Espace de libertés | Septembre 2018 (n° 471)

Cyber-conseils pour surf tranquille. Un entretien avec Olivier Bogaert


Dossier

Les techniques des cybercriminels n’ont plus de secret pour lui puisqu’il les traque au quotidien. De son expérience à la Computer Crime Unit, le commissaire Olivier Bogaert tire une foule de recommandations utiles à tous les internautes. Car on ne plaisante pas avec la sécurité numérique.


La sécurité sur le Net, c’est un peu comme le port de la ceinture et du préservatif : on pense toujours que le risque, c’est pour les autres ?

C’est lié à la perception sociale. Les gens se trouvent dans leur environnement familial ou professionnel et ils ne pensent pas au-delà en termes de mise à disposition des données. Ils ne mesurent pas les risques liés au croisement des informations et à l’activité de leur machine. Il faut acquérir certains réflexes et s’interroger : quand on publie quelque chose, qui peut avoir accès à ce contenu ?

police2

Vous êtes confronté tous les jours à l’usage frauduleux qui peut être fait d’Internet. Qu’est-ce qui vous a donné envie de transmettre votre savoir en le rendant accessible au plus grand nombre ? Le fait que nous sommes les usagers d’une technologie dont nous ignorons le fonctionnement ?

Contrairement aux dossiers « classiques » qui se passent sur notre territoire, Internet est une structure qui permet aux auteurs de se trouver à distance, ce qui complique la récupération et le croisement des informations et la localisation des auteurs. C’est très courant dans les affaires d’arnaques et de fraudes. En acquérant des réflexes, en se préservant, on diminue le nombre de victimes, et le public devient plus prudent dans la gestion de ses données personnelles.

Quand la cybercriminalité est-elle née ? En quand a-t-elle commencé à être réprimée en Belgique ?

Internet est arrivé dans nos vies entre 1995 et 1996 et c’est en 2001 que le Code pénal a été adapté pour pouvoir commencer à lutter contre les intrusions dans l’environnement, les attaques informatiques. La fraude informatique, c’est-à-dire l’idée d’utiliser des données qui ont été récupérées et de se faire passer pour quelqu’un d’autre en utilisant ces données, a également été prise en considération à cette époque-là. La réaction a été assez rapide. Il a fallu plus de temps, par contre, pour se rendre compte de la dispersion et de la captation des données personnelles par des entités commerciales comme les GAFA : on ne s’est pas rendu compte tout de suite que les géants du web effectuaient du croisement de données.

Les données personnelles sont près précieuses, et du coup très prisées, tant par les entreprises que par les hackers. Le RGPD est-il la panacée ?

Ce règlement oblige les entreprises à informer les utilisateurs des informations qui sont captées et de l’usage qui en est fait, cela ne les empêche pas de continuer. Mais en cas d’usage abusif, les sanctions financières sont prévues dans le but de les amener à la prudence. Les GAFA ne sont cependant pas à l’abri d’intrusion dans leur système… On va voir comment le RGPD fonctionne, comment on s’adapte à cette nouvelle législation, mais on va sans doute devoir mettre en place des processus d’adaptation avec la possibilité pour le citoyen numérique de pouvoir réagir, de dire qu’il n’est pas d’accord. Facebook, par exemple, met à disposition l’historique de nos activités, mais ne permet pas pour l’instant d’effacement global : il faut le faire pour chaque commentaire que l’on a plus envie de voir, ce qui prend beaucoup de temps. Compter sur la saturation, c’est une stratégie.

Surfer sans se voir « chiper » nos données utilisateur, c’est devenu mission impossible ? Ou seulement sur le dark web ?

On doit pouvoir s’adapter et veiller à sa vie privée. Je le répète, les questions centrales sont : qu’est-ce que j’accepte de partager et avec qui ? Mon réflexe de protection ne sera peut-être pas celui de la personne avec laquelle je suis ami. Des plateformes comme Framasphère (open source) se développent. Il s’agit d’un réseau social qui ne capte aucune donnée utilisateur et restreint l’échange au cadre familial, plus intime.

Le deep web, c’est le paradis des cybercriminels ?

C’est le paradis pour la cybercriminalité pointue. L’arnaqueur du quotidien utilise le web classique, via des masques comme le VPN pour pouvoir se cacher ou en se mettant à distance de la victime, dans un pays lointain, pour rendre l’enquête plus complexe.

