Espionnage économique

 

Table de matières:

I.    Introduction

II.  Difficultés des organes de poursuite pénale dans la lutte contre  l’espionnage économique

III. Méthodes

IV. Espionnage sur le web (dans le cyberespace)

V.  Protection

 

I.    Introduction

 Actuellement, le mot «espionnage» est considéré par la plupart des citoyens comme quelque chose qui appartient au passé (Mata Hari, Richard Sorge, James Bond …), ce qui est parti avec la chute du mur de Berlin et la fin de la guerre froide. Malheureusement, on est loin de là. Si l’espionnage dit «classique» s’est bien estampé, celui dit économique a pris de l’ampleur. C’est bien de ce dernier qu’on parlera ici.

 M. Christian-Nils Roberts a dit que «si, dit-on, chaque société a les criminels qu’elle mérite, il est bon d’affirmer préalablement que chaque société a la délinquance d’affaires qu’elle veut, et que donc chaque pays, chaque phase économique ou chaque régime politique peut donner de cette délinquance des définitions, des images et un contenu qui leur seront propre. Pour ce faire, songeons un instant aux antipodes suivants: les systèmes juridiques qui connaissent par tradition la responsabilité des personnes morales face à ceux qui le découvrent et l’encouragent actuellement, les pays soumis à des phases économiques de plein emploi face à ceux qui subissent des récessions (…)»[i]. Ecrites avant un quart de siècle, ces phrases sont, à l’heure actuelle, d’une actualité certaine, car la crise économique fait rage partout au monde, la notion de la criminalité économique au niveau mondial reste inconnue et les sociétés multinationales ainsi que les grandes banques jouent le rôle du pyromane sur les marchés mondialisés.

 Malgré toutes ces différences, la grande majorité des Etats ont accepté une incrimination visant à protéger certains biens (informations confidentielles), en les cachant des yeux des tiers. Malheureusement, en pratique, ces mêmes Etats ou les entreprises qui protègent leurs informations, en les déclarant confidentielles, ouvrent de grands yeux pour voir ce que cachent d’autres personnes (Etats, entreprises, voire les citoyens). Ainsi, pour protéger certaines informations jugées utiles pour l’économie (renseignements), les Etats ont inscrit dans leurs codes pénaux respectifs une infraction appelée en doctrine l’espionnage économique ou industriel.

 Alors que l’espionnage «classique» est connu depuis que l’Etat existe, celui dit «économique» s’est développé avec la société industrielle et le développement des affaires au niveau mondial (commerce, services, finances, puis récemment informatique…). Néanmoins, depuis que les hommes pratiquent certains métiers, ils étaient obligés de protéger leur savoir faire. «Du métier à tisser à la poudre à canon en passant par les nouilles, l’élevage du ver à soie ou l’horlogerie maritime, il n’est pas un secteur d’activité qui ne soit aujourd’hui l’héritier d’un savoir-faire « piqué » aux autres. Pour autant, avec la mondialisation des échanges commerciaux, l’espionnage économique, tout comme le patriotisme économique, apparaît comme la dérive symptomatique d’un système fondé sur la domination plutôt que sur le partage»[ii]. «Dans un environnement mondialisé et fortement concurrentiel, la maîtrise de l’information joue un rôle déterminant dans les prises de décision destinées à conquérir de nouveaux marchés (…) Tous les coups sont permis dans la guerre que se livrent les entreprises ou les Etats pour s’approprier des renseignements ciblés sur les concurrents, les secteurs dits stratégiques, les technologies»[iii].

 Quant aux méthodes utilisées dans le domaine d’espionnage économique, elles sont les mêmes que celles existant dans l’espionnage «classique» (étatique ou militaire). Si l’on voulait vulgariser cette comparaison, on dirait que l’espionnage «classique» vise l’Etat (sécurité nationale), alors que l’espionnage économique vise l’économie (entreprises), mais cela n’est pas tout à fait exact, car l’économie est autant importante pour l’Etat que pour la sécurité nationale.

 Quant à cette comparaison, une particularité est liée à l’espionnage économique. Alors qu’avant quelques décennies, le contre-espionnage était l’affaire de l’Etat (services étatiques et militaires), actuellement, la plupart des entreprises, surtout celles de grande taille ont leur propre anti-espionnage. On verra plus loin qu’en pratique cette notion, souvent appelée l’ »inteligence économique » ne diffère guère de l’espionnage économique. Il ne faut tout de même pas croire que l’Etat a complètement abandonné cette activité. Elle l’utilise plutôt «accessoirement» et en fonction de l’importance des informations (renseignements) à protéger[iv].

