Close
  • Français
  • English

13/09/2013Cyberidentité : quelles stratégies de sécurité à l’ère numérique ? [Par Myriam Quemener, magistrate]

Aujourd’hui, dans le cyberespace, il est aisé de vivre sous plusieurs identités pour se dissimuler, se réinventer dans une nouvelle forme : on parle alors de “pseudonymat”, ou d’anonymat sur le Web. L’internaute citoyen, mais aussi des cyberdélinquants, peuvent et pensent s’affranchir des obligations juridiques du monde réel, où ils sont enserrés dans des identifiants socles encadrés par l’État et le droit, en se créant en ligne leurs propres normes numériques. Ces formes d’identités virtuelles que sont le pseudonyme, le nom de domaine, l’e-mail ou encore l’adresse IP bouleversent à la fois les rapports sociaux, économiques et politiques[1].

Désormais, une multitude de profils fictifs inventés de toute pièce illustre parfaitement les nouvelles modalités de l’identité numérique qui n’a plus beaucoup de points communs avec l’identité au sens classique du terme. Sans véritable définition juridique[2], l’identité recouvre l’ensemble des composantes grâce auxquelles il est établi qu’une personne est bien celle qui se dit ou que l’on présume telle. Ainsi, le nom, prénoms, nationalités, filiation déterminent une personne, permet de la différencier des autres, et cette identité est régie par une structure étatique – l’état civil – afin d’en garantir l’authenticité.

La question essentielle est donc de savoir comment détecter l’exactitude de l’identité numérique dans le cyberespace, car elle est déterminante aujourd’hui tant pour identifier les auteurs de comportements déviants pouvant nuire tant aux internautes  qu’aux acteurs économiques et aux Etats.

A l’heure où la cyberdéfense[3] est soulignée dans le livre blanc sur la défense et la sécurité nationale[4] comme  une priorité esentielle, il est étonnant que relever l’absence de débat autour de la notion de cyberidentité pourtant tout aussi fondamentale : d’une part, pour lutter contre la cybercriminalité et sécuriser les transactions par Internet et, d’autre part, pour assurer une stratégie du renseignement de sécurité et de défense adaptée au cyberespace.

Cyber identité ou l’identité éclatée

Les réseaux numériques et Internet modifient les rapports sociaux et l’identité se trouve désormais caractérisée par de multiples attributs  ; l’usage fréquent et encouragé du pseudo bouleverse les règles habituelles relatives à l’identité et perturbe l’authentification de l’identité

Il se crée des identités virtuelles susceptibles de plusieurs définitions. L’identité classique est aujourd’hui fragilisée car composée de multiples éléments devant être pris en compte dans sa définition.

Elle a pour conséquence d’ouvrir de nouveaux horizons aux délinquants qui avaient déjà une tendance naturelle à faire usage d’alias et de fausses identités. Ce penchant est démultiplié par l’usage des technologies de la communication  et Internet banalise le recours à des pseudos et va même le faciliter.

Il en découle fatalement des risques importants comme la violation de la vie privée, des données personnelles ou l’usurpation d’identité. Dans ce contexte, le besoin de protection de l’identité numérique ou la revendication d’un « droit à l’oubli numérique » associent des questions techniques, juridiques et organisationnelles.

L’identité numérique d’un individu est désormais composée de données formelles comme les coordonnées bien évidemment mais aussi de commentaires et de photographies qui sont diffusés sur Internet. Dans une conception large, tous ces éléments concernant un même individu peuvent constituer son identité numérique. Les réseaux sociaux et les blogs ont provoqué la diffusion des données personnelles sur le Web. Désormais, chaque utilisateur doit gérer une véritable « identité numérique » constituée des informations qu’il a rentrées dans ses profils, de ses contributions sur des blogs et des traces qu’il ou elle laisse sur les sites web visités. Lidentité sur un réseau social est « constituée par le profil [5]» qui contient de multiples informations, données personnelles et contributions.

