La lutte contre la cyber délinquance financière,ou comment lutter contre les multinationales du crime

Dans le cadre de son cycle « cyber », le Collège Européen des Investigations Financières et de l’Analyse financière Criminelle (CEIFAC) a organisé, en octobre dernier, une rencontre autour des risques cyber touchant à l’intégrité et à la sécurité des transactions financières, aux questions liées à l’ingénierie criminelle et à la criminalité numérique, protéiforme, et connaissant une croissance considérable depuis la crise sanitaire.

La crise sanitaire que le Monde connaît depuis un an a exacerbé un certain nombre de comportements criminels. En ayant recours au télétravail, en éprouvant de nouveaux besoins, les populations ont eu à subir un nombre non négligeable d’attaques portant atteinte à leurs intérêts financiers. Par une étude fine et approfondie de ces phénomènes, il ressort que de multiples menaces constituent un défi pour la société, que l’enjeu soit économique, juridique, ou encore systémique.

Dans un but de sensibilisation du grand public, ces experts ont relevé qu’un bon nombre de ces agissements ont lieu sur les réseaux sociaux. En effet, Internet, espace propice à la commission d’infractions, permet d’atteindre facilement les victimes au travers de leurs connexions et de leurs navigations dans le cyberespace. Pour un faible coût tant humain que financier, les criminels réussissent, par des attaques ciblées, à déstabiliser, voire paralyser des secteurs économiques entiers. Les enquêteurs ont alors fait face à un nombre croissant d’escroqueries et de fraudes réalisées sur le Net, terreau fertile à la commission de bon nombre d’infractions préexistantes dans le monde physique.

Les actes de typosquatting, process qui consiste en la modification d’une adresse URL pour procéder à un renvoi vers une adresse pirate, ont explosé grâce à la faible vigilance des individus lors de leurs navigations sur la toile. De grosses entreprises telles que Air France en ont subi les conséquences. Ont également été constatées des infractions telles que le jackpotting, manipulation qui consiste en l’attaque des distributeurs de billets par la prise de contrôle de l’ordinateur dans le but de donner l’ordre de libérer les billets.

Prévention : panorama des mesures

En réponse, les autorités nationales ont mis en place une série de mesures et d’outils. Par exemple, la plateforme électronique de recueil des coordonnées bancaires et de leurs conditions d’emploi rapportées par les victimes d’achat frauduleux en ligne, plus connus sous l’acronyme PERCEVAL, accessible en ligne, vise à recueillir et analyser le contentieux important des usages frauduleux des cartes bancaires, le tout dans une démarche de facilitation des démarches administratives pour améliorer le rapprochement entre le justiciable et l’institution judiciaire.

Par ailleurs, dans cette entreprise de prévention et de protection du grand public, il est important de souligner le travail du groupement d’intérêt public ACYMA. Issu de la stratégie nationale pour la sécurité du numérique du 18?juin 2015, le dispositif, entièrement mis au service du public, présente trois missions distinctes mais complémentaires, à savoir : assister les victimes d’infractions et de cybermalveillance ; mener des opérations de sensibilisation, et créer un observatoire du risque numérique. Mis en œuvre en mars 2017, le GIP ACYMA a piloté la création de la plateforme cybermalveillance.gouv, dispositif national de sensibilisation, prévention et d’assistance aux victimes d’actes d’agressions qui ont eu lieu sur la toile. Le GIP reflète la volonté des pouvoirs publics d’associer le secteur privé en regroupant au sein d’une même entité les acteurs des deux secteurs (comme par exemple l’ANSSI, Agence nationale de la sécurité des systèmes d’information, entité publique qui travaille de concert avec des experts issus du privé, des syndicats ou encore des assureurs). Dans sa mission d’assistance, les autorités ont pu ainsi apporter leur aide à plus de 90?000?victimes sur la seule année 2019.