 Le malaise quant à l’interprétation de deux notions (espionnage et intelligence économique) réside dans le fait que certaines entreprises exagèrent en se livrant à l’espionnage même de leurs actionnaires et cadres. Ainsi, par exemple, dans un cas où un actionnaire a été espionné par des détectives privés, par une «espionne» chargée de faire parler l’actionnaire, l’installation de balises de localisation sous le véhicule du membre de la direction, et d’un microphone dans un bouquet de fleurs (… )[v]. Il ne faut tout de même pas croire que l’espionnage touche uniquement les hauts dirigeants des entreprises. «Il y a par exemple un grand intérêt pour les employeurs à s’intéresser aux données sur l’état de santé et la constitution de leurs salariés – et bien sûr, sur la potentialité des femmes salariées à devenir enceinte ou pas (…) ce qui a incité le syndicat DGB de, dans son appel à la manifestation contre « la surveillance totale des citoyens et salariés », dénoncer une facette supplémentaire de ce qu’il appelle le « Turbokapitalismus » en constatant que «les écoutes téléphoniques, la surveillance par vidéo, l’espionnage qui ont été dévoilés ces derniers mois montrent que les entreprises ne considèrent leurs salariés que comme des outils de production, dont la sphère privée est piétinée»[vi].

 L’objectif de cet article n’est pas de donner une définition exacte de l’espionnage économique, ni une liste exhaustive de modes opératoires (méthodes relatives à la récolte d’informations/données protégées de cette sorte d’espionnage). Son rôle est de vous faire connaître tous les dangers qu’y sont liés, de montrer aux lecteurs, surtout ceux qui sont des utilisateurs du web (web espace ou cyberespace ou Internet) quels dangers ils peuvent courir dans la vie quotidienne, dans différentes relations (travail, voyage, contacts liés aux affaires, à l’échange d’étudiants, de scientifiques, d’organisation de colloques et de congrès internationaux et surtout de l’utilisation imprudente d’Internet). Or, ce dernier, malgré le fait de représenter un outil très important pour notre vie, cache beaucoup de dangers, beaucoup de «prédateurs» qui se promènent dans cette espace et sont prêts à nous porter préjudice, en abusant des informations qu’on a laissées sciemment ou inconsciemment sur cet espace.

 

 II.   Difficultés des organes de poursuite pénale dans la lutte contre l’espionnage économique

 L’activité criminelle relative à ce groupe d’infractions se situe dans le domaine des relations d’affaires, mais l’entreprise, son organisation, son activité commerciale et sa protection y jouent un rôle important. L’entreprise elle aussi peut être l’auteur de certaines infractions, ce qui lui donne un double rôle: victime et auteur de l’infraction. Quant à l’espionnage économique, cette «double casquette» (être l’auteur et la victime de cette infraction) est incompatible et ces deux rôles ne peuvent pas être cumulés[vii]. Donc, l’entreprise ne peut pas être à la fois l’auteur et la victime de l’espionnage économique. Par contre, ses dirigeants et employés le peuvent. Ils travaillent pour l’entreprise lésée et livrent les informations protégées (confidentielles) à une autre.

 Etant donné que l’espionnage économique est considéré comme un «délit politique», une entraide pénale internationale dans ce domaine n’est pas possible[viii]. Cela étant, même si l’«acheteur» des informations protégées se trouve dans les États qui collaborent bien avec les autorités de ce pays, l’autorité suisse ne peut pas exiger de l’autorité étrangère qu’elle effectue certaines opérations comme la perquisition, la saisie de documents, de procéder à des mesures, etc. Vu la nature politique de l’infraction, même si l’entraide pénale internationale était possible, la demande d’entraide ne s’avèrerait pas très utile, car l’autorité judiciaire du pays où se trouve le prévenu, l’objet de l’enquête pénale, ne voudrait pas exécuter, ou ne voudrait pas exécuter correctement, les opérations et les mesures requises par l’autorité pénale étrangère.

 Dans le cadre des poursuites pénales, étant donné que l’espionnage économique représente une infraction impliquant un nombre restreint de personnes, «sans témoin» et «sans trace», le meilleur résultat s’obtient par l’application des moyens techniques permettant l’observation ou d’autres moyens susceptibles d’être utilisés plus tard. Il faut y ajouter la surveillance des télécommunications y compris l’accès à Internet, la surveillance des relations bancaires et les autres mesures qui en principe restreignent les droits personnels.

 Le problème réside dans le fait qu’on doit agir «à distance» et enquêter sur la ou les personnes se trouvant dans d’autres Etats hors de la juridiction qu’applique l’enquêteur. Cette façon de procéder représente un obstacle pour l’auteur de l’infraction (espion), mais qui peut être surmonté plus facilement car il n’est pas obligé d’appliquer les méthodes licites. Les auteurs de ces infractions utilisant eux aussi les moyens techniques, mais de façon illicite et, par rapport aux autorités de poursuite (police, ministère public, juge d’instruction…), ne sont pas limités par différentes autorisations des autorités judiciaires.

