Passer

Lutte contre la cybercriminalité & LOPMI : révolution ou simple évolution ?

Déposé le 16 mars 2022 sur le bureau de l’Assemblée nationale, le projet de Loi d’Orientation et de Programmation du ministère de l’Intérieur (LOPMI) définit les objectifs et les moyens de ce dernier jusqu’en 2027.

Poursuivant les travaux initiés dans le cadre du livre blanc sur la sécurité intérieure et du Beauvau de la sécurité, ce texte a notamment pour ambition de permettre la transformation numérique du ministère de l’intérieur1. Ainsi, environ la moitié du budget supplémentaire de 15 milliards d’euros sur 5 ans est consacrée à cette « révolution copernicienne »2 du ministère.

La lutte contre la cybercriminalité constitue l’un des principaux axes de cette transformation. En effet, cette dernière “vise d’abord à répondre aux menaces cyber”3 et les mesures prévues pour y faire face apparaissent comme particulièrement ambitieuses. Elles témoignent à la fois du besoin et de la volonté de l’Etat d’agir en la matière.

Ce que prévoit le projet de loi

Le texte comprend deux types de dispositions :

  • Les premières (dites normatives) visent à faire évoluer le droit applicable en matière de cybercriminalité en modifiant ou complétant des codes et lois dès l’entrée en vigueur du texte (s’il n’est pas modifié au cours de son examen).
  • Les secondes (dites programmatiques) définissent les mesures de modernisation des services du ministère de l’intérieur pour la période 2023 – 2027 et fixent le budget nécessaire à leur mise en œuvre.

De nouvelles règles en matière de lutte contre la cybercriminalité

Le projet de loi comprend trois dispositions normatives principales relatives à la cybercriminalité :

1. Extension des capacités pour les enquêteurs sous pseudonymes

L’article 3 de la LOPMI prévoit de nouvelles capacités pour les enquêteurs sous pseudonymes. Les officiers ou agents de police judiciaire pourront désormais agir en qualité de complice afin d’identifier les auteurs d’infractions commises sur les réseaux de communication électronique dans le cadre d’une enquête sous pseudonyme4.

En pratique, les enquêteurs seront autorisés à “mettre à la disposition des personnes se livrant à ces infractions, des moyens de caractère juridique ou financier ainsi que des moyens de transport, de dépôt, d’hébergement, de conservation et de télécommunication”. Cela afin de permettre d’identifier les auteurs de ces infractions.

En effet, à ce jour les enquêteurs sont uniquement autorisés à acquérir eux-mêmes des contenus, produits, substances, prélèvements ou services illicites. Dans son étude d’impact, le gouvernement estime que “cette disposition permettra de gagner du temps sur ce type d’enquête, en réunissant plus rapidement les éléments constitutifs des infractions, conduisant à l’interpellation des auteurs”.

2. Facilitation des saisies d’actifs numériques

L’article 4 de la LOPMI vise quant à lui à faciliter les saisies de crypto-actifs. En effet, à ce jour, lorsqu’un portefeuille d’actifs numériques est découvert dans le cadre d’une information judiciaire, d’une enquête préliminaire ou de flagrance, sa saisie ne peut être réalisée que sur le fondement d’une décision motivée préalable du juge des libertés et de la détention (JLD) ou du juge d’instruction5.

Posséder un crypto-actif signifie posséder une paire de clefs cryptographiques (privée et publique) permettant d’attester de sa possession et de procéder à des transactions. Ces clés sont stockées dans un portefeuille (ou wallet) “offline” (“hardware wallets” ou “software wallets”) ou “online”.

En pratique, et contrairement à ce que l’on peut connaître en matière de monnaie fiduciaire ou de compte bancaire, la saisie effective des actifs numériques ne peut être réalisée que par le transfert des actifs sur un portefeuille détenu par l’AGRASC (Agence de Gestion et de Recouvrement des Avoirs Saisis et Confisqués). Or, comme le relève le Gouvernement dans son étude d’impact, “le rapport adressé au parquet en vue de solliciter le JLD en vertu des dispositions de l’article 706-153 du Code de Procédure Pénale (CPP) est rédigé en faisant mention précisément de la référence de portefeuille et du montant disponible”. La décision du JLD est alors rendue dans un délai de 3 heures à une journée. Plusieurs risques, liés au caractère volatile des actifs numériques et mettant en péril la saisie, sont alors identifiés :

  • Génération d’une alerte sur un compte mail / téléphone d’un tiers disposant également du contrôle des actifs numériques suite à la première connexion par l’enquêteur;
  • Transfert des actifs ou modification du mot de passe par un tel tiers;
  • Réception de nouveaux actifs numériques sur le portefeuille postérieurement à l’accord donné par le JLD pour un montant déterminé.

La LOPMI étend donc aux crypto-actifs6 la dérogation prévue à l’article 706-154 du CPP, permettant à un officier de police judiciaire (OPJ) de procéder directement à la saisie sur autorisation du procureur de la République ou du juge d’instruction. Dans ce cas, le juge des libertés et de la détention ou le juge d’instruction dispose d’un délai de 10 jours afin de se prononcer sur la main levée ou le maintien de la saisie.

