombre dacteurs de lunivers Underground, notamment les white hat hackers, cette capacit rsister toute preuve. Cette caractristique les conduit consacrer normment de temps et deffort pour lexploration des limites des systmes cibls.

Bien que, souvent la barrire de la lgalit est vite franchie, lobjectif nest pas en premier lieu lillgalit. Il s'agirait plus de dpasser les limites, que ce soient celles imposes par la socit ou celles que l'on se pose soi-mme pour diverses raisons167. Cette recherche perptuelle dun idal technologique sans failles est une valeur fondamentale dans lunivers de hacking. La curiosit intellectuelle justifie mme pour de nombreux acteurs de lunivers

Underground le passage lacte de dviance dans le cyberespace. Cette attitude renvoie

souvent au clbre texte du Mentor la Conscience dun hacker dat de 1986 : "Nous recherchons la connaissance... et vous nous appelez criminels. Oui, je suis un criminel. Mon crime est celui de la curiosit. Je suis un hacker, et ceci est mon manifeste...168"

1.3.2 LEgo
Une bonne partie de la motivation dun hacker vient de son ego ou de la recherche d'une acceptation externe. Derrire cette motivation, il y a ce que les anthropologues appellent une culture du don. En effet, les hackers donnent pour partager mais aussi pour satisfaire leur go et valoriser leurs crations. On obtient ainsi un statut ou une rputation et on arrive
167 168

Franck Franchin et Rodolphe Monnet, Le business de la cybercriminalit , Edition LAVOISIER, 2005 Observatoire dinformatique libre qubcois. http://oilq.org/fr/node/5247

91

satisfaire son ego, non pas en dominant les autres ou en possdant des choses que les autres dsirent, mais en faisant des dons : de son temps, de sa crativit, du rsultat de ses comptences. Ainsi, lorsquun hacker distribue son code source, il attend un retour de la part de ses pairs et espre asseoir sa rputation. Par ses contributions, il cherche tendre sa renomme et satisfaire son ego. Ces dernires annes, cette motivation base sur lego tend disparatre derrire des motivations purement financires.

1.3.3 Lidologie
Ladhsion des thses idologiques et/ou politiques fondes sur la recherche dintrts affectifs ou symboliques oriente aussi les actions de certains acteurs de lunivers

Underground. Elle sert souvent de prtexte pour perptrer des actions de dviance dans le
cyberespace169. Lun des exemples marquants ce jour reste celui des Anonymous170. En effet, en 2008, le groupe sest fait connatre notamment en lanant la guerre contre lglise de scientologie. Ainsi, ils ont russi organiser des dizaines de manifestations simultanes regroupant plusieurs centaines de personnes dans le monde entier. Par ailleurs, ils ont pirat de nombreux sites de la secte en usant du savoir-faire de leurs membres, hackers pour la plupart. Plus rcemment le groupe a constitu avec les membres de The pirate bay , le groupe "Anonymous Iran", un mouvement d'opposition au rgime iranien aprs la rlection de Mahmoud Ahmadinejad. Au Maroc, de nombreux actes dviants dans le cyberespace, motives par des considrations religieuses, idologiques et politiques ont t recenss ces dernires annes. Voici quelques exemples : Juin 2006 : En signe de protestation contre la guerre mene par larme isralienne Gaza, un groupe de hackers marocains appel Team Evil a lanc une attaque denvergure pour le dfacement des sites web israliens. Ainsi, plus de 850 sites ont t dfacs pendant quelques heures. Sur les sites pirats, le groupe a laiss le message suivant : site pirat par le groupe arabe 'Team Evil'. Tant que vous tuerez

169 170

Franck Franchin et Rodolphe Monnet, Le business de la cybercriminalit , Edition LAVOISIER, 2005 Groupe de web-activistes, aux mthodes parfois contestes, sans pour autant tomber dans l'illgalit, ils

militent pour une totale libert d'expression sur internet.

92

des Palestiniens nous tuerons vos serveurs 171. Lattaque tait dune telle mdiatisation que certains experts commencent parler de Webtifada. Avril 2009 : Le site web de lassociation dnomme Kif Kif regroupant les homosexuels marocains a t dfac par un hacker marocain du nom ibn Al Walid . Sur la page daccueil, le hacker a diffus quelques versets du coran incitant au meurtre des homosexuels, ainsi qu'une image de pendaison collective. Ces attaques montrent bien que le hacktivisme marocain est une ralit avec laquelle il faudra dsormais se composer. Le cyberespace devient ainsi une extension virtuelle daffrontement religieux, idologique et politique.

1.3.4 Largent
Si lorigine les acteurs de lunivers Underground trouvaient leurs motivations dans lgo, la curiosit intellectuelle, la recherche de lestime et de la reconnaissance et le hacktivisme, aujourdhui, il semblerait que les actes de dviance dans le cyberespace sont de plus en plus orients vers lappt du gain. Il sagit dun phnomne rcent qui commence prendre de lampleur. Ainsi, les oprations ayant comme finalit la recherche du profit sont dsormais monnaie courante. Le dveloppement des phnomnes dextorsions par dni de service distribu (DDoS) et des arnaques bancaires avec le phishing est une illustration parfaite de la montisation des actes cybercriminels. Daprs une tude ralise en 2008 par le Web

Hacking Incidents Database172, les motivations des pirates restent la recherche du profit,
mme si dans 24% des cas lattaque a t mene dans le but de dfacer un site173. Ce nest pas par hasard quaujourdhui la plupart des attaques sont orientes vers la perspective de rcuprations de donnes critiques. Selon Symantec, 24% des demandes des clients des pirates porteraient en effet sur des informations relatives des comptes bancaires. Les cybercriminels sen servent pour obtenir des emprunts, se procurer des traitements mdicaux ou pharmaceutiques, voire mme voler des titres immobiliers. Le rapport de

171

Rachid Jankari, Des hackers marocains immobilisent le web isralien Juin 2006

http://www.protection-palestine.org/spip.php?article2952
172 173

http://www.xiom.com/whid http://www.journaldunet.com/solutions/securite/actualite/30-d-attaques-par-injection-sql-en-2008/l-interet-

financier-avant-tout.shtml

93

lditeur dcrit une vritable conomie plantaire du cybercrime. Ces activits frauduleuses pourraient gnrer sept milliards de dollars de revenus par an174.

Il en rsulte, quaujourdhui la cybercriminalit exerce une attractivit telle que de nombreux acteurs de lunivers Underground nhsitent pas abandonner les simples oprations dont la motivation est lgo, la curiosit intellectuelle, la recherche de lestime ou le hacktivisme pour se diriger vers une vritable montisation de leurs actes.

Tmoignage sur lUnderground marocain Lexistence d'un mythique Underground marocain n'a t rvle au public que vers la fin des annes 90. Cette dcennie rimait cyniquement avec la premire attaque web dite de "defacement". L'annonce a fait l'effet d'une bombe puisqu'il s'agissait du serveur dune institution publique. Le Maroc tenait ici son premier chevalier de l'Underground un certain Netoperat. Le mode opratoire ft simple : un cybercaf alors fief des bidouilleurs et autres rcalcitrants numriques, une connexion internet et un rseau marocain fragile et faillible tous les niveaux. Je me souviens qu cette priode javais ralis un audit de scurit sur le rseau marocain par simple curiosit. Le rsultat tait ahurissant. La composante scurit ntait pas lordre du jour. Mon rapport, envoy dans la foule plusieurs institutions publiques et prives, est rest sans rponse. Aucune suite na t donne mes recommandations. Affaire classe et sujet tabou. Les piratages se sont par ailleurs accentus dans la plus grande impunit. Le destin trs particulirement impressionnant dun hacker marocain a attir toute mon attention. Au fait, il sagissait de lunique hacker ayant des comptences hors normes et donc capable de sintroduire mme sur les rseaux tlphoniques (phreaking). Il avait su tirer profit de ses comptences pour gagner le respect et la confiance de ses acolytes amricains et europens. Il ft le premier hacker marocain se rendre des manifestations sur le hacking. Ce hacker marocain tait le mentor dune poigne trie sur le volet de quelques pirates
174

Rapport de lditeur Symantec sur lconomie souterraine, Novembre 2008

http://www.symantec.com/fr/fr/business/theme.jsp?themeid=threatreport

94

informatiques qui allaient faire trembler les sites informatiques des plus grandes entreprises dans le monde. Face labsence totale de lois contre la dlinquance informatique, les attaques se sont renforces plaant le Maroc dans la liste des pays haut risque. Les fondements et les bases mme de lthique Hacker ont t transgresss et la monte fulgurante des script kiddies a pouss le mentor des hackers marocain se retirer dfinitivement de la scne du hacking. Plusieurs de ses disciples ont fait de mme. Lesprit Underground marocain est bel et bien termin. Aujourdhui approchant la quarantaine, le mentor mne une vie paisible en compagnie de sa femme et de ses enfants quelque part en Europe. Il continue exercer son mtier de consultant en scurit informatique dans une multinationale.

2.

Les diteurs, constructeurs, intgrateurs, distributeurs,

cabinets conseils, hbergeurs et les cybercafs.

2.1

Les diteurs et les constructeurs

Le march mondial des solutions de scurit est un march qui volue trs vite. Avec un taux de croissance estim en 2008 18%175 qui sexplique notamment par le regain de l'investissement des PME en la matire, mais galement par les obligations lgales auxquelles sont soumises de nombreuses organisations, le march des solutions de scurit devrait atteindre en 2009 selon Gartner 14,5 milliards de dollars176. Ce march met en scne plusieurs acteurs et peut tre dcoup en trois domaines la valeur ajoute croissante : La scurit oprationnelle (antivirus, firewall, encryptage de donnes) La scurit transactionnelle (authentification PKI, biomtrie, smartcard) La scurit administrative (contrle d'accs au rseau, scanning de mail, gestion d'intrusions ...).

175

Le march mondial des logiciels de scurit a le vent en poupe , Gartner

http://www.itespresso.fr/le-marche-mondial-des-logiciels-de-securite-a-le-vent-en-poupe-31525.html
176

Idem

95

Gartner note galement limportante activit de croissance externe mene par des acteurs
denvergure du march de la scurit IT en 2008, aboutissant ainsi un haut niveau de consolidation dans ce secteur, travers lacquisition notamment de Secure Computing et de

Solidcore par McAfee, et les rachats par Sophos dUltimaco et de MessageLabs par Symantec177.
Au Maroc, une poigne de constructeurs et diteurs de solutions de scurit informatique dont les ventes sont en majorit tires par les besoins des oprateurs tlcoms et du secteur de la banque-finance, se partagent ainsi cette niche de march. Cisco, Blue Coat Systems,

Websense, Kaspersky, Symantec, McAfee, Trend Micro, Juniper Networks, Checkpoint en

sont les principaux protagonistes. Le Maroc reste un pur consommateur des solutions de scurit. En effet, si le domaine de la montique est reprsent par des acteurs marocains prsents linternational, tels que HPS, S2M et M2M, il nexiste aujourdhui aucun acteur marocain oprant dans le dveloppement des solutions de scurit si on excepte quelques projets qui rentrent dans le cadre de loffshoring. Face cette situation, il est extrmement urgent pour le gouvernement marocain dencourager la naissance dune industrie locale non seulement pour pouvoir gnrer de lemploi hautement qualifi, mais surtout pour ne pas laisser la scurit dinstitutions critiques entre les mains des trangers.

2.2

Les intgrateurs et les distributeurs

Pour adresser le march marocain, les diffrents constructeurs et diteurs de solutions de scurit sappuient sur des distributeurs et/ou des intgrateurs locaux, qui revendent leurs solutions de scurit cls en main aux clients finaux, oprateurs tlcoms, banques, organismes financiers, mais aussi administrations et industrie178. Il sagit gnralement des socits capitaux locaux ou trangers qui offrent les services dintgration de solutions de scurit chez les clients finaux. CBI, IB Maroc, Intelcom, sont quelques exemples dintgrateurs de solutions de scurit. Sur le volet de distribution, Config, Exclusive

Networks, Logix Maroc, Feeder Informatique et Afina sont les principaux acteurs de
distribution de solutions de scurit sur le march marocain. Rappelons par ailleurs, que les clients marocains ont tendance, sur des sujets pointus de scurit, de recourir directement aux intgrateurs trangers. Ceci sexplique notamment par

177 178

Idem Sylvaine LUCKX Le march de la scurit informatique en Afrique domin par les amricains , Mag Securs,

2009 ? http://www.mag-securs.com/spip.php?article14567

96

labsence des rfrences locales et le manque de comptences en la matire. Ainsi, par exemple les projets lis la mise en place de solutions de gestion des identits, des sites de repli et la mise en place des solutions de gestion des risques oprationnels et de lutte contre le blanchiment dargent sont souvent pris en charge par des acteurs trangers.

2.3

Les cabinets conseil

Si lintgration des solutions de scurit est plus ou moins bien prise en charge par un certain nombre dacteurs marocains, les missions de conseil en scurit sont gnralement confies aux prestataires trangers. Ainsi par exemple toutes les missions de mise en place de plan de continuit dactivits chez les banques marocaines ont t confies aux acteurs trangers notamment franais ayant plus de retour dexprience en la matire. Cest le cas aussi pour les projets lis la conformit aux normes et standards internationaux tels que

PCI DSS, Ble II et SOX qui ont t pris en charge dans la majorit des cas par des
prestataires trangers tels que Devoteam, Capgemini, Accenture, Symantec et BT Net2S. De lanalyse des risques jusquaux audits de scurit en passant par la mise en place des politiques et des rfrentiels de scurit tels que ISO 27001, loffre des prestataires marocains reste trs timide. Ceci sexplique notamment par le manque et la volatilit des ressources certifies en la matire. Toutefois, nous assistons aujourdhui lmergence dacteurs locaux qui nont rien envier leurs homologues trangers. Ainsi, des socits comme Dataprotect ou Netpeas sont de plus en plus prsentes sur le march des audits de scurit, des tests dintrusion et de laccompagnement la certification PCI DSS.

2.4

Les hbergeurs

Toute opration cybercriminelle sappuie, un moment ou un autre, sur une plateforme dhbergement. Le choix dun mode dhbergement va tre dterminant dans le succs ou lchec dun acte cybercriminel. Le recours aux hbergeurs dits bulletproof ou parballes figure parmi les solutions les plus envisageables. Ce mode dhbergement a favoris lmergence de vritables paradis cybercriminels dans lesquels un malfaiteur peut hberger des serveurs et des contenus illicites en toute impunit.

2.4.1 Le recours aux hbergeurs dits bulletproof

Les hbergeurs bulletproof offrent des services d'hbergement classique, tout en garantissant leurs clients un anonymat total et une qualit de service maximale. La

97

professionnalisation dont bnficie cette pratique a incit de nombreux cybercriminels abandonner le recours aux serveurs pirats de faon opportune au profit dun vritable march de location de machines ddies. Des socits commerciales proposent dsormais des services dhbergement dvous au spamming, au lancement des compagnes de

phishing, au stockage des codes malicieux et des donnes voles, et lutilisation des
serveurs de commande de botnets. Ces socits garantissent leur client la continuit du service mme quand elles reoivent des plaintes officielles. Les mieux organises disposent mme de leur propre infrastructure dhbergement. Elles sont gres comme de vritables entreprises, disposant souvent dune existence lgale, de leur propre datacenter, et dun site web assurant la promotion de leurs services. Parmi les organisations qui ont le plus fait parler delles, nous retenons Russian Business Network (RBN)179. Cette organisation est devenue tellement puissante que certains rumeurs laissent mme entendre quelle entretienne des relations troites avec le gouvernement russe180.

