Au mois d’octobre dernier, lorsque l’on évoquait l’actualité du Ministère de l’Intérieur, il était surtout question de la réforme annoncée de la police judiciaire et des remous qu’elle génère au sein de l’institution.

Néanmoins, dans le même temps, un projet de loi crucial est en train de faire son nid au Parlement : la LOPMI (Loi d’Orientation et de Programmation du Ministère de l’Intérieur). Ce projet de loi configure la stratégie globale de la politique intérieure française jusqu’à la fin du quinquennat d’Emmanuel Macron, en 2027.

Il convient d’emblée d’apporter une précision essentielle : au moment de la rédaction de l’article, le projet de loi n’a pas encore été définitivement validé. Il a tout de même été voté à l’Assemblée Nationale et doit désormais passer une nouvelle fois devant le Sénat.

Contenu et enjeux du texte

C’est sous le signe de la rénovation numérique du Ministère que ce projet de loi a été présenté : c’est d’ailleurs le nom donné au Titre 2 du texte[1].

Une disposition en particulier a fait réagir beaucoup d’acteurs du domaine de la cybersécurité : le projet d’autoriser le paiement des rançons en cas d’attaque par un rançongiciel, pour les particuliers ou pour les entreprises. Il s’agit d’un potentiel tournant majeur dans la lutte contre cette cybermenace de plus en plus répandue, et qui est loin de toucher uniquement les services publics : un récent rapport du Commandement de la Gendarmerie dans le cyberespace précise qu’en 2021, 39% des victimes d’une attaque au rançongiciel étaient des PME, et 30% étaient des TPE[2].

Pour rappel, une attaque par rançongiciel (ou « ransomware » en anglais) consiste à paralyser un système informatique – comme un simple ordinateur – afin que les informations présentes sur ce dernier ne soient plus accessibles pour son propriétaire.

L’auteur de l’attaque exige souvent le paiement d’une rançon afin de débloquer l’ordinateur de la victime. Ces attaques vont même parfois plus loin, en menaçant la victime de divulguer ses informations personnelles si jamais elle refuse de payer la rançon demandée.

Face à une cybercriminalité en pleine expansion, le gouvernement semble désormais favorable à l’idée d’inciter le paiement des rançons par l’intermédiaire de l’assurance de la victime, à laquelle elle se doit de souscrire. Initialement, la seule condition prévue par le projet de loi était la suivante : qu’un dépôt de plainte soit effectué dans un délai maximum de 48 heures après le paiement de la rançon. Cependant, le Sénat a récemment amendé cette disposition, en conditionnant le paiement de la rançon à une pré-plainte devant impérativement être effectuée 24 heures maximum après l’attaque. Cet amendement a été adopté.

La communauté de cybersécurité française s’est montrée d’emblée critique vis-à-vis de cette disposition, qui va à l’encontre des recommandations préconisées par la CNIL (Commission Nationale de l’Informatique et des Libertés), qui estime qu’il n’est pas souhaitable de payer la rançon, pour deux raisons claires :

• Rien ne garantit que les données seront restituées après réception de la rançon par le cybercriminel

• Rien ne garantit que ce dernier n’effectuera pas une nouvelle attaque dans la foulée

Des considérations partagées par Nicolas Arpagian, invité sur le plateau de l’émission 28 Minutes sur ARTE il y a quelques semaines[3]. L’expert en cybersécurité a notamment insisté sur les zones d’ombre autour de la question du paiement de la rançon, et des difficultés liées au dépôt de plainte.

Il existe pourtant une plate-forme, mise en place par l’Etat, permettant de venir en aide aux particuliers et aux entreprises victimes d’une cyberattaque[4].