 

 III.  Méthodes

 Dans le domaine de la récolte d’informations protégées, leurs auteurs utilisent les méthodes légales mais aussi illégales. Selon certains, la majorité des informations s’obtient sans difficulté et tout à fait légalement[ix]. Cela se fait en violation de confidentialité, en utilisant la corruption (pot-de-vin), le chantage, la surveillance électronique, l’infiltration, voire la violence ou autrement. On sait aussi que les méthodes «légales» sont «à moitié légales» car une réglementation internationale du web, applicable à tous les Etats du monde, n’existe pas. D’après ce critère, on pourrait estimer qu’une information sur trois provient d’une source pas très légale, voire illégale. Peu importe si derrière l’information protégée se trouve un journaliste (elle est publiée dans la presse), un internaute (elle est trouvée sur le web), si elle est récoltée dans le cadre d’un benchmarking[x] ou autrement.

 Selon certains, l’intervention des services de renseignements est peut être une perte de temps et d’argent, vu la nature «apatride» des multinationales.[xi] Néanmoins, malgré le fait que dans une certaine mesure l’informatique a «remplacé» l’espion, ces services étatiques n’ont pas complètement abandonné le domaine économique.

 En fait, si les services de renseignements sont obligés, à cause de la réduction progressive des budgets de certains pays et du progrès technologique en matière de recherches qui permet l’accès aux informations (Internet), de réduire leur activité dans ce domaine, «soucieuses de surveiller la concurrence et de prévoir ses réactions, de plus en plus d’entreprises créent en leur sein des war rooms et de véritables petits services de renseignements»[xii]. Beaucoup d’anciens agents de ces services sont engagés par les entreprises ou ont créé leurs propres entreprises ou cabinets de sécurité, de consulting ou autrement. Ces agents ont gardé de bonnes relations avec leurs anciens collègues restés en service ainsi qu’avec leurs réseaux d’informateurs ce qui leur permet un accès facile aux différentes entreprises et informations. Dans certains cas, ils engagent les membres d’une entreprise pour espionner une autre, ce qui les «écarte» de toute suspicion.

 À part cette catégorie de «spécialistes de sécurité d’entreprise», les entreprises engagent aussi d’anciens policiers (commissaires, inspecteurs, analystes…). «Leurs clients: les entreprises bien sûr, mais, de plus en plus souvent, les grands cabinets d’avocats[xiii], les banques, d’autres sociétés de renseignements, voire – quand leur taille et leur réputation les y autorisent – les gouvernements»[xiv].

 Comme il est difficile de changer radicalement de mode de travail, dans le cadre de leurs nouvelles activités, ces personnes utilisent les méthodes appliquées par leurs services de renseignements. Néanmoins, eux mêmes agissent rarement, ils ont plutôt recours à d’autres personnes qu’on ne soupçonne pas ou qu’on soupçonne moins. Ainsi, par exemple, pour poser un micro pour écouter certaines personnes, ils utilisent non seulement les détectives privés, mais aussi les clients et partenaires de l’entreprise cible, les collaborateurs, les nettoyeuses, les agents de sécurité, les faux cambrioleurs, les facteurs, les électriciens, les décorateurs, les réparateurs, les consultants, etc.

 Si la motivation d’espionne est en principe de profiter de l’occasion pour gagner de l’argent, elle pourrait être de nature «purement commerciale», une activée qui dure, un métier. Ainsi, par exemple, en juin 2006, le FBI a arrêté deux personnes travaillant pour une société américaine. Ils ont crée une société «dans le but de développer et vendre des produits utilisant les secrets industriels volés» [xv].

 

 IV. Espionnage sur le web[xvi]

 L’activité d’espionnage économique existe depuis que l’économie est apparue. Pourtant, depuis l’utilisation accrue d’Internet dans les entreprises, l’espionnage économique devient une des principales activités des cybercriminels. Un rapport fait par Mcafee, en partenariat avec l’entreprise Scien Applications International Corporation (SAIC), montre l’existence d’«un accroissement significatif des activités d’espionnage industriel via Internet aux fins de dérober des secrets commerciaux ou de la propriété intellectuelle dans les entreprises. Il indique que ce domaine tend à devenir la priorité des hackers. Plus ennuyeux, il devient extrêmement difficile de faire la différence entre des personnes effectivement autorisées à consulter ces données et des pirates (…) Les attaquants disposent souvent d’identifiants parfaitement valides qui leur permettent d’infiltrer les réseaux en toute impunité»[xvii]. Selon F. Moser et M. Borry, «l’information est passée du stade d’outil à celui de matière première, de produit qui se vend et qui s’achète et les services secrets ne servent plus à rien dans ce domaine»[xviii]. Cela oblige les établissements privés (entreprises, banques, cabinets et autres) de s’en occuper de plus en plus sérieusement.