Avec un million de sites, plusieurs millions d'adresses IP disponibles et quatre millions de visiteurs par mois, RBN disposait d'une activit trs lucrative181. Toutefois, les articles frquents dans la presse sur la possible implication de RBN dans tous les incidents criminels survenus sur linternet ont pouss les propritaires inconnus de RBN scinder leur activit et crer plusieurs socits d'hbergement autonomes travers le monde, depuis Singapour jusqu' l'Ukraine et raliser leurs activits de manire un peu plus discrte avec la complicit souvent des autres hbergeurs. Cest le cas de la socit SecureHosting182base au Bahamas qui a t suspecte davoir soutenu RBN en hbergeant certains de leurs serveurs. Le site web de cette socit offshore annonce la couleur dans leurs conditions dutilisation: Linternet nappartient personne. Ainsi, nous ne pouvons pas nous permettre de surveiller ou de censurer linternet et nous ne le ferons pas. Nous ne pouvons pas assumer la responsabilit pour des activits de nos clients, quil sagisse de publication dun contenu offensant ou illgal 183.
179 180

La revue MISC, Dossier spcial cybercriminalit , Janvier 2009. Franois PAGET Fraude financire et oprations bancaires en ligne : menaces et contre-mesures , McAfee

Avert Labs http://www.mcafee.com/us/local_content/reports/6168rpt_fraud_0409_fr.pdf

181

VeriSign, Uncovering Online Fraud Rings: The Russian Business Network (Les rseaux de fraudes en ligne

dvoils : le rseau russe Russian Business Network), sminaire web. http://www.verisign.com

182 183

http://www.securehost.com Lactu Scu Le cot obscure de lInternet , Janvier 2008

http://www.xmcopartners.com/actu-secu/XMCO-ActuSecu-Janvier2008.pdf

98

Avec la disparition de RBN, les soupons se sont rapidement tourns vers trois fournisseurs d'accs Internet : d'abord Abdallah Internet Hizmetleri184 (Turquie) et ensuite Atrivo185 et

EstDomains186 (Etats-Unis).

2.5

Le cybercaf

Selon lAgence Nationale de Rglementation des Tlcommunications (ANRT), le recours au cybercaf reprsente un taux dutilisation de 84% quand il sagit de connexion internet hors domicile au Maroc187. Il demeure donc un lieu hautement sollicit par les internautes marocains. Bien que les demandes de cration de cybercafs naient pas cess de baisser ces dernires annes en raison notamment des offres ADSL et 3G qui continuent sduire de plus en plus dinternautes188, le cybercaf continue de jouer un rle important dans le paysage de linternet au Maroc. Pour les acteurs de lunivers Underground, il constitue un lieu privilgi, en raison de lanonymat quil procure, pour naviguer, changer et mettre en uvre des actions dviantes dans le cyberespace. Ainsi, le cybercaf sest retrouv maintes reprises lune de lactualit au Maroc. Cest le cas par exemple de Farid Essebar qui a particip la cration et la diffusion du vers Zotob189 en oprant partir dun cybercaf bas Rabat et du Kamikaze qui a perptr un attentat l'explosif dans un cybercaf situ Casablanca lui servant dun lieu dchanges et de communications avec les rseaux terroristes190.

Compte tenu du rle que peut jouer le cybercaf, qui rappelons-le a t longtemps considr comme une zone de non droit, dans lunivers de la cybercriminalit, plusieurs pays ont
184

The Shadowserver Foundation RBN 'Rizing': Abdallah Internet Hizmetleri (AIH)

Jart Armin Atrivo - Cyber Crime USA

http://digitalninjitsu.com/downloads/RBN_Rizing.pdf
185

http://hostexploit.com/downloads/Atrivo%20white%20paper%20090308ad.pdf
186

Washington Post, EstDomains: A Sordid History and a Storied CEO

http://voices.washingtonpost.com/securityfix/2008/09/estdomains_a_sordid_history_an.html
187

Le march des Technologies de l'information : Enqute 2008, ANRT

http://www.anrt.ma/fr/admin/download/upload/file_fr1680.pdf
188

Les cybercafs dans la tourmente , La vie conomique 11/05/2007

http://www.lavieeco.com/economie/2544-les-cybercafes-dans-la-tourmente.html
189

Sophos : Les auteurs du ver Zotob condamns des peines de prison Mag Securs, Septembre 2006

http://www.mag-securs.com/spip.php?article5743
190

Nadia Lamlili et Abdellatif El Azizi, Terrorisme. Le retour de la peur , Tel Quel

http://www.telquel-online.com/265/couverture_265_1.shtml

99

adopt des lois permettant de mieux surveiller les activits dviantes dans ces lieux. Ainsi, par exemple en France, la loi anti-terrorisme de 2006 oblige les cybercafs conserver la disposition des autorits judiciaires les donnes de connexion pendant un an191. Il a t mme question de faire tendre cette mesure vers les bornes daccs Wifi, aux diteurs de messagerie lectronique et aux points daccs dans les lieux publics192.

3.
3.1

Les centres de recherche et de formation

La recherche

Par dfinition, lindustrie de la scurit de linformation est lie la recherche et au dveloppement. Si aujourdhui, les gants de lindustrie arrivent percer linternational, cest tout simplement parce quils injectent une somme colossale dans la recherche et le dveloppement. Linnovation dans ce domaine est une exigence pour survivre. En effet, si lorigine la scurit des grands systmes d'information (architecture centralise) ntait pas un enjeu important puisquils fonctionnaient dans des environnements ferms, aujourdhui, en raison notamment de louverture des systmes (architecture distribue), la scurit de linformation a pris de limportance. Elle a dplac la scurit vers l'utilisateur final. Quiconque utilise un micro-ordinateur et a accs linternet est devenu vulnrable aux virus, aux spam et toutes les formes d'intrusion mal intentionnes. C'est pour rpondre cette nouvelle demande en scurit que l'industrie de la scurit est en passe dinjecter des sommes importantes en recherche et dveloppement. Autre la recherche et le dveloppement dans le domaine de la scurit de linformation engage par les industriels, les universits et les armes sy intressent aussi de plus prs. Dailleurs de nombreuses entreprises Start-Up ont vu le jour en tant que Spin-off193 dans le milieu universitaire et de larme. Le rle jou par luniversit dans linnovation nest plus dmonter. Aux Etats-Unis par exemple, plus de 70% de tous les brevets sont bass sur des rsultats universitaires194.

191

Michle Alliot-Marie, Se donner les moyens de faire face au dfi de la cybercriminalit , Problmes

conomiques et sociaux, L a dlinquance lectronique, Octobre 2008, N953.

192 193

Idem Par socit spin-off, on entend une entreprise cre en aval dun service universitaire pour assurer la

valorisation industrielle ou commerciale de lexpertise ou de rsultats de recherche disponibles au sein de lUniversit.

194

Source : National Science Foundation (NSF) http://www.nsf.gov/

100

Au Maroc, luniversit est compltement dconnecte de la recherche scientifique vocation industrielle. Une tude rcente, coordonne par le sociologue Mohamed Cherkaoui prcise que plus de 55% des professeurs marocains nont jamais publi une seule ligne de leur carrire195. Pour pouvoir avancer sur le volet de la recherche vocation industrielle, il faudra certainement se donner les moyens ncessaires son dveloppement, et surtout, il faudra que le secteur productif rime avec le secteur ducatif pour donner lieu un vritable partenariat public-priv en la matire. Autrement, le Maroc continuera tre un pur consommateur des avances technologiques dans le domaine de la scurit de linformation.

3.2

La formation

3.2.1 Lenseignement acadmique

Nombreuses sont les organisations marocaines qui estiment que le manque de personnels qualifis est un srieux obstacle au renforcement de la scurit de leurs SI. Certaines nhsitent pas aller chercher des comptences de lautre cot de la Mditerrane. Cette pratique est justifie notamment par le manque de formations suprieures ddies la scurit. Les universits et les coles des ingnieurs marocaines proposent au mieux quelques cours qui se limitent souvent des introductions la scurit. Loffre de formation acadmique en scurit est trs pauvre comparativement dautres pays. Les candidats qui souhaitent dvelopper des connaissances en matire de scurit se voient contraints de postuler pour les universits et coles trangres notamment franaises. Face ce manque dintrt par les coles dingnieurs et les universits marocaines, quelques coles prives proposent depuis peu, pour combler le vide, des Mastres en scurit SI. Rappelons enfin que lEcole Nationale Suprieure dInformatique et dAnalyse des Systmes (ENSIAS) a enrichi rcemment son programme de formation pour y inclure dsormais une option de scurit des systmes dinformation196.

3.2.2 Les certifications en scurit

Au cours des dernires annes, le mtier de la scurit a subi un mouvement de professionnalisation sans prcdent. Des barrires lentre sont de plus en plus exiges
195

Grande enqute. Le silence des intellectuels tel Quel, Octobre 2009

http://www.telquel-online.com/393/couverture_393.shtml
196

http://www.ensias.ma/

101

pour pouvoir exercer dans le domaine de la scurit SI. Ainsi, par exemple pour mener des audits de scurit de conformit la norme PCI DSS (Payment Card Industry Data Security

Standard), il faut se doter dune certification PCI QSA (Payment Card Industry Qualified Security Assesor). Pour pouvoir exercer le mtier de laudit de SI dans des organismes
publiques aux Etats-Unis, il faudra tre certifi CISA (Certified Information System Auditor).

La professionnalisation du secteur de la scurit SI a fait en sorte quaujourdhui, les certifications en matire de la scurit SI sont de plus en plus exiges et valorises par le march de lemploi. Ainsi, dans de nombreux appels doffres publiques, ces certifications sont exiges pour sassurer de la bonne prestation.

Il existe actuellement de nombreuses certifications en matire de la scurit. Nous retenons titre dexemple la liste suivante :
Certifications
CISA (Certified Information System Auditor)

Exigences
5 ans dexpriences en audit SI. Examen crit de 4 heures. Prsentation du dossier. 5 annes d'exprience dans les domaines du management de la scurit. Examen crit de 4 heures Prsentation du dossier. Formation de 5 jours en ISO 27001 Examen crit

Organisme certificateur
ISACA http://www.isaca.org

CISM

(Certified

Information

ISACA http://www.isaca.org

Security Manager)

Lead Auditor ISO 27001

LSTI http://www.lsti-certification.fr/ IRCA http://www.irca.org EC-COUNCIL http://www.eccouncil.org

CEH (Certified Ethical Hacker)

PCI QSA (Payment Card Industry Qualified Security Assesor)

Formation de 5 jours sur les diffrents modules CEH Examen crit 2 ans d'exprience en matire de scurit. Formation de 3 jours en PCI DSS Etre certifi CISA ou CISSP Russir un examen de 4 heures Justifier dune exprience de 5 ans en audit de scurit Justifier de 4 ans de pratique de la scurit des SI Examen crit de 4 heures

PCI Security Standards Council https://www.pcisecuritystandards.org

CISSP (Certified Information System Security Professional)

ISC2 http://www.isc2.org

Autres les certifications mtier, ils existent de nombreuses certifications produits. A titre dexemples, les technologies comme Cisco, Juniper, Checkpoint, RSA, PGP, Kaspersky,

102

McAfee ou Symantec proposent des certifications lies leurs solutions de scurit afin de
pouvoir valoriser la prestation dintgration de ces solutions chez les clients.

4.

Les organes institutionnels dinvestigation, de rpression

et de veille
La lutte contre le phnomne de la cybercriminalit doit invitablement dboucher sur la mise en place dinstitutions tatiques. En effet, il appartient lEtat de droit de garantir la scurit dans le cyberespace et dtablir la confiance numrique, seuls lments capables de favoriser le dveloppement des nouvelles conomies bases sur la dmatrialisation des relations et des changes.

Il faut non seulement agir dans le sens de la rpression, encore faut-il mieux comprendre le phnomne de la cybercriminalit en se dotant de structures adquates ayant pour mission linvestigation et la veille.

4.1

Linvestigation et la rpression

Pour pouvoir apporter de bonnes rponses au phnomne de la cybercriminalit, il est extrmement important pour lEtat davoir une connaissance prcise du phnomne. Cela suppose non seulement le recours des outils statistiques fiables mais surtout une collaboration troite entre les diffrentes organisations publiques et prives impliques dans la lutte contre la cybercriminalit. En effet, linvestigation en matire de la cybercriminalit ncessite un travail densemble. La police et la gendarmerie en sont les acteurs essentiels certes, mais ils ne sont pas les seuls. Les fournisseurs daccs linternet et les cybercafs par exemple sont des acteurs quil faudra faire impliquer dans le travail dinvestigation travers une dmarche de coopration structure.

Mettre en place une approche structure dinvestigation et de rpression en matire de cybercriminalit implique le recours des organisations ddies. De nombreux pays avancs en la matire ont mis en place des structures ddies. Cest le cas par exemple de la France qui dispose aujourdhui de nombreuses structures charges de mener le travail dinvestigation et de la rpression en matire de la cybercriminalit. Le tableau ci-dessous regroupe les structures franaises impliques dans ce travail197.

197

Source : le Club de la scurit de linformation franais, http://www.clusif.fr

103

Organisme La Brigade d'Enqutes sur les Fraudes aux Technologies de l'Information (BEFTI)

Mission BEFTI est un service oprationnel qui dpend de la Direction Rgionale de la Police Judiciaire de Paris. Sa mission est triple : Elle est spcialise dans les

Territorialit La B.E.F.T.I est comptente sur Paris et les trois dpartements limitrophes (92, 93 et 94). Toutefois avec l'accord des Autorits Judiciaires, cette comptence peut tre tendue l'ensemble du territoire national.

Domaine de comptences La B.E.F.T.I. intervient principalement dans les affaires portant atteinte aux systmes de communication (piratage informatique) mais galement dans certains dlits spcifiques (contrefaon de logiciels ou de bases de donnes, infraction aux fichiers nominatifs, fraudes tlphoniques ou aux chanes

enqutes en milieu informatique. Elle assiste tous les services enquteurs qui la sollicitent ds lors qu'ils sont confronts au numrique. Elle assure une mission de

page...). D'une manire gnrale, elle n'enqute pas sur les infractions traditionnelles vhicules par les rseaux, hormis le cas o le mode opratoire est particulirement technique ou indit

formation et de sensibilisation la scurit auprs des autres services entreprises institutions. de et Police, des

diverses

104

Organisme La Direction Centrale du Renseignement Intrieur (DCRI)

Mission La DCRI est un service de renseignement de scurit disposant de pouvoirs de police judiciaire spcialise. Le dcret n2008-609 du 27 juin 2008 (publi au journal officiel du 28 juin 2008) dfinit les missions et l'organisation de la direction centrale du renseignement intrieur (DCRI), grand service de renseignement intrieur unique qui marque la disparition de la DST (direction de la surveillance du territoire) et des RG (Renseignements gnraux). La DCRI a comptence pour rechercher et prvenir, sur le territoire de la Rpublique franaise, les activits inspires, engages ou soutenues par des puissances trangres et de nature menacer la scurit du pays, et plus gnralement, pour lutter contre ces activits. A ce titre, la DCRI exerce une mission se rapportant la dfense.

Territorialit La Direction Centrale du Renseignement Intrieur est comptente sur tout le territoire national.

Domaine de comptences Concrtement, les missions de la DCRI sont traditionnellement de trois types : contre-espionnage, contre-terrorisme, protection du patrimoine conomique et scientifique. De nouvelles menaces de niveau stratgique apparaissent et sont d'ores et dj prises en compte, telles que la prolifration des armes nuclaires, bactriologiques, chimiques et balistiques ou la grande criminalit organise

105

Organisme La gendarmerie nationale

Mission La gendarmerie nationale est une des deux forces de police franaises. Elle dpend pour son administration du ministre de la dfense et pour emploi du ministre de l'intrieur. Les enqutes judiciaires sont menes sous le contrle du ministre de la justice.

