Arnaques sur le Net: que fait la cyberpolice? | Mars 2010


Cyberespace: la cyberpolice poursuit des cybercriminels

Dans le cybermonde, y a-t-il une cyberpolice? Le SCOCI – Service national de coordination de la lutte contre la criminalité sur Internet – répond à nos questions. Et comment se défendent les institutions bancaires et émetteurs de cartes de crédit? Interview de Felix Oeschger de l’UBS Credit Card Center et d'Ian Barber de VISA-Europe.

Interview de le SCOCI, le service suisse de coordination de la lutte contre la criminalité sur Internet



1. Les lois comme les systèmes judiciaires sont limités à un territoire. Quel pourcentage des dossiers concerne la Suisse ?
Cette question mérite quelques précisions, et il est difficile d'y répondre tel quel. En effet, la nature des dossiers envoyés aux autorités suisses diffère passablement de celle des dossiers envoyés à l'étranger, et il est donc difficile de comparer ces deux sources d'information.

Les dossiers envoyés aux autorités de poursuite en Suisse sont principalement issus de l'activité de recherche active du SCOCI – le service national de coordination de la lutte contre la criminalité sur Internet – et la grande majorité du travail cible les utilisateurs échangeant de la pédopornographie sur les réseaux peer to peer. Plus marginalement, il s'agit de cas signalés au SCOCI par le biais de son formulaire d'annonce, notamment de sites hébergés en Suisse. En revanche, les dossiers envoyés aux autorités étrangères proviennent toujours d'annonces nous étant faites, et concernent principalement des sites soupçonnés d'héberger du contenu illégal, en particulier pédopornographique. 

Pour l'année 2008, 178 dossiers ont ainsi été envoyés aux autorités de poursuite pénale en Suisse, et 158 ont été transmis aux autorités étrangères. Comme précisé ci-dessus, il ne s'agit pas des mêmes types de dossiers.  


2. Le SCOCI constitue des dossiers qu’il transmet ensuite aux autorités cantonales de poursuite pénale. Pensez-vous que la justice traditionnelle suisse soit adaptée aux nouveaux types de crimes sur Internet ?

En ce qui concerne les cas traités par le SCOCI et se déroulant uniquement sur le territoire Suisse (sites hébergés en Suisse, auteurs suisses), le système judiciaire permet dans une grande mesure de répondre efficacement. La réalité est plus complexe concernant les crimes dans lesquels plusieurs législations sont impliquées.


3. Les dossiers non-suisses sont transmis à Interpol qui les transmet ensuite aux autorités compétentes dans les pays. Ce processus ne laisse-t-il pas trop de temps aux cybercriminels pour disparaître ?
Dans le cyberspace il suffit d’un clic pour faire disparaître un site Web.
Pour être plus précis, les dossiers ne sont pas envoyés à Interpol puis redistribués aux autorités compétentes dans les pays, mais envoyés directement aux autorités des pays concernés par l'intermédiaire du système d'échange d'information sécurisé fourni par Interpol (IP Mail).
Il est clair que le facteur temps est primordial, et que le fait d'avoir différentes législations nationales impliquées représente une contrainte pouvant compliquer les investigations. Différentes initiatives s'attachent néanmoins à rendre la coopération internationale plus efficace. On pense notamment ici à la Convention sur la cybercriminalité, et à sa volonté d'uniformiser les législations nationales et de faciliter l'échange d'information entre les Etats Parties.


4. La Suisse a signé la Convention sur la cybercriminalité de septembre 2001, comme 29 autres états. La convention doit créer des instruments uniformes en matière de procédure pénale. Cela implique-t-il la création d’un droit supra-national?
La convention sur la cybercriminalité ne prévoit pas d'instaurer des législations qui substitueraient à celles des Etats parties. En revanche, elle les oblige à adapter leurs lois aux défis posés par les nouvelles technologies de l'information. En clair, il s'agit de tendre vers une harmonisation des droits pénaux respectifs des Etats parties. 


