Le conseil national vient d’entériner à l’unanimité, et vitesse grand V, la ratification de la convention sur la cybercriminalité du conseil de l’Europe. L’enjeu ? Monaco doit se doter d’un arsenal contre la fraude et le piratage informatique.

Par Adrien Paredes.

Une demi-heure montre en main. Le 17 octobre, les élus du conseil national ont expédié, sans aucun débat, l’adoption de la loi n° 910. Celle-ci approuve la ratification de la convention sur la cybercriminalité du conseil de l’Europe par Monaco, qui l’avait signée en mai dernier. Un texte, entré en vigueur en 2004, qui souligne la nécessité d’« une politique pénale commune destinée à protéger la société de la criminalité dans le cyberespace, notamment par l’adoption d’une législation appropriée et par l’amélioration de la coopération internationale. »

Contre le téléchargement illégal ?
Parmi les infractions recensées figurent notamment l’accès illégal à un ordinateur, l’interception illégale d’informations, l’atteinte à l’intégrité des données, la fraude et la falsification informatique. Tout comme celles se rapportant à la pornographie enfantine, déjà réprimées en principauté. Sont concernées également les infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes (article 10). S’il venait à être transposé à Monaco, cet article pourrait sanctionner la distribution et la diffusion de copies illégales d’œuvres protégées. Voire même le téléchargement illégal d’œuvres (musique, films,…) sur le sol monégasque. Néanmoins, « chaque partie est tenue d’ériger ces atteintes en infractions pénales, mais la définition précise de ces infractions en droit interne peut varier d’un État à l’autre », précise le rapport explicatif de la convention. Pour Jean-Charles Allavena, le rapporteur de la loi, « l’adaptation législative sera substantielle et concernera aussi bien la création d’infractions spécifiques — droit pénal spécial — que la mise en place de nouvelles procédures adaptées à la cybercriminalité. »

Dialogue
L’élu a cependant rappelé que « le droit monégasque aurait pu être en très grande partie conforme aux stipulations de la convention ». En effet, la plupart des infractions listées par le texte du conseil de l’Europe étaient déjà prévues dans le projet de loi n° 818, qui concernait les délits relatifs aux systèmes d’information. Ce dernier avait été retiré le 28 juin 2010. Un calendrier a été demandé au gouvernement sur le dépôt du futur texte de loi qui permettra la mise en adéquation du droit monégasque avec les exigences de la convention sur la cybercriminalité. Jean-Charles Allavena a néanmoins regretté que le conseil national n’ait pas été rendu destinataire de l’étude technique qui a accompagné le texte. Il a ainsi fait savoir que le conseil national « ne peut valablement apprécier la portée » des projets de loi d’autorisation de ratification de conventions internationales, sans avoir connaissance des réserves du gouvernement sur les textes concernés. « Le conseil souhaite donc que le gouvernement réfléchisse à cette problématique et que s’instaure un vrai dialogue en matière de politique internationale de la principauté, comme dans tous les autres sujets », a déclaré l’élu.

Pas de débat sur la politique étrangère
En réponse, le ministre d’Etat, Michel Roger, a rappelé l’incompétence de l’hémicycle à débattre des questions de politique étrangère de la principauté. « C’est pourquoi ne saurait être engagé un échange quant aux réserves que le prince […] entend formuler postérieurement aux lois permettant des ratifications d’instruments bi ou multilatéraux », a-t-il indiqué. Avant d’ajouter : « Les mêmes causes produisant les mêmes effets, il ne saurait non plus y avoir de débat général, entre votre assemblée et le gouvernement, sur la politique étrangère ainsi que sur l’opportunité ou la teneur des stratégies et des options retenues par le prince en ce domaine. »

Ados et Internet : attention danger

Humiliation et intimidation sur les réseaux sociaux, grooming, sexting, ou encore happy slapping… (1) Face aux dérives d’Internet, les adolescents sont en première ligne. Les conseils de Noëmy Kostic, psychologue de l’association Action innocence Monaco.