Territorialit Les units de gendarmerie nationale sont implantes sur l'ensemble du territoire franais, en mtropole et outre-mer. La gendarmerie est charge de la scurit publique en dehors des grandes villes, ce qui reprsente environ 95% du territoire national et 50% de la population.

Domaine de comptences Les personnels de la gendarmerie sont juridiquement comptents pour traiter de toute infraction, et notamment de toute atteinte un systme de traitement automatis de donnes. Des enquteurs spcialiss en technologies numriques (150 NTECH au 1er mai 2007) sont implants sur l'ensemble du territoire. La gendarmerie participe aux activits de l'office central de lutte contre la criminalit lie aux technologies de l'information et de la communication (OCLCTIC) de la DCPJ de la police nationale. C'est une des modalits de l'change permanent d'information entre les deux institutions dans ce domaine.

106

Organisme L'Office Centrale de Lutte contre la Criminalit lie aux Technologies de l'Information et de la Communication (OCLCTIC)

Mission L'OCLCTIC est une structure nationale, vocation interministrielle et oprationnelle, comptente dans le domaine des infractions aux technologies de l'information et de la communication. Outre sa vocation oprationnelle, l'O.C.L.C.T.I.C. intgre d'autres missions relatives l'animation, la coordination, l'assistance technique, la centralisation et la diffusion de l'information dans le domaine de la cybercriminalit. L'O.C.L.C.T.I.C. assure galement la gestion des changes internationaux (Interpol, Europol et G8H24) en tant que point de contact unique national dans son domaine d'activit.

Territorialit L'O.C.L.C.T.I.C. est comptent sur l'ensemble du territoire national. La Direction Centrale de la Police Judiciaire dispose galement sur l'ensemble de ses services territoriaux (Directions interrgionales et rgionales de Police Judiciaire) d'un rseau d'Enquteurs Spcialiss en Criminalit Informatique comptents pour diligenter des enqutes dans leur ressort de comptence gographique.

Domaine de comptences L'OCLCTIC intervient sur des affaires d'envergure nationale et internationale dans le cadre d'enqutes lies aux technologies de l'information et de la communication (ex : intrusion, entrave ou altration de systmes informatiques, de contrefaon de cartes de paiement, atteintes aux personnes et aux biens).

107

Limportance de ces structures en matire de collectes dinformation sur le paysage cybercriminel est de taille. Cependant, leurs dmarches se heurtent une limite bien relle. Il sagit, du nombre de victimes qui ne se font pas connatre. Ce chiffre noir demeure important car de nombreuses victimes ne se font pas connatre, soit parce qu'elles n'ont pas pris conscience du prjudice subi, soit parce qu'elles craignent que la dnonciation auprs des services de police ou de gendarmerie ait des effets ngatifs sur leur image (cas des entreprises victimes de piratage de leurs rseaux)198.

Consciente des nouvelles menaces lies au cyberespace au Maroc, la Direction Gnrale de la Sret Nationale (DGSN) a mis en place une cellule de lutte contre la cybercriminalit. Cette nouvelle brigade au Maroc est une police en charge de traquer les comportements et les agissements illicites sur les rseaux informatiques199 . Compose dune dizaine dexperts ddis, c'est cette dernire cellule qu'on doit notamment la localisation et l'arrestation de Farid Essebar, jeune Marocain souponn d'avoir t derrire l'attaque "virale" contre plusieurs compagnies amricaines200. Lexistence dune telle cellule est de nature amliorer le travail dinvestigation en matire cybercriminelle. Cependant, le Maroc ne dispose pas de structure ddie lalerte et lassistance sur linternet.

4.2

La veille et le signalement

Pour pouvoir veiller sur les contenus vhiculs par le cyberespace et dtecter ceux que la loi interdit afin de dfrer leurs auteurs devant la justice, les forces de lordre optent pour une double approche. La veille et le signalement.

4.2.1 La veille
La veille est un travail dinitiative qui a pour but de rechercher de manire proactive les infractions en surveillant lespace public par les patrouilles du Net . Cest une forme de recherche de renseignements utiles de futures enqutes. La veille saccompagne dune libert daction et de raction de lenquteur qui peut slectionner les lments qui mritent
198

Solange Ghernaouti-Hlie, La cybercriminalit : Le visible et linvisible , collection le savoir suisse, Edition

2009
199

Rabya Khallok, Cybercriminalit : comment contrer le piratage informatique ,

http://www.jeunesdumaroc.com/article1027.html
200

http://www.bladi.net/forum/50106-enquete-coeur-cyberpolice/

108

dtre travaills, exploits. Cest une approche cible201. En France, cette veille est assure notamment par les services de la police et de la gendarmerie. Plusieurs ples de comptences sont impliqus dans ce travail. Il sagit notamment du202 : Ple de veille de la police nationale qui est charg de la veille des contenus connotation raciste, antismite ou xnophobe, de ceux lis au terrorisme et de ceux relatifs au piratage informatique ; Ple de la gendarmerie nationale qui, quant lui, est charg de la veille des contenus pdopornographiques; des liens fonctionnels sont tablis avec le Centre national d'analyse des images pdopornographiques et avec la base des sites

pdopornographiques tenue par l'OCLCTIC. Au Maroc, la veille en matire de cybercriminalit nest pas assure par un service ddi.

4.2.2 Le signalement
Le signalement mane dune tierce personne, physique ou morale et simpose lenquteur qui doit, systmatiquement, le vrifier, lexploiter, dans une finalit judiciaire203. En France, le signalement est assur par une plateforme situe au sein de lOCLCTIC. Lance en 2008, la plate-forme de signalement, qui est accessible au public204, a vu en dbut d'anne 2009 son champ d'action s'tendre l'ensemble des dlits avec comme vecteur l'internet (escroqueries en ligne, la fraude en ligne, le cyberterrorisme...) et plus uniquement la corruption et la pdophilie en ligne205.

Compose dune quipe mixte de policiers et gendarmes, cette plateforme est considre comme un point dentre national, unique et clairement identifi pour tout signalement des cyberdlits. A lchelle europenne, un dispositif commun de signalement a t mis en place. Il sagit dune plateforme europenne de signalement qui est hberge par Europol206. Le Maroc, partenaire europen de rfrence, a t choisi avec trois autres pays extra-europens
201

Thierry Breton, Chantier sur la lutte contre la cybercriminalit , rapport prsent au Ministre dintrieur

franais en 2005. http://www.ladocumentationfrancaise.fr/rapports-publics/054000263/index.shtml

202 203 204 205

Idem, Page 12 Idem, Page 13 https://www.internet-signalement.gouv.fr/ Didier Duval, PHAROS, la plateforme dharmonisation, danalyse, de recoupement et dorientation des

signalements , La criminalit numrique, Cahier de la scurit n06, page 91.

206

Christian Aghroum, LEurope, un atout pour la France dans la lutte contre la cybercriminalit, La criminalit

numrique, Cahier de la scurit n06, page 95.

109

(Canada, Japon, et Sngal) pour faire partie des collaborateurs autour de cette plateforme207.

5. Les acteurs institutionnels internationaux

Malgr un consensus presque universel sur le fait que la cybercriminalit est une question transnationale qui exige une rponse coordonne de la part de tous les pays, les prmices de la coopration internationale, quil convient de saluer, se heurtent pour autant de nombreuses limites. Dune part, le dialogue et la coordination au niveau international ne se sont pas traduits par des actions concrtes. Il y a bien des initiatives diverses mais elles sont encore trop parses ou indpendantes les unes des autres pour quil en mane rellement une cohrence dans la politique de lutte contre la cybercriminalit. Il en rsulte que beaucoup dEtats ont des lgislations diffrentes au point que les criminels profitent de ces failles juridiques208. En effet, des attaques lances par une personne dans un pays ou une juridiction donne peuvent affecter des personnes dans plusieurs autres pays et une communication par email envoye une personne se trouvant pourtant dans le mme pays peut gnrer en un autre endroit des preuves sous forme lectronique, les donnes pouvant tre transmises dans plusieurs pays via les serveurs. Les failles aussi bien pnales que procdurales limitent donc les actions de rpression compte tenu du caractre transnational des crimes et dlits. Dautre part, il est comprhensible que des pays ayant des niveaux de dveloppement, des priorits et des problmes diffrents aient des avis diffrents sur des questions de porte mondiale comme les cybermenaces ou l'inadquation des solutions de cyberscurit. Cest la raison pour laquelle de nombreuses organisations et institutions internationales se sont empares du sujet afin de coordonner la lutte contre la cybercriminalit au niveau international. Nous citons par exemple :

Les Nations-Unies LOrganisation de Coopration et de Dveloppement Economiques (OCDE) LUnion Internationale des Tlcommunications (UIT) Interpol Le conseil de lEurope Europol

207 208

http://lecourrier.vnagency.com.vn/PrintView.asp?id=42915 Franck Franchin et Rodolphe Monnet, Le business de la cybercriminalit , Edition LAVOISIER, 2005

110

Rappelons par ailleurs quune convention sur la cybercriminalit a t ratifie par plusieurs pays. Ngoci en troite collaboration avec les Etats-Unis, le Canada, le Japon et l'Afrique du Sud, le projet de convention sur la cybercriminalit, premier trait destin lutter contre les infractions pnales commises sur les rseaux informatiques, a t adopt par le Conseil de l'Europe en 2001.

Conscient de la ncessit dune coopration internationale pour mieux lutter contre la cybercriminalit, le Maroc a sign des mmorandums dentente avec plusieurs pays. Il sagit notamment dun mmorandum dentente portant sur la coopration dans le domaine de la cyberscurit, en particulier laspect relatif la formation et au dveloppement des comptences, avec la Malaisie et dun mmorandum dentente avec la Core du Sud portant sur la coopration en matire de-gouvernement et de la cyberscurit.

Conclusion du chapitre A linstar de plusieurs pays, la formation de lcosystme de la cybercriminalit au Maroc date depuis peu de temps. Ce nest qu partir du moment o linternet est devenu accessible pour le grand public que nous avons commenc entendre parler de la criminalit lie aux technologies de linformation. Par ailleurs, lunivers Underground marocain a plusieurs annes davance par rapport lunivers rpressif, qui rappelons-le, est reprsent par peu dinstitutions et dispose de peu de moyens. Cest sous la pression de nos partenaires trangers et dans le cadre de la lutte contre le terrorisme quun certain nombre dacteurs reprsentant les pouvoirs publics se sont empars du phnomne de la cybercriminalit pour mieux structurer la lutte. Aujourdhui, plusieurs institutions cls intervenant dans linvestigation, la veille et la rpression sont en cours de mise en place dans le cadre de la stratgie Maroc Numeric 2013 .

111

Chapitre 4 : Larsenal juridique face la cybercriminalit au Maroc

Ce qu'on appelle libert, dans le langage politique, c'est le droit de faire des lois, c'est--dire d'enchaner la libert Auguste Vermorel

Face au phnomne de la cybercriminalit, les ripostes juridiques nationales sont diffrentes dun pays lautre. Ceci sexplique notamment par lmergence de deux courants ayant deux conceptions diffrentes du phnomne. Le premier estime quil ny a pas lieu de distinguer entre linformation stocke sur les supports traditionnels et celle qui est automatise. Par consquent, la cybercriminalit ne justifie pas de nouvelles mesures lgislatives209. Le deuxime courant considre la cybercriminalit comme tant un phnomne spcifique. De nouvelles mesures sont donc ncessaires. Les ripostes juridiques marocaines sinscrivent dans cette deuxime perspective. Cette dmarche a abouti ladoption de trois textes lgislatifs : La loi n07-03 compltant le code pnal en ce qui concerne les infractions relatives aux systmes de traitement automatis des donnes; La loi n53-05 relative lchange lectronique de donnes juridiques; La loi n09-08 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel. Signalons par ailleurs, comme cela est de coutume, en particulier lorsquil sagit de domaines lis aux nouvelles technologies, les rdacteurs de ces lois se sont contents de reproduire presque littralement les dispositions de la loi franaise. Il sagit notamment des lois suivantes : La loi n2004-801 du 6 aot 2004, qui modifie la loi du 06 janvier 1978 relative linformatique, aux fichiers et liberts ;
209

Mohamed Chawki, Combattre la cybercriminalit , page 120.

112

La loi du 5 janvier 1988 dite Loi Godfrain ; La loi n2000-230 du 13 Mars 2000 portant adaptation du droit de la preuve aux technologies de linformation et relative la signature lectronique. Certes, ces textes permettront au Maroc de mettre niveau son arsenal juridique, mais ltat actuel, nous ne pouvons pas dire que nous disposons de tous les textes permettant de rprimer la cybercriminalit avec ses multiples visages. Ils nous arrivent dailleurs souvent de nous rabattre sur les infractions de droit commun telles que lescroquerie, le faux et usage de faux pour incriminer des infractions comme la fraude la carte bancaire commise sur linternet par exemple.

1.

La loi n07-03 compltant le code pnal en ce qui concerne

les infractions relatives aux systmes de traitement automatis des donnes

Jusqu octobre 2003, le phnomne de la cybercriminalit au Maroc na fait lobjet daucune disposition lgislative visant le rprimer. Il sagissait encore dun phnomne mal connu et marginal. Par consquent, larsenal juridique marocain disposait de lacunes srieuses empchant la rpression des infractions lies la criminalit informatique. De nombreuses dispositions du code pnal se rvlent parfaitement inadaptes aux spcificits du phnomne210. Face cette situation, le lgislateur marocain se trouvait contraint denrichir le code pnal par des dispositions susceptibles de sappliquer aux infractions commises par voie informatique ou lectronique. Cest ainsi que la loi n07-03 compltant le code pnal en ce qui concerne les infractions relatives aux systmes de traitement automatis des donnes a vu le jour en 2003.

Reproduite partir de la loi franaise du 5 janvier 1988 dite loi Godfrain, la loi n07-03 constitue un texte fondateur pour la mise niveau de larsenal juridique marocain afin de tenir compte des infractions imputables la criminalit informatique. Elle traite les atteintes aux systmes de traitement automatis des donnes (STAD) et rprime pnalement de nombreux comportements. Les intrusions ainsi que les atteintes aux systmes de traitement

210

Mohamed Diya Toumlilt, Le commerce lectronique au Maroc : Aspects juridiques Les ditions

Maghrbines.

113

automatis des donnes demeurent les plus importantes incriminations contenues dans cette loi211.

1.1

Les intrusions

La loi n07-03 permet de sanctionner toutes les intrusions non autorises dans un systme de traitement automatis de donnes. Elle fait la distinction entre laccs et le maintien frauduleux dans un STAD. En effet, deux types daccs illicites peuvent tre envisags212 : Laccs dans lespace, qui consiste pntrer par effraction dans un systme informatique (accs frauduleux) ; Laccs dans le temps, qui sagit du fait doutrepasser une autorisation daccs donne pour un temps dtermin (maintien frauduleux). Les sanctions prvues varient selon que lintrusion a eu ou non une incidence sur le systme en cause.

