Les aspects juridiques de la lutte contre la cybercriminalit

Mona Al-achkar Jabbour Libanese University Faculty of Law moacja@ul.edu.lb

Mahdia Tunis NTIM 2010 8- 11 Juillet

Entre Technologie et Droit

Les techniques de protection Nature technique Adoptin de normes et de standards Incapacite de la technologie Des relations humaines basees sur la loi Transactions, transfert, contrats et autres

Dangers accompagnant la technologie

Nouveaux types de delits developpes avec le developpemnt de la nouvelle economie Endmmage la securite et le fonctionnement de la societe dinformation Complexite due a la nature des crimes Definition: cyber & Crime Rentabilite economique

Explosion technique = explosion de tentatives criminelles

Nouveaux defis Sites de socialisation Piratages bancaires Espionnage Attaques contre les departments gouvernementaux

Nouvelles armes / nouveau criminel

La cybercriminalite?

l'ensemble des infractions pnales qui sont commises en se servant des rseaux informatiques

Definition a partir de lOECDRecommendations

The input, alteration, erasure and/or suppression of computer data and/or of another thing of value; the intent to commit an illegal transfer or funds or another thing of value computer programs made wilfully with the intent to commit a forgery; computer programs, or other interference with computer systems, made wilfully with the intent to hinder the functioning of a computer and/or of a telecommunication system The infringement of the exclusive right of the owner of a protected computer program with the intent to exploit commercially the program and put it on the market; The access to or the interception of a computer and/or telecommunication system made knowingly and without the authorisation of the person responsible for the system, either by infringement of security measures or for other dishonest or harmful intentions.

Definition
1. Noun. Crime committed using a computer and the internet to steal a person's identity or sell contraband or stalk victims or disrupt operations with malevolent programs. U.S dictionary lOCDE le definit comme: tout comportement illgal ou contraire lthique ou non autoris qui concerne un traitement automatique de donnes et/ou une transmission de donnes. La cybercriminalit fait rfrence aux activits criminelles qui seffectuent, par le moyen des technologies de linformation et de la communication et travers le cyberespace.

Quest ce que la cybercriminalite?

Selon la Commission europenne, le terme "cybercriminalit" englobe trois catgories d'activits criminelles : - les formes traditionnelles de criminalit, telles que la fraude et la falsification informatiques (escroqueries, fausses cartes de paiement, vente d'objets vols ou contrefaits; encaissement d'un paiement sans livraison ; piratage ; gravure de musiques, films ou logiciels) - la diffusion de contenus illicites par voie lectronique (par exemple, ceux ayant trait la violence sexuelle exerce contre des enfants ou l'incitation la haine raciale, diffusion d'images pdophiles, incitation ou aide a la violence et au suicide; de recettes d'explosifs ou d'injures caractre racial; pornographie; atteinte la vie prive, recrutement de terroristes. - les infractions propres aux rseaux lectroniques, c'est--dire les attaques visant les systmes d'information, le deni de service et le piratage.

Categorisation traditionnelle
Crimes contre la personne : Leurre Pornographie juvnile Harclement Extorsion Menaces Faux messages Propagande haineuse Intimidation Libelle diffamatoire Incitation au suicide Crimes contre la proprit : Usage non autoris d'un ordinateur Fraude Virus informatique

Nouvelles formes
Se servir frauduleusement dun ordinateur. Interception illgale infractions envers un ordinateur. utilisation non autorise d'un ordinateur. infraction sexuelle contre un enfant via internet communication. Pedophilie sur Internet

Une autre categorisation

1er groupe: attaque internes 2eme groupe: attaques externes

 Quelques Typologies de cybercrimes

Acces base sur un identifiant

Lusurpation didentit est comme lemprunt temporaire ou dfinitif de lidentit dune personne existante Securisation des acces internes (mot de passe, verouillage de session, virus, connexion privee,) Consequences: Responsabilits de lemployeur / responsabilite des commettants du fait de leur preposes

Network access control

Les codes malveillants malware : virus, vers, chevaux de Troie, bombe logique, spywares etc., sont caractriss par la prsence de mcanismes de propagation, de dclenchement, et daction Aspects juridiques: atteinte au systeme

Diffamation
La diffamation est lallgation ou limputation de mauvaise foi dun fait dtermin qui porte atteinte lhonneur ou la considration de la personne physique ou morale laquelle ce fait est imput. Aspects juridiques: diffamation, usurpation didentite,

Defacement
La dfiguration est une action dlibre dirige en general contre la page daccueil dun site Web pour sa dgradation, sa modification ou sa destruction Aspects juridiques: atteinte au systme

Botnet
Rseaux dordinateurs dtourns linsu de leurs propritaires. Visent: - paralyser un serveur - diffuser du spam - commettre des dlis ( vol de coordonnes bancaires et donnees personnelles grande chelle).