Des ados victimes d’intimidation et d’humiliation sur Facebook, des photos dénudées de jeunes filles circulant à vitesse grand V sur les réseaux sociaux, des adultes qui, via le web, rentrent en contact avec des mineurs à des fins sexuelles… Autant de dérives constatées sur le web. Et qui n’épargnent évidemment pas Monaco. Quelques récentes affaires jugées au tribunal correctionnel en témoignent. En avril 2012, un résident monégasque de 38 ans a été notamment condamné à 18 mois de prison avec sursis et placé sous le régime de la liberté d’épreuve pendant cinq ans pour avoir contacté via Facebook et MSN une trentaine de mineures âgées de 12 à 15 ans scolarisées au collège Charles III entre 2008 et 2010. L’homme a abordé avec elles la sexualité dans des termes très crus et leur a demandé notamment de se dévêtir devant leur webcam…

Erreurs de jeunesse
Face à ces dangers, l’association Action Innocence Monaco mène cette année sa 11ème campagne de prévention et d’information sur les usages et mésusages du Net. Auprès des scolaires de la 9ème à la seconde, mais aussi auprès des parents via des soirées conférences-débats. « Les prises de conscience sont nombreuses, et la majorité des jeunes rencontrés mettent en application nos conseils. Malgré tout, la prise de conscience n’exclut pas les erreurs de jeunesse », explique Noëmy Kostic, psychologue en charge du pôle prévention à l’association. Les parents, quant à eux sont, pour la plupart, « pris dans la frénésie du quotidien », continue la psychologue et ne « prennent pas toujours le temps de connaître les pratiques de leurs enfants. Ils craignent souvent d’être dépassés et de ne pas savoir utiliser tel ou tel site. Mais n’oublions pas qu’ils ont l’expérience de vie et une maturité que leurs enfants n’ont pas. » Pour cette psychologue clinicienne pas de doute. Le « dialogue » est le maître mot. « Échanger sur les pratiques, regarder des reportages ensemble et développer l’esprit critique quant à l’utilisation des nouvelles technologies. Ne pas tout accepter ni tout rejeter en bloc, mais être curieux et repérer les risques. Les nommer et aider les enfants à baliser le chemin. » Quant aux logiciels de contrôle parentaux, ils restent selon Noëmy Kostic « importants » pour éviter certains contenus choquants et inappropriés comme la pornographie, ou la violence. « Ils sont disponibles pour les ordinateurs mais aussi pour les smartphones et les tablettes… Utilisez-les ! Enfin, respecter les limites d’âge pour les jeux (NORME PEGI) pour les films et pour les sites. Rappelons que les réseaux sociaux sont interdits aux moins de 13 ans ! »

Comportements excessifs
Autre risque de ces réseaux sociaux : leur côté chronophage. « L’adolescent est avide de rencontres et tente de se créer de nouveaux repères, hors de la sphère familiale. Ainsi, il développe son réseau social, que ce soit en face à face ou par le biais du Net. Être connecté à ses «amis», en permanence, voilà ce que recherchent les adolescents. Ce comportement, cette ouverture au monde, est saine. Le tout étant de rester attentif aux risques inhérents à toutes situations de rencontres, et de pouvoir en parler avec des adultes de confiance si les choses tournent mal, poursuit la psychologue. De plus, l’adolescence est une période d’excès. Je ne parle donc pas d’addiction chez les ados mais de “comportement excessif” pouvant entraver leur épanouissement. » Les signes qui doivent alerter les parents ? « Repli sur soi, isolement, baisse des résultats scolaires, appauvrissement des relations amicales et sociales. »

(1) Grooming : utilisation de services de rencontres en ligne par des adultes cherchant à séduire des mineurs. Happy slapping : filmer l’agression physique d’une personne à l’aide d’un téléphone portable et diffuser ensuite le contenu sur le web. Sexting : envoyer des photos sexuellement explicites d’un téléphone portable à un autre.