Cyber Identité et e- réputation

L’identité numérique des acteurs économiques est aujourd’hui constituée par leur marque, leur site, ce qui soulève de nouvelles questions de propriété intellectuelle et de nouvelles formes de piratage en ligne, mais aussi par le mot de passe, un système d’authentification encadré juridiquement.

L’e-réputation est composée des informations que l’on peut trouver sur une personne physique ou morale grâce aux réseaux sociaux, aux moteurs de recherche et aux blogs par exemple. Elle se mesure à la qualité et la variété des informations disponibles, à la cohérence de l’image[6]. Elle correspond à la communication officielle mais aussi des messages diffusés par les internautes qui peuvent être des clients, des concurrents ou des salariés d’entreprises[7].Comment se prémunir contre les risques tels que l’usurpation d’identité en ligne, qui tend à se multiplier ? Des stratégies s’imposent pour  maîtriser  sa présence sur la Toile, ses traces, alors que les réseaux sociaux créent une porosité entre la sphère privée et publique  et favorisent en conséquence la divulgation de données personnelles.

Cybercriminalité et identité numérique

La « cybercriminalité[8] » englobe trois catégories d’activités criminelles, à savoir les infractions visant les systèmes d’information et les systèmes de traitement automatisé de données (STAD) comme le déni de service et le piratage; les formes traditionnelles de criminalité, telles que la fraude en ligne, les escroqueries, la contrefaçon et enfin les infractions dites de contenu comme la pédophilie via internet, le racisme et la xénophobie.

L’identité numérique est l’objet de convoitises de la part des délinquants qui font preuve de multiples ruses pour récupérer des éléments d’identité ensuite facilement négociables. Les réseaux mafieux revendent ces données sur des marchés parallèles appelées «  blacks markets[9] ». La cyberidentité permet de commettre des méfaits compte tenu des avantages qu’elle présente[10]. Aujourd’hui, toutes les affaires de cybercriminalité sont liées de près ou de loin à la cyberidentité.

Pour obtenir des informations personnelles sur les internautes, les cyberdélinquants ont mis au point différentes techniques, qui vont des logiciels espions aux attaques par  « hameçonnage » sollicitant les victimes pour qu’elles révèlent des informations personnelles ou confidentielles. On distingue plusieurs attaques de ce type , dont celle par courriel où les cyberdélinquants identifient des sociétés légitimes qui proposent à leurs clients – les cibles potentielles – des services en ligne et communiquent avec eux par voie électronique.

Cyber anonymat et identification des auteurs

La cyberidentité pose aussi la question de l’identification des auteurs et des victimes de la cybercriminalité, car la complexité de cette délinquance d’un genre nouveau vient du fait qu’elle est aussi le règne de l’anonymat qu’Internet favorise.

Sur internet, on assiste aujourd’hui au développement de groupes tels les « Anonymous », nébuleuse sans identité définie qui permet de prendre conscience du manque de sécurisation de l’information, qu’elle soit professionnelle ou personnelle dans le cyberespace. De plus la cybercriminalité s’industrialise en quelque sorte avec le développement des «  botnets » (ou robots qui sont des ordinateurs dont le contrôle est pris à distance), et il est souvent complexe  de remonter jusqu’au maître du réseau  d’ordinateurs « zombies ». La « cyberidentification » des délinquants est ainsi rendue de plus en plus complexe dans le cyberespace et nécessite une spécialisation accrue de tous les acteurs, qu’ils soient officiers de police judiciaire ou magistrats.

Cyberidentité et cybersécurité

Le législateur protège l’identité et, plus généralement, le vol de données numériques concernant des individus par le biais de plusieurs infractions transposables à l’univers numérique. L’arsenal pénal a par exemple apporté récemment une nouvelle réponse à l’usurpation des données personnelles qui s’étend ces dernières années[11], ainsi que l’a souligné l’étude réalisée par le département consommation du Crédoc, évaluant en 2009 en France le nombre d’usurpations d’identité à 210 000. En effet, ce phénomène connaît une croissance particulièrement inquiétante qui nécessite des réponses juridiques et techniques pertinentes[12].

