Le mois d'octobre était le mois de la cybersécurité, l’occasion d’attirer l’attention sur la promotion de la sécurité numérique auprès des citoyens, entre autres choses. Catherine Van de Heyning, substitut du procureur du Roi et magistrate auprès de la section cybercrime au parquet d’Anvers, nous donne quelques explications à ce sujet et présente les nouveaux phénomènes auxquels est confronté le ministère public.
Pour Catherine, la cybercriminalité n’avait rien d’une vocation au départ. Elle s’intéressait principalement aux droits humains dans le cadre du droit pénal. Ce n’est que plus tard qu’elle s’est découvert une passion pour le sujet, lorsqu’elle a été choisie comme avocate par plusieurs victimes de cyberdélits. Aujourd’hui, elle est considérée comme une experte dans ce domaine.
Catherine : « Les médias sociaux ont commencé à s’imposer progressivement à la fin de mes études. Même si à l’époque ils n’en étaient encore qu’à leurs balbutiements. Au départ, ma formation était avant tout axée sur les droits humains, et plus particulièrement sur leur application au droit pénal. Lorsque je travaillais au barreau, j’ai traité pas mal de dossiers de cybercriminalité. J’ai notamment défendu une femme dont des photos intimes avaient circulé sur l’internet. Son histoire m’a émue. Au début de ma carrière d’avocate, j’ai constaté que certains aspects techniques m’échappaient quelque peu. Et puis, j’ai aussi ce côté où je ne peux pas me limiter à la question de savoir comment je vais résoudre l’affaire du point de vue juridique. Je vais m’interroger sur la technologie ou le fonctionnement de la cybercriminalité. J’ai donc commencé à suivre des cours pour mieux comprendre. Plus tard, lorsque je suis entrée dans la magistrature, il est apparu qu'il y avait un besoin de spécialistes en cybercriminalité et je me suis lancée. »
« La cybercriminalité n’a rien d’une matière aride. Dans mon travail de magistrate spécialisée en cybercriminalité, je refuse de me cantonner au volet juridique, je veux me frotter à la réalité, découvrir les rouages, ne pas laisser défiler les dossiers, mais prendre du recul pour pouvoir intervenir efficacement et mettre en place une approche digne de ce nom. J’ai travaillé avec des victimes de la cybercriminalité, ce qui m’a permis d’en observer les conséquences. Cela me touche quand je vois ce qu’elles doivent endurer : diffusion de photos intimes, stalking, harcèlement, mais aussi phishing, à la suite duquel certaines des personnes voient disparaître l’intégralité de leur pension. Tous ces dossiers m’émeuvent à cause de leur humanité, de leur très grande proximité. La cybercriminalité peut toucher les jeunes comme les personnes âgées ; vous réalisez avec acuité que votre enfant, votre cousine, vos parents pourraient tout aussi bien en être victimes. Je vois le côté humain de chaque dossier, c’est ce qui me fait avancer en tant que magistrate. »
« La cybercriminalité est humaine et toute proche. Elle peut toucher les jeunes comme les personnes âgées, votre enfant, votre cousine, vos parents. »
Différentes formes de cybercriminalité
Catherine : « La cybercriminalité se scinde en trois grandes composantes. Premièrement : la cyberviolence, y compris le cyberharcèlement, la diffusion de photos de nu ou la cyberhaine. Deuxièmement, la composante économique et financière. Et, troisièmement, la cyberguerre ou la guerre cybernétique dans laquelle les États utilisent le numérique pour se frapper les uns les autres, comme le cyberespionnage ou les ransomwares pour mettre hors service les systèmes numériques d'autres pays, comme on le voit par exemple dans la guerre en Ukraine. »
Les phénomènes qui caractérisent la cybercriminalité vont et viennent, mais certains se maintiennent.
Catherine : « Il y a des formes de cybercriminalité qui ne disparaissent pas, comme le phishing et la fraude à l’émotion. Pour l’une ou l’autre raison, les faits de ce type se multiplient et nous ne parvenons pas à les contrôler entièrement. Par ailleurs, nous observons une hausse exponentielle de l’exploitation abusive d’images à caractère sexuel, des contenus liés à l’exploitation d’enfants, de la diffusion de photos de nu, du grooming, etc.