5. Dans les rapports du SCOCI, il n’est pas fait mention du délit d’usurpation d’identité. Pourquoi ?
Ce délit n'existe pas tel quel dans le droit Suisse. En revanche, différents articles de loi permettent de poursuivre les cas que l'on peut assimiler à de l'usurpation d'identité. Selon les modalités et la gravité de l'atteinte, il peut s'agir d'une infraction contre l’honneur (art. 173 et suivants du code pénal) ou alors d'une atteinte à la personnalité (art. 28 code civil). Par ailleurs, suivant les moyens utilisés préalablement à l'usurpation d'identité, on peut être en présence d'un délit de soustraction de données (art. 143 CP), d'accès indu à un système informatique (art. 143bis CP), de détérioration de données (art. 144bis CP) ou de soustraction de données personnelles (art. 179novies CP).

6. Quelle est la procédure à suivre lorsqu’on s’est fait volé son profil sur Facebook par exemple?
Tout d'abord il faut préciser que l'usurpation d'identité sur Facebook peut concerner deux cas de figure différents. Dans le premier cas, l'auteur obtient les données d'accès au compte d'un utilisateur, ou en force l'accès par piratage. Il pourra par la suite se faire passer pour l'utilisateur en question, en utilisant directement son compte. Bien sûr les possibilités d'abus sont nombreuses, l'auteur profitant de la relation de confiance que l'utilisateur entretient avec ses contacts. Dans le deuxième cas, un faux profil est créé au nom d'une personne qui ne se trouve pas sur Facebook, ou qui s'y trouve sous un autre nom.
Dans ces deux cas, l'annonce à l'administrateur du site reste la mesure la plus à même de produire un effet rapide. Seul ce dernier peut effacer des profils ou en redonner l'accès au véritable titulaire du compte. Une action en justice est également envisageable, les articles de loi énoncés plus haut pouvant notamment être pris en considération.

                                                    *****

Interview de Felix Oeschger de l'UBS Credit Card Center et d'Ian Barber de Visa-Europe


Les réponses et commentaires des interviewés ont été traduits de l’anglais et synthétisés.


1.Existe-t-il des cartes de crédit plus sûres que d’autres ou dont on sait qu’elles subissent moins d’arnaques?
Oeschger: De manière générale, une carte de crédit avec une puce de sécurité (CHIP & PIN)  est plus sûre que les cartes classiques possédant une simple bande magnétique sur le dos de la carte. La puce de sécurité empêche de copier frauduleusement les informations de la carte de crédit. La technologie de cette puce est d’ailleurs devenue une norme globale de sécurité. En Europe elle est largement utilisée et s'est révélé efficace. Toutes les cartes de crédit de l’UBS en sont équipées.
Barber: Je ne peux pas dire qu’une carte soit plus sûre qu’une autre. En revanche, si la carte correspond à un système « CHIP & PIN », celle-ci va certainement subir moins d’attaques cybercriminelles. VISA utilise par exemple ce système en Europe. Les utilisateurs doivent utiliser un numéro confidentiel (le code NIP) lors de chaque achat. L’ancien système à bande magnétique n’est plus guère utilisé, notamment en raison du manque de sécurité qu’il représente.


2. Grâce à quels moyens, quels repères pouvez-vous vous apercevoir qu'un client a été arnaqué ?
Oeschger: La technologie d'avant-garde adoptée par l’UBS nous permet de sécuriser au maximum les transactions. De plus, un centre de service de sécurité aide nos clients en permanence. Aussitôt qu'un de nos analystes identifie une transaction comme peu fiable, celui-ci essaiera de contacter notre client pour confirmer la transaction. S'il est incapable de contacter le client, l'analyste prendra éventuellement la décision de bloquer temporairement du titulaire jusqu'à que celui-ci puisse être localisé et informé.


3. Est-ce que vos services doivent attendre la plainte d'un client pour être au courant d'une arnaque et agir? Quel est le délai et la procédure pour déposer plainte?
Oeschger: Avec la procédure mentionnée plus haut, nous sommes le plus souvent capables de détecter une fraude avant même le titulaire de la carte ne s’en aperçoive. Toutefois et malgré nos efforts pour identifier en amont toute forme de transactions frauduleuses, le titulaire est obligé de vérifier par lui-même son relevé mensuel dans les 30 jours suivant la date de réception de la facture. C’est à lui de nous informer d’éventuels problèmes.