 L’informatique joue un rôle important dans le domaine de l’espionnage économique («attaque» et «défense»). On vient de voir son importance pour la violation des secrets commerciaux ou d’affaires, mais elle est aussi importante dans le domaine de la lutte contre l’espionnage économique: trouver des traces, surveiller une adresse IP (internet protocol), etc. Néanmoins, le facteur humain ne peut pas et ne doit pas être négligé. Or, la machine (ordinateur, Smartphone, téléphone portable ou autre appareil) ne peut pas aller sur le terrain et vérifier tous les contacts des personnes ayant connaissance des données représentant de tels secrets et les visites effectuées à l’entreprise lésée, interroger les gens, perquisitionner les appartements ou d’autres pièces et effectuer d’autres opérations et mesures. Cela étant, pour élucider des cas criminels relatifs à l’espionnage économique, il n’y a que l’homme qui est capable de le faire. Et cet homme (investigateur ou enquêteur qu’on nomme ici «criminaliste») utilise l’informatique comme un outil de travail qui l’aide beaucoup. Sur le web il peut trouver pas mal de renseignements. Par exemple, comment l’auteur a eu connaissance des données protégées, comment il a eu l’accès à Internet (depuis son ordinateur ou depuis l’ordinateur d’une tierce personne, depuis son téléphone portable), comment et quand il a détourné les e-mails, etc. Une analyse du disque dur lui montrera tous les contacts effectués depuis un ordinateur et beaucoup d’autres renseignements très utiles. Il analysera non seulement le disque dur du suspect, mais aussi celui de la victime, voire d’autres personnes dont le système informatique a été usurpé et a servi pour «brouiller» les pistes. Dans le cas où la victime a récemment changé d’ordinateur, il vérifiera ce qu’il a fait avec l’ancien, s’il l’a vendu ou remis à la déchetterie, s’il a effacé le contenu du disque dur et avec quoi. Il utilisera certains programmes qui sont capables de récupérer les textes, les images et d’autres données effacées ou modifiées et de les rétablir, etc. Enfin, les organes de poursuite utilisent eux aussi des chevaux de Troie pour surveiller les ordinateurs des suspects.

 Le cyberespace (web, Internet) doit être considéré comme un espace international. Or, un internaute peut agir de n’importe quel coin du monde et porter préjudice à une entreprise, à un Etat, voire à un citoyen, dans un autre coin du monde éloigné de milliers de kilomètres, ce qui exige une protection de cet espace au niveau mondial. Malheureusement, s’agissant de l’utilisation du cyberespace, il faut dire que la protection d’Internet demeure peu assurée. Or, la Convention internationale sur la cybercriminalité[xix] n’est ratifiée que par une poignée de pays (32 ratifications et adhésions au 1er janvier 2012)[xx]. Si l’on se rend compte que l’ONU compte 193 Etats, et que les grands pays comme la Chine, l’Inde, l’Indonésie, la Russie, le Brésil, l’Argentine, le Mexique, le Canada, l’Australie ou d’autres ne l’ont pas ratifiée, il y a de quoi s’inquiéter.

 Ce qui est inquiétant dans ce domaine, c’est le manque de volonté d’avoir une législation (une loi) qui régirait le web. Un forum tenu les 24 et 25 mai 2011 à Paris, auquel ont participé les stars du web, représentant Facebook, Google, Microsoft, Twiter, Wikpedia et autres géants présents sur Internet, a préparé la déclaration pour le sommet G8, qui a eu lieu les 26 et 27 mai 2011 à Deauville, France.

 Déjà, lors dudit forum tenu à Paris, la majorité des participants ont trouvé que «dans la plupart des cas, ces actes sont condamnés par les législations nationales et, aussi virtuel soit-il, le monde numérique n’échappe pas aux lois (…); qu’avec le développement rapide de l’informatique « dans le nuage », il est impossible de savoir dans quel pays se situe le serveur où sont stockés les fichiers (…); que ces fichiers sont souvent sauvegardés dans plusieurs centres de données à la fois (…) ce qui rend impossible de savoir quelle législation appliquer et, surtout, comment poursuivre de manière efficace les hors-la-loi»[xxi].

 La déclaration adoptée lors du sommet du G8 à Deauville n’est pas allée plus loin. Dans le ch. II de la déclaration, on rappelle l’utilité d’Internet pour les citoyens, les entreprises, les Etats comme un levier majeur pour l’économie mondiale, mais une législation international d’Internet y fait défaut. Elle mentionne l’importance de la protection effective des données à caractère personnel et de la vie privée sur l’Internet, ainsi que la sécurité des réseaux et des services sur l’Internet, mais selon les auteurs de la déclaration c’est un enjeu pour toutes les parties prenantes: utilisateurs, fournisseurs d’accès, États, instances de régulation. Dans le point 17 de ce chapitre II, on parle de l’«importance cruciale de promouvoir la sensibilisation des utilisateurs et qu’il est nécessaire de renforcer la coopération internationale afin de protéger les ressources vitales, les technologies de l’information et de la communication et d’autres infrastructures connexes. Le fait que l’Internet puisse être utilisé à des fins contraires aux objectifs de paix et de sécurité et porter atteinte à l’intégrité des systèmes d’importance critique, demeure une source de préoccupation». On dit aussi que «les États ont un rôle à jouer, éclairés par un large éventail de parties prenantes, pour contribuer à la définition d’approches communes et de règles pour l’utilisation du cyberespace», mais on ne dit pas que les Etats devraient ratifier la Convention internationale sur la cybercriminalité pour obliger ces «parties prenantes» à utiliser correctement le cyberespace ou adopter un autre acte législatif susceptible de mettre un peu d’ordre sur le cyberespace.