1.1.1 Laccs frauduleux dans un STAD

Parmi les actes rprims dans la loi n07-03, on trouve en premier lieu laccs frauduleux. Cette infraction rsulte de larticle 607-3 du code pnal qui dispose dans sa rdaction de 2003 : le fait daccder, frauduleusement, dans tout ou partie dun systme de traitement automatis des donnes est puni dun mois trois mois demprisonnement et de 2.000 10.000 dirhams ou de lune de ces deux peines seulement . Ds lors que le maintien ou l'accs frauduleux entrane une altration du systme, la loi marocaine prvoit un doublement de la peine. En effet, larticle 607-3, al. 3 du Code pnal dispose La peine est porte au double lorsquil en est rsult soit la suppression ou la modification de donnes contenues dans le STAD, soit une altration du fonctionnement de ce systme . L'accs au STAD peut se faire213 : Depuis l'extrieur du systme : ainsi, un pirate qui pntre dans un ordinateur connect linternet tombe sous le coup de la loi. Depuis l'intrieur du systme : un salari qui, depuis son poste, pntre dans une zone du rseau de l'entreprise laquelle il n'a pas le droit d'accder pourra tre poursuivi.
211 212 213

Idem, Page 213 Mohamed Chawki, Combattre la cybercriminalit , Page 123 Droit et Internet Interviews de spcialistes 2005

http://epi.univ-paris1.fr/82341344/0/fiche___actualite/&RH=epi-287&RF=epi-287

114

L'accs est sanctionn uniquement s'il est frauduleux. Il convient ainsi, de prciser que laccs frauduleux un STAD, tel quil a t prcis par la jurisprudence franaise214, est constitu ds lors qu'une personne, non habilite, pntre dans ce systme tout en sachant tre dpourvue d'autorisation, peu importe le mobile215 . Ce qui recouvre un grand nombre dhypothses. Dans cette perspective, la Cour dappel de Paris a considr dans un arrt du 5 avril 1994 que laccs frauduleux, au sens de la loi, vise tous les modes de pntration irrguliers216 dun systme de traitement automatis de donnes, que laccdant travaille dj sur la mme machine mais un autre systme, quil procde distance ou quil se branche sur une ligne de communication217 . Toutefois, dans un arrt du 4 dcembre 1992, la Cour d'appel de Paris a cart les dlits d'accs et de maintien dans un systme de traitement automatis de donnes informatiques en constatant que l'appropriation d'un code d'accs avait pu tre le rsultat d'une erreur de manipulation sur les fichiers, cette circonstance excluant le caractre intentionnel exig par la loi. Ainsi, une intrusion accidentelle ne peut tre incrimine, encore faut-il ne pas se maintenir dans le STAD accidentellement atteint218. Mais, il reste savoir si la prsence dun dispositif de scurit est une condition de lincrimination pnale ?

Si certains pays comme la Norvge et les Pays-Bas considrent quun dispositif de scurit est ncessaire pour punir laccs ou linterception illicite de donnes219, la loi marocaine linstar de la loi franaise, na pas apport de prcision concernant la ncessit ou lindiffrence de la prsence de dispositifs de scurit pour la constitution du dlit daccs et de maintien frauduleux. En France, le lgislateur na pas voulu reprendre cette obligation pourtant propose par le dput Godfrain ds 1988, ni dans la loi sur les infractions informatiques, ni lors de la rforme du Code pnal. Cette volont a t affirme par la cour dappel de Paris en 1994 qui a dclar : Il nest pas ncessaire pour que linfraction existe,
214

Etant donn que la loi marocaine nest que la reproduction de la loi franaise, il savre important danalyser

les prcisions apportes par la jurisprudence franaise par rapport la notion de laccs.
215

Maitre Delphine Bastien, Accs frauduleux dans un systme de traitement automatis de donnes ,

dcembre 2008 http://avocats.fr/space/delphine.bastien/content/_AA84FB96-8CD4-4860-9DF6-C9EFA2729809

216 217 218

Par pntration irrgulire, il est entendu toute intrusion non autorise par le matre du systme. CA. Paris, [5 avril 1994], (Les Petites Affiches), [5 juillet 1995] n80, p.13. obs Alvarez. Mireille Cahen, Intrusion dans un Systme Informatique http://www.murielle-

cahen.com/publications/p_intrusions.asp
219

Mohamed Chawki, Combattre la cybercriminalit , page 135

115

que laccs soit limit par un dispositif de protection, mais quil suffise que le matre du systme ait manifest lintention de restreindre laccs aux seuls personnes autorises220 .

1.1.2 Le maintien frauduleux dans un STAD

La loi marocaine incrimine galement le maintien frauduleux dans un systme de traitement automatis de donnes. Larticle 607-3 du code pnal marocain dispose : Est passible de la mme peine toute personne qui se maintient dans tout ou partie dun systme de traitement automatis de donnes auquel elle a accd par erreur et alors quelle nen a pas le droit . La jurisprudence franaise prcise que lincrimination concerne le maintien frauduleux ou irrgulier dans un systme de traitement automatis de donnes de la part de celui qui y est entr par inadvertance ou de la part de celui qui, y ayant rgulirement pntr, se serait maintenu frauduleusement221. Cest sur ce fondement que la cour dappel de Paris a condamn en 1994 les fondateurs de socits tlmatiques, les grants de centres serveurs et les informaticiens leur service. Ils essayaient de se maintenir dans des services tlmatiques au mpris de la volont des titulaires et alors que ceux-ci tentaient dvincer les intrus par divers moyens de surveillance222.

Quant l'lment intentionnel de cette infraction, la doctrine et la jurisprudence s'accordent admettre que l'adverbe "frauduleusement" n'est pas le dol gnral de l'attitude volontaire, ni le dol trs spcial de l'intention de nuire, mais la conscience chez le dlinquant que l'accs ou le maintien ne lui tait pas autoris. Cette prcision vise le cas du fraudeur habilit accder une partie non autorise dun systme de traitement automatis de donnes, sy maintient en connaissance de cause, et au cas du fraudeur qui ayant eu par hasard accs un systme ferm, sy maintient volontairement tout en sachant quil ny a pas de droit223. Dans ce cadre, la cour dappel de Toulouse dans un arrt a prcis que le maintien pendant 45 minutes caractrisait laspect frauduleux de ce dernier224. Il sagissait en lespce dun informaticien qui, aprs son licenciement, avait conserv le code daccs au systme de son

220 221 222 223 224

CA. Paris : (IR), [5/04/1994] p.130 Cours dappel de Paris. Jugement de 5 avril 1994 prcit. CA. Paris, [5 avril 1994], (Paris, D.IR.), [1994] p.130. Mohamed Chawki, Combattre la cybercriminalit , page 150 CA Toulouse 21 janvier 1999, Juris-Data n040054.

116

ancien employeur, y avait accd puis sy tait maintenu, causant mme des dommages justifiant une incrimination plus grave225. En clair, relvent de la qualification pnale toutes les intrusions intentionnelles irrgulires (accs frauduleux), mais aussi rgulires si elles dpassent lautorisation donne (maintien frauduleux).

1.2

Les atteintes

Les atteintes au STAD ont tendance devenir de plus en plus frquentes de nos jours, que le but soit le simple vandalisme ou bien encore, de faon plus labore, un but conomique (vol ou altration de donnes dans le but den retirer de largent). Le lgislateur marocain a prvu des incriminations de ces dlits dans le cadre de la loi n07-03.

1.2.1 Les atteintes au fonctionnement d'un STAD

Latteinte au fonctionnement dun STAD peut tre constitu de manires trs diverses, par tout comportement ou toute action qui va entraner temporairement ou de manire permanente une gne dans le fonctionnement du systme, une dgradation du systme voire le rendre totalement inutilisable. Larticle 607-5 du Code pnal, insr en vertu de la loi n07-03, dispose que Le fait d'entraver ou de fausser intentionnellement le fonctionnement d'un systme de traitement automatis des donnes est puni dun an trois ans demprisonnement et de 10.000 200.000 dirhams damende ou de lune de ces deux peines seulement . A la lecture de larticle 607-5, il ressort que llment matriel dune atteinte porte un STAD lui-mme et non pas ses donnes peut provenir de lentrave ou du faussement de ce dernier. Lexemple le plus connu de ce dlit est lattaque par dni de service226. Au-del de ces attaques sophistiques, la jurisprudence franaise a retenu que le fait pour un employ de changer les mots de passes daccs un systme dans le but de la rendre inutilisable pouvait lexposer aux peines prvues pour lentrave, contrario si le refus de communiquer

225

Mohamed Diya Toumlilt Le commerce lectronique au Maroc : Aspects juridiques Les ditions

Maghrbines, Page 215

226

La Cour dappel de Paris a considr l'envoi automatique de messages et l'utilisation de programmes simulant

la connexion de multiple Minitel un centre serveur, perturbant ainsi les performances du systme et entranant un ralentissement de la capacit des serveurs, comme tant constitutif du dlit d'entrave au fonctionnement d'un STAD.

117

les mots de passe nempche pas le bon fonctionnement du systme le dlit nest pas constitu227. Alors que lentrave a pour finalit de perturber le fonctionnement du systme, le faussement pour sa part consiste faire produire au systme un rsultat diffrent de celui qui tait attendu. Il peut suffire de bloquer lappel dun programme, dun fichier ou encore daltrer lun des lments du systme. Le plus courant tant le cas dune attaque virale classique. Bien videmment, pour que latteinte au fonctionnement dun STAD soit retenue, lauteur doit avoir conscience que ses actes vont dgrader les performances dun systme voire le rendre inoprant. Ainsi, lorsquun individu pntre dans un systme informatique sans rien faire dautre, nous parlerons alors daccs et de maintien frauduleux et non de lentrave.

1.2.2 Les atteintes aux donnes

Larticle 607-6 du code pnal dispose que Le fait dintroduire frauduleusement des donnes dans un systme de traitement automatis ou de dtriorer ou de supprimer ou de modifier frauduleusement les donnes quil contient est puni dun an trois ans d'emprisonnement et de 10.000 200.000 dirhams d'amende ou de lune de ces deux peines seulement .

En ralit, toute manipulation de donnes, quil sagisse de les introduire, de les supprimer, de les modifier ou de les maquiller, provoque, en toutes circonstances, une altration du systme. Le fait de modifier les tables dune base de donnes, de drfrencer ladresse dun serveur Web dans les moteurs de recherche, ou encore, de dfacer un site web pour y insrer une image indcente, constituent autant datteintes vises par le texte.

Si dans le cadre de la lgislation franaise, le dlit nest constitu que si les atteintes sont ralises avec une intention dlictueuse et hors de lusage autoris, il convient dobserver propos de cet lment intentionnel une des rares dispositions que le lgislateur marocain na pas emprunte la loi Godfrain. Il sagit en loccurrence de lexigence que latteinte soit commise aux mpris des droits dautrui 228.

227 228

Cours dappel de Poitiers le 20/01/1998 (Gazette du Palais 14-15 Janvier 2000, p37). Mohamed Diya Toumlilt, Le commerce lectronique au Maroc : Aspects juridiques Les ditions

Maghrbines, P. 226

118

Enfin, il convient de signaler que pour tous ces dlits, que ce soit pour les intrusions (accs et atteinte frauduleux au STAD) et pour les atteintes (atteintes au fonctionnement et atteintes aux donnes dun STAD), la tentative est punie des mmes peines. En effet, larticle 607-8 du code pnal dispose La tentative des dlits prvus par les articles 607-3 607-7 ci-dessus et par larticle 607-10 ci-aprs est punie des mmes peines que le dlit lui-mme .

2.

La loi 53-05 relative lchange lectronique de donnes

juridiques
Lutilisation de plus en plus croissante des nouvelles technologies dinformation et de communication ainsi que lobsolescence du droit marocain de la preuve puisquavant le 30 novembre 2007229, le seul support ayant la force probante tait le papier ont justifi la rforme du cadre juridique de la preuve.

Cette rforme a pour objet de fixer le rgime applicable aux donnes juridiques changes par voie lectronique, lquivalence des documents tablis sur papier et sur support lectronique et la signature lectronique. Elle dtermine galement le cadre juridique applicable aux oprations effectues par les prestataires de services de certification lectronique, ainsi que les rgles respecter par ces derniers et les titulaires des certificats lectroniques dlivrs. En outre, la loi institue une autorit nationale dagrment et de surveillance de la certification.

2.1

La preuve

La loi n53-05 comporte deux volets particulirement novateurs en matire de preuve. Il sagit de la redfinition de la preuve littrale et la conscration de la force probante de lcrit lectronique.

2.1.1 La redfinition de la preuve littrale

Traditionnellement, lcrit avait fini par se confondre avec son support papier. Pourtant, le dictionnaire dfinit lcriture comme une reprsentation de la parole et de la pense par des signes , sans quil soit fait rfrence un quelconque support papier230. La loi n53-05

229 230

La date de promulgation de la loi n53-05 relative lchange lectronique des donnes juridiques Valrie Sedallian, Preuve et Signature lectronique ,

http://www.juriscom.net/chr/2/fr20000509.htm#_ftn11

119

relative lchange lectronique de donnes juridiques a mis fin cette confusion en prenant soin de modifier la formulation de larticle 417, alina 2 du Dahir des Obligations et Contrats (D.O.C). La preuve littrale ne sidentifie plus au papier, ne dpend ni de son support matriel, ni de ses modalits de transmission. Larticle 417, alina 2 dispose que la preuve littrale peut galement rsulter de tous autres signes ou symboles dots dune signification intelligible quels que soient leur support et leurs modalits de transmission . Le lgislateur affirme donc l'quivalence entre le papier et l'lectronique. Cela a constitu une avance fondamentale du droit de la preuve. La dfinition respecte ainsi le principe de neutralit technologique231. La seule condition pose rside dans le fait que le message doit tre intelligible, c'est--dire quil sagisse dune information destine tre communique et comprise232.

2.1.2 La conscration de la force probante de lcrit lectronique

La redfinition de la preuve littrale nest pas le seul apport de la nouvelle loi, la conscration de la force probante de lcrit lectronique est aussi lun des volets particulirement novateurs de la loi n53-05. En effet, cette loi confre la mme force probante lcrit lectronique que lcrit sous forme papier, condition quil permette la personne dont il mane dtre dment identifie et quil soit tabli et conserv dans des conditions de nature en garantir lintgrit. Larticle 417-1 dispose que lcrit sous forme lectronique est admis en preuve au mme titre que lcrit sur support papier, sous rserve que puisse dment tre identifie la personne dont il mane et quil soit tabli et conserv dans des conditions de nature en garantir lintgrit .

2.2

La signature lectronique

Dans le but de faciliter lutilisation des signatures lectroniques, de contribuer leur reconnaissance juridique et dinstituer un cadre juridique pour les services de certification, la loi n53-05 reconnat la validit juridique de la signature lectronique ds lors quelle remplira certaines conditions. Cette reconnaissance constitue une avance importante pour la promotion du commerce lectronique. Elle en est mme son fondement de base.