4. Qui paie pour les dépenses illégales? Est-ce que des assurances de recouvrement ou des réassureurs couvrent ce genre de délit?
Oeschger: Selon les Termes et Conditions générales, la responsabilité du titulaire d’une carte de crédit pour l'usage frauduleux de la carte est limitée à CHF 100.


5. Est-ce que le client peut être tenu responsable d'une arnaque et quelles sont les limites de responsabilité ?
Oeschger: Il est impossible de fournir une réponse générale. Chaque cas est étudié afin de définir si la responsabilité incombe au titulaire ou non. Si le titulaire est en conformité avec les Termes et Conditions Générales (en particulier les devoirs de soin), l’affaire est classée dans les 30 jours. Dans la mesure de possible, l’UBS va assumer les coûts générés par les dommages résultant de l'usage impropre de la Carte par des tiers.


6. Pensons à une arnaque du 2e degré qui ébranlerait les repères de confiance des utilisateurs. Pourrait-on imaginer que  les systèmes de vérification de données comme ceux mis en place par Visa et Mastercard deviennent eux-mêmes des cibles pour les arnaqueurs et se transforment en outils pour piéger les utilisateurs?
Oeschger: Le 3-D Secure est un protocole XML utilisé comme une couche supplémentaire de sécurité pour le crédit et les transactions en ligne via «carte bleue». Il a été développé par Visa pour améliorer la sécurité de paiements sur Internet. Les clients titulaires d’une carte bénéficient gratuitement de ce type de protocole, comme par exemple le service Verified by Visa. Les services fondés sur ce protocole ont été aussi adoptés par MasterCard, sous le nom MasterCard SecureCode. Le 3-D Secure ajoute une étape d'authentification pour les paiements en ligne. Nous encourageons vivement les marchands à utiliser 3-D Secure pour atteindre la plus haute couverture contre les pertes dues aux fraudes et exhortons bien entendu tous nos clients à faire de même lors de transactions sur Internet.


7. Est-ce que les clients de cartes de crédit qui ont été arnaqués continuent par la suite à utiliser leurs cartes avec la même fréquence? Certains décident-ils de se passer de ce système de paiement en préférant tout bonnement annuler leurs cartes de crédit et revenir transactions en cash?
Oeschger: Une carte de crédit offre une grande souplesse d’utilisation et fournit une sécurité accrue par rapport à un paiement en espèces. Les clients obtiennent sont mieux protégés pour autant qu’ils suivent quelques règles simples de prudence. On peut donc dire que les clients continuent  à utiliser leurs cartes en raison de l’aspect pratique et sécurisant, même après avoir été victimes d’une fraude.


8. Quelles actions VISA a-t-elle entrepris pour stopper les cybercrimes ?
Barber: Au niveau du Phishing, VISA dispose d’une équipe de personnes qui cherche en permanence à dénicher les faux sites dont le but est d’arnaquer les gens. Nous utilisons également le PCIDSS (Payment Card Industry Data Security Standards). Il s’agit d’un standard de conformité dont le but est de réduire les possibilités de fraude. Nous faisons par ailleurs un contrôle annuel des données et formulons un nombre de mesures à appliquer pour permettre le transfert de données en toute sécurité. VISA aide également les banques à identifier d’éventuelles transactions criminelles au moyen du « Real Time Scoring » (RTS). Cette  initiative de VISA va être généralisée cette année pour identifier des risques. Nous allons fournir aux banques des patterns de comportement dans les transactions de cartes de crédit. Ainsi nous allons rendre plus facile pour eux la prise de décision d’accepter ou refuser un paiement avec une carte de crédit. L’un des modèles de RTS consiste à demander plus de références lorsqu’une banque est confrontée à un comportement inhabituel de la part de l’un de ses clients. Un client suisse, dont le comportement d’achat classique est d’acheter quasi systématiquement dans une région déterminée de Suisse, serait plus spécifiquement contrôlé s’il venait soudainement à faire un achat avec sa carte à New Delhi. Les cybercriminels essaient par exemple d’utiliser des cartes qui n’ont pas de système CHIP & PIN dans les pays qui ne l’utilisent pas encore systématiquement, comme aux USA.