Cette exception vise ainsi à réduire les risques liés à la volatilité des actifs numériques en permettant aux officiers de police judiciaire de s’affranchir des délais incompressibles liés au recours au JLD. Le principal impact attendu de ces nouvelles dispositions est donc une augmentation des saisies d’actifs numériques.

3. Encadrement de l’assurance des risques de cyberattaques

L’article 5 du projet de loi prévoit, en cas d’attaque par “rançongiciel”7, l’obligation pour les compagnies d’assurance de subordonner le versement d’une indemnisation assurantielle au dépôt d’une plainte par la victime dans un délai maximal de 48 heures à compter du paiement de la rançon.

Cette nouvelle obligation vise à permettre aux autorités compétentes de disposer le plus rapidement possible “des informations nécessaires à l’engagement de poursuites ainsi qu’à la connaissance des méthodes de cyberattaque et à la prévention de ces agissements”8.

De nouveaux moyens en matière de lutte contre la cybercriminalité

Le projet de loi comprend de nombreuses et ambitieuses dispositions programmatiques visant à renforcer les moyens alloués à la lutte contre la cybercriminalité. A ce titre, les 4 exemples emblématiques suivants peuvent être cités.

1. Créer un “17 cyber”
Il est notamment prévu de transposer au cyber le classique “composez le 17 en cas d’urgence concernant un accident de la route, un trouble à l’ordre public ou une infraction pénale”. Cet équivalent de “l’appel 17” permettra à chaque citoyen de signaler, en temps réel, une attaque cyber. Il sera ainsi mis en relation avec un opérateur spécialisé, qui le prendra en charge.

Construit sur la base de dispositifs existants, le “17 cyber” s’appuiera notamment sur la plateforme cybermalveillance.gouv.fr mais également sur les plateformes PHAROS et Perceval ainsi que sur l’ANSSI.

2. Augmenter le nombre de Cyber-patrouilleurs
Le ministère prévoit en outre, sur la période 2023 – 2025, de recruter 1500 nouveaux cyber-patrouilleurs qui seront formés et déployés. Ces derniers pourront notamment être recrutés parmi les cyber-réservistes.

3. Créer une école de formation cyber du ministère de l’intérieur
Le rapport annexé au projet de loi comprend un projet de création d’une école de formation cyber interne au ministère de l’intérieur avec pour double objectif l’augmentation significative du nombre d’enquêteurs formés en matière de lutte contre la cybercriminalité et le maintien d’un haut niveau de connaissances et compétences dans le temps en assurant une formation continue pour l’ensemble des services d’enquête.

4. Sensibiliser 100% des entreprises aux risques de la cybercriminalité
Le ministère de l’intérieur prévoit d’appuyer l’ensemble des actions de sensibilisation, de prévention et de diffusion de bonnes pratiques réalisées par l’ANSSI, notamment en les relayant à travers son maillage territorial et en formant les équipes préfectorales.

De nouveaux dispositifs aux effets incertains

Si les nouvelles capacités offertes par la LOPMI aux enquêteurs sous pseudonyme n’appellent que peu de remarques, il n’en va pas de même s’agissant des dispositions relatives à la saisie d’actifs numériques et à l’encadrement de l’assurance des cyberattaques.

Saisie d’actifs numériques

Les dispositions de la LOPMI permettent en effet de réduire les risques d’échec de la saisie liés à la volatilité des actifs numériques et au délai nécessaire pour l’obtention de l’autorisation de transfert des actifs sur le portefeuille de l’Agence de gestion et de recouvrement des avoirs saisis et confisqués.

Toutefois, les bénéfices attendus et exposés au sein de l’étude d’impact du projet de loi peuvent être nuancés à double titre.

Premièrement, ces nouvelles dispositions ne permettent pas de supprimer totalement le risque de voir de nouveaux actifs reçus, suite à la saisie des montants initialement découverts. En effet, comme le souligne Olivier Le Guen (Commandant de police spécialisé sur la thématique crypto monnaies & blockchains), “il existe techniquement de nombreuses options offertes au mis en cause pour régénérer un wallet, récupérer ses clefs cryptographiques et procéder à des transferts”9.

Enfin, et surtout, ces dispositions se concentrent sur la phase de saisie et ne permettent pas d’apporter une solution à la principale difficulté rencontrée par les OPJ qui intervient en amont. En effet, la découverte d’un portefeuille au cours d’investigations suppose, afin de pouvoir saisir les actifs qu’il contient, de pouvoir y accéder. Or, cet accès nécessite de disposer du code Pin protégeant le portefeuille “hardware”, le mot de passe protégeant le portefeuille “software” ou encore des identifiants de connexion permettant d’accéder au portefeuille “online”.

Ainsi, il n’est pas évident que cette nouvelle possibilité offerte aux OPJ permettent d’augmenter significativement les saisies d’actifs numériques.

Assurance des cyberattaques

Il est permis de douter que les dispositions prévues par le projet de loi permettent d’atteindre de manière effective les objectifs qui leur sont assignés.