231 232

Eric Caprioli, Le juge et la preuve lectronique , Juriscom.net, 10 janvier 2000, http://www.juriscom.net. Mohamed Diya Toumlilt, Le commerce lectronique au Maroc : Aspects juridiques Les ditions

Maghrbines, P.445

120

2.2.1 La reconnaissance juridique de la signature lectronique

Le texte de la loi n53-05 non seulement reconnat juridiquement la signature lectronique, mais il va encore plus loin en consacrant la validit de la signature lectronique en labsence de toute convention pralable. Cependant, la signature lectronique ne peut tre qualifie de valide tant quelle ne remplisse pas certaines conditions. En effet, larticle 417-2, dispose que lorsque la signature est lectronique, il convient dutiliser un procd fiable didentification garantissant son lien avec lacte auquel elle sattache . Dans labsolu, la signature remplit deux fonctions juridiques de base. Il sagit de lidentification de lauteur et de la manifestation de sa volont dapprobation du contenu de lacte. Il va de mme pour la signature lectronique. Larticle prcit exige que le procd didentification soit dune part, fiable et dautre part, il doit garantir le lien de la signature lectronique avec lacte, lien qui en effet indispensable pour que la signature lectronique joue pleinement sa fonction dapprobation du contenu de lacte233. La fiabilit de ce procd est prsume, jusqu' preuve de contraire, lorsque la signature lectronique est cre, l'identit du signataire assure et l'intgrit de l'acte garantie,

conformment la lgislation et la rglementation en vigueur en la matire. Larticle 417-3 dispose que la fiabilit dun procd de signature lectronique est prsume, jusqu preuve de contraire, lorsque ce procd met en uvre une signature lectronique scurise . Pour quelle puisse tre qualifie de scurise , la signature lectronique doit remplir les conditions suivantes234 : Elle doit tre propre au signataire ; Elle doit tre cre par des moyens que le signataire puisse garder sous son contrle exclusif ; Elle doit garantir avec lacte auquel elle sattache un lien tel que toute modification ultrieure dudit acte soit dtectable ; Elle doit tre produite par un dispositif de cration de signature lectronique, atteste par un certificat de conformit ;

233

Mohamed Diya Toumlilt, Le commerce lectronique au Maroc : Aspects juridiques Les ditions

Maghrbines, P. 448
234

Ces conditions sont prvues par larticle 6 de la loi n53-05

121

Les donnes de vrification de la signature lectronique scurise doivent tre mentionnes dans le certificat lectronique scuris prvu larticle 10 de la prsente loi . Les caractristiques du dispositif scuris de cration de signature lectronique auquel la loi fait allusion sont prcises au niveau de larticle 8 de la loi prcite qui dispose que Le dispositif de cration de signature lectronique consiste en un matriel et/ou un logiciel destin(s) mettre en application les donnes de cration de signature lectronique, comportant les lments distinctifs caractrisant le signataire, tels que la cl cryptographique prive, utilise par lui pour crer une signature lectronique . Ce dispositif doit en outre, conformment larticle 9, satisfaire aux exigences ci-aprs : 1. Garantir par des moyens techniques et des procdures appropries que les donnes de cration de signature lectronique : a) b) Ne peuvent tre tablies plus dune fois et que leur confidentialit est assure ; Ne peuvent tre trouves par dduction et que la signature lectronique est protge contre toute falsification ; c) Peuvent tre protges de manire satisfaisante par le signataire contre toute utilisation par des tiers. 2. Nentraner aucune altration ou modification du contenu de lacte signer et ne pas faire obstacle ce que le signataire en ait une connaissance exacte avant de le signer. Toujours dans le mme ordre dides, et conformment aux dispositions de larticle 11 de la loi, le certificat de conformit ne pourra tre considr comme scuris que sil est dlivr par un prestataire de services de certification lectronique agr par lautorit nationale dagrment et de surveillance de la certification lectronique, condition toutefois quil comporte un certain nombre de mentions informatives numres au paragraphe 2 du dit article.

2.2.2 Les prestataires de services de certification

Pour que le recours la signature lectronique offre une scurit juridique, des tiers de confiance doivent tre mis en place. Il sagit dun organisme public ou priv, qui met des certificats lectroniques. Le certificat est un registre informatique revtu dune signature lectronique qui identifie lmetteur du certificat, identifie le souscripteur et donne sa cl publique. On peut le comparer une carte didentit lectronique qui serait mise par un tiers indpendant et neutre. La signature lectronique correspondant un certificat est considre appartenir la personne mentionne dans le certificat. Cest dans cette

122

perspective, que la loi n53-05 a institu, en vertu de larticle 15, lautorit nationale dagrment et de surveillance de la certification lectronique. Cette dernire a pour mission : De proposer au gouvernement les normes du systme dagrment et de prendre les mesures ncessaires sa mise en uvre ; Dagrer les prestataires de services de certification lectronique et de contrler leurs activits. Pour exercer les activits lies la certification lectronique, il faut obligatoirement tre agr par lAutorit Nationale dAgrment et de Surveillance de la Certification Electronique. Pour y parvenir, le demandeur de lagrment doit, en vertu de larticle 21 de la loi prcite, tre constitu sous forme de socit ayant son sige social sur le territoire du Royaume et : 1. Remplir des conditions techniques garantissant : a) La fiabilit des services de certification lectronique quil fournit, notamment la scurit technique et cryptographique des fonctions quassurent les systmes et les moyens cryptographiques quil propose ; b) La confidentialit des donnes de cration de signature lectronique quil fournit au signataire ; c) La disponibilit dun personnel ayant les qualifications ncessaires la fourniture de services de certification lectronique ; d) La possibilit, pour la personne qui le certificat lectronique a t dlivr, de rvoquer, sans dlai et avec certitude, ce certificat ; e) La dtermination, avec prcision, de la date et lheure de dlivrance et de rvocation dun certificat lectronique ; f) Lexistence dun systme de scurit propre prvenir la falsification des certificats lectroniques et sassurer que les donnes de cration de la signature lectronique correspondent aux donnes de sa vrification lorsque sont fournies la fois des donnes de cration et des donnes de vrification de la signature lectronique. 2. Etre en mesure de conserver, ventuellement sous forme lectronique, toutes les informations relatives au certificat lectronique qui pourraient savrer ncessaires pour faire la preuve en justice de la certification lectronique, sous rserve que les systmes de conservation des certificats lectronique garantissent que : a) Lintroduction et la modification des donnes sont rserves aux seules personnes autorises cet effet par le prestataire ;

123

b)

Laccs du public un certificat lectronique ne peut avoir lieu sans le consentement pralable du titulaire du certificat ;

c)

Toute modification de nature compromettre la scurit du systme peut tre dtecte ;

3. Sengager : 3.1 Vrifier, dune part, lidentit de la personne laquelle un certificat lectronique est dlivr, en exigeant delle la prsentation dun document officiel didentit pour sassurer que la personne la capacit lgale de sengager, dautre part, la qualit dont cette personne se prvaut et conserver les caractristiques et rfrences des documents prsents pour justifier de cette identit et de cette qualit ; 3.2 Sassurer au moment de la dlivrance du certificat lectronique : a) b) Que les informations quil contient sont exactes ; Que le signataire qui y est identifi dtient les donnes de cration de signature lectronique correspondant aux donnes de vrification de signature lectronique contenues dans le certificat ; 3.2.1 Informer, par crit, la personne demandant la dlivrance dun certificat lectronique pralablement la conclusion dun contrat de prestation de services de certification lectronique : a) b) 3.3 Des modalits et des conditions dutilisation du certificat ; Des modalits de contestation et de rglement des litiges ;

Fournir aux personnes qui se fondent sur un certificat lectronique les lments de linformation prvue au point prcdent qui leur sont utiles ;

3.4

Informer les titulaires du certificat scuris au moins soixante (60) jours avant la date dexpiration de la validit de leur certificat, de lchance de celui-ci et les inviter le renouveler ou demander sa rvocation ;

3.5

Souscrire une assurance afin de couvrir les dommages rsultant de leurs fautes professionnelles ;

3.6

Rvoquer un certificat lectronique, lorsque : a) Il savre quil a t dlivr sur la base dinformations errones ou falsifies, que les informations contenues dans ledit certificat ne sont plus

124

conformes la ralit ou que la confidentialit des donnes affrentes la cration de signature a t viole ; b) Les autorits judiciaires lui enjoignent dinformer immdiatement les titulaires des certificats scuriss dlivrs par lui de leur non conformit aux dispositions de la prsente loi et des textes pris pour son application.

3.

La loi n09-08 relative la protection des personnes

physiques lgard du traitement des donnes caractre personnel

Inspire de la clbre loi franaise Informatique et Liberts, la loi n 09-08 relative la protection des personnes physiques l'gard des traitements des donnes caractre personnel a t publie au Bulletin Officiel n 5744 du 18 Juin 2009, aprs avoir t promulgue par le Dcret n 2-09-165, en date du 21 mai 2009. Elle introduit, pour la premire fois, dans le paysage juridique marocain, un ensemble de dispositions lgales harmonises avec le droit europen et, notamment, avec la Directive Communautaire n 95/46.

La loi prvoit, des clauses relatives aux objectifs, champ dapplication et au rfrentiel du concept de protection des donnes personnelles, des dispositions portant sur les conditions du traitement de cette catgorie de donnes, les droits de la personne concerne et obligations du responsable du traitement, et la cration dune commission de contrle de la protection de cette catgorie de donnes.

3.1

La nature des donnes protger

La loi n 09-08 sapplique au traitement des donnes caractre personnel, sous quelque forme que ce soit relatives une personne physique identifie ou identifiable235. Le nom, prnom, adresse, courriel, photographie didentit, numro didentification, empreintes digitales constituent par exemple des donnes caractre personnel. Dans cette optique peut-on considrer une adresse IP comme une donne caractre personnel et par

235

Est rpute identifiable une personne qui peut tre identifie, directement ou indirectement, notamment par

rfrence un numro d'identification ou un ou plusieurs lments spcifiques de son identit physique, physiologique, gntique, psychique, conomique, culturelle ou sociale Article premier de la loi n09-08

125

consquent tombe sous la protection de la loi n09-08. Compte tenu du fait que la loi marocaine nest quune reproduction de la loi franaise, il apparat opportun dapporter les prcisions mises par la jurisprudence franaise concernant ladresse IP. Ainsi, la cour dappel de Paris a estim que, contrairement la position de la CNIL, le relev de ladresse

IP qui est une srie de chiffres qui entre dans le constat de la matrialit de linfraction et
non dans lidentification de son auteur, ne constitue en rien une donne indirectement nominative.

Le traitement qui fait lobjet de la protection des donnes caractre personnel concerne toute opration ou tout ensemble doprations portant sur des donnes caractre personnel raliss ou non par le biais de procds automatiss. Il sagit notamment de la collecte, l'enregistrement, lorganisation, la conservation, ladaptation ou la modification, lextraction, la consultation, lutilisation, la communication par transmission, diffusion ou toute autre forme de mise disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, leffacement ou la destruction. Rappelons, par ailleurs, quune seule de ces oprations suffit constituer un traitement de donnes caractre personnel qui sera soumis aux dispositions de la loi n09-08. Le simple fait de collecter les donnes, sans mme les communiquer ou les diffuser, suffit caractriser un traitement236.

Il convient de souligner par ailleurs que les implications de cette nouvelle loi concernent non seulement les entreprises et les citoyens tablis sur le territoire marocain mais aussi toutes les entreprises trangres qui entretiennent des relations daffaires avec leurs homologues marocaines ou qui changent des donnes avec leurs filiales ou leurs maisons mres marocaines, tout en utilisant des moyens situs sur le territoire marocain. Toutefois, le champ d'application de cette loi exclut les donnes relatives l'exercice d'activits personnelles ou mnagres, celles obtenues au service de la Dfense nationale et de la Sret intrieure et extrieure de l'Etat, ou encore celles obtenue dans le cadre du traitement effectu en application dune lgislation particulire.

3.2

Les droits de la personne concerne

Chaque traitement de donnes caractre personnel, ou son transfert des tiers, ncessite en principe, pour tre effectu, le consentement indubitable de la personne concerne par ledit traitement ou ledit transfert. Toutefois, ledit consentement nest pas requis dans

236

Myriam Quemener, Jol Ferry, Cybercriminalit : Dfi mondial Edition Economica 2009, Page 106

126

certains cas, notamment pour le respect dune obligation lgale, la sauvegarde dintrts vitaux ou lexcution dune mission dintrt public ou relevant de lexercice de lautorit publique237. Les personnes physiques disposent au titre des articles 5 et suivants de la loi prcite de quatre types de droits.

3.2.1 Le droit linformation

Ce droit de regard sur ses propres donnes personnelles vise aussi bien la collecte des informations que leur utilisation. Ce droit dtre inform est essentiel car il conditionne l'exercice des autres droits tels que le droit d'accs ou le droit d'opposition. Ainsi, Toute personne sollicite en vue dune collecte de ses donnes personnelles, doit tre pralablement informe par le responsable du traitement de celles-ci ou son reprsentant dun certain nombre dlments dont principalement les finalits du traitement auquel les donnes sont destines.

3.2.2 Le droit daccs

Autre le droit linformation, la loi prcite donne le droit la personne concerne d'tre au courant de la compilation de ses donnes et d'y avoir accs pour s'assurer de leur vracit et si elles font l'objet d'un usage sain. Laccs peut se faire intervalles raisonnables sans quil y ait dentrave ce droit, c'est--dire sans que la procdure daccs soit trop lourde.

3.2.3 Le droit de rectification

Le droit de rectification constitue un complment essentiel du droit daccs. En effet, les personnes concernes peuvent obtenir lactualisation, la rectification, leffacement ou le verrouillage des donnes personnelles collectes, notamment du fait du caractre inexact ou incomplet des informations.

3.2.4 Le droit dopposition

Enfin, pour autant quelle justifie de motifs lgitimes, la personne concerne pourra sopposer au traitement des donnes la concernant. Ainsi toute personne peut refuser, sans avoir se justifier, que les donnes qui la concernent soient utilises des fins de prospection, en particulier commerciale.
237

La nouvelle loi sur la protection des donnes des personnes physiques Newsletter de Garrigues Maroc,

N7, Avril-Mai-Juin 2009.

127

3.3

Les obligations du responsable du traitement

La loi n09-08 dfinit le responsable du traitement comme la personne physique ou morale, l'autorit publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, dtermine les finalits et les moyens du traitement de donnes caractre personnel. Lorsque les finalits et les moyens du traitement sont dtermins par des dispositions lgislatives ou rglementaires, le responsable du traitement doit tre indiqu dans la loi d'organisation et de fonctionnement ou dans le statut de l'entit lgalement ou statutairement comptente pour traiter les donnes caractre personnel en cause 238. Selon la nature des informations collectes, le traitement va ncessiter soit une autorisation pralable, soit une dclaration pralable de la part de la Commission de contrle de la protection des donnes caractre personnel. Le responsable de traitement est tenu en outre par des obligations de confidentialit et de scurit des traitements et de secret professionnel.

3.3.1 Dclaration pralable

Tout traitement de donnes personnelles doit donner lieu une dclaration pralable auprs de la commission nationale sauf si la loi en dispose autrement conformment larticle 18. Ainsi constitue bien une collecte de donnes caractre personnel devant donner lieu une dclaration le fait didentifier des adresses lectroniques et de les utiliser, mme sans les enregistrer dans un fichier, pour adresser leurs titulaires des messages lectroniques239. La dclaration pralable comporte l'engagement que le traitement sera effectu conformment aux dispositions de loi. La dite dclaration a pour objet de permettre la commission nationale d'exercer les comptences qui lui sont dvolues et de contrler le respect des dispositions de la loi. Le dfaut de dclaration est sanctionn par larticle 52 de la loi prcite.

Le principe de finalit constitue un lment majeur les donnes sont collectes pour des finalits dtermines, explicites et lgitimes et ne sont pas traites ultrieurement de manire incompatible avec ces finalits . Ds lors un traitement de donnes caractre personnel est cr pour atteindre un objectif et ne pas servir dautres fins. Ainsi, la SNCF en France qui avait dclar comme finalit du fichier Socrate la dlivrance de titres de

238 239

Loi n09-08, Chapitre premier : Dispositions gnrales, Article premier. Myriam Qumener, Jol Ferry, Cybercriminalit : Dfi mondial Edition Economica 2009, Page 106

128

transport a commis un dtournement de finalit en utilisant ses fonctionnalits pour vrifier lactivit dun personnel240.

3.3.2 Autorisation pralable

Lautorisation pralable devra tre obtenue par le responsable du traitement lorsque ledit traitement porte sur des donnes dites sensibles . Par donnes sensibles, il est entendu conformment lalina 3 de larticle premier donnes caractre personnel qui rvlent

lorigine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou lappartenance syndicale de la personne concerne ou qui sont relatives sa sant y compris ses donnes gntiques . En outre, doivent tre soumises autorisation
pralable les donnes utilises dautres fins que celles pour lesquelles elles ont t collectes, les donnes relatives aux infractions, condamnations ou mesures de sret, de mme que les donnes comportant le numro de la carte didentit nationale de la personne concerne. Rappelons cependant, que conformment lalina 1 de larticle 12, des exemptions de dclaration sont parfois possibles pour les associations ou tout autre groupement but non lucratif et caractre religieux, philosophique, politique, syndical, culturel ou sportif. Tout comme pour la dclaration pralable, le dfaut de lautorisation pralable est sanctionn par larticle 52 de la loi prcite.

