Démasquer l'auteur d'une cyberattaque : l'exemple de l'affaire Free
En cas de cyberattaque, la victime peut demander en justice qu'il soit ordonné aux opérateurs de télécommunications, aux FAI et aux hébergeurs de lui fournir les données nécessaires à l'identification de l'auteur de l'attaque. C'est par exemple ce qu'a obtenu Free à l'encontre de Telegram dans une ordonnance de référé du tribunal judiciaire de Paris datée du 12 novembre 2024. Cette identification par la victime permet de mieux appréhender les suites à donner à la cyberattaque.
PublicitéAlors que l'Europe se dote actuellement d'un cadre législatif plus exigeant en matière de prévention contre le risque cyber (avec notamment la directive NIS2, le règlement sur la cyberrésilience), les attaques cyber atteignent un niveau record à la fin de l'année 2024. D'un point de vue juridique, les cyberattaques peuvent généralement recevoir une qualification pénale telle que, selon le cas d'espèce, l'atteinte aux systèmes de traitement automatisé de données, la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite, l'extorsion, le chantage, l'escroquerie, l'atteinte au secret des correspondances, ou l'usurpation d'identité par voie de télécommunication. La récente cyberattaque à l'encontre de l'opérateur de télécommunications Free illustre un aspect parfois négligé de la gestion de crise cyber, à savoir l'identification de l'auteur de l'attaque.
L'intérêt pour la victime d'identifier l'auteur de la cyberattaque
Il n'est pas toujours aisé pour la victime d'une cyberattaque d'identifier les auteurs de celle-ci. On pense généralement que l'identification de ces derniers est, de fait, réservée aux autorités pénales en charge d'une enquête. Magistrats et policiers disposent en effet d'un cadre juridique adéquat permettant d'identifier les auteurs d'infractions cyber. Ils sont bien mieux équipés juridiquement que les victimes sur ce point.
Malheureusement, au vu du nombre et de la complexité des cyberattaques, certaines affaires seulement, et non la majorité, seront instruites. Certains dossiers seront priorisés et d'autres resteront en attente. Des progrès ont certes été fait avec l'instauration et le renforcement des moyens de la section J3 du parquet de Paris. Mais l'augmentation de la menace systémique cyber est telle que les moyens restent insuffisants. Le temps nécessaire à l'enquête, les moyens consacrés par les pouvoirs publics et les suites qui y seront données ne vont pas satisfaire toutes les victimes de cyberattaques. Certaines peuvent ainsi à juste titre se sentir délaissées.
Un salarié licencié ou un prestataire mécontent
Pourtant n'oublions pas que parfois les auteurs des attaques sont beaucoup plus proches de leurs cibles qu'on ne le croit. Les menaces internes de cyberattaques, provenant par exemple d'un salarié licencié ou encore d'un prestataire mécontent à la suite du non-renouvellement d'un marché, sont réelles. Ces menaces peuvent être guidées par un esprit de vengeance aigu ou un sentiment d'injustice. L'entreprise de cybersécurité Kaspersky révélait d'ailleurs en janvier 2024 que plus d'un quart des incidents liés à une erreur humaine seraient causés par des comportements malveillants délibérés de la part d'employés.
C'est pourquoi l'identification des auteurs de la cyberattaque par la victime peut alors être judicieuse. Cela lui permet de ne pas être totalement dépendante de l'enquête pénale en cours. En identifiant précisément l'auteur, elle peut alors alimenter le dossier pénal, inciter les autorités à faire des recoupements avec d'autres affaires, voir même les inciter à démarrer ou à poursuivre leur enquête.
PublicitéEn connaissant l'identité des attaquants, la victime peut aussi envisager autrement l'opportunité ou non de payer une rançon, et même celle d'intenter une action civile en réparation de son préjudice subi par la cyberattaque. Bien entendu, la pertinence d'une telle action en réparation doit être évaluée, notamment eu égard aux coûts associés à la procédure, à la solvabilité des attaquants et des possibilités d'exécuter ou non la décision de justice dans le pays où ils se situent
L'analyse des traces informatiques déposées par les cyberattaquants
Sur le terrain, toutes les actions réalisées par les cyberattaquants via les outils technologiques laissent des traces, et il n'est dès lors pas impossible de les identifier. La première étape est donc d'analyser les traces déposées sur son propre système d'information à la suite de la cyberattaque, et d'interroger ses éventuels sous-traitants à ce sujet. Cette analyse n'est pas toujours aisée et peut même s'avérer infructueuse. Si les traces sont inexploitables ou insuffisantes, il est aussi possible que des traces aient été laissées chez un tiers impliqué dans la cyberattaque d'une façon ou d'une autre, comme le montre la récente affaire Free.
