"Tous les participants ont convenus d’échanger leurs adresses". C’est sur ces mots de Mr Kanemoto, président d'Interpol et du "groupe de Lyon" (chargé par le G8 de la lutte contre la criminalité organisée) que s’est clôt le sommet du G8. Si les débats se déroulaient à huis clos, c’est qu’il s’agissait avant tout d’un salon destiné à faire se rencontrer cyber-policiers et industriels high tech en vue de leur future coopération, qu’aucune décision n’était en vue et qu’il n’est pas forcément aisé d’arriver à faire connaissance sous l’oeil des journalistes. Et si les entretiens avec les rares intervenants daignant franchir le mur les séparant de la salle de presse étaient forts "diplomatiquements corrects", certaines informations inédites transpirèrent tout de même de ce G8 sur la cybercriminalité.

PGP criminalisé
On a ainsi eu droit à des précisions concernant le traité du Conseil de l'Europe (voir aussi l'article de Transfert) sur la cybercriminalité : si 41 pays y sont associés et qu'il devrait être signé courant 2001, le rôle des 6 "observateurs" (USA, Canada, Japon, Afrique du Sud, Mexique et le Saint Siège), n'est pas que d'observer. L'objectif étant d'en faire un traité "universel", les Etats-Unis seraient ainsi fortement impliqués dans sa rédaction, ce qui leur permettrait de pouvoir déclarer à leurs concitoyens, qui ont jusqu'ici bloqué toute tentative de régulation de l'internet, de se défausser sur l'Europe tout en faisant passer ce traité au niveau fédéral. Un policier français nous a par ailleurs confié qu’il était question de considérer l'utilisation d'un logiciel de cryptage de données (tel PGP) comme "circonstance aggravante" en cas de mise en examen doublée du refus de décrypter le message. Si le débat sur l'"autoincrimination" n'est pas tranché et que l'Angleterre, qui vote en ce moment un amendement similaire dans le cadre de sa RIP Bill "se contente" de condamner à 2 ans de prison, il s'agirait, en France, de doubler la peine...

La loi de la jungle
Si les cyber-policiers aimeraient voir les fournisseurs d'accès garder les données de connexion de leurs abonnés pendant un an, et que lesdits FAI se sont mis d'accord au niveau européen pour 3 mois, la CNIL, selon un policier, aurait donné son accord pour 6 mois. Quant à savoir qui va payer la conservation des données, le flou reste entier car ni les états ni les sociétés privées n'acceptent d'en payer le prix. Au final, et comme le conclue un autre policier : "c'est l'usager qui va payer", sans oublier les plus petits des FAI, qui ont de fortes chance de disparaître, puisque "c'est la loi de la jungle et les lois du marché qui vont l'emporter", CQFD. Et si les privés refusent généralement de devenir des auxiliaires de police, cela ne les empêche pas d'en faire leur beurre. Il est ainsi plus simple, pour les policiers, de payer le fournisseur pour trier les logs et retrouver celui qui les intéresse, ou encore de facturer 5000F la matinée à un consultant pour cracker un mot de passe sur un serveur dédié, plutôt que de demander à des cyberpoliciers d'y arriver... On apprit enfin que les Renseignements Généraux s'étaient quant à eux dotés d'une cellule internet de 20 personnes depuis deux mois et que les laboratoirs de recherche français faisaient l'objet d'un millier d'attaques par semaine.

STIC...
La création de l'Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication a d’ailleurs été globalement saluée par les policiers : "On va mieux pouvoir coordonner les affaires car il y aura des policiers, des gendarmes, des douaniers, le service de répression des fraudes, la DST..." Il semble en effet que les informations, jusqu'à ce jour, ait du mal à remonter. Ainsi, on a appris que 1000 affaires liées à la Carte Bleue n'avaient pas été intégrées dans les statistiques récemment publiées (voir l’article de zdnet.fr), tout simplement parce que les chiffres sont arrivés avec retard. Plus symptomatique, ou inquiétant, cela servira aussi à affiner le STIC (Système de Traitement des Infractions constatées), fichier qui recense toutes les fois où l'on a affaire à la justice (voir "Anonymat ou traçabilité"). Jusqu'à présent, en effet, tous les délits liés à la cybercriminalité étaient enregistrés à la rubrique "divers"...

...& CNIL
Lors de la conférence de presse des sociétés spécialisées dans la sécurité informatique, Cécile Alvergnat, de la CNIL, révéla que la France avait connu " des cas similaires voire plus importants " que celui qui entacha l’an dernier la société RealNetworks. Elle avait en effet reconnu avoir implémenté dans son célèbre logiciel RealJukebox une fonctionnalité lui permettant d’espionner les goûts musicaux des internautes, et ce, contrairement à sa charte de protection de la vie privée. Mais la CNIL, qui, selon un autre de ses membres, n'a jamais mené en justice que 19 affaires en 20 ans, préfère régler ces affaires en interne, et en privé, et ne révèle jamais de noms. Tout juste vit-on que la représentante de la CNIL fut particulièrement amusée par la surenchère publicitaire des divers intervenants à ce débat, la palme revenant aux promoteurs du système Fianet qui déclarèrent tout bonnement : "La CNIL s'occupe de la vie privée, nous on s'occupe du reste". Ben voyons...

a:\cybercrime.htm
Toujours au chapitre "bons mots", le chef de la délégation française "commerce électronique" aux Nations Unies qui, pour indiquer aux journalistes l'adresse d'un site web, leur donne : "a:\cybercrime.htm", autrement dit le chemin d'accès menant à… sa disquette. Ou encore tel commissaire censé combattre la cybercriminalité et qui défendit les systèmes informatiques propriétaires en soutenant que "plus le système est ouvert et connu des pirates, plus c'est dangereux"... à rebours des analyses des meilleurs spécialistes en sécurité informatique. Sans oublier le représentant des industriels français qui, lors de la conférence de presse finale, voulut promouvoir l’avancée française en matière de cartes à puce en citant Bill Gates, qui aurait dit que "La solution contre des attaques comme celle du virus Iloveyou, c'est la smart card...". Ben voyons (bis).

jmmanach (05.00)

Voir aussi, les comptes-rendus dans zdnet.fr, transfert.fr et le bulletin lambda ainsi que :
Pour le gouvernement français, ”Internet n'est plus un jouet” : Si le terme de "corégulation" était encore méconnu l’année dernière, il constitue aujourd’hui le fondement de la doctrine française en matière de société de l’information. Jospin, Chirac, comme Chevènement, l’affirment.
& Opération corégulation : Le président de la République s'est fait l'apôtre de la corégulation de l'Internet devant les délégués internationaux du G8 et des grands groupes industriels.

Le site "officiel" de la conférence : http://www.g8parishightech.org
Anonymat ou traçabilité ? http://www.transfert.net/fr/techno/article.cfm?idx_rub=89&idx_art=460
Le cybercrime : nouvelle menace et vieilles recettes http://www.zdnet.fr/actu/soci/a0014110.html
Projet de convention du CoE : http://conventions.coe.int/treaty/fr/projets/cybercrime.htm
"Bienvenue dans l'ére du téléflicage" : http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=151