Premièrement, comme le relève lui-même le Gouvernement dans son étude d’impact, seule une très faible part des entreprises françaises ont souscrit une assurance cyber. En effet, ce sont “près de 95% des entreprises qui ne sont pas couvertes par de telles garanties” et lorsque c’est le cas, “peu de contrats prévoient une garantie paiement de rançons”10.

Plus encore, et toujours d’après l’étude d’impact, “ceux des assureurs qui proposent déjà de couvrir les sommes extorquées par des rançongiciels conditionnent pour les principaux d’entre eux le paiement de l’indemnisation à un dépôt de plainte”11.

Ensuite, il convient de relever que ces dispositions s’inscrivent en décalage avec les recommandations de l’ANSSI qui préconise systématiquement de ne pas payer la rançon12. D’autant plus que figurait notamment parmi les autres solutions, envisagées par le Gouvernement dans son étude d’impact, la promotion de l’interdiction du paiement des rançons par les assureurs suite à une cyberattaque au niveau européen.

Il est donc permis de douter du fait que l’option retenue soit la meilleure afin d’atteindre l’objectif affiché de “casser le modèle de rentabilité des cyberattaques”13.

Une ambition aux contours imprécis

Les contours du programme proposé demeurent très flous en raison des incertitudes budgétaires particulièrement importantes dont le projet de loi fait l’objet.

En effet, le Conseil d’État rappelle que cette “programmation budgétaire” est uniquement indicative dans la mesure où les charges financières de l’État ne peuvent être déterminées que par le législateur financier. Le Conseil d’Etat s’inquiète en outre de la bonne articulation entre cette loi de programmation et la prochaine loi de programmation des finances publiques. Celle-ci ne peut être assurée car la loi de programmation du ministère précède la loi de programmation des finances publiques fixant la trajectoire globale des finances publiques.

Soulignons également l’absence de cohérence entre le périmètre des dispositions budgétaires et celui du rapport annexé d’une part, et de corrélation entre la programmation budgétaire et les moyens qui pourraient être alloués au financement des mesures de transformation d’autre part.

Le Conseil d’Etat relève également que la programmation proposée n’est pas répartie par politique publique contrairement à ce que prévoit la loi de 2001 relative aux lois de finance depuis laquelle les dépenses de l’Etat sont “présentées, votées, exécutées et contrôlées par politique publique et non plus par ministère”.

Le Conseil d’Etat estime ainsi que “la crédibilité de cette programmation budgétaire est affectée de nombreuses incertitudes et que son effectivité ne peut être regardée comme garantie”.

Enfin, une dernière interrogation pèse sur la coordination de ce texte avec la future directive NIS2 (en cours de discussion) et qui devrait être prochainement adoptée au niveau européen.

Vous souhaitez en savoir plus ? Découvrez notre expertise Cyber Trust !

1 Rapport annexé au projet de loi d’orientation et de programmation du ministère de l’intérieur : https://www.legifrance.gouv.fr/contenu/Media/files/autour-de-la-loi/legislatif-et-reglementaire/actualite-legislative/2022/pjl_intd2204555l_rapport_annexe_cm_16.03.2022.pdf
2 Dossier de presse relatif au projet de loi accessible au lien suivant : https://www.interieur.gouv.fr/actualites/communiques/projet-de-loi-dorientation-et-de-programmation-du-ministere-de-linterieur
3 Rapport annexé au projet de loi, op. cit.
4 Dont le régime est régi par l’article 230-46 du code de procédure pénale.
5 Voir l’article 706-153 du code de procédure pénale.
6 Plus précisément, le texte vise les actifs numériques mentionnés à l’article L. 54-10-1 du code monétaire et financier.
7 Le droit français ne reconnaissant pas de définition juridique de cette notion, est en réalité visée ‘l’extorsion prévue à l’article 312-1 du code pénal, lorsqu’elle est commise au moyen d’une atteinte à système de traitement automatisé de données prévue aux articles 323-1 à 323-3-1 du même code”.
8 Avis du Conseil d’Etat relatif à la LOPMI : https://www.legifrance.gouv.fr/contenu/Media/files/autour-de-la-loi/legislatif-et-reglementaire/les-avis-du-conseil-d-etat-rendus-sur-les-projets-de-loi/2022/avis_ce_intd2204555l_cm_16.03.2022.pdf
9 O. Le Guen, “Questions à Olivier Le Guen sur la perquisition et la saisie des crypto-actifs”, Dalloz IP/IT, 2019, n°10, pp. 541 – 542
10 Etude d’impact relative au projet de loi : https://www.legifrance.gouv.fr/contenu/Media/files/autour-de-la-loi/legislatif-et-reglementaire/etudes-d-impact-des-lois/ei_art_39_2022/ei_intd2204555l_cm_16.03.2022.pdf
11 Ibidem.
12 “Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ? » : https://www.ssi.gouv.fr/uploads/2020/09/anssi-guide-attaques_par_rancongiciels_tous_concernes-v1.0.pdf
13 Etude d’impact, op. cit.