Le gouvernement conservateur du Premier ministre Rishi Sunak a dévoilé ce mois-ci des propositions de mise à jour de la principale loi anti-piratage du Royaume-Uni, le Computer Misuse Act de 1990. (Note : il était temps). Il propose de donner aux forces de l'ordre la possibilité de saisir les adresses IP liées à la cybercriminalité, d'exiger la conservation des données et de criminaliser davantage la possession de données volées. Les fonctionnaires du ministère de l'Intérieur ont promis qu'une mise à jour de la loi inclurait une protection pour les pirates informatiques de type White Hat, en d’autres termes les pirates éthiques Pro Bono, mais ils n'ont encore formulé aucune proposition concrète en ce sens.
La loi de 1990 criminalise l'accès non autorisé aux systèmes et aux données informatiques, ainsi que l'endommagement ou la destruction de ces derniers, et vise à protéger la sécurité et l'intégrité des systèmes et des informations. De l'avis général, cette loi, totalement obsolète, aurait dû être mise à jour depuis bien longtemps. Selon la Society for Computers and Law de Grande-Bretagne, « plusieurs modifications ont été apportées à la loi, la plus récente en 2015, pour faire en sorte que la législation britannique réponde aux exigences de la Convention du Conseil de l'Europe sur la cybercriminalité - Convention de Budapest - et d'autres directives européennes pertinentes, toutefois ces changements étaient bien trop limités ».
Updating the mindset
Dans une demande de commentaires très récente, le gouvernement indique qu'il est particulièrement intéressé à obtenir un retour sur ses propositions de la part des organismes chargés de l'application de la loi, des bureaux d'enregistrement et des registres de noms de domaine, ainsi que des fournisseurs d'hébergement. Le député conservateur Tom Tugendhat - qui occupe le poste de ministre d'État à la Sécurité, qui fait partie du ministère de l'Intérieur - indique que « le gouvernement souhaite également obtenir des commentaires sur trois propositions spécifiques de mise à jour de la loi ». :
La saisie des adresses IP : Les forces de l'ordre devraient-elles être habilitées à saisir les domaines et les adresses IP lorsqu'ils sont utilisés par des criminels, par exemple à des fins de piratage ou de fraude ? Tom Tugendhat déclare : « Nous reconnaissons que beaucoup de choses sont faites dans le cadre d'accords volontaires pour lutter contre l'utilisation abusive des noms de domaine, et nous ne voudrions pas que ces accords soient compromis. Mais je pense que nous devons veiller à ce que, lorsque de tels accords ne sont pas disponibles, les organismes d'application de la loi aient le pouvoir d'agir. »
La préservation des données : Les services répressifs devraient-ils pouvoir exiger que les données informatiques soient préservées au cas où elles s'avéreraient nécessaires au cours d'une enquête ? La proposition ne permettrait pas à la police de saisir purement et simplement ces données, mais seulement d'exiger leur conservation.
Minority report et crimes liés aux données : La possession ou l'utilisation de données volées, y compris d'informations personnelles identifiables, obtenues auprès d'une autre personne - qui a elle-même violé la loi sur l'utilisation abusive des ordinateurs - devrait-elle également être criminalisée ? « L'une des caractéristiques notables des changements proposés consiste à tenter de rompre le lien entre les domaines criminels et les domaines des victimes », explique Julia Varley, associée au cabinet d'avocats londonien Pinsent Masons et spécialisée dans les cyberrisques. Outre la saisie des adresses IP soupçonnées d'être utilisées par des criminels, les changements proposés donneraient également à la police « le pouvoir d'exiger du registre britannique qu'il n'enregistre pas les noms de domaine dont on prévoit qu'ils seront utilisés à des fins criminelles ».
Les pirates informatiques ne sont pas tous des criminels
Le ministère de l'Intérieur réunira les parties prenantes pour discuter des suggestions visant à traiter un certain nombre de « questions complexes » par le biais de modifications de la CMA. « Il s'agit notamment de propositions concernant les niveaux de condamnation, les moyens de défense contre les infractions à la LMC, les améliorations de la capacité à signaler les vulnérabilités et la question de savoir si le Royaume-Uni dispose d'une législation suffisante pour couvrir les menaces extraterritoriales », indique Tom Tugendhat.
Cette déclaration fait référence à la promesse du gouvernement de revoir les protections juridiques pour les acteurs et chercheurs en cybersécurité qui agissent de bonne foi. L'introduction de telles protections a été largement réclamée par les fournisseurs de services et les membres de la communauté de la cybersécurité, notamment Ciaran Martin, l'ancien directeur du National Cyber Security Center britannique. « Le gouvernement ne fait rien de mal. C'est juste que la législation de 1990 sur l'utilisation abusive des ordinateurs est manifestement dépassée », a écrit Ciaran Martin en septembre dernier.