 Et la cybercriminalité, y compris l’espionnage économique, continue à faire rage sur le cyberespace (la Toile, Internet), comme si cet état convenait aux participants desdites réunions, même si, comme nous le verrons plus loin, elle touche très sérieusement certains Etats, dont ceux faisant partie du club G8.

 A part les entreprises, le cyber espionnage concerne aussi les Etats. Ainsi, par exemple, par son rapport d’octobre 2011, remis au Congrès, les services de renseignements des Etats-Unis ont constaté que «des entreprises privées et des spécialistes de la sécurité informatique ont fait état d’une flambée d’intrusions dans les réseaux informatiques en provenance de Chine, mais (les services de renseignements américains) ne peuvent confirmer qui en est responsable (…) Depuis 2009, les réseaux informatiques d’un vaste éventail d’administrations publiques, d’entreprises privées, d’universités ou d’autres institutions, toutes propriétaires d’un gros volume d’informations économiques sensibles, ont été victimes d’espionnage, relève le contre-espionnage américain, ajoutant qu’une « grande partie de cette activité semble provenir de Chine»[xxii].

 La réponse des autorités chinoises n’a pas tardé. Elle est arrivée quelques jours après, le 4 novembre 2011, par le biais d’un porte-parole du ministère chinois des Affaires étrangères, M. Hong Lei. Il conteste ce rapport en disant que «sans enquête, préjuger de l’origine des attaques n’est ni professionnel ni responsable » et insiste sur le fait que « les attaques informatiques sont transnationales et anonymes». Enfin, il a ajouté que les autorités chinoises espèrent «que la communauté internationale saura abandonner ses préjugés et lutter aux côtés de la Chine pour préserver la sécurité informatique», en remarquant que «les auteurs du rapport reconnaissent néanmoins que les services de renseignement américains « ne peuvent confirmer qui en est responsable»[xxiii].

 Le cœur du problème est là. Assurer la preuve de tels agissements dans le cyberespace. Selon une étude de l’EPIC (Electronic Privacy Information Center), «40 % des utilisateurs fournissent désormais faux noms et fausses adresses pour se préserver de ce genre d’intrusion dans leur vie privée. La planète est devenue une vaste base de « données visitables«  à tout moment par n’importe qui, dans un souci de connaissance et d’échange ou par volonté délibérée d’effraction, de pillage, de vol et de viol d’informations. Personne ne peut véritablement échapper à une tentative d’inquisition, de renseignements électroniques ou d’espionnage numérique, sauf à disposer de dispositifs puissants de protection (et encore)»[xxiv].

 J. Guisnel explique bien cet état du cyberespace. Il dit: «C’est une révolution: Internet est un outil d’accès à la connaissance comme l’humanité n’en a jamais connu. Mais cette révolution coïncide avec une autre: avec la fin de la guerre froide, la « guerre de l’information » comme l’espionnage économique sont devenus des objectifs stratégiques. Du coup, les militaires et les services secrets ont investi le cyberespace. Une enquête de trois années lui permet de faire d’étonnantes révélations. A l’aide de systèmes d’interception surpuissants, les services de renseignements se sont branchés sur Internet, pillant les bases de données et attaquant les ordinateurs à distance. Ils surveillent et interceptent, sans effraction, les ordinateurs auxquels ils ne peuvent pas accéder physiquement. Et ils tentent par tous les moyens de contrer la cryptographie généralisée, la capacité de cacher les informations que l’on veut faire circuler. Aux Etats-Unis surtout, mais en France aussi, une bataille titanesque est engagée dans le cyberespace entre les défenseurs de la liberté de communiquer – qui ne sont pas exempts de reproches – et les services secrets qui veulent pouvoir tout lire, tout comprendre, au prix parfois de l’utilisation de procédés illégaux»[xxv].

 Il sied de remarquer encore que les cyber-espions «s’intéressent particulièrement aux technologies de l’information et de la communication, aux secrets commerciaux, médicaux ou pharmaceutiques, et aux technologies militaires, notamment en ce qui concerne les drones et les communications navales»[xxvi], mais qu’ils ne négligent pas d’autres domaines d’activité humaine.