Les questions liées à la cyberidentité méritent une mobilisation sans faille aujourd’hui  pour préserver les acteurs économiques et les Etats. Lutter contre l’usurpation d’identité en ligne est désormais  possible avec le délit votée en 2010[13].

En outre, les cyberdélinquants utilisent toutes sortes d’outils comme des botnets, cesordinateurs dont le contrôle est pris à distance, pour récupérer des données comme des identités numériques, qu’ils vont ensuite réutiliser et souvent monnayer. Remonter jusqu’aux maîtres des botnets[14] est souvent complexe et ce d’autant qu’ils agissent dans le cyberespace, territoire mondialisé par excellence.

Les réponses juridiques à l’usurpation d’identité numérique

Le législateur, conscient de l’ampleur du phénomène que représente l’usurpation d’identité a ajouté l’article 226-4-1[15] au Code pénal qui sanctionne « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération »,  d’un an d’emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.

De nombreuses procédures ont été engagées sur ce fondement mais compte tenu de la création récente de cette infraction, il est prématuré d’en donner précisément le chiffre.

Il faut aussi relever l’article 1er de la loi n° 2012-410 du 27 mars 2012 relative à la protection de l’identité[16]  qui énonce que « l’identité d’une personne se prouve par tout moyen ». Les données que doivent contenir la carte nationale d’identité et le passeport comportant un composant électronique sont énumérées à l’article 2. Les articles 323-1, 323-2 et 323-3 du Code pénal incriminant les atteintes aux systèmes de traitement automatisé de données (STAD) ont aussi été modifiés par cette loi[17]  avec la création d’une circonstance aggravante  lorsque l’infraction a été commise « à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en oeuvre par l’État ». Tandis que l’accès ou le maintien frauduleux dans un STAD[18]sans circonstance aggravante est puni de deux ans d’emprisonnement et de 30 000 euros d’amende – et de trois ans et de 45 000 euros d’amende lorsqu’il est résulté de l’acte frauduleux soit la suppression ou la modification des données, soit une altération du fonctionnement du système – il est désormais puni de cinq ans d’emprisonnement et de 75 000 euros d’amende lorsqu’il est commis avec cette nouvelle circonstance aggravante[19].

Il ne faut pas non plus négliger la  voie de la procédure civile. Ainsi, par une ordonnance de référé du 4 avril 2013, le tribunal de grande instance de Paris a fait injonction à Twitter Inc. de communiquer toutes informations d’identification de l’auteur à l’origine de la création d’un faux profil public Twitter, sous astreinte de 500 € par jour de retard. Twitter a invoqué le fait que les données étaient stockées aux Etats-Unis et que leur communication nécessitait le recours à une commission rogatoire internationale mais la justice a écarté cet argument rappelant que cette mesure est inutile alors que le défendeur est en mesure de fournir ces éléments. Dans cette affaire, l’identité d’une personne avait été usurpée pour créer un faux profil Twitter et la victime avait demandé au site de micro-blogging de le supprimer, ce qui a été fait ainsi que son déréférencement. Si la demande de suppression du profil est devenue sans objet, il n’en va pas de même de celle relative à l’identification de l’auteur du faux profil. Le juge des référés a fait cette fois simplement appel aux pouvoirs que lui donne l’article 809 du CPC qui lui permet d’ordonner toute mesure destinée à faire cesser un trouble manifestement illicite et à en prévenir son renouvellement[20].

Conclusion et perspectives

La cyberidentité est l’une des grandes problématiques des années à venir  car elle est  au coeur d’enjeux multiples à la fois en termes de protection des liberté individuelles et de lutte contre la cyberdélinquance. Le Gouvernement considère légitimement qu’il est de sa responsabilité de mettre en place des solutions permettant de préserver la confiance dans l’espace numérique et de protéger les données personnelles des citoyens[21].