Pour l'instant, « l'ambiguïté persistante autour des protections pour les professionnels de la cybersécurité complique la défense des organisations britanniques contre les attaques en ligne » selon Kat Sommer, chef de groupe de la stratégie et des affaires publiques de la société de conseil en cybersécurité NCC Group, basée à Manchester. Elle s’agace et demande pourquoi le gouvernement met tant de temps à mettre à jour la CMA. « Après vingt et un mois de consultation, nous aurions espéré davantage de progrès pour faire entrer la loi sur les abus informatiques, vieille de trente-deux ans, dans le XXIe siècle que ce qui a été annoncé ». Il est encourageant de voir qu’il n’y a pas qu’en France où l’unité de mesure de l’efficacité technocratique demeure le « n’âne au mètre ».
Brexit, « si j’avais su j’aurais pas v’nu »
Quels que soient les changements apportés à la CMA, toute loi a ses limites. Dans le cas présent, cela inclut le défi de s'attaquer à la cybercriminalité, alors que tant d'auteurs résident non seulement en dehors de la Grande-Bretagne, mais aussi en Russie ou aux alentours, pays qui, en règle générale, n'extrade pas ses citoyens.
« Le gouvernement britannique devra compter sur la coopération avec les gouvernements et les organismes chargés de l'application de la loi d'autres juridictions, ainsi que sur la capacité et la législation de ces juridictions à poursuivre la criminalité extraterritoriale », explique Stuart Davey, associé chez Pinsent Masons. « C'est un problème mondial qui appelle une réponse mondiale, et cela est reconnu dans une certaine mesure dans la consultation ». Bref, on n’est pas arrivé. Le statut de la relation de la Grande-Bretagne avec l'Union européenne est susceptible d'aggraver le problème. Mince alors, j’avais pas prévu. Malgré les suggestions contraires de certains fonctionnaires britanniques partisans du Brexit, une fois que la Grande-Bretagne a quitté l'U.E, elle n'a plus été autorisée à être membre de l'Agence de renseignement de l'UE, Europol. Le Royaume-Uni a également perdu l'accès au système d'information Schengen, qui facilite le partage d'informations sur les frontières et la sécurité entre les États membres de l'UE. Avouez que c’est ballot.
La circulation rapide des informations n'a pas été totalement interrompue. Le Royaume-Uni a signé un accord de commerce et de coopération avec l'UE qui lui donne accès à « certaines » bases de données européennes, selon un rapport de la Chambre des Lords. « Par exemple, les données relatives à l'ADN et aux empreintes digitales peuvent continuer à être échangées par le biais du système Prüm, « sous réserve de certaines restrictions et conditions préalables », indique le rapport. Pourquoi faire simple.
En outre, en vertu du TCA, les officiers de liaison britanniques sont autorisés « à être présents au siège d'Europol pour faciliter la coopération transfrontalière ». Bien que le Royaume-Uni ait perdu l'accès au mandat d'arrêt européen, il bénéficie, en vertu de l'ACC, d'accords d'extradition semblables à l'accord de remise de l'UE avec la Norvège et l'Islande.
En vertu du mandat d'arrêt européen, un suspect arrêté dans l'UE doit être transféré dans l'État membre de l'UE qui a lancé le mandat dans les soixante jours. En vertu de l'ACC, ces transferts peuvent prendre jusqu'à 90 jours. What a mess ! Question adaptation, nous ne sommes pas en reste, ainsi le cahier des charges du PASSI (Prestataires « certifiés » d’audit de la sécurité des systèmes d’information) de l’ANSSI » - j’adore « la cyberacronymite aigue » – date de 2015. Bien sûr, s’agissant de la cybercriminalité, rien n’a changé depuis neuf ans et la pratique sur le terrain démontre que la liste PASSI n’a rien d’opposable of course. Mais quid de l’IOT, des automates ou autres appareils biomédicaux, ou de l’OT (Gestion technique du bâtiment) (ascenseur, tortues, sources énergétiques, etc.), puisque le SI du PASSI n’évoque que les systèmes d’information (SI) ?
Bref, les pirates ont de beaux jours devant eux. Si cela ne touchait que les descendants de Lord Nelson, on s’en remettrait ; mais voilà internet est un réseau mondial ouvert et, par suite, nous sommes dans le même bateau. Il y en a même qui coulent parfois. Trafalgar nous voilà. On aimerait un peu plus de coopération stratégique unifiée qui économiserait bien des ressources publiques et éviterait autant de redites inutiles (ANSSI, HAS, ANS, DGOS, BPI, MEDEF, CIGREF, etc.). Bienvenu au pays des fromages.
Transition de genre : la Cpam du Bas-Rhin devant la justice
Plus de 3 700 décès en France liés à la chaleur en 2024, un bilan moins lourd que les deux étés précédents
Affaire Le Scouarnec : l'Ordre des médecins accusé une fois de plus de corporatisme
Procès Le Scouarnec : la Ciivise appelle à mettre fin aux « silences » qui permettent les crimes