L’ANSSI¹, en la personne de son représentant, Michel Rochelet, délégué pour la région Grand Est, fait le constat suivant : suite au développement des objets connectés, le risque de perdre le contrôle des outils domestiques numériques implique la nécessité de rechercher les moyens permettant une plus grande sécurité. Il est indispensable, lors de l’usage d’outils connectés, de conserver à l’esprit que la transformation numérique de la société doit impérativement s’accompagner d’un développement de la cybersécurité pour lutter contre tout risque d’attaque systémique et atteindre, in fine, la confiance des consommateurs et des opérateurs. Dans un espace numérique globalisé, seul un dispositif cohérent et harmonisé au niveau européen, si ce n’est mondial, pourra répondre à toute menace potentielle liée à des actes de cybermalveillance. Dans cette optique, certains dispositifs normatifs ont été adoptés.

Depuis 2004, l’Union européenne a mis en place le programme ENISA en se donnant la mission d’harmoniser la coopération européenne en matière de cybersécurité. L’ENISA gère un programme d’exercices paneuropéens appelé « cyber Europe ». Il s’agit d’une série d’exercices de gestion de cyber-incidents qui intéressent tant le secteur public que privé (www.enisa.europa.eu). Ces exercices prennent la forme de simulations et de scénarios avec pour but d’offrir aux acteurs européens la possibilité d’analyser les incidents techniques, d’élaborer des schémas de réponses et de solutionner l’affaire. Cet organisme conseille, assiste et accompagne l’ensemble des acteurs, et participe ainsi à la construction d’une réponse harmonisée sur l’espace européen. Le règlement européen du 12?mars 2019, relatif à la cybersécurité, est une avancée significative dans l’élaboration de cet espace européen. En plus de donner une assise plus forte au programme ENISA en lui octroyant des moyens humains et financiers, ce texte, d’application immédiate en France, crée le premier dispositif européen de certification en matière de cybersécurité afin de garantir que les produits et services vendus en Europe soient conformes aux normes de sécurité en vigueur.

La France, précurseur en ce domaine, n’a pas attendu l’adoption du règlement de 2019. Déjà en 2013, elle a adopté un Livre Blanc « pour la défense et la sécurité nationale » dans lequel l’autorité nationale inscrivait les attaques informatiques au second rang des menaces internationales, juste derrière le terrorisme. Plus encore, la loi du 5?janvier 1988, dite loi Godfrain (n° 88-19, relative à la fraude informatique), est la première loi à insérer dans le Code pénal les textes permettant la répression des actes qualifiés de criminalité informatique et de piratage. Par ce dispositif, la simple intrusion dans un système informatique constitue un délit, pouvant devenir un crime lorsque les circonstances aggravantes sont remplies (cf : Code pénal, chapitre III, Livre III). Toujours dans cette démarche proactive, les opérateurs de services essentiels ont été identifiés dès 2016. S’inscrivant dans la construction du cadre européen, particulièrement celui de la directive Network and information security (NIS) de juillet 2016, transposé en France par la loi du 29?septembre 2018, un socle minimal de cybersécurité a été adopté en vue de protéger l’ensemble des acteurs d’une attaque qui aurait des conséquences majeures sur le bon fonctionnement de l’économie nationale, européenne et,
a fortiori, mondiale². Grâce à sa mission régalienne, l’ANSSI accompagne d’une part, l’ensemble des opérateurs dans la mise en œuvre du dispositif et, d’autre part, représente la France auprès des instances internationales, coopère avec les homologues européens, et répond aux incidents tout en assurant une surveillance continue et en temps réel des structures et entités.

Une prolifération des cyberinfractions

Malgré le maillage préventif, les dispositifs de surveillance, et à cause des crises nouvelles telles que la Covid-19, le constat doit être fait qu’un bon nombre de cyberinfractions ont eu lieu. L’intervention des organes répressifs est alors indispensable, particulièrement celle des cellules dédiées aux cybercrimes au sein desquels travaillent des analystes et des enquêteurs, véritables spécialistes du cyberespace. Au cours de leurs investigations, ils vont exploiter l’ensemble des moyens de preuves et supports (ordinateurs, tablettes, téléphonie…) en plus de moyens de preuves dits classiques. En fait, la cybercriminalité ne constitue pas une nouvelle branche d’actes criminels. L’étude de l’ingénierie criminelle démontre qu’il s’agit plutôt d’une transposition de comportements criminels traditionnels sur la scène virtuelle. Par exemple, à la place d’un cambriolage classique, perpétré en fracturant une porte d’entrée, le criminel va fracturer la porte d’entrée de votre ordinateur en piratant votre site web ou en volant vos codes d’accès.

Deux catégories de crimes sur Internet sont à relever : les infractions qui ciblent les réseaux ou les appareils numériques, et les infractions qui se servent du support numérique pour commettre un acte délictueux. Quelle que soit la catégorie d’infraction, les criminels ont recours à des techniques de manipulation psychologique et mentale dans le but d’obtenir les données clefs de l’entreprise ou d’un individu lambda (codes d’accès Internet, références bancaires…). Avec les mesures prises en conséquence de la pandémie, les salariés des entreprises ont été placés en télétravail ; ils ne peuvent donc pas directement interroger leurs supérieurs ou collaborateurs en cas de soupçons. Le criminel développe alors des techniques frauduleuses. Dans la plupart des cas, il va rappeler la personne en se faisant passer pour un membre de la direction avec lequel il ne traite pas habituellement (pour éviter tout doute sur la voix). Il va lui mettre la pression pour que la victime communique les informations recherchées (coordonnées bancaires le plus souvent). Le salarié, cible de la fraude, souvent menacée de sanction disciplinaire par le faux dirigeant, va céder et communiquer les informations demandées. Ces données sont alors très vites utilisées et l’argent déplacé de compte en compte jusqu’à disparaître avec une rapidité telle que la société n’aura d’autre solution que de faire appel aux forces de l’ordre et déposer plainte.

Auprès des consommateurs, des acheteurs sur Internet, les criminels ont développé d’autres techniques et manipulations tout autant efficaces. Par la simple utilisation d’un enregistreur et en faisant discuter la cible de l’arnaque, les criminels procèdent en trois étapes. Dans un premier temps, ils achètent une série de numéros de téléphone. Ensuite, ils appellent la victime, enregistrent sa voix en lui faisant prononcer des mots codes qu’ils utiliseront par la suite. Enfin, avec les paroles enregistrées, ils construisent des phrases de toute pièce ou les transforment en SMS. Les propos ou SMS sont alors envoyés à la banque en donnant l’ordre de modifier les données personnelles de la victime, telles que les mots de passe. L’argent est finalement est transféré sur un autre compte bancaire ; la victime dépouillée de ses biens.

Dans une affaire d’escroquerie sur Internet, les forces de l’ordre belges ont collaboré avec des banques de même nationalité. Grâce aux informations recueillies, les analystes de la police fédérale belge ont pu établir des schémas pour visualiser les modus operandi des membres des réseaux criminels. Sur un an, les forces de l’ordre ont étudié un groupe de criminels, 167?numéros de comptes bancaires réapparaissaient dans différentes affaires, mettant alors en cause différents pays. 87?mules étaient titulaires d’au moins deux de ces comptes. Par l’analyse des comptes et le recoupement des données numériques et bancaires, les analystes ont pu trouver que l’ensemble des comptes était lié à des trafiquants turcs. Ils ont également pu établir que le réseau était constitué de sous-groupes auxquels des tâches étaient attribuées. Ainsi, par exemple, un des groupes avait pour mission de gérer les mouvements financiers entre les comptes des victimes, des mules et des bénéficiaires finaux ; un autre groupe créait le virus et, un autre, recueillait des adresses mails, numéros de téléphones ou encore les informations permettant de « monter » l’arnaque. Avec le soutien d’agences telles qu’EUROPOL ou INTERPOL, les autorités de poursuites nationales doivent alors identifier les membres du réseau, établir le rôle de chacun (de la simple mule au bénéficiaire final de l’infraction), construire les schémas criminels et recueillir le nombre de preuves suffisantes permettant la présentation des auteurs des délits et crimes devant la justice de chaque État.

Source : EUROPOL

La crise sanitaire, un effet d’aubaine pour la fraude

Ainsi, INTERPOL a pu relever une augmentation significative des cas de fraudes liées aux marchandises ou denrées médicales. Par exemple, début 2020?en Asie, les premiers rapports sur les fraudes liées à la non-livraison de produits, notamment des masques de protection (en février) ou des équipements, ont fait état de la création de nombreux sites Internet frauduleux sur lesquels particuliers et entreprises pouvaient commander du matériel, lequel ne sera finalement jamais livré. À l’échelle mondiale, les victimes ont perdu des centaines de millions d’euros et de dollars. En essayant de suivre les flux financiers, INTERPOL a décelé des cas de fraude touchant l’ensemble des pays. L’agence a pu relever une augmentation importante des cas de fraude à la donation, les criminels se faisant passer pour des ONG en vue de solliciter des dons en cryptomonnaies, favorisant alors le transfert rapide et la disparition des fonds sur des comptes situés à l’étranger. Pour armer les forces de l’ordre, INTERPOL a lancé des alertes à destination des 194?pays membres en présentant les comportements criminels découverts, en rédigeant des notes et des guides afin de favoriser la réactivité des autorités nationales. Par exemple, dans une affaire de fraude et de non-livraison du produit pour laquelle les entreprises avaient investi plus d’un million d’euros pour acheter des masques, INTERPOL a identifié que les fonds avaient été déposés sur plusieurs comptes bancaires, dans plusieurs pays, constituant les manœuvres frauduleuses destinées à tromper les victimes. Mi-février, les victimes avaient transféré 300?000?euros sur des comptes allemands. Les criminels ont transféré l’argent sur un autre compte dans un autre Land (deuxième niveau de la manipulation). L’argent n’était pas resté sur ce compte et a été divisé puis envoyé sur des comptes en Pologne et en Hongrie (environ 50?000?euros pour chaque transfert, troisième niveau de la manipulation des fonds). L’ensemble des analyses et des structures identifiées par INTERPOL démontrent de la complexité grandissante et de la professionnalisation des réseaux criminels qui fonctionnent de plus en plus comme de réelles multinationales du crime, nécessitant alors que l’ensemble des forces de l’ordre et des autorités nationales agissent en synergie dans la lutte contre ces phénomènes criminels qui ne connaissent pas les frontières.

De son côté, EUROPOL a également relevé un nombre important de cyberattaques liées à la pandémie. Les analystes ont relevé un accroissement notable des attaques visant des centres hospitaliers. Par exemple, un hôpital tchèque a été mis dans l’obligation de reporter des opérations urgentes car l’ensemble de leur système informatique avait été bloqué par des cybercriminels³.