« De nouvelles tendances apparaissent aussi, comme la sextorsion, qui conjugue la cyberviolence et l’aspect économique et financier. Le but est de faire chanter une personne au moyen de photos de nu, vraies ou fausses, pour l’amener à transférer de l’argent. Les personnes à l’origine de ce chantage ne s’intéressent pas du tout aux photos en tant que telles, mais bien à l’argent qu’elles peuvent en retirer. Chez les jeunes, ce qui se dégage pour l’instant, ce sont les comptes dédiés au harcèlement et les vidéos de tabassage, mais aussi la diffusion de photos de nu. C’est une génération qui vit par l’image. S’il n’y a pas de photos, si les médias sociaux n’en parlent pas, cela n’existe pas. Ils photographient tout et c’est marquant : il n’y a pas encore de vraie prise de conscience des conséquences à long terme. Avec à la clé des phénomènes toxiques comme les comptes Gossip Girl et les vidéos de happy slapping (qui mettent en scène des agressions). Le harcèlement ne s’arrête plus à la fin des cours, mais se poursuit en ligne. Un enfant harcelé à l’école risque de l’être aussi sur l’internet. Ce qui renforce encore le sentiment d’impuissance chez l’enfant ou le jeune. En cas de harcèlement dans le cadre scolaire, les victimes peuvent en parler aux professeurs ou à leurs parents. Mais lorsqu’elles le subissent en ligne, elles ont plutôt l’impression d’être seules, parce qu’elles partent du principe que les adultes ne connaissent pas bien le fonctionnement des médias sociaux. Elles sont donc plus nombreuses à subir sans rien dire au lieu de s’adresser à la police ou de chercher des canaux d’aide. »
« La lutte en faveur de la vérité n’aura jamais été aussi intense que dans ce monde du deepfake. »
Jouer sur les émotions
Catherine : « Un autre phénomène enregistre une croissance énorme, c’est le cybercrime as a service. Des intervenants du monde entier transmettent leurs connaissances et leur savoir-faire au moyen d’outils qu’ils revendent, presque sur la base d’un abonnement, à des adolescents de 14, 15, 16 ans qui les utilisent pour empocher jusqu’à 150.000 euros en un week-end grâce au phishing. Comme ces connaissances sont diffusées dans tous les pays et qu’elles sont appliquées par des criminels locaux, le phishing devient plus efficace et plus professionnel qu’avant. Les courriels sont rédigés dans une langue parfaite et sont bien plus crédibles que les “Bonjour, je suis Samalia, du Nigéria. Votre cher oncle est décédé ici en vous léguant un héritage”. C’est ce qui est tellement intéressant avec la cybercriminalité : elle joue systématiquement sur les émotions humaines comme la cupidité, notamment l’envie de s’enrichir rapidement, mais aussi la solitude. C’est là qu’interviennent les arnaques aux sentiments, ou rom scams, qui voient des hommes extorquer de l’argent à des femmes. Une personne qui arrive à manipuler intelligemment les émotions de ses victimes peut gagner des sommes folles.
« C’est aussi caractéristique de notre société. Une chose peut être utilisée à mauvais escient ? Elle le sera à coup sûr. C’est comme ça depuis la nuit des temps. Les premières affaires de cybercriminalité remontent aux années quatre-vingt. La cybercriminalité a vu le jour dès l’instant où des ordinateurs ont été en mesure d’échanger des informations et ne cesse d’augmenter depuis. Elle a connu un essor incroyable à partir des années deux mille, puis un deuxième il y a dix ans. »
Renforcement de la cybersécurité
Pour lutter contre la cybercriminalité, Catherine en appelle à un renforcement de la cybersécurité. Du côté des opérateurs comme des citoyens.