3.3.3 Obligation de confidentialit et de scurit des traitements et de secret professionnel

Autre lobligation de procder une dclaration pralable ou une autorisation pralable, selon les cas, le responsable du traitement est tenu de prendre toutes prcautions utiles, au regard de la nature des donnes et des risques prsents par le traitement, pour prserver la scurit des donnes et, notamment, empcher quelles soient dformes, endommages, ou que des tiers non autoriss y aient accs. Cette obligation relve de larticle 23 de la loi n09-08 et son dfaut est sanctionn. Il peut tre assur au moyen dune scurisation des transferts, des accs par des mots de passe sur les postes, par lattribution de niveau dhabilitation ou de profils daccs variant avec le niveau des utilisateurs. Mais la scurit nest jamais totale et doit tre adapte ltat de lart et limportance des donnes protger. Notons enfin que des sanctions allant de simples amendes des peines demprisonnement ont t mises en place pour assurer le respect des nouvelles dispositions.

240

Myriam Qumener, Jol Ferry, Cybercriminalit : Dfi mondial Edition Economica 2009, Page 107

129

Conclusion du chapitre Conscient des dangers de la cybercriminalit, le Maroc a encadr aux quatre vents son cyberespace. En effet, la loi n07-03 compltant le code pnal en ce qui concerne les infractions relatives aux systmes de traitement automatis des donnes, la loi n53-05 relative lchange lectronique de donnes juridiques et la loi 09-08 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel constituent une tape importante dans la mise niveau de notre arsenal juridique. Certes, elles ont pu poser les premires bases dune lutte contre la cybercriminalit mais dsormais le dfi se situe au niveau de lapplicabilit de ces textes de lois. Pour le relever, lEtat doit crer plus de passerelles entre lunivers informatique et celui des juristes comprenant aussi bien des avocats, des magistrats que des policiers et des gendarmes.

130

131

Chapitre 5 : Vers la confiance numrique au Maroc

L'Homme et sa scurit doivent constituer la premire proccupation de toute aventure technologique Albert Einstein

Il appartient lEtat dtablir la confiance numrique et de garantir la scurit dans le cyberespace. Certes, la tche est plus ardue quil ny parat puisquil est difficile de contrler humainement et techniquement un internet sans frontire241. Cependant, de nombreuses initiatives dans plusieurs pays ont eu limpact dissuasif souhait. Les mesures prises varient selon les pays et les cultures locales. En effet, si par exemple les Etats-Unis inscrivent leur politique de rpression contre la cybercriminalit dans le cadre de la protection des intrts vitaux de la nation amricaine, en France, la lutte sinscrit dans une perspective de protection des liberts individuelles et de droits de lHomme242.

Au Maroc, dfaut dun texte fondateur dcrivant la stratgie tout comme la vision globale mettre en place pour scuriser le cyberespace marocain, nos politiques ont entrepris diffrentes actions plus ou moins grande chelle. Parmi ces initiatives, le programme Confiance Numrique qui rentre dans le cadre de la stratgie Maroc Numeric 2013243 , est incontestablement la feuille de route la mieux labore lheure o nous crivons ces lignes. Cest la raison pour laquelle nous avons jug ncessaire de prsenter les diffrents axes de cette feuille de route tout en essayant de lenrichir davantage la lumire des meilleures pratiques en la matire.

241 242 243

Frank Franchin et Rodolphe Monnet, Le business de la cybercriminalit , Edition LAVOISIER, 2005 La loi Informatique et Liberts qui date de 1978 en est le meilleure exemple. Maroc Numeric 2013 Stratgie Nationale pour la Socit de l'Information et de l'Economie Numrique

http://www.mcinet.gov.ma/mciweb/MarocNumeric2013/MarocNumeric2013.pdf

132

1.

LEtat de lart des tentatives tatiques pour garantir la

confiance numrique

De nombreux pays sont en train de mobiliser leurs forces vives pour combattre le phnomne de la cybercriminalit. Diffrentes initiatives nationales sont remarquer mme si leurs niveaux de mise en uvre varient dun pays lautre. Il y a un rel retour dexprience faire partager. Le plus avanc dans ce domaine est incontestablement les Etats-Unis. Mais plusieurs autres pays tels que le France et le Canada par exemple ne cessent de faire voluer leur arsenal rpressif afin de mieux cerner le phnomne. Les pays mergents ne sont pas pargns par cette lutte. Sous couvert de la coopration internationale et compte tenu de limportance des enjeux politiques et conomiques, ces pays sont souvent contraints de saligner sur les standards internationaux pour viter quils deviennent des paradis cybercriminels.

1.1

Lexemple des Etats-Unis

Parue en 2003 et impulse par ladministration Bush, la stratgie de scurisation du cyberespace amricain est prise en charge par le Department of Homeland Security (DHS). La lutte sinscrit donc dans une vision globale de scurit. Elle se fonde sur un corpus juridique global qui a donn lieu de nombreux rsultats concrets. En effet, depuis les vnements du 11 septembre 2001, de nouvelles lois qui servent de fondement la scurisation des infrastructures critiques se sont apparues. Le Patriot Act244 a t le premier texte impulser un tel mouvement. Cette loi qualifie par exemple toute activit de hacking visant les sites web gouvernementaux ou dautres systmes connects au rseau de linternet dactes terroristes245. Toujours dans la mme perspective, le Cyber Security

244

Le USA PATRIOT Act (qui signifie : Uniting and Strengthening America by Providing Appropriate Tools

Required to Intercept and Obstruct Terrorism Act ou en franais : Loi pour unir et renforcer l'Amrique en fournissant les outils appropris pour dceler et contrer le terrorisme) est une loi anti-terroriste qui a t vote
par le Congrs des tats-Unis et signe par George W. Bush le 26 octobre 2001. L'un des axes centraux de ce long texte (132 pages) est d'effacer la distinction juridique entre les enqutes effectues par les services de renseignement extrieur et les agences fdrales responsables des enqutes criminelles (FBI) ds lors qu'elles impliquent des terroristes trangers. Elle a cr aussi les statuts de combattant ennemi et combattant illgal, qui permettent au gouvernement des tats-Unis de dtenir sans limite et sans inculpation toute personne souponne de projet terroriste. Source : http://fr.wikipedia.org/wiki/USA_PATRIOT_Act
245

Frank Franchin et Rodolphe Monnet Le business de la cybercriminalit , Edition LAVOISIER, 2005, Page 56

133

Enhancement Act (CSEA) adopt dans le cadre de la loi Homeland Security Act, vise fixer
des normes minimales de scurit pour les entreprises exploitant une part de linfrastructure critique des Etats-Unis et imposerait galement des normes officielles pour les professionnels de la scurit informatique246. Ce principe de Net Guard a renforc les pouvoirs des autorits comptentes. Par ailleurs, le lgislateur amricain est intervenu pour protger la proprit des donnes, des applications ainsi que des infrastructures des internautes en dictant le

Computer Fraud and Abuse Act (CFAA) ainsi que le Digital Millenium Copyright (DMCA)247.
Lapplication concrte de cet arsenal juridique regroupant aussi dautres textes qui sinscrivent dans la mme perspective tels que par exemple Theft Penalty Enhancement Act qui se penche sur le vol des identits sur linternet, a eu dimportantes retombes. Ainsi, en 2004 une large opration de dmantlement mene par les services secrets amricains, appele "Opration Firewall", a dvoil au public les premires informations sur le march noir en ligne et qui se cache derrire ce march. Plusieurs membres principaux et chefs de

ShadowCrew, une communaut en ligne de cybercriminels, taient arrts pour appartenir

une conomie clandestine o l'usurpation d'identit et l'change de biens vols taient monnaie courante248. En 2010, une opration mene conjointement entre le FBI et les autorits espagnoles a permis le dmantlement dun groupe de cybercriminels derrire le plus important rseau dordinateurs zombies. Nomm Mariposa (Papillon en espagnol), ce

botnet qui a infect plusieurs millions dordinateurs dans plusieurs pays, stait spcialis
notamment dans la rcupration des donnes confidentielles (numros de cartes de crdit, codes d'accs des sites bancaires)249.

En 2010, un nouveau pas a t franchi dans la lutte contre la cybercriminalit. En effet, pour mieux protger le cyberespace, le prsident Obama a nomm un coordinateur gouvernemental pour les questions de cyberscurit. Howard Schmidt, un ancien Microsoft, a t dsign pour coordonner, au sein de l'ensemble du gouvernement amricain, les dispositifs de lutte contre les cyber-menaces. Cette nomination est intervenue aprs la
246

Nicolas Guillaume Cyber-guerre : les Etats-Unis seraient vulnrables , ITespresso.fr

http://www.itespresso.fr/cyber-guerre-les-etats-unis-seraient-vulnerables-33881.html
247 248

Frank Franchin et Rodolphe Monnet Le business de la cybercriminalit , Edition LAVOISIER, 2005, Page 56 Le march noir de la cybercriminalit , Symantec

http://www.symantec.com/fr/fr/norton/cybercrime/blackmarket.jsp
249

Reynald Flchaux Coup de filet en Espagne pour dmanteler Mariposa, un botnet gant

http://www.lemagit.fr/article/securite-espagne-police-hackers-conficker-botnet/5750/1/coup-filet-espagne-pourdemanteler-mariposa-botnet-geant/

134

publication dun rapport remis au Congrs amricain indiquant explicitement que la Chine a labor des techniques si sophistiques d'espionnage informatique qu'il pouvait pntrer dans les rseaux amricains les plus sensibles pour y drober des informations confidentielles250.

1.2

Lexemple de la France

La France a pris conscience du phnomne de la cybercriminalit, il y a plusieurs annes. Pour la police et la gendarmerie, la cybercriminalit reprsente la nouvelle forme de criminalit du XXIe sicle. De nombreux organes dinvestigation, de rpression et de veille ont t mis en place. Que ce soit la brigade denqute sur les fraudes aux technologies de linformation (BEFTI), la cellule informatique de linstitut de recherche criminelle de la gendarmerie nationale (IRCGN), loffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication (OCLCTIC) ou bien le CERTA comme structure dalertes et dassistance sur linternet, les moyens mis en place sont multiples251.

Paralllement cette rponse institutionnelle, la France a renforc son paysage lgislatif en se dotant des lois qui rpriment la cybercriminalit dans ses multiples visages. En effet, depuis la loi Informatique et liberts (1978), la lgislation franaise a pris en compte la problmatique de la cybercriminalit avec la loi du 5 janvier 1988, dite loi Godfrain , la loi du 15 novembre 2001 relative la scurit quotidienne, la loi du 18 mars 2003 pour la scurit intrieure, la loi du 9 mars 2004 portant adaptation de la justice aux volutions de la criminalit, la loi du 21 juin 2004 pour la confiance dans l'conomie numrique et la loi du 9 juillet 2004 relative aux communications lectroniques et aux services de communication audiovisuelle. Cet important dispositif lgislatif est complt par plusieurs textes rglementaires.

2.

La confiance numrique au Maroc

En Octobre 2009, Ahmed Rda CHAMI, le Ministre de lIndustrie, du Commerce et des Nouvelles Technologies a prsent devant Sa Majest le Roi Mohammed VI, la stratgie

250

http://technaute.cyberpresse.ca/nouvelles/internet/200811/21/01-802908-etats-unis-alerte-au-cyber-

espionnage-chinois.php
251

Thierry Breton, Chantier sur la lutte contre la cybercriminalit , rapport prsent au Ministre dintrieur

franais en 2005. http://www.ladocumentationfrancaise.fr/rapports-publics/054000263/index.shtml

135

nationale pour la socit de linformation et lconomie numrique. Intitule Maroc Numeric 2013 , cette stratgie sarticule autour de quatre priorits stratgiques252: 1. Rendre accessible aux citoyens lInternet Haut Dbit et favoriser laccs aux changes et la connaissance. 2. Rapprocher ladministration des besoins de lusager en termes defficacit, de qualit et de transparence travers un ambitieux programme de-gouvernement. 3. Inciter linformatisation des Petites et Moyennes Entreprises pour accrotre leur productivit. 4. Dvelopper la filire locale TI en soutenant la cration et la croissance des acteurs locaux ainsi quen favorisant lmergence de ples dexcellence fort potentiel lexport. Pour rendre oprationnelles ces orientations stratgiques, deux mesures daccompagnement ont t identifies. Il sagit du dveloppement du capital humain et de linstauration de la confiance numrique. Sans ces deux mesures, une stratgie aussi ambitieuse soit-elle est voue lchec. En effet, le Maroc ne produit pas assez de comptences en nouvelles technologies de linformation et de communication. Lobjectif de 10 000 ingnieurs informaticiens vers lhorizon 2010 est loin dtre atteint. En outre, on ne peut parler du dveloppement du commerce lectronique sans un rel climat de confiance numrique. Les acteurs conomiques ont besoin dtre rassurs sur le volet scurit pour quils puissent se lancer dans lconomie numrique. La stratgie nationale de confiance numrique repose sur trois initiatives cls. Initiative 1 : Mettre niveau et renforcer le cadre lgislatif ; Initiative 2 : Mettre en place les structures organisationnelles appropries ; Initiative 3 : Promouvoir et sensibiliser les acteurs de la socit la scurit des systmes dinformation.

2.1

Le renforcement du cadre lgislatif

Que ce soit la loi n07-03 compltant le code pnal en ce qui concerne les infractions relatives aux systmes de traitement automatis des donnes, la loi n53-05 relative lchange lectronique de donnes juridiques ou la loi n09-08 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel, le Maroc

252

Source : Maroc Numeric 2013 Stratgie Nationale pour la Socit de l'Information et de l'Economie

Numrique http://www.mcinet.gov.ma/mciweb/MarocNumeric2013/MarocNumeric2013.pdf

136

est en train de raliser un effort certain pour mettre niveau son arsenal lgislatif. Toutefois, le manque de jurisprudence ainsi que de dfinitions communes entre le technicien et le magistrat sont autant de limites la mise en place dune relle politique judiciaire de rpression de la cybercriminalit.

2.1.1 Protger les personnes physiques lgard des traitements de donnes caractre personnel

Ayant vu le jour sous la pression des acteurs de loffshoring, notamment les centres dappels dlocaliss dont lactivit ncessitait un traitement rigoureux des donnes caractre personnel, la loi n 09-08 relative la protection des personnes physiques l'gard des traitements des donnes caractre personnel vise la protection de l'identit, des droits et des liberts individuelles et collectives ainsi que de la vie prive, contre toutes les atteintes susceptibles de les affecter par l'usage de l'informatique. Notons par ailleurs que le dcret dapplication de la loi a t publi au Bulletin Officiel N 5744 dans son dition du 18 juin 2009. Ledit dcret a fix notamment les conditions et modalits de dsignation des membres de la Commission Nationale, ses rgles de fonctionnement et ses pouvoirs dinvestigation, ainsi que les conditions de transfert des donnes caractre personnel vers un pays tranger.

Des sanctions allant de simples amendes des peines demprisonnement ont t mises en place pour assurer le respect des nouvelles dispositions253.

2.1.2 Favoriser la dmatrialisation des transactions lectroniques

La dmatrialisation des transactions lectroniques nest plus un luxe. Il sagit dsormais dune contrainte qui simpose de plus en plus aux oprateurs conomiques marocains sous notamment la pression dune concurrence froce imposant la rationalisation des cots et la ringnierie des processus daffaires. Partant de ce constat, il tait vident daccompagner sur le plan juridique ce dveloppement. Cest dans cette perspective que la loi n53-05 relative lchange lectronique de donnes juridiques a vu le jour. Cette rforme se

justifie par plusieurs constats : tout dabord la scurit juridique est devenue ncessaire pour favoriser les changes dans la socit de linformation actuelle, puis lobsolescence du D.O.C

253

Voir chapitre 4 Arsenal juridique face la cybercriminalit au Maroc , Paragraphe 3 pour plus de dtails

ce sujet.