Par ailleurs, EUROPOL a démontré que le crime organisé et le terrorisme étaient déjà liés, mais ce lien néfaste s’est encore plus renforcé lors de la crise sanitaire. Les deux branches criminelles ont trouvé des connexions pour qu’elles puissent toutes deux coopérer. Ces agissements dangereux ont été relevés à l’occasion de différentes opérations. Par exemple, l’opération « EMMA » a permis le démantèlement d’une plateforme cryptée utilisée par les criminels. Les pays européens touchés par une criminalité organisée qui s’adapte aux nouveaux moyens de communication et utilisent des plateformes cryptées perturbant le travail des enquêteurs. La plateforme EncroChat était ainsi présentée aux clients comme garantissant un anonymat total et parfait. Le client acquerrait un téléphone, vendu environ 1?000?euros, accompagné d’une garantie d’absence de traçabilité, de l’effacement direct des messages écrits et reçus et offrant une couverture mondiale pour un abonnement d’environ 1?500?euros l’année. En 2017, pour la première fois, la police est arrivée à pénétrer le réseau crypté. Les enquêteurs français ont pu mettre en place des dispositifs techniques et contourner le chiffrement des discussions et assister aux échanges entre criminels.
En 2020, la France a proposé aux Pays-Bas de constituer une équipe commune d’enquête, favorisant alors la réussite des opérations et l’arrestation des trafiquants de drogues. Les premiers résultats de l’enquête se sont réalisés par une centaine d’arrestations à travers l’Europe, 8?tonnes de cocaïne saisies, 17?laboratoires identifiés et neutralisés, un grand nombre de saisies d’objet de luxe (montre, bijoux et objets divers) et plus de 20?millions d’euros saisis en espèce aux Pays-Bas.

Enfin, pour renforcer la coopération européenne en matière de répression dans le domaine cyber, EUROPOL a créé le Centre européen de la criminalité financière et économique, l’EFECC⁴.
Ce nouveau centre européen a pour but de faire travailler ensemble, de manière systématique, les groupes des différentes unités. Trois groupes opérationnels ont été constitués : le groupe contrefaçon, le groupe cybercrimes et le groupe économie.

Pour finir, TRACFIN intervient au plan national. Le service remplit à la fois une mission de renseignement auprès des autorités judiciaires et complète le réseau d’information et d’entrave de la fuite de l’argent et des flux financiers. Dans la lutte contre les actions criminelles favorisées par la pandémie, TRACFIN a mis en place des actions coordonnées de ciblage. Par exemple, lorsqu’une société proposait du matériel médical, l’agence française de renseignement a mené plusieurs actions de sensibilisation en amont auprès des acteurs de la santé publique⁵. Dans ce contexte exceptionnel et d’urgence, l’État français avait mis à la disposition des salariés placés en chômage technique plus de 20?millions d’euros. Le dispositif, basé sur une simple déclaration, était propice aux risques de fraudes.

Pour conclure, TRACFIN, tout comme les autorités européennes, rappelle que les criminels sont de très bons lecteurs des dispositifs d’aide et des comportements humains, le risque de prédation économique n’est donc pas négligeable ; il doit donc faire l’objet d’une attention toute particulière de la part des autorités étatiques, des agences européennes et mondiales qui doivent être formées en ce sens et disposer des moyens d’investigations appropriés et harmonisés permettant une réponse pénale européenne claire et cohérente. C’est là que la contribution du CEIFAC fait sens : en rassemblant les autorités de poursuite de tous les pays de l’Union européenne (et des pays candidats) en leur apportant un savoir-faire, une méthodologie et en favorisant le développement d’un réseau informel d’enquêteurs spécialisés, le Collège participe à l’édification d’un espace judiciaire européen plus fort et plus vivant.

NOTES :

1) https://www.ssi.gouv.fr/.

2) www.ssi.gouv.fr/actualité/directive-nis-lannsi-accompagne-lespremiers-operateurs-de-services-essentiels/.

3) https://www.rtbf.be/info/societe/detail_coronavirus-en-belgique-les-hopitaux-une-cible-de-choix-pour-les-cybercriminels?id=10473767.

4) https://www.europol.europa.eu/about-europol/european-financial-and-economic-crime-centre-efecc.

5) https://www.economie.gouv.fr/tracfin.

Sources :

Lien vers le site du CEIFAC : www-ceifac.u-strasbg.fr

Liens vers les conférences cybercrime : http://www.canalc2.tv/video/15673

http://www.canalc2.tv/video/15674

Émilie Ehrengarth,

Docteure en droit,

Enseignant-chercheur contractuel, CEIFAC, Université de Strasbourg