Catherine : « La cybersécurité compte deux couches : le comportement et la technologie. La cybersécurité individuelle, au niveau de chacun d’entre nous, correspond à notre utilisation du numérique et à ce que nous mettons en œuvre pour nous protéger : paramètres de confidentialité, antivirus, etc., qui relèvent de la technologie, et notre comportement en ligne. Qu’est-ce que je publie, qu’est-ce que je garde pour moi ? Quel est mon degré d’activité sur l’internet ? Comment est-ce que j’envisage ma présence en ligne ? L’aspect du comportement se double donc toujours d’une composante technique.
« Par ailleurs, la cybersécurité, c’est aussi un système. Comment garder en sécurité ce qui nous est cher, tant au niveau de la collectivité, de l’État, de l’Europe que du monde entier ? Ce sont notamment les moyens que nous déployons pour prémunir nos enfants contre les groomers (adultes qui entrent en contact avec des enfants sur les médias sociaux dans le but de les rencontrer ou d’obtenir des photos intimes), les citoyens contre le phishing, nos hôpitaux contre les attaques au ransomware (un virus qui verrouille les bases de données d’utilisateurs, une rançon devant alors être versée pour récupérer la clé de déchiffrage), etc. Ce système conjugue les histoires individuelles et le collectif, mais aussi des comportements et, pour partie, une culture. Si la situation tourne mal, comment réagir ? Comment prendre en charge les victimes ? Comment les protéger ? Comment les accueillir ? Mais aussi, comment prévenir l’apparition de cyberdélinquants ? Pourquoi dans de nombreux dossiers ces cyberdélinquants sont-ils si jeunes ? Qu’est-ce qui les pousse sur ce chemin ? »
« Je vois le côté humain dans chaque dossier, c’est cela qui me fait avancer en tant que magistrate. »
Catherine : « Les paramètres de confidentialité améliorent la protection et le cloisonnement en ligne de la personne et de ses comptes. Ils sont positifs et présentent des avantages. Le mauvais côté, c’est qu’ils facilitent aussi la tâche aux criminels, soucieux d’effacer leurs traces. Ceux-ci montrent toujours plus d’audace, précisément parce qu’ils savent qu’ils sont bien protégés et qu’ils peuvent s’associer efficacement avec des intervenants aux quatre coins de la planète. Pour cambrioler une maison, une ou plusieurs personnes doivent y pénétrer afin d’en extraire un éventuel butin. En ligne, plusieurs personnes peuvent dévaliser des milliers de “maisons” en même temps, le profit est donc plus élevé et plus rapide. Avant, les cyberdélits ne touchaient qu’un nombre limité de victimes ; à l’heure actuelle, c’est la moitié de la population mondiale qui est concernée. L’hyperglobalisation et l’automatisation nous compliquent la tâche, d’autant plus que nous devons aujourd’hui gérer une dimension supplémentaire : l’intelligence artificielle, et surtout les deepfakes. C’est de là que viendra le prochain grand défi pour le ministère public et la justice en général : l’authenticité et la fiabilité des preuves. Comment garantir le caractère véritable des éléments de preuve ? La vérité est cruciale, mais la chercher et la trouver dans un monde de deepfakes devient très compliqué. La lutte en faveur de la vérité n’aura jamais été aussi intense que dans ce monde du deepfake. »
Gardes-chasses contre bad actors
Catherine : « Les solutions résident en partie du côté de la cybersécurité. Un grand nombre d’opérateurs, dont les banques, peuvent en faire beaucoup plus pour protéger le système. Le ministère public doit en quelque sorte faire office de garde-chasse pour débusquer les bad actors. Au sein du ministère public, nous collaborons étroitement avec plusieurs partenaires, notamment des banques, la police judiciaire fédérale et de grandes entreprises comme Meta et Google. Ce sont ces partenariats qui conditionneront notre victoire, ou notre défaite. Il y a des acteurs qui ont vraiment investi dans l’intelligence artificielle pour détecter tout ce qui a trait à l’exploitation d’enfants et retirer ces contenus plus rapidement de la toile. Mais il y en a aussi qui en font très peu. Améliorer cet état de fait, donner de la cohérence à l’ensemble, mettre en place des cadres de coopération, toutes ces démarches sont nécessaires pour lutter de manière structurée contre la cybercriminalité. Et la Belgique n’est pas la seule concernée. Chaque pays l’est.