Nos modèles se basent aussi sur l’observation et l’analyse de différente pratiques d’arnaque afin d’en identifier les risques. Si VISA reçoit par exemple des rapports de banques où de magasins couramment concernés par des cas de fraudes, elle alerte immédiatement ses clients, leur refait des cartes ou des numéros de sécurité et veille à leur fournir des solutions pratiques. Malgré les problèmes de cybercriminalité, il demeure important de savoir que le paiement par carte de crédit reste plus sûr que le paiement avec de l’argent liquide ou par chèque. Les efforts des compagnies de carte de crédits comme VISA sont en constant développement pour compliquer la vie des cybercriminels: on estime que le pourcentage de frais dus à la cybercriminalité dans le domaine de cartes s’élève à environ  6 centimes d’Euro pour 100 Euros dépensés (0.006%).


9. Quel est le dispositif légal qui s’applique dans ces cas de crimes ou de fraudes et quelle est sa dimension (internationale, continentale, nationale)?
Barber: VISA dispose d’une équipe de personnes qui travaille en liaison avec les bureaux de police partout en Europe. Nous reportons chaque cyber-crime à la police du pays en question. La Suisse a signé quelques traités internationaux en ce qui concerne les règles de procédure pénale  Pour le moment, des règles de procédure à l’encontre des e-crimes sont stipulées dans 26 codes cantonaux de procédure pénale, puisque chaque canton dispose de ses propres règles. De plus, il existe des règles fédérales de procédure pénale s’appliquant pour certaines infractions particulières. A partir du 1 janvier 2011, le nouveau Code Suisse de Procédure Pénale entrera en vigueur. Ce Code remplacera alors les 26 codes cantonaux existant en matière de procédure pénale. Quant aux pénalités, elles sont stipulées dans le Code criminel suisse. 
Oeschger:  En Suisse, un tel comportement est pénalisé par le code criminel suisse selon la nature du délit: vol, fraude, falsification de documents, etc.


10. Dans certains pays, il existe apparemment des méthodes de sécurisation des transactions qui fournissent à l’utilisateur un numéro de carte de crédit fictif (en ligne) valable pour une utilisation unique. Ainsi, dans le cas où le numéro de carte venait à être volé sur Internet, il aurait déjà expiré avant que le criminel ne parvienne à l'utiliser. Est-ce que les banques suisses sont dotées de tels systèmes ou sont-elles déjà à la recherche de nouvelles méthodes pour renforcer la sécurité des utilisations sur internet?
Barber: Il y a plusieurs initiatives pour réduire le nombre de fraudes. L’idée est de rendre la tâche des cybercriminels la plus difficile possible. L’initiative CHIP & PIN est la plus efficace. D’autres initiatives, moins visibles, nous permettent également de protéger les numéros de carte et mots de passe de clients. VISA applique par exemple un système de changement constant de mot de passe dans certains pays comme le Royaume-Unis ou la Turquie, mais il n’est pas encore répandu dans le reste de l’Europe.
Oeschger: Visa, MasterCard  et les grandes banques travaillent constamment à l'amélioration de la sécurité de leurs produits. Comme c’est le cas pour chaque instrument de paiement, personne n’est en mesure de garantir une sécurité à 100%. Cependant, avec l'introduction de cartes à puce en Europe et d’autres régions du monde, un grand pas en avant a été déjà fait. Les normes de sécurité de la puce sont en constante actualisation et reflètent des avancements technologiques qui garantissent des produits au bon niveau de sécurité. Quant à la sécurité transactionnelle des achats sur Internet, divers projets sont en cours d’évaluation. Ces projets incluent notamment l'usage de mots de passe temporaires ou de systèmes de transmission temporaire de mots de passe par SMS, etc.

                                                       *****


dossier préparé par:


Rosa Garrido, Italo Goyzueta, Gabriel Hussy, Manojlo Jelic, Patricia Jordan