Les cybercriminels seront confrontés à des sanctions plus sévères selon le projet de directive européenne voté en première lecture par le Parlement le 4 juillet 2013.

white-hat-hacker
source: http://www.teamshatter.com/wp-content/uploads/2011/07/white-hat-hacker.jpg

La cybercriminalité est une réalité. Comme dans le monde réel ainsi que dans le monde virtuel de l’internet, des infractions sont commises quotidiennement. Le cybercrime est une notion large qui regroupe “tout acte criminel perpétré à l’aide d’un ordinateur ou sur un réseau, ou à l’aide de matériel informatique. […]” selon Symantec ; c’est donc une “nouvelle” forme de crime. Mais restant toujours un crime, elle doit être prévue dans les codes pénaux à travers l’Europe. C’est surtout pour couvrir le vide juridique qui existe dans la plupart des systèmes nationaux des états-membres qui n’ont pas suivi l’évolution rapide de la technologie et des méthodes de hacking.

Qu’est-ce que le nouveau projet ?

La directive est plutôt une “mise à jour” de la législation existante en Europe sur les cyber-attaques (convention sur le cybercrime de 2001). Elle a été adoptée par 541 voix pour, 91 voix contre et 9 abstentions. La nouvelle réglementation vise à empêcher les cyber-attaques, à suivre les évolutions technologiques et à renforcer la coopération policière et judiciaire au sein de l’UE.

En premier lieu, elle impose les 2 ans d’emprisonnement comme le minimum de la peine maximale qui doit être fixée dans les législations nationales des États membres dans le cas des cyber-infractions; La peine peut atteindre jusqu’à 5 ans en cas de circonstances aggravantes. Une telle circonstance pourrait être, par exemple, l’utilisation d’un outil spécialement conçu pour les attaques “botnet”.

La directive ne laisse pas hors du champ de son application les personnes morales qui seront responsables des infractions commises en leur faveur. Ce serait le cas d’une responsabilité sans faute avec des sanctions qui vont de leur exclusion aux prestations publiques jusque’à la liquidation judiciaire.

La proposition met aussi le point sur les outils et programmes informatiques utilisés pour commettre des infractions dans le cyber-espace. La production et la vente de tels programmes constitueraient aussi des infractions pénales.

Le “ip spoofing est aussi visé par le texte qui prévoit une peine maximale d’au moins trois ans d’emprisonnement.

Un autre point important de la proposition est la prévision de l’intervention immédiate – dans les 8h suivant une demande d’aide urgente d’un pays membre – sur la matière. Créant ainsi un réseau renforcé de coopération pour la lutte contre la cybercriminalité. La directive veut surtout en augmenter l’efficacité.

Réaction de la part des spécialistes

La votation de cette directive n’est pas restée sans réaction; La critique venant surtout de la part des spécialistes de la sécurité informatique est remarquable: “contre-productif”, “stupide” et “danger pour l’Europe” sont des phrases qu’on peut lire sur l’article du site owni.fr sur ce projet de directive. Le  problème se focalise autour des “white hackers” (les gentils hackers – à l’opposé des méchants “black hackers”) qui réparent les failles de sécurité et qui sont la meilleure source d’embauche pour les entreprises de technologie. En effet, eux aussi  sont menacés par cette directive et ce serait une grande entrave selon eux à l’évolution de la société de l’information.

Le texte doit passer par la phase du vote par le Conseil de l’UE mais ce n’est qu’une formalité. Les états auront comme d’habitude 2 ans pour la transposer dans leur droit national. Mais, alors que j’écris ces dernières lignes, 2 questions me viennent à l’esprit : bien que l’harmonisation est l’une des cibles de ce mouvement un règlement d’application directe ne serait-il pas plus efficace ? Et finalement une réforme seule des outils juridiques des états . est-elle vraiment suffisante comme moyen de lutte contre le hacking? C’est à vous de répondre.

source : Le Parlement Européen