« Parallèlement, il faut investir davantage dans la numérisation des dossiers, afin que nous puissions à l’avenir exploiter des technologies telles que l’intelligence artificielle (IA). D’autres pays proposent déjà de beaux exemples d’utilisation de cet outil pour repérer des clusters de délits sur le dark web. Pour le ministère public, l'IA peut apporter une valeur ajoutée particulière. Là tout de suite, je pense déjà à des milliers d’applications. Même si en bout de chaîne, un contrôle humain restera toujours indispensable, évidemment. Par ailleurs, il est essentiel d’investir dans des technologies spécialisées et dans des compétences pointues. Nous devons vraiment enregistrer de réelles avancées en la matière. Davantage de personnel et de moyens, y compris pour nos partenaires, dont la police judiciaire fédérale. »
Tous unis contre la cybercriminalité
Catherine : « Au parquet d’Anvers, nous avons une section entière consacrée à la cybercriminalité, car celle-ci y est considérée comme un défi important. Ce qui montre bien qu’au ministère public, on ne retrouve pas cette idée de “c’est juste en ligne, donc moins grave que dans le monde réel”. Au contraire. Par exemple, les jeunes magistrats du ministère public sont tenus de suivre une formation en cybercriminalité, qui aborde aussi la cyberviolence. Les magistrats doivent pouvoir comprendre ce qu’il se passe en ligne, sachant qu’ils se verront présenter toujours plus de photos ou de pièces numériques comme des conversations WhatsApp et qu’ils devront pouvoir en évaluer l’authenticité. De nombreuses personnes ignorent ainsi qu’il existe différents outils pour contrefaire entièrement des échanges sur WhatsApp. La numérisation n’est pas une mode, elle est plutôt comparable à la révolution industrielle. On pourrait se dire “ces voitures, c’est comme ça”, mais à un moment donné, il faut tout de même se rendre compte qu’un nouveau système s’est mis en place, avec de nouvelles lois et de nouvelles règles.
« La créativité d’un criminel peut être infinie, celle du ministère public l’est tout autant. »
« Pour certains délits, nous privilégions des méthodes alternatives destinées à sensibiliser les auteurs. Nous collaborons notamment avec la caserne Dossin quand nous avons des délits de haine. On trouve de très bons exemples également dans des pays étrangers. Les Pays-Bas ont par exemple conçu “Hack Right”, un parcours combinant un suivi et une formation en cybersécurité pour les jeunes qui commettent les cyberdélits les plus complexes. Ils sont généralement intelligents, mais dépourvus de diplôme et issus d’un milieu défavorisé. Grâce à la formation, ils décrochent enfin un titre officiel. Ils sont appréciés pour leurs capacités et réalisent qu’ils peuvent gagner beaucoup d’argent de manière légale. Il se peut même qu’ils travaillent un jour pour la Justice. Ou comment transformer du négatif en positif et éviter des milliers de victimes supplémentaires.
« Je terminerai en précisant qu’il y a aussi une responsabilité collective de la part de chacun d’entre nous. Nous devons élargir les connaissances générales et sensibiliser les jeunes comme les personnes âgées. Comment reconnaître un e-mail de phishing, par exemple ? Ou une fausse facture ? Comment envoyer des sextos sans se mettre en danger ? Nous baignons évidemment dans une culture où tout se passe de plus en plus en ligne. Les banques, notamment, évoluent vers une numérisation croissante. Ce qui suscite chez certains du désarroi ou une plus grande crédulité. Et lorsque les choses tournent mal, des drames financiers et humains peuvent survenir. C’est précisément ce que nous devons tenter d’éviter. Car si la créativité d’un criminel peut être infinie, celle du ministère public l’est tout autant. »
09.11.2023