Le cadre juridique est-il suffisamment précis ?

Un gros travail de révision du Code pénal est en cours. J’imagine qu’il va y avoir des adaptations tenant compte de cet environnement numérique désormais hyper-présent.

Les pirates informatiques ont toujours une longueur d’avance. C’est à la société civile d’apprendre à mieux utiliser cet espace connecté ? Comment se tenir à jour en matière de protection/sécurité ?

L’idéal serait d’arriver à une plateforme de référence. Pour l’instant, il existe plusieurs initiatives comme Cybersimple.be de Test-Achats (et Google, NDLR), Safeonweb.be du Centre pour la cybersécurité Belgique. Quand ils perdent leur carte bancaire, les gens connaissent la procédure à suivre. Pour le web, les infos sont dispersées. Il faudrait arriver à une plateforme unique avec des conseils de base qui, par sa notoriété, serait consultée par réflexe. Et il faut commencer tôt, dans l’enseignement, dès la 5e et la 6e primaire, à parler des risques informatiques. Les enfants savent qu’ils ne doivent pas parler à des inconnus dans la rue, mais ils acceptent comme « amis » sur les réseaux sociaux des personnes qu’ils ne connaissent même pas ! Quand j’étais petit, des policiers venaient à l’école pour nous apprendre le code de la route et on faisait le parcours de sécurité routière. Les réflexes à acquérir doivent être inculqués au quotidien à l’école, et à la maison aussi bien sûr, mais la police a également un rôle à jouer auprès des enfants pour rappeler ces bonnes pratiques.

Qui est est le plus vulnérable : la jeune génération née avec une tablette dans la main ou bien celle, plus âgée, qui a pris le train numérique en marche ?

Les deux, car on se trouve dans une période « neutre ». Les utilisateurs parents, trentenaires et quadras, ont découvert Internet il y a 20 ans, mais n’ont pas reçu les conseils de bonnes pratiques en la matière. Comment peuvent-ils transmettre ce qu’ils n’ont pas reçu ? Quelques détails peut-être, mais pas les fondamentaux. Les enfants grandissent avec leur smartphone sans avoir reçu de conseils particuliers. Entre les deux, les jeunes qui ont maintenant 20, 25 ans, qui entrent dans la vie active et qui deviendront bientôt parents, davantage alertés par les risques, auront sans doute plus le réflexe de parler des risques du web à leurs enfants. L’enseignement s’adaptera aussi. Comme pour la ceinture de sécurité, cela deviendra quelque chose que l’on fait sans y penser. Les plus âgés doivent être sensibilisés par des campagnes, telle que « Mamie rusée » en Brabant wallon, pour diminuer le nombre de victimes de fraudes financières au digipass.

Phishing, annonces et pubs mensongères, faux concours, logiciels espions… quelles sont les arnaques et fraudes les plus courantes ?

Le plus répandu, ce sont les arnaques lors de la vente en ligne (profit sur la base d’un sentiment de plus-value) et les arnaques aux sentiments (profit sur la base du sentiment de solitude, fréquent chez les personnes plus âgées). Dans le cas des logiciels malveillants, les gens ne se sentent pas victimes, car ils n’ont pas conscience de l’activité de leur ordinateur. Dans le cadre de la crypto-monnaie, les internautes voient juste leur machine ralentir parce qu’elle mine des bitcoins pendant qu’elle est connectée au Net. Quand les gens ont conscience de s’être fait avoir, c’est beaucoup plus lourd à gérer.

Dans quels cas les internautes peuvent-ils porter plainte ? Le nombre de plaintes déposées reflète-t-il la réalité ?

Le chiffre noir est très important. Les gens ont honte d’avoir été abusés, sont désemparés ou ne comprennent pas tout de suite qu’il s’agissait d’une arnaque. Que le préjudice soit financier ou qu’il y ait eu usage frauduleux de leur image ou de leurs données, il faut les inviter à signaler les faits et à se manifester. Pas forcément auprès de la police, car il ne peut s’agir que d’une tentative. Le site Pointdecontact.belgique.be permet de signaler des faits, et, par le recoupement de plusieurs signalements, les structures concernées au niveau fédéral vont pouvoir faire des mises en garde ou prendre des dispositions avec les pays concernés pour interpeler les auteurs. La participation citoyenne permet d’améliorer la sécurité informatique globale.