L’instauration d’une carte d’identité et d’un passeport dotés désormais d’une puce électronique et des données personnelles[22] afin de réduire les fraudes à l’identité sont des avancées encore timides vis-à-vis du numérique, car le Conseil constitutionnel a supprimé la disposition qui permettait à la carte nationale d’identité de se transformer en un outil de transaction commerciale via l’activation de sa signature électronique par le titulaire de la carte.

Dans le prolongement d’un séminaire gouvernemental en début d’année 2013[23] qui a fixé une feuille de route précise visant notamment à protéger les internautes et par voie de conséquence leurs données personnelles et leur identité , un nouveau vecteur législatif a été aussi annoncé pour 2014 qui pourrait intégrer des dispositions sur ces problématiques. Par ailleurs, préserver la cyberidentité nécessite une politique de prévention des internautes et d’anticipation des risques et, aussi, l’adaptation des moyens techniques et juridiques. Il convient aussi d’accentuer la coopération internationale en créant des plateformes de veilles coordonnées. Enfin, il apparait essentiel aussi de renforcer les actions de formation pluridisciplinaires de tous les acteurs concernés afin d’apporter des réponses efficaces afin de préserver les droits des individus ainsi que l’ordre public.



[1] Voir Cyber-identité et cyber-sécurité : quelles stratégies à l’ère numérique ? (T 311) -Myriam Quéméner- 2012-12-20_9700, http://www.defnat.fr/site_fr/archives/res_auteurs.php?caut=924

[2] Lexique des termes juridiques, Dalloz, 1999, p. 280, V° Identité

[3] 18 juil. 2012 –La cyberdéfense: un enjeu mondial, une priorité nationale. Rapport d’information de M. Jean-Marie BOCKEL, www.senat.fr

[5] Desgens-Pasanau G et Eric Freyssinet, L’identité à l’ère numérique, Presaje,Paris. Dalloz, p. 82

[6]La Semaine Juridique Edition Générale n° 28, 9 Juillet 2012, 845 Internet dans l’entreprise : chance ou risques non maîtrisés En questions par Emmanuel Daoud avocat associé, Cabinet Vigo et Émilie Bailly avocate, Cabinet Vigo

[7] [FIE 11] Fievée A , Martin C.L’e-réputation»: la gestion juridique de l’image de l’entreprise sur internet

3La cybercriminalité, issue du terme «cyber » (kubernan, en grec diriger gouverner), vise les traitements informatiques et est associé à la délinquance utilisant les réseaux informatiques. Ce terme « cyber » est désormais utilisé fréquemment et associé à toutes sortes de délinquance, qu’il s’agisse de la cyberfraude ou du cyberterrorisme.

[10]Voir « Garantir que le crime ne paie pas «  Stratégie pour  enrayer le développement des marchés criminels,Collections de l’Université de Strasbourg • Centre du droit de l’entreprise ,Sous la direction de Chantal Cutajar- Préface de Jacques Barrot, 2010

[11] [QUE11] Quéméner M , Communication Commerce électronique Lexis Nexis n° 5, Mai 2011, étude 9,La loi n°2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI 2) au regard des nouvelles technologies

[12] Credoc, Les ménages et les PME franciliennes face à l’usage frauduleux de leurs documents papier : www.credoc.fr.

[13] article 226-4-1 du Code pénal

[14] M.Quéméner, Yves Charpenel «cybercriminalité, droit pénal appliqué, Economica, Paris 2010

[15]L. n° 2011-267, 14 mars 2011, art. 2

[16] Journal Officiel 28 Mars 2012

[17] Article 9

[18] Article 321-1 du Code pénal

[19] A. Lepage, un an de droit pénal des nouvelles technologies, Droit pénal n° 12, Décembre 2012, chron. 10 lexisnexis

[20] Décision sur le site www.legalis.net

[21] T PIETTE-COUDOL, Avocat au Barreau de Paris , Revue  droit de l’immatériel  2013 , n°95  du 07/2013

[22] loi n° 2012-410 du 27 mars 2012 relative à la protection de l’identité