Portee
Les formes traditionnelles de criminalit, comme les fraudes, le blanchiment de capitaux, ou les falsifications les infractions lies aux contenus illicites par voie lectronique (violence, pedopornographie, incitation la haine, racisme, recrutement de terroristes...); Infractions propres aux rseaux lectroniques (attaques aux SI, dni de service, piratage, diffus ion de programmes malveillants, contrefacon de logiciels, hacking , cracking ou phreacking ...)

Arab States League

Definition de termes pouvant preter a confusion 27 articles selon quoi les crimes: 1- les crimes contre les systemes,les programmes, et les infos quils contiennent (intrusion, falsification des e- docs, modifications des donnees et infos, deni de service, ecoute illegal, interception, de toutes formes de data) 2- les crimes commises via le net ou les SI ou les programmes informatiques (outils) la on peut retrouver des crimes traditionnels sortis du code penal pedophilie, haine, racisme, trafic illegaux, vie privee, propriete intellectuelle, terrorisem, ataque a la securite nationale et au systeme,

Entre cyber terrorisme et cybercrime

le cyberterrorisme reste un cyber crime. mmes armes Differentes motivations

Les criminels
Individus Organisations criminelles Etats

Cibles critiques

transpor t

telecom municati ons

banques

Nucleaires Sante Bourses et services financiers

Minister es

Energie

 Le virus Sasser profite d'une faille de scurit du systme d'exploitation Windows (dans ses versions XP, 2000 et Server 2003). En quelques heures, il a infecte plusieurs millions dordinateurs dans le monde Ce nouveau ver qui sattaque aux systmes Windows, nest pas trs virulent, mais se propage grande vitesse.

Objectif
Donnees Information Telecommunication

Secteurs concernes
Leconomie A- Secteurs privs: la diffamation, les droits dauteur et la contrefaon, la destruction de matriel, de virus, de bombes logiques, de changement de code, envois massifs de messages Lentrave priodique ou permanente par perturbation du systme. B- Secteur publics: Les actions pouvant viser les tats, comme: lencombrement de services vitaux ou la destruction concerte dinformations stratgiques et confidentielles. le gouvernement estonien victime en avril et mai 2007 dattaques informatiques massives contre ses principaux sites Internet

Souci international

La lutte contre la cybercriminalite

La lutte = assurer La scurit

La prottection contre la cybercriminalite

Mesures Techniques Mesures administratives Mesures juridiques: - etablir une defense adquate - valoriser les actifs immateriels - relations juridiques scurises

Lutte - Scurit informatique

En focntion des types de la cybercriminalite La scurit informatique doit construire une defense contre: les attaques au patrimoine informationnel de lentreprise la responsabilit civile ou pnale qui peut tre encourue rputation de lentite attaquee ou la protection de limage

Portee de la securite
correspondance prive Filtrage Identification de lauteur du comportement incrimin Donnes personnelles Conservation des donnes de communications Mesures pour Limiter les risques juridiques Legitimite de la cyber surveillance

Aspects juridiques liees aux activites

Une analyse des activites exercees revele des questions juridiques concernant: - e-commerce (contrats, publicite, taxes, services, ) - copy right problems - Trade mark, domain name, cyber squatting, - protection des donnees personnelles (cryptographie, acces a linformation, vie privee,

Les aspects juridiques

Les aspects juridiques dans la lutte contre la cybercriminalite repondent aux questions: - comment assurer la scurit juridique de l'entreprise, du gouvernment, de lorganisation, de ses systmes d'information, de son patrimoine intellectuel? - comment grer lgalement l'information, ses flux l'intrieur et l'extrieur de l'entite concernee, dans le respect des individus et des intrts lgitimes?

Les Aspects juridiques

- la competence juridique - les relations juridiques entre distributeurs et consommateurs - la preuve du temps - la designation de la place de laction - le lieu et du fait generateur de responsabilites ou dobligations - les investigations

Risques juridiques
Pour se protger valablement il convient au minimum davoir mis en place des dispositions de bon sens dans les domaines suivants : scurit des systmes informatiques en cas de sinistre (incendie, panne de climatisation, vols), savoir, alarmes, climatisation, sauvegardes, assurances, procdures de reprises, maintenance rgulire.

lutte contre la malveillance interne (personnel) ou externe (virus, hacking, espionnage..), savoir, procdures de scurit, mots de passe, contrles daccs
protection de la vie prive (contenu priv des systmes, mails), savoir, dclaration auprs de lautorite competente. En cas o l'un de ces trois types d'incident surviendrait, il vaudrait mieux pouvoir prouver que l'on avait bien pris des mesures pour les pallier, proportionnes aux risques encourus.