Là-encore néanmoins, le manque de sensibilisation sur la procédure à suivre en cas d’attaque est pointé du doigt par plusieurs acteurs, dont Julien Métayer, expert en cybersécurité et tout particulièrement dans le domaine du pentesting, c’est-à-dire la réalisation de tests d’intrusion dans des systèmes informatiques afin d’identifier les failles de sécurité et de les corriger par la suite. Julien Métayer estime que cette disposition du projet de loi ne va pas régler le problème de fond, à savoir le manque d’expertise cyber au sein des unités judiciaires, qui rend quasiment utopiques d’éventuelles poursuites judiciaires après le dépôt d’une plainte. Ce dernier craint même que les assurances ne jouent pas le jeu et trouvent le moyen de ne pas financer les victimes de rançongiciels. Plusieurs députés ont déposé des amendements opposés à cette réforme, craignant également qu’un “marché assurantiel autour des rançongiciels” se forme, pour reprendre les mots d’Ugo Bernacilis, député NUPES.

La problématique du financement du terrorisme

La possibilité de paiement des rançons réclamées par les cybercriminels, au-delà des incertitudes quant à son efficacité réelle, pose aussi la question du financement du terrorisme.

Jusque-là, la doctrine du pouvoir exécutif était plutôt de refuser tout paiement de rançon, au nom de la lutte contre le financement du terrorisme, rappelée dans l’article 421-2-2 du code pénal :

« Constitue également un acte de terrorisme le fait de financer une entreprise terroriste en fournissant, en réunissant ou en gérant des fonds, des valeurs ou des biens quelconques ou en donnant des conseils à cette fin, dans l'intention de voir ces fonds, valeurs ou biens utilisés ou en sachant qu'ils sont destinés à être utilisés, en tout ou partie, en vue de commettre l'un quelconque des actes de terrorisme prévus au présent chapitre, indépendamment de la survenance éventuelle d'un tel acte. »

Bien que les services judiciaires peinent à procéder à des arrestations dans le cadre d’affaires de cybercriminalité, il est admis de longue date que cette criminalité est loin d’être le seul fait d’individus solitaires, et qu’elle s’inscrit de plus en plus comme un pilier de la criminalité organisée moderne. On est loin désormais de l’image du jeune étudiant qui pirate autrui depuis son garage… Ce n’est d’ailleurs pas anodin si les auteurs de ces cyberattaques demandent le plus souvent un paiement de la rançon en monnaie virtuelle, via bitcoin notamment.

Cependant, dans les faits, il existe un vide juridique autour de cet enjeu, qui fait que l’on peut difficilement qualifier cette disposition prévue par le projet de loi LOPMI d’illégale. Les entreprises victimes n’ont d’ailleurs pas attendu la discussion de ce texte pour payer des rançons, comme le rappelait l’avocate Valérie Lafarge-Sarkozy[5].

L’adoption en l’état de la loi aurait donc pour conséquence d’obliger les entreprises victimes à déposer plainte en cas de souhait de payer la rançon, afin d’avoir un aperçu plus précis des attaques au rançongiciel.

Mais d’un point de vue plus global, cette démarche du gouvernement traduit une nette rupture avec la position ferme jusque-là affirmée, à savoir celle de ne pas financer les auteurs de ce type d’infractions.

Les discussions autour de ce texte sont d’autant plus cruciales à suivre car elles incarnent la difficulté à laquelle seront de plus en plus confrontés les pouvoirs publics dans les années à venir : la légifération sur les infractions touchant au cyberespace.

Paul STEFANI

[1] https://www.senat.fr/tableau-historique/pjl21-876.html

[2] https://twitter.com/OpexNews/status/1587040148163895297?s=20&t=4-9D7qz8eQyIxyCwGBWd3A

[3] https://www.linkedin.com/posts/nicolas-arpagian_lundi-03102022artemp4-activity-6982656675052675072-855D?utm_source=share&utm_medium=member_desktop

[4] https://www.cybermalveillance.gouv.fr/diagnostic/accueil

[5] https://www.leclubdesjuristes.com/les-publications/cybersecurite-par-valerie-lafarge-sarkozy-avocat-associee-advant-altana-expert-du-club-des-juristes/