 Une conférence internationale sur la cybercriminalité (première de ce genre) a été organisée à l’initiative de la Grande Bretagne les 1er et 2 novembre 2011 à Londres. Des dirigeants politiques, des experts mondiaux, des représentants de compagnies de sécurité informatiques des cinq continents ont discuté de la menace cybernétique et examiné les moyens d’établir un plan de défense commune pour relever le défi du piratage qui fait de plus en plus de ravages dans le monde[xxvii]. Devant quelque 900 délégués, le Premier ministre britannique, David Cameron, a estimé que le coût de la criminalité sur le net à 1.000 milliards de dollars globalement, et 27 milliards de livres sterling par an pour le seul Royaume-Uni. Il a ajouté que «notre tâche aujourd’hui est de trouver un équilibre. Nous ne pouvons pas laisser le web grand ouvert aux criminels et terroristes qui menacent notre sécurité et notre prospérité (…)» Le ministre des Affaires étrangères de la Grande-Bretagne, William Hague a dit: «Nous devons aspirer à un avenir où l’Internet ne sera pas étouffé par le contrôle des Etats et la censure, mais où l’innovation et la compétition prospèrent et où l’investissement et l’esprit d’initiative sont récompensés (…) Pendant les troubles cet été au Royaume-Uni, les émeutiers avaient également fait un usage intensif des réseaux sociaux et de la messagerie cryptée des téléphones portables Blackberry. Le Premier ministre britannique David Cameron avait alors évoqué la possibilité de suspendre leur utilisation, lorsqu’ils sont employés à des fins criminelles»[xxviii]. Malheureusement, un appel aux Etats de signer la Convention internationale sur la cybercriminalité n’a pas été lancé à cette occasion.  

 

 V.   Protection

 On sait que la sécurité absolue n’existe pas, mais nous devons nous rendre compte des dangers existant sur le web et nous organiser en conséquence, sans donner l’occasion aux personnes malintentionnées de nous espionner facilement.

 En effet, il est impossible de faire une liste exhaustive des comportements et agissements d’espions économiques et des personnes engagées par ceux-ci. Les religieux vous diraient, dans de telles circonstances, «que Dieu vous protège!» et je dirais, en respectant toutes les croyances, «protégez-vous!».

Les cadres d’entreprises oublient souvent que la meilleure protection est la discrétion. Il ne faut pas faire des conversations relatives aux affaires dans les trains et les avions, ne pas parler de leurs clients ou de leurs fournisseurs, ne pas faire des confidences à leurs voisins et connaissances, etc.

Surveiller les visiteurs ainsi que les délégations étrangères à des entreprises et ne pas leur laisser l’occasion de sortir du groupe, de filmer les objets, etc.

 Se méfier des offres de services des scientifiques et des ingénieurs étrangers, surtout lorsqu’ils se disent prêts à les offrir gratuitement, et vérifier où ils ont été scolarisés, pour qui ils ont travaillé, etc. Idem s’agissant des étudiants ou doctorants intéressés par l’étude de la technologie protégée sur laquelle l’étranger souhaite mener une recherche.

Lors des expositions, séminaires et congrès internationaux, vérifier qui sont les participants inscrits, s’ils ont déjà montré leur intérêt pour les installations protégées, si le pays ou l’organisation qui parraine ou sponsorise le séminaire, la conférence ou le congrès a déjà essayé de visiter les installations protégées.

Dans le cadre des programmes d’échanges et de coproduction, empêcher l’accès au réseau informatique local, aux installations protégées, aux données techniques, aux projets réclamés et surveiller les employés à lesquels s’intéressent les organisations étrangères ou leurs représentants.

 Lors des pourparlers en vue de vendre une entreprise aux étrangers, aviser les entreprises partenaires ayant des technologies protégées de la possibilité de vente à une entreprise ou à une personne physique étrangère et ne pas divulguer à l’acheteur potentiel les données protégées.

 Les entreprises ne doivent pas oublier les anciens employés qui avaient accès aux informations protégées. Il faut régulièrement les inviter, leur rappeler qu’ils peuvent être une cible des entreprises étrangères (recevoir des vœux spontanés ou d’autres types de correspondance des ambassades de pays étrangers, des invitations pour visiter certains pays afin d’y donner une conférence ou d’y recevoir un prix, etc.). D’une manière appropriée, il faut leur faire savoir que les données dont ils ont eu connaissance demeurent toujours protégées et que leur divulgation est poursuivie pénalement.

 Les citoyens de nombreux pays sont des utilisateurs de web et des réseaux sociaux[xxix], par exemple Facebook, Twitter, Google+, MySpace, Viadeo, LinkedIn, Youtube, Habbo Hotel, Windows Live Spaces blog, Friendster, hi5, Tagged, Flixster, Yasni, et tant d’autres. Nous laissons là une quantité importante de données personnelles qui permettent aux espionnes de les récolter et utiliser à des fins illicites. Nous divulguons là nos données personnelles (nom, prénom, âge, adresse, numéro de téléphone, adresse e-mail, le nom de nos écoles et universités, nos désirs et ambitions, les noms et adresses de nos amis et des membres de notre famille, etc.), ce qui rend facile le travail à l’espionne pour «dresser un portrait» des personnes intéressantes pour eux ou pour arriver jusqu’à une telle personne pour le «traiter». Le reste de l’opération d’espionne s’avère plus facile (suivre une telle personne, écouter son téléphone, piéger son PC, voire le voler, etc.). En outre, l’identité d’utilisateur des réseaux sociaux peut être piratée et le faux utilisateur (espionne) peut envoyer des messages à notre nom et nous créer beaucoup d’ennuis.