Risques juridiques
Outre la responsabilit de lentite juridique peut etre engagee la responsabilit personnelle notamment en cas de: Fautes ou negligences techniques graves mettant en danger la prennit de lentreprise une faute professionnelle des responsables informatiques Enfreintes aux lois sur la protection des donnees et de la vie prive.

La solution = Problmatique
Tracer les limites de lutilisation des outils permettant la defense sans: - atteintes a la vie privee - donnees personnelles

La loi: composante de la securite

Securite juridique Conception generale des risques juridiques Definition des mecanismes damenagemant Les responsabilites (contrats) Les droits dacces Controle de lacces aux donnees et au systeme

The ITU Global Cybersecurity Agenda (GCA)

Obstacles a la securite juridiques

Les trois obstacles majeurs : 1- lanonymat 2- la Preuve 3 -le caractre transnational

Le cadre legislatif et reglementaire

Souci International
Organization for Economic Cooperation and Development (OECD) United Nations Organization (UNO) Group of Eight (G8) Organisation of American States (OAS) Interpol Europol

WSIS-II/PC-3/DT/10(Rev.4)-A 2005 30 [ .66 . ]. .67 9 10.

Reaction juridique
International Regional National

Key international regulations

la loi du 23 janvier 2006 relative la lutte contre le terrorisme (France) Sarbanes-Oxley (SOX), SEC (Securities Exchange Act) 17a3, a-4, UNGA Resolutions 55/63 and 56/121 We reaffirm the necessity to further promote, develop and implement in cooperation with all stakeholders a global culture of cybersecurity, as outlined in UNGA Resolution 57/239 and other relevant regional frameworks. the Council of Europe's Convention on Cybercrime. NASD (National Association of Securities Dealers) 3010, 3110, la LSF Loi de scurit financire adopte par le parlement franais en 2003. La loi n 2004-575 du 21 juin 2004 pour la confiance dans lconomie numrique (France)

Cadre Legislatif et reglementaire

National and International norms Transfert et distribution Utilisation Relation entre les etats Relation avec linformation et les fournisseurs dinfo Reglementer les telecommunications = creation de normes internationales

UN-General Assembly Resolution 55/63

(a) States should ensure that their laws and practice eliminate safe havens for those who criminally misuse information technologies; (b) Law enforcement cooperation in the investigation and prosecution of international cases of criminal misuse of information technologies should be coordinated among all concerned States; (c) Information should be exchanged between States regarding the problems that they face in combating the criminal misuse of information technologies; (d) Law enforcement personnel should be trained and equipped to address the criminal misuse of information technologies; (e) Legal systems should protect the confidentiality, integrity and availability of data and computer systems from unauthorized impairment and ensure that criminal abuse is penalized;

UN-General Assembly Resolution 55/63

(f) Legal systems should permit the preservation of and quick access to electronic data pertaining to particular criminal investigations; (g) Mutual assistance regimes should ensure the timely investigation of the criminal misuse of information technologies and the timely gathering and exchange of evidence in such cases; (h) The general public should be made aware of the need to prevent and combat the criminal misuse of information technologies; (i) To the extent practicable, information technologies should be designed to help to prevent and detect criminal misuse, trace criminals and collect evidence; (j) The fight against the criminal misuse of information technologies requires the development of solutions taking into account both the protection of individual freedoms and privacy and the preservation of the capacity of Governments to fight such criminal misuse;

UN-General Assembly Resolution 57/239

Creation of a global culture of cybersecurity Inspired by the revised 2002 OECD Security Guidelines Incorporates the nine principles set out in the OECD Guidelines in an Annex to the Resolution and urges all relevant international organizations to consider, inter alia, these elements for a creation of such a culture in any future work of cybersecurity Set out 11 Elements for protecting critical information infrastructures in an Annex

UN-General Assembly Resolution 58/199

Creation of a global culture of cybersecurity and the protection of critical information infrastructures Refers to Resolution Nr. 57/239

Group of Eight (G8)

Action Plan to Combat High-Tech Crime. Including:

Development of comprehensive substantive and procedural computer crimes laws so that there are no safe havens; Training investigations and dedication of resources; Protocols for international cooperation both on a procedural an operational level Improve collaboration with industry

Group of Eight (G8)

G-8 24/7 Point of Contact Network was established (Operational Network of High-Tech Experts to Assist in International Investigations) Single POC for each country 24 hour 7 day/week expertise and availability Fast freeze capability to preserve traffic and other stored data POC to POC communication Members of the network are not supposed to help in every case

Cadre international
la Convention du conseil de lEurope et son protocole additionnel: 1- dfinitions communes des infractions 2- propose dinstruments dinvestigation 3- prconise le dveloppement de la coopration internationale

Normes BS 7799, ISO 17799 et ISO 27002

La norme ISO 17799 (2005)- renomme 27002 tire de la BS 7799-1 (cre par le BSI British Standard Institute). Cette norme est un guide de Bonnes Pratiques (Best Practices) pour matriser la scurit d'un systme d'information. Elle correspond un niveau de dtail plus fin que la 27001 et spcifie: une Politique de la Scurit des Systmes d'Information. une liste dtaille et commente de mesures de scurit. Plusieurs versions de la BS 7799 ont t labores depuis le dbut des annes 1990

Arab States League

Adoption du model de loi loi Arabe des Emirates pour la lutte contre les crimes des SI par: Conseil des ministres arabes de la justice arrete 495/D19 du 8/10/2003 Conseil des mininstres arabes de linterieur arrete 417/d 21 du 2004

La reponse Libanaise
Institutionnelle Legislative Cooperation Public- Prive

La reponse libanaise a la cybercriminalite

- la protection de la propriete intellectuelle et industrielle loi 75 du 13/4/1999 - loi 140 du 27/10/1999 sur la protection des communications telephoniques peu importe le moyen - loi 133 du 26/10/ 1999 les e- transactions et les e-paiements - loi 431 du 22/7/2002 organisation du secteur des telecommunications y inclu linternet - code de protection des comnsommateurs Dans les E- operations 659 de 4/2/2005

La reponse libanaise (2)

- projet loi sur les e-transactions et e- signature - le bureau du cybercrime et de la propriete intellectuelle - le programme de protection des mineurs online - letablissement de lobservatoire - des projets pour la reforme de leducation superieure - programmes de formation des magistrats et autres professionnels du droit

Protection de la propriete intellectuelle

Tout ce qui est creation de lesprit Production de biens a partir didees Il faut donc: securise, et proteger pour pouvoir lexploiter apres lavoir creer Elle concerne la proprite artistique et industrielle: Trade secrets Trademarks Copyrights patents

Liban (code de protection des comnsommateurs 659 de 4/2/2005)

Repris dans le titre 8 du projet loi Les pntrations ou le maintien non autorise dans un systme informatique - la saisie, ou la suppression non autorise de donnes, - lentrave du fonctionnement dun systme informatique Laccs aux programmes ou donnes Limportation, la production, la dtention ou loffre illegal de systme ou dquipements informatiques destines a tre employs dans les infractions dj cites

Projet de la loi libanais

met en place un cadre pour lconomie numrique comme la dlimitation de lecommerce, la responsabilit des commerants en ligne, lencadrement juridique des instruments de commerce lectronique. amliore, tout en lencadrant laccs des personnes prives aux moyens de cryptologie.

Le projet loi libanais

Art 117, 118, 120, 121, 123 et 124 Obligations: - enregistrement des donnees du trafic qui doivent etre gardees secretes Cooperation avec les autorites en charge de la securite nationale sur instructions de lautorite judiciaire competente Interdiction de controler ou de surveiller le contenu Effacer les informations emmagasines provisoirement sur demande de lexpediteur, comme il doit y interdire lacces sur demande de ce dernier aussi. Interdiction de voir ou controler linformation destinee a etre distribuee au public Retirer ces infos des quil decouvre son caractere illegal

Jurisprudence
Application des lois traditionnelles Code Penal et autres Cas de pedophilie (casse en appel) Defamation reconnue mais faute de preuve laccuse est libere Acquisition illegale de data sur des comptes bancaires aux USA (retenus pour des vols)

Sources de difficultes
Difficulte de poursuite Complexite de mecanisme Absence de cooperation interne et internationale Collection devidence Manque de regles de droit

Lacunes juridiques sur le niveau international

Absence dhomoginenisation La responsabilite des vulnerabilites Obligation professionnelle dinformer le client
Responsabilite softwares des fournisseurs des

Cadre legal appropri

Observation de normes et standards de securite Lutte contre la cybercriminalite Cadre approprie: 1- nature internationale de linternet 2- nature technique 3- implication de tous les acteurs de la societe de linformation

Thank you