Communiqué de presse du Collège des procureurs généraux, de la Police Fédérale et du CERT.be

Le 14 septembre 2017, le Collège des procureurs généraux a diffusé une nouvelle circulaire relative à la politique criminelle en matière de ransomwares (logiciels de rançon). Les instructions contenues dans une circulaire du Collège sont contraignantes pour tous les membres du ministère public.

Cette circulaire a été préparée par un groupe de travail multidisciplinaire spécifique, regroupant les principaux acteurs impliqués dans la lutte contre les logiciels de rançon. Des représentants spécialisés des parquets locaux et du réseau d'expertise « Cybercriminalité » du Collège des procureurs généraux ont été épaulés par des experts de la police locale et de la Police Fédérale, ainsi que du Centre pour la Cybersécurité Belgique et du CERT.be.

Le phénomène des ransomwares (ou virus preneurs d'otage) s'amplifie dans le monde entier et n'épargne pas les particuliers et les entreprises belges. Il s’agit d'un programme informatique malveillant qui exécute une manipulation indésirable dans le système informatique de la victime (souvent, le verrouillage ou le cryptage des données) et qui réclame ensuite une rançon pour que le système fonctionne à nouveau normalement.

Il est nécessaire d'harmoniser l'approche pénale en matière de logiciels de rançon. Actuellement, la Justice ne dispose pas encore d'une image exacte du phénomène, car, d'une part, les signalements d'infections ne sont pas enregistrés avec suffisamment de précision et, d'autre part, de nombreuses contaminations ne sont même jamais dénoncées à la police. Partant, la problématique est sous-estimée et la réaction de la police et de la justice n'est pas adéquate.

La circulaire vise à y remédier en apportant des améliorations dans les différentes phases des chaînes de répression : la procédure d’enregistrement des plaintes, l'accroissement de la qualité des premières constatations, l'acquisition d'une image nationale et internationale complète du phénomène, la définition d'une politique de recherche et de poursuite performante (aussi dans un contexte international) et l’intégration dans une approche intégrée et intégrale.

Chaque plainte pour ransomware déposée à la police sera encodée sous le délit d'extorsion (article 470 du Code pénal) et de sabotage informatique (article 550ter du Code pénal). Il n'est pas simple pour le préposé à l’accueil de procéder à un enregistrement qualitatif d'une matière aussi technique. C'est la raison pour laquelle un modèle de procès-verbal spécifique a été élaboré. Celui-ci accompagne l’agent verbalisateur lors de l’enregistrement de la plainte et rassemble toutes les informations nécessaires afin de permettre de poursuivre l'enquête pénale.

La circulaire vise à ce que la plainte soit rapidement communiquée à la police judiciaire fédérale (PJF) de l'arrondissement qui se chargera de la suite de l'enquête. La PJF évaluera plus particulièrement s'il est opportun de prendre une copie légale du système infecté et avisera le magistrat de parquet en charge du dossier de la campagne dont relève la contamination signalée.

Toutes les plaintes sont ensuite traitées par le même magistrat de parquet, plus spécifiquement, le magistrat de référence « Cybercriminalité » de l'arrondissement.

La Federal Computer Crime Unit, un service central spécialisé de la police Judiciaire Fédérale, a reçu pour tâche de dresser et de mettre à jour une image nationale et internationale globale du phénomène de ransomware. Les chiffres de plaintes seront étoffés par des informations complémentaires provenant de sources ouvertes et de partenaires impliqués dans la lutte contre les logiciels de rançon (services de police d'autres pays, Europol, CERT.be et industrie antivirus). Cet aperçu de la situation actuelle et de la future menace est mis à la disposition de tous les services de la police et de la justice afin de soutenir les enquêtes pénales en matière de ransomware. Les renseignements seront collectés sur une page web interne spécifique consacrée aux rançongiciels dans le système informatique de la police judiciaire fédérale.

La circulaire fournit un certain nombre de lignes directrices aux magistrats de parquet qui souhaitent mener une enquête pénale concernant ce genre d'attaque. Elle décrit aussi les objectifs éventuels des investigations ainsi que les options d'enquête possibles. Bien qu'en principe, un classement sans suite pour motifs d’opportunité soit déconseillé, la circulaire énumère tout de même plusieurs critères pouvant être pris en compte au moment d'opérer des choix entre des enquêtes concurrentes (par exemple, lorsque la capacité d'enquête spécialisée est insuffisante pour réaliser les deux enquêtes simultanément).

Une infection n'est jamais isolée. Elle fait toujours partie d'une « campagne de ransomware ». Dirigée par le même groupe d'auteurs, celle-ci cible de nombreux systèmes informatiques dans toute la Belgique et même à l'échelle internationale. La circulaire indique que la réalisation, en ordre dispersé, d'une enquête pénale pour chaque plainte induirait une perte inutile de capacité spécialisée. C'est pourquoi elle édicte des procédures visant à regrouper le plus rapidement possible toute plainte individuelle avec d'autres dans une seule enquête pénale dans le cadre de la même campagne de ransomware. Dans un premier temps, au sein de la Belgique, et, ensuite, au niveau international. En effet, il est peu sensé d'ouvrir une enquête pénale en Belgique si un autre pays se trouve déjà à un stade plus avancé de l'enquête sur la campagne concernée et inversement. Par ailleurs, la circulaire commente le rôle spécifique que le parquet fédéral et Eurojust peuvent jouer à cet égard.

Enfin, la circulaire mise fortement sur une approche intégrée de la lutte contre les logiciels de rançon en collaboration avec les principaux partenaires qui sont actifs en Belgique dans le domaine de la prévention et de la sensibilisation. Ainsi, elle souligne l'importance de la coopération avec le Centre pour la cybersécurité Belgique et le CERT.be. La circulaire mentionne également l'important projet « no more ransom », un projet de coopération internationale publique-privée, auquel le CERT.be et la Police Fédérale ont adhéré, et renvoie au site Internet y afférent : www.nomoreransom.org.

La circulaire garantit que, le cas échéant, tous les partenaires se renverront mutuellement les victimes afin de soutenir celles-ci au mieux. L'attention du magistrat de parquet est attirée sur la nécessité de partager, dès que le secret de l’instruction le permet, des informations sur une enquête pénale avec les partenaires, dans l'intérêt de la cybersécurité. Pour ce faire, il ne faut certainement pas attendre que l'enquête pénale soit clôturée. Enfin, l'accent est également mis sur l’importance d'une bonne communication calculée avec la presse. Si les partenaires se coordonnent comme il se doit, la communication produira un effet maximal, tant envers les futures victimes (prévention) et que vis-à-vis des auteurs (dissuasion).