Nous utilisons quotidiennement l’informatique pour effectuer différentes tâches: e-mails, courriers, postulations, rapports, discours, etc. Il suffit de rédiger un tel document (Word) en créant une page web et il apparaîtra quelque part sur Internet[xxx]. Il arrive parfois que ces documents contiennent des informations importantes sur notre vie privée ou pour notre entreprise, pour la sécurité nationale, etc. tombent entre les mains des espions économiques si éveillés et présents sur le web.

A l’heure actuelle, il n’est pas nécessaire d’être un génie en informatique pour pouvoir usurper une adresse IP (spoofing) et s’introduire dans un système informatique d’une entreprise, d’une banque, d’un établissement d’Etat ou dans le PC de n’importe quel citoyen et commander à distance n’importe quelle fonctionnalité.

L’espion trouvera sur Internet ou dans de nombreux livres des conseils. Une fois que notre système informatique est espionné, tout ce que nous faisons au moyen de notre système informatique ou de notre PC est visible et l’espionne prend tranquillement ce qui l’intéresse. Pire encore, il peut agir depuis notre système informatique ou depuis notre PC, nous créer des ennuis et nous exposer à différentes situations peu confortables (être soupçonné par la police, par l’entreprise ou d’autres établissements dont les données ont été volées, etc.).

N’oubliez pas que personne n’est à même de vous dire d’une manière précise comment vous protéger, ce qui vous oblige à rester prudent, car nous vivons dans une époque où certaines personnes sont prêtes à tout pour gagner plus d’argent. On doit donc se protéger nous-mêmes sans trop espérer que nos Etats, qui ont d’autres préoccupations (dettes publiques, chômage, corruption, etc.), le fassent.

 


[i]       C.-N. ROBERTS, Délinquance d’affaires: L’illusion d’une politique criminelle, Société suisse des juristes, No 119, 1985, p. 12.

[ii]      Cf.http://www.agoravox.fr/actualites/economie/article/de-l-espionnage-a-l-intelligence-15268.

[iii]      A. Laïdi, http://www.monde-diplomatique.fr/2005/03/LAIDI/12010.

[iv]      Par exemple, aux Etats-Unis, l’industrie militaire est très développée et il est sûr que la CIA et d’autres services étatiques s’occupent de la protection de cette industrie, faisant partie de l’économie nationale.

[v]      AFRICA DILIGANCE, Allemagne L’espionnage des salariés en procès à Francfort, texte publié le 6 octobre 2009 sur le site http://africadiligence.com/2009/10/06/l%e2%80%99espionnage-des-salaries-entre-en-proces-a-francfort-guy-gweth/. Il s’agit d’une affaire de Deutsche Bank de 2009.

[vi]      Ibidem.

[vii]     D. BUNIC, Criminalistique économique, Saint-Aubin 2010, p. 423-424.

[viii]     L’art. 2 de la Convention européenne d’entraide judiciaire en matière pénale du 20 avril 1959 stipule que l’entraide judiciaire pourra être refusée si la demande se rapporte à des infractions politiques, soit comme des infractions connexes à des infractions politiques, et l’art. 3 de la Loi fédérale [suisse] sur l’entraide internationale en matière pénale du 20 mars 1981, que la demande est irrecevable si la procédure vise un acte qui, selon les conceptions suisses, revêt un caractère politique prépondérant. Disons encore que l’infraction relative à l’espionnage économique, nommé selon l’art. 273 du Code pénal suisse «service de renseignements économiques» est un délit politique rangé dans le titre des «crimes ou délits contre l’Etat et la défense nationale» où on trouve des infractions telles qu’haute trahison (art.265), violation de la souveraineté territoriale de la Suisse (art. 269), service de renseignements militaires (art. 274), atteintes à l’ordre constitutionnel (art. 275) et bien d’autres.

[ix]      C. CAPDEVIELLE, L’Intelligence économique n’est pas de l’espionnage économique, article du 10 avril 2007, trouvé sur le site http://www.regard-est.com/home/breve_contenu.php?id=729.

[x]      Le benchmarking est une technique de marketing ou de gestion de la qualité qui consiste à analyser les modes d’organisation des autres entreprises afin de s’en inspirer et d’en retirer le meilleur (H. MADINIER et Y. BERGER ; Intelligence économique- Guide pratique pour les PME de Suisse romande, Genève 2008, p. 28).

[xi]      F. MOSER, M. BORRY, Intelligence stratégique et espionnage économique, Paris 2002, p. 84 et la référence citée.

[xii]     F. MOSER, M. BORRY, op. cit, p. 90. Les mêmes auteurs indiquent que «rien qu’aux États-Unis, à la fin des années 90, 85 des 500 premières sociétés américaines disposaient d’un service d’intelligence économique», en ajoutant que celui-ci est rarement désigné comme tel et est souvent constitué sous les dénominations les plus diverses (cf. op. cit. p. 90-91).