137

en matire de preuve puisque avant la loi 53-05, le seul support ayant la force probante tait le papier254.

En consacrant la valeur probante de lcrit sous forme lectronique, dune part, et en introduisant la signature lectronique dans notre droit, dautre part, la loi est salue comme constituant une avance fondamentale du droit de la preuve. En outre, le dcret tant attendu pour lapplication des articles 13, 14, 15, 21 et 23 de ladite loi est sorti dans le bulletin officiel en date de 21 mai 2009. Ceci a permis dapporter de nombreuses rponses aux diffrentes questions techniques relatives au cryptage et la signature lectronique.

Toujours dans la mme perspective et pour permettre une relle application sur le terrain de la loi n53-05, plusieurs arrts ont t publis. Il sagit de : Arrt du ministre de lindustrie, du commerce et des nouvelles technologies n15110 du 22 mars 2010 fixant la forme de la dclaration pralable dimportation, dexportation, de fourniture, dexploitation ou dutilisation de moyens ou de prestations de cryptographie et le contenu du dossier laccompagnant ; Arrt du ministre de lindustrie, du commerce et des nouvelles Technologies n15210 du 22 mars 2010 fixant la forme et le contenu de la demande dautorisation pralable dimportation, dexportation, de fourniture, dexploitation ou dutilisation de moyens ou de prestations de cryptographie et du dossier laccompagnant ; Arrt du ministre de lindustrie, du commerce et des nouvelles technologies n15310 du 22 mars 2010 relatif lagrment des personnes ne disposant pas de lagrment de prestataires de services de certification lectronique et qui entendent fournir des prestations de cryptographie soumises autorisation ; Arrt du ministre de lindustrie, du commerce et des nouvelles technologies n15410 du 22 mars 2010 fixant la forme de la demande dagrment de prestataire de services de certification lectronique et portant approbation du modle de cahier des charges laccompagnant.

2.1.3 Soutenir le dveloppement du commerce lectronique

Selon le Centre Montique Interbancaire, le montant total des paiements effectus sur internet par carte bancaire auprs des sites marchands a atteint presque 53 millions de DH au premier trimestre de lanne 2010. Autrement dit, le e-commerce au Royaume a
254

Voir chapitre 4 Arsenal juridique face la cybercriminalit au Maroc , Paragraphe 2 pour plus de dtails

ce sujet.

138

enregistr une progression de 25% par rapport au 4me trimestre 2009 et environ la moiti du montant ralis en 2009 (107 millions de DH)255. Cet engouement pour le commerce lectronique sexplique par plusieurs facteurs. Dabord, la mise niveau de larsenal juridique marocain par la promulgation de loi n53-05 et la loi n09-08 qui sont des textes fondateurs en matire dchange lectronique de donnes juridiques et de protection des personnes physiques lgard des traitements des donnes caractre personnel. Ensuite, par la possibilit, rendue effective par les banques marocaines en 2008, deffectuer des paiements en ligne par des cartes marocaines. Rappelons par ailleurs, que la diversit des services et produits proposs en ligne a fortement contribu cette croissance. Cette croissance, qui certes demeure importante, est en de de chiffre daffaires potentiel aller chercher. La principale cause de ce manque gagner demeure le manque de confiance dans le paiement en ligne. En effet, plusieurs tudes montrent que le dveloppement du commerce lectronique ne se fera que si l'on arrive gagner la confiance du consommateur. Dans cette perspective, et travers le programme confiance numrique , le gouvernement marocain envisage dlaborer les textes lgislatifs et rglementaires ncessaires la protection des consommateurs pour la vente en ligne. En clarifiant les conditions de lachat en ligne et en renforant les droits du cyberconsommateur, les textes envisags doivent offrir une scurit juridique dterminante au profit de lacheteur en ligne. Il sagira de couvrir notamment les aspects suivants : 1. La scurit lors de la formation du contrat : Les textes envisags doivent imposer une certaine transparence de la part du cybervendeur lgard du cyberacheteur (obligation de prciser son identit, les prix, les taxes, les frais de livraison). Lide, cest de pouvoir obliger le cybervendeur ce quil fasse en sorte que toutes les informations relatives la transaction soient claires et non ambigus. 2. La scurit quant lexcution de la prestation : Les futurs textes doivent instaurer une responsabilit de plein droit du cybercommerant lgard du

cyberconsommateur. Le cybervendeur est prsum responsable de plein droit de linexcution ou de la mauvaise excution de la prestation, quand bien mme celle-ci serait due un intermdiaire de la chane de contrat et charge pour lui de se retourner contre cet intermdiaire.

255

Rachid Jankari, E-commerce au Maroc : croissance de 180 % en 2010 !

http://zawaya.magharebia.com/fr/zawaya/opinion/212

139

3. La scurit lors du paiement de la transaction : Autre le recours des moyens cryptographiques pour la scurisation du paiement en ligne, qui est rendu possible grce la loi 53-05 et son dcret dapplication, les futurs textes doivent prciser les responsabilits des diffrentes parties en cas dutilisation frauduleuse dune carte bancaire pour raliser un paiement en ligne.

2.2

Mise en place des structures organisationnelles appropries

Les ripostes juridiques en matire de lutte contre la cybercriminalit, aussi exhaustives soient-elles, seront insuffisantes si elles ne sont pas accompagnes par la mise en place dinstitutions charges notamment de la rpression, dinvestigation et de veille en matire de cybercriminalit. Dans cette perspective, le programme confiance numrique a eu le mrite de prvoir la mise en place des organismes suivants : Le Comit de la Scurit des Systmes dInformation (SSI) ; Lorganisme ma-CERT ; Lorganisme de tiers de confiance ; La commission Nationale de Protection des Donnes Personnelles (CNDP) ; Les sites de back-up.

2.2.1 Mettre en place le Comit de la Scurit des Systmes dInformation

Conformment larticle 9 de dcret n2-08-444 du 25 joumada I 1430 (21 mai 2009) instituant le conseil national des technologies de l'information et de l'conomie numrique dispose que Le Conseil national peut crer en son sein tous autres comits spcialiss quil estime ncessaires laccomplissement de ses missions . A cet effet, il est prvu dans le cadre du Maroc Numeric 2013 de mettre en place un comit de la scurit des systmes dinformation. Il aura notamment comme mission, llaboration de la politique relative la protection des infrastructures critiques du Royaume.

Cette initiative, bien que louable, reste insuffisante. En effet, par dfinition un comit ne propose que des actions ponctuelles. Or, pour pouvoir piloter la confiance numrique, il faut un travail structurel. Pour y parvenir, de nombreux pays ont mis en place des Agences Nationales de Scurit des Systmes dInformation (ANSSI). Cest le cas par exemple de la France, du Canada mais aussi de la Tunisie.

140

Prenons lexemple du pays le plus proche de nous culturellement et conomiquement. Cre en 2004 sur la base de la loi n2004-5, l'Agence Nationale de la Scurit Informatique256 en Tunisie, a pour mission deffectuer le contrle gnral des systmes informatiques et des rseaux relevant des divers organismes publics et privs tunisiens. Elle est notamment charge des missions suivantes : Veiller l'excution des orientations nationales et de la stratgie gnrale en matire de scurit des systmes informatiques et des rseaux ; Suivre l'excution des plans et des programmes relatifs la scurit informatique dans le secteur public, l'exception des applications particulires la dfense et la scurit nationale, et assurer la coordination entre les intervenants dans ce domaine ; Assurer la veille technologique dans le domaine de la scurit informatique ; Etablir des normes spcifiques la scurit informatique, laborer des guides techniques et procder leur publication ; uvrer encourager le dveloppement de solutions nationales dans le domaine de la scurit informatique et les promouvoir conformment aux priorits et aux programmes qui seront fixs par l'agence ; Participer la consolidation de la formation et du recyclage dans le domaine de la scurit informatique ; Veiller l'excution des rglementations relatives l'obligation de l'audit priodique de la scurit des systmes informatiques et des rseaux.

2.2.2 Mettre en place le ma-CERT

Pour assurer une meilleure veille en matire de scurit et coordonner ainsi les rponses aux incidents lis la scurit des systmes dinformation (ma-CERT) au niveau national, un centre ddi sera mis en place dans les prochains mois. Il aura pour mission de : Rpondre aux incidents de scurit, de coordonner les rponses aux incidents au niveau national et de proposer divers services portant sur le traitement de ces incidents, Analyser les vulnrabilits et la restauration des systmes attaqus. Au lancement du centre ma-CERT, plusieurs services dits de base seront proposs. Il sagit notamment de : Services de base ractifs

256

http://www.ansi.tn/

141

o o

Alertes et avertissements Gestion des incidents

Services de base proactifs o o o o o Annonces Veille technologique Audits ou valuation de la scurit Service de dtection des intrusions Diffusion dinformations relatives la scurit

Gestion de la qualit et de la scurit o o o Conseil en matire de scurit Sensibilisation Formation

Pour rendre oprationnels ces services, un appel doffre pour lassistance la mise en place du centre ma-CERT a t lanc en juillet 2009 par le Dpartement de la Poste, des Tlcommunications et des Nouvelles Technologies (DEPTI)257.

Au niveau du cahier des charges relatif lappel doffres prcit, on trouve notamment les principaux services attendus. Il sagit notamment de258:

Service dalertes et davertissements : Ce service aura pour mission de diffuser des

informations dcrivant une attaque, une vulnrabilit de scurit, une alerte dintrusion, un virus informatique ou un canular, et recommander des mesures court terme pour remdier aux problmes qui en dcoulent. Un bulletin dalerte, davertissement ou de scurit sera envoy par la suite aux parties prenantes dont les systmes sont affects, afin de les prvenir et de leur donner des conseils pour protger leurs systmes ou pour les restaurer sils ont t affects.

Service de rponse aux incidents : La gestion des incidents constitue le service de

base de ma-CERT. Il vise rpondre aux incidents de scurit affectant ses parties prenantes en assurant une assistance tlphonique, email ou fax aux victimes dune attaque en vue de circonscrire lincident.

257 258

http://www.technologies.gov.ma/test_offre.aspx?id=1431 Source : Appel doffre n02/2009 relatif Assistance la mise en place du Centre National de Gestion et de

Traitement des Incidents de Scurit Informatique : Computer Emergency Response Team of Morocco (maCERT)

142

Activits de veille technologique : Cette activit consistera produire mensuellement

une lettre dinformation prsentant les tendances, les nouvelles menaces, les dernires technologies de protection et les principales solutions. Autre ces services, des prestations complmentaires seront prises en charge par ma-CERT. Il sagit notamment de : Lanalyse des incidents La ralisation de lexpertise post-incident La coordination de la rponse aux incidents La coordination internationale au sein des rseaux des CERTs La conduite de missions de revue de configuration La conduite de missions dexamen de bonnes pratiques La conduite de missions de tests dintrusion Ladhsion au rseau FIRST

Prcisons par ailleurs, que le centre ne disposera pas dune plateforme de signalement qui permettra aux internautes marocains de signaler les sites illicites tels que les sites pdopornographiques, les sites dincitations la haine et aux injures raciales, au terrorisme et de dclarer les incidents cybercriminels limage de ce qui se fait par exemple en France. Ce dispositif, qui permettra dlucider les dlits et les orienter vers les services de polices, de gendarmerie et des douanes et ventuellement vers Interpol, sera pris en charge en partie par le portail de la scurit des systmes dinformation propos par le DEPTI259.

Le portail, qui constituera un support de communication destination des internautes mal informs des risques lis la cybercriminalit, contiendra les lments suivants260 : A propos de la scurit des systmes dinformation au Maroc o o Politique nationale Cadre juridique

Services o Services de base ractifs Dclaration dincidents

259 260

Source : http://www.technologies.gov.ma/test_offre.aspx?id=1431 Daprs le Cahier des Prescriptions Spciales (CPS) relatif lappel doffre n05/2009 relatif Llaboration

du contenu du portail de la scurit des systmes dinformation SSI . http://www.technologies.gov.ma/Fiche_pdf/appel_offre/2009/Cps_App_Off5-2009.pdf

143

Alertes et avertissements Gestion des incidents Gestion des vulnrabilits o Service de base proactifs Annonces Veille technologique o Gestion de la qualit et de la scurit Conseil en matire de scurit Sensibilisation Formation Outils & ressources o o o o o o o Protection Diagnostic Contrle parental Glossaire Conseils et mesures Guide de meilleures pratiques Module dautoformation

Rapports et publications o o o Rapports dincidents Rapports de vulnrabilits Lettres dinformations

Partenaires o o o o o o o o CERTA ENISA UIT IMPACT OIC-CERT MalaysiaCert CERT-TCC FIRST

Contact o o Demande daide Envoi de commentaires

Agenda des vnements

144

Liens utiles

Des informations sur les mthodes de protection de linfrastructure informatique ainsi que sur les modes opratoires les plus couramment employs par les fraudeurs pourraient aussi tre diffuses sur ce portail.

2.2.3 Mettre en place un tiers de confiance

Conformment la loi n53-05 et son dcret dapplication, et afin de mettre en pratique les diffrentes dispositions relatives la dlivrance de certificats lectroniques, Poste Maroc a t choisi pour jouer le rle de tiers de confiance. Le but, cest doffrir aux changes lectroniques une garantie de fiabilit, dauthentification et dintgrit des donnes et ceci par lmission et la dlivrance de certificats lectroniques. Ainsi, dici 2013, il est prvu dans le cadre du Maroc Numeric 2013 , de dlivrer 60 000 certificats lectroniques.

2.2.4 Mettre en place la commission nationale de la protection des donnes personnelles

Pour veiller, au respect de ses diffrentes dispositions, la loi 09-08 a institu la Commission Nationale de Contrle de la Protection des Donnes Caractre Personnel. Charge de veiller la mise en uvre des dispositions de la loi, la commission nationale est un organe dot de prrogatives et de larges pouvoirs dinvestigation, de contrle et dintervention. Ses membres sont nomms par Sa Majest le Roi afin de garantir leur autonomie et leur impartialit vis--vis des diffrentes parties prenantes.

Rappelons par ailleurs quun dcret dapplication de la loi 09-08 a t publi au Bulletin Officiel N 5744 dans son dition du 18 juin 2009. Ledit dcret a fix notamment les conditions et modalits de dsignation des membres de la Commission Nationale, ses rgles de fonctionnement et ses pouvoirs dinvestigation, ainsi que les conditions de transfert des donnes caractre personnel vers un pays tranger.

2.2.5 Dvelopper des sites de back-up

Les infrastructures critiques sont constitues de lensemble des grands rseaux

indispensables au bon fonctionnement dun pays. Leur scurisation est donc, par nature, un enjeu majeur. En effet, il est de plus en plus difficile daccepter des pannes gnralises sur

145

ces rseaux. Les consquences dun tel accident sont dramatiques la fois socialement et conomiquement. Par exemple, les technologies de linformation et de la communication sont de plus en plus utilises pour la conduite des rseaux lectriques. Rciproquement, les rseaux informatiques et de tlcommunications ne peuvent fonctionner que grce la disponibilit de lnergie lectrique, mme si dans bien des cas des pannes de courtes dures sont tolres du fait de lusage dalimentations sans interruptions. Cet accroissement des dpendances entre les infrastructures amne lapparition de nouvelles vulnrabilits quil sagit didentifier. Cest la raison pour laquelle, il est extrmement important pour un pays denvisager les diffrents scnarios lui permettant dassurer la continuit des services critiques. Le Maroc, ny chappe pas. Cest dans cette perspective, que le dveloppement des sites de secours a t identifi comme chantier dans le cadre de la stratgie Maroc Numeric 2013 . Lintrt, cest de pouvoir faire face une ventualit dinterruption dun service critique en ayant recours des datacenters bunkriss.

