Les pistes au Parlement européen pour lutter contre la cybercriminalité

La commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du parlement européen a publié un projet de rapport sur la lutte contre la cybercriminalité. Elle estime en effet que ces activités causent des dommages conséquents et que le problème doit donc être pris à bras le corps. 

Ces dernières semaines, un mot est sur toutes les lèvres : cybersécurité.  Entre les révélations par Wikileaks d'outils de surveillance utilisés par la CIA, la propagation de WannaCrypt, les attaques lancées contre le candidat Macron, le sujet revient très souvent sur la table.  Il a d'ailleurs pris une telle ampleur que Microsoft cherche à crier « pouce » au milieu de la mêlée en proposant la création d'une « convention de Genève » limitant la prolifération du cyberarmement. 

L'Europe monte au front

Du côté des autorités européennes, la commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du parlement européen entend se saisir du sujet. Elle a publié dernièrement un projet de rapport visant à doter l'arsenal législatif des 28 de nouvelles dispositions et munitions. 

Cette commission considère en effet que « la cybercriminalité cause des dommages économiques et sociaux de plus en plus importants, ayant une incidence sur les droits fondamentaux des particuliers, posant une menace à l’encontre de l’État de droit dans le cyberespace et mettant en danger la stabilité de nos sociétés démocratiques ». Ni plus, ni moins. 

Le groupe de parlementaires s'alarme également du fait que « les lignes entre la cybercriminalité, le cyberespionnage, la guerre informatique, le cyber-sabotage et le cyberterrorisme sont de plus en plus floues », tout en couvrant un eventail d'infractions toujours plus large. Sont ainsi logés au même rang la pédopornographie, les atteintes à la vie privée ou au droit d'auteur, ou encore la diffusion de fausses informations avec intention malveillante.

Autre problème mis en avant par la commission LIBE, « l'utilisation abusive des technologies de protection de la vie privée telles que le routage en oignon (sic) et le Darknet » à des fins malveillantes, notamment la « disponibilité d’armes à feu et de précurseurs d’explosifs sur le Darknet ». 

Prévenir plutôt que guérir

Cette instance appelle ainsi la Commission européenne à profiter de la révision de sa stratégie de cybersécurité, à faire évaluer la situation en vue de « parvenir à une meilleure compréhension des tendances et de l’évolution de la situation en ce qui concerne les infractions dans le cyberespace ». 

Pour lutter contre la cybercriminalité, les eurodéputés estiment qu'il est primordial de donner « la plus haute priorité à la cyber-résilience ». La commission souligne en effet « qu’Europol a constaté que la majorité des attaques menées avec succès sont imputables à une sensibilisation insuffisante des utilisateurs, ainsi qu’à une sécurité insuffisante », que ce soit du côté des entreprises que des États. Elle « prie instamment » par ailleurs ces derniers « d’investir dans une meilleure sécurisation de leurs infrastructures critiques et données connexes afin de faire face aux cyberattaques ». 

Autre piste de la commission LIBE, l'organisation par les États de campagnes de sensibilisation à destination du public et du secteur privé afin de « promouvoir le recours à des mesures de sécurité telles que le cryptage (sic) ».

La coopération internationale et « piratage légal » 

La coopération entre les services privés et les différents États, au sein ou en dehors de l'Union est largement évoquée dans le projet de rapport. La commission se dit en effet « préoccupée par le fait qu’un nombre considérable d’actes de cybercriminalité demeurent impunis », ce qui pourrait être résolu par « une coopération étroite entre les services répressifs et le secteur privé sur la question de l’accès aux preuves numériques ». 

Elle enjoint également les membres de l'UE à « échanger les pratiques éprouvées en ce qui concerne le contournement du cryptage (re-sic) et à coopérer, en consultation avec le pouvoir judiciaire, dans l’harmonisation des conditions de l’utilisation licite des outils d’investigation en ligne ». Le contournement des solutions de chiffrement serait ici une nécessité, « pour des raisons de sécurité et de justice ».

Le cas du piratage légal par les États est également évoqué comme « une mesure de dernier recours, qui doit être nécessaire, proportionnée et pleinement respectueuse des droits fondamentaux et de la protection des données dans l’Union ». Une modération qui doit passer par des restrictions sur l'utilisation des outils de piratage, la mise en place de mécanismes de surveillance de leur emploi et l'instauration de voies de droit auxquels les victimes de ces outils pourraient faire appel. 

Les États seraient également enjoints à « réduire au maximum les risques que posent, pour la vie privée des utilisateurs de l’internet, les fuites des exploits ou des outils utilisés par les services répressifs dans le cadre de leurs enquêtes légitimes ». Une disposition qui fait directement écho à la fuite d'outils appartenant à la NSA, désormais mis en vente par le groupe Shadow Brokers, moyennant le versement d'un abonnement mensuel.

Les membres de l'UE sont également invités à coopérer avec les pays tiers dans le cadre de la lutte contre la cybercriminalité « y compris au moyen de l’échange des pratiques éprouvées, d’enquêtes communes, du renforcement des capacités et de l’assistance juridique mutuelle ». Sont particulièrement concernés les pays du « voisinage oriental, étant donné que de nombreuses cyberattaques y trouvent leur origine ».

Les prestataires doivent prendre leurs responsabilités

Les prestataires de services sont tout autant mis au pas dans le projet de rapport. Il est ainsi question de « l’importance d’une coopération étroite entre les services répressifs et le secteur privé sur la question de l’accès aux preuves numériques ». L'idée ici est d'inciter les pays européens à « éliminer les dispositions de droit pénal interdisant aux prestataires nationaux de répondre aux demandes de services répressifs étrangers », ce encore afin de faciliter la résolution des enquêtes. Un point illustré par les affaires en cours de Google et Microsoft aux États-Unis.

Elle invite également « la Commission à proposer un cadre juridique européen pour les preuves électroniques comprenant des règles harmonisées pour déterminer le statut de prestataires de services, qu’ils soient nationaux ou étrangers, et obliger ces derniers à répondre aux demandes en provenance de pays tiers ». Toujours dans l'idée de favoriser la coopération dans les enquêtes. 

Enfin, cybercriminalité rimant aussi avec droit d'auteur, la commission LIBE « se félicite de l’état d’avancement des travaux concernant le blocage et la suppression des contenus illicites en ligne, mais insiste sur la nécessité d’un engagement plus fort de la part des prestataires de services des plateformes à répondre rapidement et efficacement ».