[xiii]     Il ne faut surtout pas croire que tous les cabinets d’avocats, de consultance et d’audit sont impliqués dans l’espionnage économique. Nous savons qu’en pratique, la grande majorité de ces cabinets respecte la loi et l’éthique professionnelle. Il faut dire que certains de ces cabinets assument la tâche d’organe de révision et donnent une grande satisfaction aux organes d’entreprises, banques et autres établissements. D’ailleurs, nous savons qu’il y a des fonctionnaires corrompus, des médecins qui délivrent de faux certificats, des avocats d’affaires et des conseillers juridiques qui aident certains délinquants à blanchir des fonds illicites, mais nous ne pensons pas qu’à cause de quelques « moutons égarés », il faut soupçonner tous ces métiers utiles, voire nécessaires pour la société et pour les citoyens.

[xiv]     F. MOSER, M. BORRY, op. cit. p. 92.

[xv]     E. FILIOL – PH. RICHARD, Cyber criminalité-enquête sur les mafias qui envahissent le web, Paris 2006, p. 5.

[xvi]     Web est l’abréviation de World Wide Web, c’est-à-dire un système hypermédia client-serveur nous permettant d’accéder à des ressources informatiques. C’est pour cette raison que le nom de nos sites (blogs) commence par www… (Par exemple http://www.dragan-bunic.com). Cet espace est aussi nommé la Toile ou simplement Internet.

[xvii]    S. LARCHER, L’espionnage industriel priorité du cybercrime, article publié le 29 mars 2011 sur le site http://www.linformaticien.com/actualites/id/20214/l-espionnage-industriel-priorite-du-cybercrime.aspx.

[xviii]    Dans ce sens, F. MOSER, M. BORRY, op.cit., p. 68 et 70 et références citées. Ces auteurs citent un expert qui estime qu’une entreprise qui sollicite les services de la CIA ou de la DGSE manifeste simplement qu’elle va mal et que l’État qui autorise ses services de renseignements à obtenir clandestinement des informations pour les mettre au service d’intérêts privés commet à la fois une erreur d’orientation stratégique et une faute grave à l’égard des engagements qu’il a pris dans le cadre des accords internationaux.  

[xix]     Convention sur la cybercriminalité, conclue à Budapest le 23 septembre 2001.

[xx]     Cf. http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=&DF=&CL=FRE. En Suisse, cette Convention est entrée en vigueur  le 1er janvier 2012.

[xxi]     A. HAEDERLI, Les stars du Web veulent qu’on les laisse tranquilles, article paru dans Le Matin Dimanche du 29 mai 2011.

[xxii]    Http://www.lexpress.fr/actualites/1/monde/espionnage-informatique-les-etats-unis-accusent-directement-chine-et-russie_1047503.html.

[xxiii]    Http://www.challenges.fr/high-tech/20111104.CHA6463/cyber-espionnage-pekin-replique-auxaccusations -de-washington.html.

[xxiv]    J. GUILLET, L’espionnage économique par informatique, JG Sécurité, Genève, octobre 2003, article trouvé sur le site http://www.jgsecurite.ch/pdf/biometri.pdf le 24 novembre 2011.

[xxv]    J.GUISNEL, Guerres dans le cyberespace: Services secrets et Internet, Editions La Découverte 1997. Article trouvé sur le site http://cyberpolice.over-blog.com/article-16057.html le 24 novembre 2011.

[xxvi]    Http://www.lexpress.fr/actualites/1/monde/espionnage-informatique-les-etats-unis-accusent-directement-chine-et-russie_1047503.html.

[xxvii]   Cybercriminalité: une soixantaine de nations à Londres pour une stratégie de lutte commune contre un fléau mondial du 30 Octobre 2011, article trouvé sur le site http://www.secuobs.com/revue/news/337717.shtml le 25 novembre 2011. Une conférence de suivi se tiendrait en Hongrie en 2012 (où la Convention sur la cybercriminalité a été signée le 23 septembre 2001), puis une autre en Corée du Sud en 2013.

[xxviii]   Ibidem.

[xxix]    Le réseautage social [réseau social, remarque de D. Bunic] se rapporte à l’ensemble des moyens mis en œuvre pour relier des personnes physiques ou morales entre elles. Avec l’apparition d’Internet, il recouvre les applications connues sous le nom de « service de réseautage social en ligne ». Ces applications ont de multiples objectifs et vocations. Elles servent à constituer un réseau social en reliant des amis, des associés, et plus généralement des individus employant ensemble une variété d’outils dans le but de faciliter, par exemple, la gestion des carrières professionnelles, la distribution et la visibilité artistique ou les rencontres privées. Le terme provient de John A. Barnes en 1954. Les réseaux sociaux sur Internet ont été découverts aux Etats-Unis en 1995, mais n’ont été connus par tous les continents qu’en 2004 (cf. http://fr.wikipedia.org/wiki/R%C3%A9seau_social).

[xxx]    Je trouve sur Internet les rapports, motions et autres documents que j’ai remis à l’Etat de Neuchâtel, à la commune de Saint-Aubin-Sauges et aux associations et fondations dont je fais partie, sans jamais les mettre expressément sur Internet. Curieusement, ils apparaissent sur Internet (web) comme ceux que j’ai mis de mon propre gré sur mon site ou sur un autre.

Laisser une réponse