Si lEtat a clairement un rle jouer dans ce domaine, il ne faut pas pour autant carter de cette initiative lindustrie informatique et celle des tlcommunications. Riches dexprience et de savoir-faire, ces acteurs doivent pouvoir sinscrire dans cette dmarche afin de mutualiser les efforts et les ressources.

2.3

Promotion dune culture de scurit

Ltre humain est le maillon faible de la chane de la scurit. De nombreuses techniques cybercriminelles sappuient sur ce constat. De ce fait, quelques soient les mesures de scurit mises en place, elles nauront du sens que si elles sont accompagnes par la promotion dune vritable culture de scurit. Il savre donc important de dvelopper, traiter et soutenir cette culture de scurit au niveau de toutes les couches de la socit. Pour y parvenir, lEtat, dans le cadre de la stratgie Maroc Numeric 2013 sest engag : Mettre en uvre un programme de sensibilisation et de communication sur la SSI ; Mettre en place des formations sur la SSI destination des lves ingnieurs ; Mettre en place des formations destination des professions juridiques ; Dfinir une charte des sites marchands.

2.3.1 Mettre en uvre un programme de sensibilisation et de communication sur la SSI

LEtat doit dfinir et lancer des campagnes de sensibilisation et de communication sur la scurit des systmes dinformation. Ces campagnes doivent tre cibles et axes sur

146

plusieurs problmatiques. Par exemple pour la protection des enfants par rapport aux dangers de linternet notamment en ce qui concerne la pdopornographie, les actions suivantes peuvent tre envisages261. Former des cadres sur la mthode de sensibilisation dans les milieux de lenseignement, des jeunes, de lenfance et de la famille pour mener des campagnes au sein des coles, des campings et des maisons de jeunes. Mettre en place des clubs dinternet et des salles multimdias dans les coles. Inciter les associations qui uvrent dans le domaine des enfants sintresser davantage la sensibilisation en matire des dangers de linternet dont sont victimes les jeunes et les enfants. Financer les associations dsireuses de mener des activits dans ce sens par lEtat, fournir lexprience et poser les jalons de la communication avec dautres associations internationales uvrant dans ce domaine. Obliger les cybercafs amnager des salles destines aux mineurs, dotes dordinateurs utilisant des logiciels de protection.

Quelque soit la cible envisage, les compagnes de sensibilisation doivent sinspirer, pour une meilleure efficacit, sur le modle des campagnes destines favoriser lusage de la ceinture de scurit au volant. Une telle dmarche permettra de sous tirer des utilisateurs en ligne un comportement scuris et respectueux de la lgalit. Comme pour la ceinture de scurit, un effort dducation long terme est ncessaire pour que de telles mesures aient de leffet.

Il est aussi fortement souhaitable dorganiser des actions priodiques pour sinscrire dans la dure. Ainsi, lorganisation dun sminaire annuel sur la cybercriminalit et des journes thmatiques limage de ce qui se fait dans plusieurs pays permettra de vhiculer des messages importants sur les diffrents thmes lis la cybercriminalit.

2.3.2 Mettre en place des formations sur la SSI destination des lves ingnieurs

La promotion de la culture de scurit passe aussi par la mise en place des formations destination des tudiants de lenseignement suprieur. En effet, face la demande accrue
261

Recommandations du rapport Les crimes de linternet et lenfance au Maroc , CMF MENA

http://www.tanmia.ma/article.php3?id_article=7520

147

des organisations publiques et privs en terme de personnels qualifis et spcialiss en scurit SI, il est devenu extrmement urgent de proposer des formations spcialises en SSI destination des tudiants. Ceci permettra aussi par la mme occasion aux nombreux professeurs et experts en scurit de dispenser des formations mettant en valeur leurs connaissances, comptences et retours dexpriences dans le domaine.

Cest dans cette perspective que lEcole Nationale Suprieure dInformatique et dAnalyse des Systmes a enrichi son programme de formation pour y inclure dsormais une option de scurit des systmes dinformation262. Lobjectif tant de former des ingnieurs informaticiens spcialistes en scurit des systmes dinformation, et ce, en leur permettant : Une prise de conscience des enjeux lis la scurit des systmes dinformation ; Une acquisition des connaissances thoriques et pratiques en matire de cryptologie ; Une bonne approche des aspects organisationnels et juridiques et une assimilation des normes et des rfrentiels de bonnes pratiques en matire de scurit et de gouvernance des SI ; Une matrise des principales technologies et solutions utilises pour la scurisation des SI.

Paralllement au programme de formation, il faudra aussi penser mettre en place un programme de rhabilitation des hackers. En effet, ddramatiser le recrutement des hackers est un point positif. Cest aussi une approche pour faire entrer dans les entreprises la culture de la scurit. Ce modle existe aux Etats-Unis et au Royaume-Uni dont les organisations nhsitent pas recourir aux services des hackers repentis pour mieux se protger.

2.3.3 Mettre en place des formations destination des professions juridiques

Durant les prochaines annes, le Maroc sera devant un enjeu stratgique. Il sagit de linterprtation des impacts juridiques que peuvent avoir les infractions informatiques compte tenu de leurs complexits. Pour le relever, lEtat doit crer plus de passerelles entre lunivers informatique et celui des juristes comprenant aussi bien des avocats, des magistrats que des policiers et des gendarmes. La formation en est un axe capital. En effet, pour pouvoir faire

262

Hanane El Bakkali, Cration lENSIAS de loption Scurit des Systmes dInformation(SSI) , Ifrane,

confrence rgionale sur la Cyberscurit. http://www.technologies.gov.ma/RegCSecConf10/RegCSecConf10_Presentations/H.%20El%20Bakkali,%20ENSIA S_Prez_Reg%20CyberSec%20Conf_Morocco%202010.pdf

148

appliquer la loi, il savre indispensable notamment pour les magistrats et avocats de se mettre niveau en matire de la cybercriminalit.

De cette formation, il ne faut pas oublier les cyberenquteurs. Quils soient issus de la police ou de la gendarmerie, leurs sensibilisations la lutte contre la cybercriminalit par le biais dune formation spcifique est indispensable.

2.3.4 Dfinir une charte des sites marchands

Pour pouvoir renforcer la confiance des citoyens dans le commerce lectronique, lEtat sest engag dans le cadre de la stratgie Maroc Numeric 2013 mettre en place une charte des sites marchands. Constitue partir des meilleures pratiques en termes de scurisation des sites de commerce lectronique, cette charte permettra aux cyberconsommateurs de mieux qualifier le respect des exigences de scurit par les diffrents sites. Le respect de la charte donnera lieu un label qui sera mis en place en partenariat avec les fdrations notamment la CGEM.

Conclusion du chapitre La cybercriminalit est un phnomne plantaire. Pour y faire face, de nombreuses initiatives nationales ont abouti des rsultats concrets. De lamlioration de la connaissance du phnomne travers la mise en place des organes dinvestigation et de veille jusqu lamlioration des aspects rpressifs par la mise en place dun cadre lgislatif adquat et des institutions charges de faire respecter la loi, en passant par la promotion dune vritable culture de scurit, nous disposons aujourdhui dune vritable

bibliothque de meilleures pratiques en matire de lutte contre la cybercriminalit.

Au Maroc, sous limpulsion de la stratgie Maroc Numeric 2013 , la confiance numrique se dote pour la premire fois dune vritable feuille de route permettant terme daligner le Maroc sur les standards internationaux.

149

Conclusion Gnrale

Durant les prochaines annes, linternet sera omniprsent, atteignant selon certains experts jusqu 1 Gb/s, pour devenir aussi accessible et bon march que llectricit. Les internautes seront connects en permanence via leur tlphone mobile, leur ordinateur portable et leur PDA. Ils seront de plus en plus disposs adopter les nouveaux services sur le Web. Ainsi, le cyberespace fera partie intgrante de la vie quotidienne de tout un chacun.

Le Maroc nchappera pas cette tendance. Le nombre dinternautes marocains, qui na pas cess de crotre ces dernires annes, continuera de grimper dune faon exponentielle pour atteindre 12 millions dinternautes en 2012 selon lANRT. Cette croissance, qui sera tire notamment par le haut dbit et linternet 3G, couple lanonymat et au faible risque de se faire arrter, jouera un rle favorable pour le dveloppement de la cybercriminalit. Ce qui est de nature encourager lmergence de nombreuses drives et lapparition dutilisateurs peu scrupuleux. Les cyberdlinquants auront encore de beaux jours devant eux.

Si aujourdhui, la plupart des actes de dviance dans le cyberespace marocain sont motivs par lgo, la vengeance, le hacktivisme, et la recherche de la reconnaissance, dans les annes venir, en raison notamment de dveloppement du commerce lectronique et de la multiplication des canaux de transfert dargent, les actes cybercriminels seront lancs principalement dans une perspective dappt de gain. Nous assisterons ainsi un vritable engouement pour la cybercriminalit. La convergence de la criminalit perptre dans le monde rel vers la criminalit numrique perptre dans le cyberespace sera de plus en plus apprcie par les mafias. Ainsi, le blanchiment dargent, lescroquerie, la fraude, le proxntisme et la pdopornographie trouveront dans le cyberespace un terrain propice leur dveloppement.

150

Face une cybercriminalit qui sera de plus en plus globale, varie, organise et rentable, il est particulirement important pour les pouvoirs publics dadopter une approche transverse mlant problmatique gopolitique, sociologique, financire et juridique.

151

Bibliographie

Ouvrages
1. Mohamed Diya TOUMLILT Le commerce lectronique au Maroc : Aspects juridiques Les ditions Maghrbines. 2. Bouchab RMAIL, Criminalit informatique ou lie aux nouvelles technologies de linformation et de la communication , Edition Somagram. 3. Mohamed CHAWKI, Combattre la cybercriminalit , Edition 2009. 4. Myriam QUEMENER, Jol FERRY, Cybercriminalit, dfi mondial , 2me dition, Economica, 2009. 5. Myriam QUEMENER, Cybermenaces, entreprises, internautes , Economica, 2008 6. Eric FILIOL, Philippe RICHARD, Cybercriminalit : les mafias envahissent le web , Dunod, 2006. 7. Eric FILIOL, Les virus informatiques: thorie, pratique et applications , Springer Verlag, Collection IRIS, 2004 8. Franck FRANCHIN, Rodolphe MONNET, Le business de la cybercriminalit , Herms Science Publications, Collection Management et Informatique, 2005. 9. Solange GHERNAOUTI-HELIE, La cybercriminalit : le visible et linvisible , Presses Polytechniques et Universitaires Romandes, collection le Savoir Suisse, 2009 10. Solange GHERNAOUTI-HELIE, Scurit informatique et rseaux , 2me dition, Sciences Sup, DUNOD, 2008 11. Dominique MANIEZ, Les dix plaies dInternet : Les dangers dun outil fabuleux , Dunod, 2008 12. David FAYON, Web 2.0 et au-del , Economica, 2008 13. Christiane FERAL-SCHUHL, Cyberdroit, le droit lpreuve de lInternet , Dalloz, 5medition, 2009 14. Stuart MCCLURE, Joel SCAMBRAY, Georges KURTZ, Halte aux hackers ,4me dition, OEM/Eyrolles, 2003. 15. Jean-Philippe BAY, Tout sur la scurit informatique , Dunod, 2005. 16. Ryan RUSSELL, Stratgies anti-hackers ,2me dition, OEM/Eyrolles, 2003. 17. Bruce SCHNEIER, Secrets et mensonges , Vuibert, 200l.

152

18. Histoire des codes secrets de Singh. Latts, 1999. 19. Les protocoles de scurit d'Internet, S. Natkin, Dunod, 2002 20. NATKIN, Les Protocoles de scurit de l'internet : Fondements et techniques de scurisation des NTIC , Dunod, 2002 21. Nacer LALAM, La dlinquance lectronique , problmes politiques et sociaux, 2008. 22. Cahier de la Scurit N6, La criminalit numrique , Institut National des Hautes Etudes de Scurit, 2008. 23. Yannick CHATELAIN et Lock ROCHE, Hackers ! Le 5e pouvoir. Qui sont les pirates de l'Internet ? , Maxima, 2002.

Rapports
1. Panorama de la cybercriminalit pour lanne 2008, CLUSIF (Club de la Scurit des Systmes dInformation Franais) ; 2. 2007 Internet Crime Report du IC3, Internet Crime Complaint Center du FBI amricain ; 3. 2007 Annual Study : U.S. Cost of a Data Breach, Ponemon Institute, LLC; 4. McAfee North America Criminology Report, Organized Crime and the Internet 2008; 5. Symantec Internet Security Threat Report, 2009; 6. Symantec Report on the Underground Economy, Novembre 2008 ; 7. Baromtre annuel sur la cybercriminalit en 2009, Kaspersky Lab ; 8. Baromtre annuel sur la cybercriminalit en 2008, Kaspersky Lab ; 9. Rapport 2007, Observatoire de la scurit des cartes de paiement, Banque de France 10. Les enfants du Net (1) les mineurs et les contenus prjudiciables sur lInternet : Recommandations du Forum des droits sur lInternet, 11 fvrier 2004. 11. Les enfants du Net (2) Pdopornographie et pdophilie sur lInternet, Recommandations du forum des droits sur lInternet, 25 janvier 2005 12. Rapport prsent par Thierry Breton relatif au chantier sur la lutte contre la cybercriminalit en date du 25 fvrier 2005 13. Les crimes de linternet et lenfance au Maroc , CMF MENA 14. Rapport 2010 sur les menaces la scurit , SOPHOS

153

Sites utiles

Sites institutionnels
1. http://www.mcinet.gov.ma 2. http://www.technologies.gov.ma 3. http://www.anrt.ma 4. http://www.cnil.fr 5. http://www.legifrance.gouv.fr 6. http://www.nouvellesmenaces.com

Sites dassociations
1. 2. 3. 4. 5. 6. Forum des droits sur linternet : http://www.foruminternet.org Clusif : http://www.clusif.fr Cyberlex : http://www.cyberlex.org Cercle europen de la scurit et des systmes dinformation : http://www.lecercle.biz Association pour le dveloppement de linformatique juridique (ADIJ) : http://www.adij.fr Association internationale de la lutte contre la cybercriminalit http://www.cybercrime-fr.org/

Sites juridiques
1. 2. 3. 4. 5. 6. 7. 8. http://www.legalisnet.fr http://www.juriscom.net.fr http://www.europa.eu.int http://www.coe.int http://www.droit-ntic.com http://www.droitdunet.fr http://www.internet-juridique.net http://www.droit-ntic

154

Blogs et sites dauteurs

1. Blog de Jean-Paul PINTE : cybercriminalit, scurit des entreprises et ordre public : http://www.cybercriminalit.wordpress.com 2. Blog de veille juridique de Grard HAAS : http://www.jurilexblog.com 3. Blog de Laurent HESLAUL : http://www.helloblog.fr 4. Blog de Orange Business Services : http://blogs.orange-business.com/securite/ 5. Blog de Hamza HAROUCHI : http://www.hamza.ma 6. Blog de Ali EL AZZOUZI : http://www.cybercriminalite.ma

155

La cybercriminalit au Maroc, 2010 Tous droits rservs, y compris droits de reproduction totale ou partielle sous toutes formes.

Dpt lgal : 2010 MO 1585 ISBN : 978-9954-9072-0-7

Edition : Ali EL AZZOUZI Impression : Bishops Solutions Couverture : Hamza HAROUCHI

Imprim Casablanca, Juin 2010

156