Dans cette affaire, le pirate a essayé d'obtenir le paiement d'une rançon de 10 millions d'euros par l'envoi de quatre messages, trois sur la plateforme déléguée à la protection des données personnelles, et un adressé par l'intermédiaire de la messagerie électronique Telegram. Il convient de préciser que Telegram est tenu, en tant qu'opérateur de communication électronique, de conserver les données d'identification de ses utilisateurs pendant une durée de cinq ans pour les besoins des procédures pénales.
L'assignation de Telegram par Free
Free a alors assigné la société Telegram le 31 octobre 2024 devant le juge des référés afin que cette dernière lui communique tous les éléments permettant d'identifier l'auteur du message de rançon. Free a fondé sa demande sur l'article 145 du code de procédure civile, lequel permet d'ordonner des mesures d'instruction s'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige.
Par une ordonnance de référé du 12 novembre 2024, le tribunal judiciaire de Paris a ordonné à la société Telegram de« communiquer aux sociétés Free et Free mobile, pour les besoins des poursuites pénales, dans un délai de 48 heures à compter de la signification de la présente ordonnance, toutes les données d'identification de la personne qui a créé le compte de la messagerie ayant permis d'envoyer le message litigieux [...], notamment : le numéro de téléphone de cette personne, la ou les adresses IP qui ont pu être recueillies lors de la création du compte Telegram et de l'envoi de ce message, ainsi que les ports-source desdites adresses IP, toutes informations utiles à l'identification de la personne recherchée, [...] Toutes informations [...] qui pourraient se rapporter à tout autre nouveau compte ou fonctionnalité de messagerie Telegram qui seraient utilisés par le pirate ».
Les obligations de conservation des données
Les opérateurs de communication électronique, les fournisseurs d'accès à internet et les fournisseurs de services d'hébergement sont tenus de conserver un certain nombre de données qui peuvent être déterminantes pour identifier l'auteur de l'attaque. A noter que le périmètre des fournisseurs de service d'hébergement a récemment été élargi par le règlement (UE) 2022/2065 sur les services numériques et la loi n°2024-449 du 21 mai 2024 dite « SREN », et inclut désormais les plateformes comme Facebook, Youtube ou X.
Ces obligations de conservation de données sont prévues par l'article 6 de la loi n°2004-575 du 21 juin 2004 dite « LCEN » modifiée, et par le code des postes et des télécommunications. En application des articles L34-1 II bis et R10-3 du code des postes et des télécommunications, les informations relatives à l'identité civile de l'utilisateur (nom et prénom, date et lieu de naissance, raison sociale, adresses postales, adresses de courrier électronique, numéros de téléphone) doivent être conservées pendant cinq ans pour les besoins des procédures pénales ou de la préservation de la sécurité publique et nationale. Les informations fournies par l'utilisateur lors de la souscription d'un contrat ou la création du compte (identifiant utilisé, pseudonymes, données destinées à permettre à l'utilisateur de vérifier son mot de passe ou de le modifier) doivent être conservées pendant un an à compter de la fin du contrat ou de la clôture du compte. Les informations relatives au paiement (type de paiement utilisé, référence du paiement, montant, date, l'heure et le lieu en cas de transaction physique) doivent aussi être conservées pendant un an à compter de la fin du contrat ou de la clôture du compte.
Toutes ces obligations sont susceptibles d'être demandées aux opérateurs de communication électroniques, fournisseurs d'accès ou de services d'hébergement pour les besoins d'une cyberattaque. D'ailleurs, ils ne peuvent pas prétendre ne pas conserver ces données, sous peine de se rendre eux-mêmes coupable d'une infraction pénale. Ces obligations de conservation des traces peuvent ainsi se révéler particulièrement utiles dans le cadre d'une procédure judiciaire. Si la victime ne peut directement exploiter les traces auxquelles elle a directement accès, elle peut contraindre les opérateurs de communication électronique, les fournisseurs d'accès à internet et de services d'hébergement à lui délivrer les informations permettant d'identifier les auteurs de l'attaque.
Article rédigé par
Benjamin Greze, Avocat à la cour, associate Pinsent Masons France LLP
Benjamin Greze est titulaire d'un master 2 de l'université de Toulouse Capitole et d'une spécialisation "LLM in intellectual property and information law" du King's college de Londres. Il assiste les entreprises françaises dans toutes leurs problématiques transactionnelles, précontentieuses et contentieuses relatives à l’IT sur un large éventail de sujets tels qu'internet, le commerce en ligne, le secteur des jeux et des paris, les données personnelles, la cybersécurité, le droit de la consommation, ainsi que les contrats IT et le droit commercial.
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire