23 novembre 2020

Le droit pénal à l’épreuve du dark web

Constituant près de 95% du web, le darkweb, représente un enjeu majeur de notre société. Il est considéré par certains comme un véritable espace de liberté, où chacun peut exprimer ses idées librement. Il fut notamment utilisé lors des printemps arabes, et l’est toujours dans les dictatures. Cependant, la liberté offerte par le darkweb constitue aussi un terrain fertile pour le développement de la criminalité. Ainsi, de nombreuses infractions prennent place sur le darkweb (traite d’êtres humains, vente de drogue, pédopornographie par exemple). De plus son appréhension par le droit, et plus spécifiquement par le droit pénal pose de sérieuses difficultés, et ces infractions restent bien souvent impunies.

Le darkweb est un contenu de réseau overlay, qui bien qu’utilisant l’internet public, est seulement accessible par le biais de certains logiciels, configurations ou protocoles spécifiques. L’accès au darkweb se fait à partir de différents darknets, parmi lesquels on retrouve « TOR » (The Onion Routers). Au départ, TOR est un logiciel créé aux États-Unis dans les années 2000 qui avait pour objectif de protéger les services de renseignements des intrusions. Pour entrer un peu plus dans les détails, il repose sur le principe du cryptage en oignon. C’est à dire une succession de couches formées par des chiffrements successifs. Le réseau TOR utilise plusieurs proxys afin de crypter à de multiples reprises une même demande. Il est donc pratiquement impossible d’identifier l’auteur d’une demande.

Ce système permet d’anonymiser ses utilisateurs, et peut constituer un espace de liberté où la vie privée des utilisateurs est protégée. Il est aussi le lieu de très nombreuses infractions, dont certaines d’une particulière gravité (vente de drogue, ou trafic d’êtres humain par exemple).

Lutter contre les infractions prenant place sur le darkweb est une tache particulièrement difficile. Si les États-Unis ont connu en ce domaine deux succès retentissants avec les affaires « Silk Road » et « Utopia », cela reste des réussites isolées. En effet, la facilité pour y accéder contraste avec la difficulté pour le contrôler. C’est d’ailleurs là toute la force du darkweb. Si le droit pénal français essaye de lutter contre les infractions sur le darkweb, les résultats sont pour l’heure plus que mitigés.

Le droit pénal impuissant face au darkweb

Afin de lutter contre la criminalité sur internet, des outils ont été mis en place afin de permettre aux enquêteurs de démontrer plus facilement les infractions, et d’appréhender leurs auteurs.

Ainsi, on retrouve les interceptions de correspondances émises par voie électronique (article 706-95 du code de procédure pénale), l’accès aux correspondances stockées sur internet et protégées au moyen d’un identifiant numérique (article 706-95-1 du code de procédure pénale), les IMSI-catcher l’interception des correspondances émises ou reçues par un équipement terminal (706-95-5 du code de procédure pénale). Le recours à ces techniques a de plus été facilitée par une loi du 3 juin 2016.

On peut également citer l’article 852-1 du code de la sécurité intérieure « peuvent être autorisées les interceptions de correspondances émises par la voie des communications électroniques et susceptibles de révéler des renseignements relatifs aux finalités mentionnées à l’article L811-3. Lorsqu’il existe des raisons sérieuses de croire qu’une ou plusieurs personnes appartenant à l’entourage d’une personne concernée par l’autorisation sont susceptibles de fournir des informations au titre de la finalité qui motive l’autorisation, celle-ci peut être également accordée pour ces personnes ». Cet article permet en fait la captation de données émises depuis un terminal informatique, pour un certain nombre d’infractions (prévention du terrorisme, prévention de la criminalité et de la délinquance organisée, protection des intérêts économiques de la France par exemple).

En plus de ces outils facilitant les enquêtes sur internet, le législateur a pris soins d’incriminer spécifiquement la commission de certaines infractions sur internet. Ainsi, la loi n°2014-1353 du 13 novembre 2014 a introduit dans le code pénal l’article 421-2-5 qui incrimine l’apologie du terrorisme. Le deuxième alinéa de cet article prévoit lui des peines aggravées lorsque « les faits ont été commis en utilisant un service de communication au public en ligne ».

Toutefois, ces mesures se révèlent inefficaces face aux infractions commises sur le darkweb. En effet, l’anonymat et l’impossibilité de retracer les transactions rendent pratiquement impossible l’identification des auteurs d’infractions. À cela s’ajoute le fait que ces derniers n’acceptent généralement que les paiements en monnaie électronique (principalement le bitcoin), rendant leurs transactions intraçables. En réalité, la plupart des infractions commises sur le darkweb sont révélées à cause d’erreurs de la part de leur auteur. C’est le cas par exemple lorsqu’une personne utilise sur le darkweb une adresse mail déjà utilisée sur internet. Cependant, la majorité des criminels opérant sur le darkweb ne commettent pas ces erreurs, et sont presque invulnérables.

De nouveaux outils pour une appréhension effective du darkweb par le droit pénal

Le nouvel article 706-87-1 du code de procédure pénale prévoit que « Si les nécessités de l’enquête relative à l’une des infractions entrant dans le champ d’application des articles 706-73 et 706-73-1 l’exigent, le juge des libertés et de la détention peut, à la requête du procureur de la République, autoriser par ordonnance motivée les officiers et agents de police judiciaire requis par le procureur de la République à mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques, de les enregistrer, de les conserver et de les transmettre, telles qu’elles sont stockées dans un système informatique, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques audiovisuels ».

Ce dispositif appelé « l’enquête sous pseudonyme » habilite un agent ou un officier de police judiciaire à participer sous pseudonyme à des échanges électroniques en vue de constater (et non pas de provoquer) une infraction. Cette enquête sous pseudonyme ne peut être réalisée qu’à l’encontre de certaines infractions graves ; par exemple la criminalité organisée, la traite d’êtres humains, mise en péril de mineur, et uniquement si ces infractions sont commises par voie de communication électronique.

Cependant, appliquer au darkweb, l’enquête sous pseudonyme montre très vite ses limites. En effet, impossible pour les agents ou officiers de police judiciaire d’identifier la personne avec qui ils sont en relation, le darkweb étant, par nature, anonyme. Tout au plus, elle pourrait avoir un effet dissuasif, de par la possibilité que la personne avec qui on est en contact soit un enquêteur.

La technique dite « du coup d’achat » peut également être utilisée afin de tenter de repérer les auteurs d’infraction sur le darkweb. Selon l’article 706-32 du code de procédure pénale, la technique du coup d’achat permet de faire intervenir les enquêteurs dans une transaction relative à des stupéfiants. Cette même procédure peut être appliquée à la vente illégale d’armes, au titre de l’article L706-106 du même code. L’objectif est d’obtenir des preuves de l’infraction, et de pouvoir arrêter les coupables. Cette mesure doit être autorisée par le parquet. Appliquée au darkweb, elle permet aux enquêteurs de constater les infractions. Cependant, en identifier l’auteur reste une tache quasiment impossible, celui-ci demeurant anonyme. Cette mesure montre donc aussi ses limites face au darkweb.

La mesure semblant la plus efficace pour lutter contre les abus du darkweb est la cyberperquisition. Elle résulte de l’article 706-102-1 du code de procédure pénale qui dispose qu’«  Il peut être recouru à la mise en place d’un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques, de les enregistrer, de les conserver et de les transmettre, telles qu’elles sont stockées dans un système informatique, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques ».

Cette mesure dite de « cyberperquisition », instaurée par la loi LOPSII2, permet de capter les données à distance des utilisateurs de darkweb, par l’introduction de ce que l’on appelle un malware, ou cheval de Troie. Celui-ci permet à l’enquêteur de « voir et enregistrer en temps réel, à distance, les données informatiques telles qu’elles s’affichent sur un ordinateur, même lorsque les données ne sont pas stockées sur un disque ». Dans les faits, cette procédure de cyberperquisition va permettre aux enquêteurs de pouvoir voir tout ce qui s’affiche à l’écran de la personne surveillée, mais aussi d’enregistrer la frappe clavier.
Cette mesure semble donc être adaptée à la lutte contre les infractions sur le darkweb. Cependant, on ne peut que constater les potentiels atteints à la vie privée que cette mesure pourrait engendrer. Pour l’instant, elle n’est utilisée que pour les infractions graves, et comme précisé précédemment, elle est subordonnée à l’autorisation de deux magistrats.

Étant donné que l’accès au darkweb se fait par des logiciels (principalement par TOR), le meilleur moyen pour limiter l’accès au darkweb serait d’interdire ce type de logiciel. Cette mesure a d’ailleurs été envisagée après les attentats de 2015 cette mesure a été envisagée, sans toutefois aboutir.

Conclusion

En fait, il semble compliqué, voir même impossible, de lutter contre la criminalité sur le darkweb sans porter atteinte à certaines valeurs fondamentales, principalement la liberté d’expression. Il y a donc sans doute un choix à faire de la part du législateur, entre liberté et sécurité.

Cédric Dubucq

Cédric Dubucq

Ne soyez pas timide.
Partagez notre article.