« Une réponse à l’internationalisation du crime sur Internet »

Pour Jean-Philippe Noat, expert judiciaire auprès des tribunaux monégasques et français (1), la ratification de la convention sur la cybercriminalité du conseil de l’Europe permettra à Monaco de mieux se protéger des pirates informatiques.

Propos recueillis par Sabrina Bonarrigo.

Monaco hebdo : En quoi était-il important que Monaco ratifie enfin cette convention sur la cybercriminalité ?

Jean-Philippe Noat : Monaco assure déjà une excellente protection des biens et des personnes mais le gouvernement a également pris conscience qu’il fallait mieux se protéger des attaques informatiques. Si en matière de pédopornographie sur Internet, la Principauté disposait déjà depuis 2007 de l’arsenal juridique suffisant pour protéger les enfants, ce n’était pas le cas pour tout ce qui concerne les atteintes au Système de traitement automatique des données (STAD, terme juridique français pour signifier un système informatique au sens large, N.D.L.R). En clair, la notion de piratage informatique n’était pas présente dans le code de procédure pénale monégasque. Cette convention permet ainsi de définir ce type d’infractions. Face à la cybercriminalité, Monaco n’est pas plus protégé qu’ailleurs. Il était donc indispensable que la Principauté ratifie cette convention.

M.H. : Pour être plus concret, de quels types de piratage parlons-nous ?
J-P.N. : Cela peut-être par exemple ce que l’on appelle le « défacement ». Le site web de Sainte Dévote en a d’ailleurs été victime. La page d’accueil du site Internet est totalement effacée. A la place, il apparaît soit une page totalement noire ou blanche, soit un mot de type « owned », « hacked » ou bien le pseudonyme du défaceur. Ou bien encore les revendications du défaceur. Ce n’est pas forcément un piratage grave en soi car il n’y a pas toujours de perte de données ni d’atteinte financière. C’est d’ailleurs la raison pour laquelle personne n’en parle. Mais il faut savoir que depuis cette attaque survenue sur le site de Sainte Dévote, plus de 80 défacements de sites web touchant des entités monégasques ont eu lieu (entreprises, associations, établissements scolaires).

M.H. : D’autres « cyberinfractions » sont ciblées dans cette convention ?
J-P. N : Il y a les attaques que l’on appelle « phishing. » Monaco Telecom en a été victime et a pris des mesures immédiates pour prévenir ses clients. En clair, des pirates vont par exemple recréer à l’identique le site Internet avec une page d’accueil demandant les identifiants et les mots de passe d’une entité donnée. Le but est ensuite d’envoyer une grosse quantité de mails aux internautes pour les forcer à se connecter sur ce faux site. Ce qui permet in fine aux pirates de récupérer leurs identifiants de connexion. Autre exemple : l’atteinte à la propriété intellectuelle… Voler un fichier client dans une entreprise par exemple. On pourrait également citer le DDOS (« distributed deny of service », en français « attaque par déni de service ») C’est une attaque informatique qui empêche une entité ou une entreprise de se connecter à Internet. Exemple : une société n’arrive plus à accéder à sa comptabilité, ou à ses données qui sont stockées sur le cloud. Pour un trader par exemple, les conséquences peuvent être lourdes.

M.H. : Monaco a été victime d’autres attaques sur Internet à grande échelle ?
J-P.N : En octobre 2013, toute la base de données d’Adobe, l’éditeur qui produit Photoshop ou encore Indesign, a été piratée. La société ne sauvegardait pas les mots de passe de manière assez sécurisée. Toutes ces informations sont donc parties chez des tiers. Parmi les centaines de milliers d’enregistrements de cette base de données, on estime qu’il y a environ 4 000 enregistrements liés à la Principauté de Monaco. Avec des adresses de type @monaco.mc, @gouv.mc ou @societe.mc. Preuve que c’est une absolue nécessité de ne jamais utiliser les mêmes mots de passe sur tous les sites sur lesquels on se connecte. Car si l’on conserve le même mot de passe pour tous nos différents comptes (mails, Facebook, les sites de vente en ligne…), on augmente les risques d’usurpation d’identité.

