Actualité web & High tech sur Usine Digitale

Quel cadre juridique pour le Dark Web ?

Twitter Facebook Linkedin Google + Email
×

Le Dark Web, est considéré, sans doute à juste titre, comme un espace numérique mystérieux pour les uns, un terrain de jeux pour d’autres, dangereux pour d’autres encore, mais toujours le lieu de tous les crimes et délits. Que peut-on dire du Dark Web si l’on se place du point de vue juridique et de l’entreprise ? Par les avocats Eric A. CAPRIOLI et  Isabelle CANTERO de Caprioli & Associés.

Quel cadre juridique pour le Dark Web ?
Quel cadre juridique pour le Dark Web ? © Libre de droits

Comment définir le Dark Web ?

Le web profond doit être distingué du Dark Web. Le premier correspond à plus de 90% de l’internet. Il n’est pas indexé par les moteurs de recherche tels que Google ou Qwant. le second est un réseau qui utilise des fonctions d’anonymisation, mais comme le web profond, il fonctionne également en mode peer-to-peer distribué. Pour accéder au dark web, il faut se servir de logiciels particuliers qui permettent d’anonymiser l’identité de l’utilisateur. Le réseau TOR est certainement le plus célèbre. Lorsque que l’on ajoute au web profond le web de surface (contenus indexés, réseaux sociaux, blogs…) on obtient la totalité de la "toile".


Le Dark Web constitue uniquement une partie du web profond. Du fait de la préservation de l’anonymat, le Dark Web est souvent considéré comme le lieu de tous les trafics et de toutes les activités illicites : commerce de produits et services volés ou contrefaits, d’armes, de drogues ou de trafics d’être humains ou de leurs organes ou de blanchiment ou de financement du terrorisme. On y trouve aussi des données collectées de manière illicite lors d’attaques contre des systèmes d’information, telles que le phishing ou l’introduction de malwares. On pense ici aux différents identifiants numérique, dont les adresses mails, les mots de passe, et plus généralement les diverses données à caractère personnel (ex : pratique du carding correspondant à la récolte et la vente de données bancaires). Avec ces données les délinquants peuvent  usurper des identités et  commettre des cyber-délits. Pour ces marchés noirs, il existe des plates-formes comme "Silk Road" accessible via le réseau TOR, fermée fin 2014 avec l’aide du FBI. Le chiffre d’affaire du site était alors estimé à 1,2 milliard de dollars après deux ans d’existence.

 

Utilisation du Dark Web, Oui mais…

Naviguer dans le Dark Web n’est pas illicite par nature, au contraire, dans certaines hypothèses, cela peut même être parfaitement légitime. En effet, l’anonymat  renforce la protection de la vie privée, liberté fondamentale figurant dans le Code civil (article 9) et la Convention européenne des droits de l’homme (article 8). Ainsi, l’accès au Dark Web se justifie pour les dissidents ou les défenseurs des droits dans des Etats pour communiquer librement ou pour diffuser des informations dans les Etats non respectueux des droits et libertés fondamentaux. Il en va de même des lanceurs d’alerte "éthique" dans les pays "démocratiques" sous réserve des exceptions prévues par la loi (article de la loi Sapin 2 du décembre 2016).

En revanche, à partir du moment où l’usager utilise des outils pour acheter ou vendre des biens illicites, l’infraction sera constituée peu importe que l’on soit sur le Dark Web, sur le web de surface ou dans le monde physique. Les commerces illicites du web caché, s’opèrent à l’aide d’unité de valeur ou crypto-monnaie comme les Bitcoins qui fonctionnent avec la technologie blockchain. Cette technologie connait de ce fait des difficultés pour améliorer son capital-confiance. L’utilisation du Bitcoin, payer et se faire payer avec n’est pas illicite en soi (variable selon les pays). La conversion de la crypto-monnaie en devises traditionnelles reste dans le cadre légal dans certains Etats, si les exigences règlementaires applicables sont respectées. Mais, si le paiement a pour objet de régler un montant en Bitcoins comme dans le "ransomware", il sera illégal. Ajoutons que si le bénéfice de l’anonymat n’est pas non plus illicite, le problème réside principalement dans l’objectif de masquer l’identité du (ou des) cyber-délinquant(s).

Proposer des services sur le Dark Web n’est pas sans risque car on n’est pas à l’abri d’être espionné par de nombreux nœuds, notamment lorsqu’on passe par le réseau TOR. Ils ont pour finalité de rechercher et de pirater des services cachés après avoir trouvé des vulnérabilités sur le site sur lequel ils figurent. De plus, il convient de signaler que l’on ne connaît pas l’identité des personnes qui créent de tels nœuds : services de police ou de renseignements ou criminels ? Et le développement des techniques d’investigations sur le Dark Web remet en cause l’anonymat qui de réalité devient illusion. Des opérations internationales de lutte contre les supermarchés du crime ont lieu régulièrement comme l’opération Hyperion fin octobre 2016.

 

Quel Arsenal juridique ?

Tous les articles du code pénal sont susceptibles de s’appliquer (ex : art. 226-18 sur la collecte de données à caractère personnel par des moyens illicites, déloyaux ou frauduleux). Le commerce de données ou de biens matériels sera illicite dès lors qu’ils proviennent de vols ou d'autres incriminations. S’agissant du vol de données, ce délit a été consacré par la jurisprudence "Bluetouff" à l’occasion d’un arrêt de la cour de cassation du 20 mai 2015, mais aussi par le législateur avec la loi du 13 novembre 2014 et la modification de l’article 323-3 du code pénal réprimant désormais l’extraction, la détention, la reproduction et la transmission frauduleuse de données (5 ans de prison et 150.000 euros d’amende).

La détention ou le commerce de données illicites peut encourir la qualification de recel  passible de 5 ans de prison et 375.000 euros d’amende. Cela peut concerner aussi bien le "commerçant" sur le Dark Web qui détient ou transmet en connaissance de cause, les données que la personne qui bénéficie en connaissance cause du produit d’un délit. La présence de donnée sur le Dark Web ne laisse planer aucun doute quant à leur origine délictuelle.

 

L’entreprise face au Dark Web

Des solutions comme CybelAngel permettent en sondant les profondeurs obscures du web d’identifier et de signaler la survenance d’un risque, mais aussi de rechercher des informations confidentielles ou protégées appartenant à l’entreprise cliente.

Le Dark Web sert de base arrière à la commission de nombreuses infractions (exploits de hackers vers des serveurs d’entreprise, contrefaçon, …) et constitue par là même une remarquable source d’informations. Le Responsable de la sécurité des systèmes d’information (RSSI) doit prendre en compte cette réalité dans le respect de la réglementation en utilisant des données enregistrées à grande échelle pour l’optimisation des renseignements et moyens d’y faire face. Pour les Etats, l‘enjeu est de créer de la proximité et de faciliter la circulation de l’information entre les autorités et les personnes concernées. La plateforme Pharos a été développée afin de faciliter le signalement des cyber-infractions.
 

Nul ne peut se faire justice à soi-même, la mission du RSSI consistera à identifier et prévenir au mieux la commission d’infractions relatives à l’entreprise et de saisir les autorités judiciaires.

 

Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur en droit, Membre de la délégation française aux Nations Unies, Vice-Président du CESIN

Et Isabelle CANTERO, Avocat associé, Responsable du pôle Vie privée et Sécurité de l’information, Caprioli & Associés, société d’avocats

Membres du réseau Jurisdéfi


Les avis d'experts et les points de vue sont publiés sous la responsabilité de leurs auteurs et n'engagent en rien la rédaction.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale