Les spécialistes :
- Jeffrey Thomson, analyste de renseignements criminels, Centre antifraude du Canada, North Bay (Ont.)
- Surint. pr. Jeff Adam, Directeur général des Services d'enquêtes techniques, Ottawa, GRC
- Bessie Pang, directrice administrative, The Society of the Policing of Cyberspace (POLCYB), Richmond (C.-B.)
Jeffrey Thomson
La cybercriminalité n'a rien de nouveau. Pourtant, aujourd'hui encore, on entend des choses comme « y a peu de chances de pouvoir faire une arrestation », « on n'extradera pas vers le Canada », « c'est en dehors de notre territoire de compétence », « la preuve est à l'étranger » ou « les ressources nous manquent ». Ces commentaires reflètent-ils fidèlement notre connaissance de la cybercriminalité et notre capacité à enquêter? Ou s'agit-il d'autre chose?
Malgré l'article 7 du Code criminel, qui autorise les tribunaux canadiens à connaître de certaines infractions comme si elles avaient été commises au pays, d'aucuns estiment que la législation canadienne ne permet pas de faire enquête sur les infractions extraterritoriales.
Ces difficultés ne datent pas d'hier. Des études et évaluations relatives à la cybercriminalité réalisées entre 2007 et 2009 nous avertissaient que l'expansion mondiale des usages d'Internet s'accompagnerait d'une hausse de la cybercriminalité, et elles prédisaient que les nouvelles technologies, les logiciels, les maliciels, la sécurité des systèmes informatiques, l'anonymat et les questions de compétence légale poseraient des difficultés à la police, qui aurait besoin de plus de ressources pour enquêter sur ce genre d'affaires. Or voici que, près de dix ans plus tard, nous sommes toujours aux prises avec les mêmes enjeux.
Quel est le nœud du problème? Pour beaucoup de corps de police, c'est une question d'effectif et de connaissances. Les policiers qui font face à un cas de « rançongiciel » ou d'intrusion dans des courriels d'affaires sont censés enquêter et recueillir des déclarations et des preuves alors que, bien souvent, ils n'ont jamais traité ce genre d'infraction et n'y comprennent pas grand-chose.
Même lorsqu'ils ont pu monter un dossier solide, beaucoup sont réduits à se demander « et maintenant, qu'est-ce qu'on fait? » parce que, par exemple, l'argent a été envoyé à l'étranger, les courriels ou les faux sites Web sont hébergés à l'étranger, la drogue saisie a été achetée sur le Web invi-sible ou les malfaiteurs se trouvent dans un autre pays.
La police canadienne a-t-elle les outils et les pouvoirs qu'il faut pour traquer les contrevenants? Et aurait-elle l'appui du système de justice pénale, qui est déjà surchargé, qui est lui aussi mal équipé pour régler les affaires de cybercriminalité et que beaucoup de policiers jugent trop indulgent envers les fraudeurs en ligne et autres cybercriminels.
En 2014, le gouvernement canadien a édicté la Loi sur la protection des Canadiens contre la cybercriminalité. Cette loi, qui selon certains sert à incorporer au droit canadien les obligations stipulées dans la Convention de Budapest sur la cybercriminalité (2001), a été adoptée pour accroître les pouvoirs d'enquête de la police relativement aux activités en ligne. Mais qu'en est-il résulté? Est-ce la majorité des policiers qui connaissent et comprennent la nouvelle loi?
La question à poser n'est donc peut-être pas tant celle de savoir quel est le plus grand défi que la cybercriminalité lance à la police que celle de savoir pourquoi la cybercriminalité est devenue si difficile à réprimer. La réponse type à la première question évoque la mise en place, à chaque niveau du travail policier, d'activités de formation, de ressources et de capacités, y compris les connaissances. Quant à la seconde question, elle nous invite à repérer les secteurs à améliorer où de modestes investissements suffiraient à combler les lacunes actuelles du renseignement.
Surint. pr. Adam
Les principes de police formulés par sir Robert Peel en 1829 datent d'une époque où la victime, le contrevenant et les autorités policières et judiciaires se trouvaient tous au même lieu. Le premier principe – prévenir la criminalité et le désordre – reposait sur le caractère local du crime et sur l'aptitude de la police à remplir sa mission de faire respecter la loi et l'ordre.
Vous voyez où je veux en venir. Le mandat officiel de la police, qui consiste à maintenir l'ordre, à prévenir la criminalité, à recueillir des preuves, à arrêter les délinquants et à les traduire en justice, est mis à rude épreuve par les réalités du monde globalisé d'aujourd'hui. Le contrevenant se trouve presque toujours dans un autre pays; or les frontières géopolitiques, qui ont durant des siècles servi l'intérêt des nations, sont sans objet dans le cyberespace. Et accorder la primauté au respect de ces frontières revient à nier l'utilité d'Internet pour le commerce, l'éducation et les échanges culturels internationaux.
La culture policière canadienne a pris forme au fil du temps : prévenir le crime, maintenir l'ordre, recueillir des preuves et livrer l'accusé à la justice. L'essentiel de nos ressources a été employé à produire les livrables liés à ces fonctions, et c'est dans les deux dernières de la liste qu'il est le plus facile de mesurer les résultats obtenus. Il est beaucoup plus aisé de faire rapport sur les infractions, les arrestations, les déclarations de culpabilité et les acquittements que de rendre compte du nombre de crimes prévenus ou de l'aide qui a été apportée aux victimes.
Mais dans le cyberespace, il est nettement plus difficile d'arrêter les coupables et de les traduire en justice. Si la police est incapable d'attraper les délinquants, d'autant plus d'efforts doivent être consacrés à la prévention et à l'aide aux victimes, d'où cette question : la police est-elle la mieux placée pour remplir ces fonctions? Je crois qu'il faut, pour y répondre, adopter une perspective embrassant toute la société, car la façon traditionnelle et éprouvée de s'attaquer au crime ne peut être efficace dans le cyberes-pace. La police ne résoudra pas ce problème toute seule.
D'autres difficultés entravent les enquêtes sur les cybercrimes. Où est la preuve? Lorsqu'un pirate informatique accède à des données stockées dans le nuage, où l'infraction a-t-elle lieu? Et qui a compétence pour enquêter?
Internet a complètement bouleversé notre quotidien et notre façon d'échanger les uns avec les autres. C'est en travaillant ensemble à relever les défis que présente la cybercriminalité que nous pourrons amener les citoyens à faire la police dans le cyberespace à la place des policiers.
Bessie Pang
Dans le monde branché d'aujourd'hui, le grand écheveau de l'Internet des objets (IdO) perfuse tous les aspects de la vie quotidienne, du frigo ou thermostat intelligent au matelas intelligent qui s'ajuste pour maximiser le confort du dormeur. D'après un rapport de Berg Insight, l'Europe et l'Amérique du Nord comptaient en 2015 17,9 millions de « maisons intelligentes ». D'ici 2020, l'Amérique du Nord en comptera 46,2 millions, soit 35 p. 100 de l'ensemble des foyers.
Le consommateur est constamment poussé à monter à bord du train rapide des outils intelligents. Prompt à adopter divers appareils intelligents à la maison ou au travail pour simplifier ses tâches quotidiennes, il est souvent peu vigilant à l'égard des vulnérabilités techniques qui pourraient prêter le flanc à l'attaque d'un cybercriminel ou d'un pirate informatique.
En général, au moment de faire un achat qui touche à l'IdO, le consommateur ne cherche pas à savoir si l'objet intelligent de son choix accepte les correctifs – or c'est justement là le genre de questions qu'il devrait poser quand il se renseigne sur des produits.
Le risque d'être victime d'un cybercrime est plus élevé chez certains groupes sociaux comme les aînés, les immigrants et les réfugiés en raison des barrières physique, sociale, linguistique et culturelle qui les séparent des sources d'information sur la cybercriminalité. Par exemple, un aîné à mobilité réduite peut maintenant recourir à divers dispositifs médicaux lui permettant de conserver son autonomie, certains transmettant des données en temps réel au médecin traitant, d'autres avisant un proche aidant par texto, courriel ou téléphone chaque fois que l'aîné saute un repas. Il existe même un vêtement intelligent qui active des coussins gonflables lors d'une chute.
Attiré par les avantages évidents du dispositif médical intelligent, le patient n'a probablement pas demandé au médecin en quoi un accès illicite au dispositif risquait de mettre sa santé en péril, surtout dans une situation d'urgence.
Amener les consommateurs à prendre des décisions éclairées après avoir soupesé les risques et avantages que présentent les produits touchant à l'IdO peut s'avérer salutaire dans les cas où l'appareil intelligent cesse de fournir des solutions intelligentes.
POLCYB est un organisme international à but non lucratif qui vise à accroître la collaboration public-privé en vue de faciliter la diffusion d'informations relatives aux politiques, aux stratégies et aux pratiques exemplaires de prévention, de détection et de répression de la cybercriminalité.
POLCYB s'emploie en outre à sensibiliser la population à l'égard de la cybercriminalité. Pour POLCYB, le principal défi consiste à faciliter l'accès du public à l'information disponible sur la vulnérabilité de l'IdO eu égard aux crimes informatiques. Il est donc essentiel d'élaborer des stratégies de sensibilisation qui intègrent des modes efficaces de prestation de services.
En plus de promouvoir l'action de partenariats public-privé dans l'éducation du public, il est crucial d'obtenir la collaboration d'organismes communautaires. On pourrait inciter ceux-ci, qu'il s'agisse de services de counselling, de services de réinstallation des immigrants, de résidences-services ou de centres communautaires, à collaborer avec les organismes d'application de la loi et leurs partenaires de l'industrie en vue de transmettre l'information visant à prévenir la cybercriminalité sous une forme adaptée à leur clientèle respective. Une fois le prestataire de services dûment formé à prévenir la cybercriminalité, il peut agir comme foyer d'information et instruire ses clients de manière informelle.
L'éducation du public est un aspect important de la prévention de la cybercriminalité, mais les organismes d'application de la loi ont besoin du soutien des groupes communautaires. Et à mesure que l'IdO pénétrera dans tous les secteurs de la société, il deviendra de plus en plus impératif de favoriser le développement continu des capacités communautaires.