M.H. : Est-ce que cela signifie que ce genre de « cyberdélits » restait jusqu’à présent impuni à Monaco ?
J-P.N. : Cela ne restait pas impuni car on arrivait toujours à retrouver des fondements juridiques existants. Par exemple, le piratage des mails passait sous le coup de « l’atteinte au secret de la correspondance. » Mais un bon avocat pouvait arriver à minimiser les faits au niveau procédural.

M.H. : Cette convention permet également d’instaurer une coopération internationale en matière de cybercriminalité…
J-P.N. : Cette convention va permettre en effet à Monaco d’être reconnu comme une place forte de la sécurité numérique au niveau international. La Principauté disposera des outils et des procédures nécessaires pour pouvoir aider, ou être aidée, par n’importe quel pays signataire victime de cybercriminalité. Si des personnes de Monaco étaient victimes de cyberharcèlement, d’une tentative d’escroquerie ou d’un quelconque piratage venu de l’étranger, la convention donne la possibilité que les données dans ce ou ces pays tiers soient figées, afin d’identifier le coupable, et les traduire devant les autorités compétentes. Exemple concret : une personne de Monaco viendrait à pirater une banque en Allemagne, l’Allemagne peut demander de figer les données qui sont parties de Monaco pendant un certain délai, le temps qu’une requête en commission rogatoire aboutisse. C’est donc une réponse efficace à l’internationalisation du crime sur Internet.

M.H. : Cela oblige Monaco à créer une structure de veille spécifique ?
J-P.N : Monaco devra en effet se doter d’une structure (réseau 24/7) qui permette de répondre aux demandes des autres pays signataires de la convention. Et ce 24h/24 et 7 jours sur 7 (article 35 de la convention). Il faudra donc constituer une équipe technique ayant des compétences avancées en informatique légale, en cybercriminalité, cybersécurité et être intégré dans le réseau de veille mondiale pour tout ce qui concerne la cyberdéfense et le cyberespace au sens large.

M.H. : Quel sera concrètement le rôle de cette entité ?
J-P.N. : Dans les autres pays signataires, le rôle de cette entité est de prévenir les opérateurs d’importances vitales (les OIV) à savoir les banques, les compagnies d’électricité, des eaux ou de transport, les services de santé, entités gouvernementales, pompiers, police ou justice… des vulnérabilités qui sont diffusées à l’échelle mondiale. Le rôle de la structure sera donc de faire de la veille pour pouvoir prévenir ces entités en cas d’attaque informatique imminente par exemple.

M.H. : Concernant la pédopornographie sur Internet, des logiciels de veille ont été mis en place depuis plusieurs années. Où en est la situation ?
J-P.N : Monaco est très proche du zéro absolu en termes de téléchargement illégal de données pédopornographiques. La Sûreté publique fait un suivi systématique et les différents logiciels de veille Internet permettent de poursuivre les auteurs de manière très efficace. La situation n’est certes pas idyllique mais quasi parfaite.

M.H. : La commission de contrôle des informations nominatives (CCIN) est la cible de nombreuses critiques. Qu’en pensez-vous ?
J-P.N. : La commission a manqué de pédagogie dans son approche initiale. Le traitement des données nominatives n’est pas quelque chose d’évident en soi. La CCIN aurait dû être au service des entreprises monégasques, les accompagner et les aider à protéger leurs données face au danger numérique. Jusqu’à présent, elle a plus eu un rôle répressif qu’informatif. Un renouvellement des membres de la CCIN est prévu en mai prochain. Il faut espérer que la nouvelle orientation de la commission sera plus dans le dialogue et le consensus plutôt que dans la répression.

(1) Diplômé en cybercriminalité et également intervenant dans le DU Cyber de la Faculté de Montpellier 1.