MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

IT

Quelles sont les 3 catégories de cybercriminalité ? Un avocat explique les mesures de prévention pour chaque type

IT

Quelles sont les 3 catégories de cybercriminalité ? Un avocat explique les mesures de prévention pour chaque type

Le terme “cybercriminalité” est assez courant dans le langage quotidien, mais internationalement, il est défini comme “un crime commis en abusant des technologies informatiques et de télécommunication”. Les soi-disant “hackings (crackings)” sont parmi les cybercrimes dont les entreprises peuvent également être victimes. En cas de tels dommages, il est nécessaire d’examiner quelles mesures peuvent être prises.

Dans cet article, nous classifions la cybercriminalité en général en trois types couramment utilisés au Japon, et nous expliquons pour chaque type, à quel crime il correspond et quelles mesures peuvent être prises en cas de dommages. Cette classification est importante parce que :

  • Si on ne peut pas être considéré comme une “victime” au sens juridique du terme, il peut être difficile de pousser la police à enquêter sur le crime, même si on peut “signaler” qu’un crime a été commis.
  • Dans le cas de crimes pour lesquels il existe des mesures civiles, on peut identifier le coupable par des moyens civils en faisant appel à un avocat, sans avoir à compter sur l’enquête de la police, et demander des dommages et intérêts au coupable.
  • Si on est victime d’un crime pour lequel il n’y a pas de solution civile, on sera amené à pousser la police à enquêter.

En d’autres termes, les “mesures” varient en fonction du type de crime.

Les 3 catégories de cybercriminalité

Il existe généralement trois types de cybercriminalité au Japon.

Comme mentionné ci-dessus, il est courant de classer la cybercriminalité en trois catégories au Japon.

  • Les crimes informatiques : Nous définirons précisément ce terme plus tard, mais pour le dire simplement, ce sont des actes criminels qui perturbent les opérations d’une entreprise.
  • Les crimes utilisant le réseau : Ce sont des actes criminels commis en abusant d’Internet.
  • Violation de la loi japonaise sur l’interdiction de l’accès non autorisé : Il s’agit notamment des actes de connexion non autorisée.

Nous allons expliquer chacun d’eux en détail ci-dessous.

Qu’est-ce que la cybercriminalité ?

Qu’est-ce que le délit d’entrave à l’activité par destruction de l’ordinateur électronique ?

Le délit d’entrave à l’activité par destruction de l’ordinateur électronique, tel que défini dans le Code pénal japonais (le “Code pénal japonais”), est un exemple typique de ce type de délit.

Quiconque endommage un ordinateur électronique utilisé pour les affaires d’autrui ou un enregistrement électromagnétique destiné à cet usage, ou donne de fausses informations ou des instructions incorrectes à un ordinateur électronique utilisé pour les affaires d’autrui, ou par tout autre moyen, empêche l’ordinateur électronique de fonctionner conformément à son but d’utilisation, ou le fait fonctionner de manière contraire à son but d’utilisation, entravant ainsi les affaires d’autrui, est passible d’une peine d’emprisonnement de cinq ans ou moins ou d’une amende de un million de yens ou moins.

Article 224-2 du Code pénal japonais

Bien que le texte soit difficile à lire, pour le dire simplement, ce délit est commis lorsque :

  • On endommage un PC utilisé pour les affaires ou les données qu’il contient
  • On envoie de fausses informations ou des informations non prévues à un PC utilisé pour les affaires

En utilisant ces moyens pour faire fonctionner le PC concerné de manière imprévue et entraver les affaires, on commet ce délit.

Un exemple typique de ce délit serait d’exploiter une faille de sécurité ou de se connecter illégalement à un compte d’autrui pour augmenter le solde d’un compte bancaire en ligne. De même, des actes tels que l’exploitation d’une faille de sécurité ou l’obtention illégale d’informations de connexion pour modifier le site web d’une entreprise sont également concernés par ce délit. Bien que l’acte de “se connecter illégalement” soit en soi un exemple du “délit d’accès non autorisé” mentionné ci-dessous, ce type de délit vise à sanctionner des actes tels que l’opération illégale, la falsification, l’effacement ou la modification illégale des données.

Quelle est la différence avec l’accès non autorisé ?

Ce type de délit peut être commis même sans l’intervention d’un acte de connexion non autorisée. Un exemple typique serait ce qu’on appelle une attaque DoS. Il s’agit de l’envoi d’un grand nombre de courriels, causant une panne du serveur de courrier, ou de l’accès massif à un site web, causant une panne du serveur web. Bien que chacun de ces courriels ou accès soit légal en soi, leur nombre élevé fait fonctionner le serveur (PC) de manière imprévue, causant des dommages à l’entreprise concernée, tels que l’impossibilité d’utiliser le courrier électronique ou l’impossibilité d’ouvrir le site web. Par conséquent, “bien qu’il ne s’agisse pas d’une violation de la loi sur l’interdiction de l’accès non autorisé, il s’agit d’un délit d’entrave à l’activité par destruction de l’ordinateur électronique”. Il convient de noter que dans le cas de ce type de délit, le délit d’entrave à l’activité par fraude peut également être un problème.

Comment encourager l’enquête par la police ?

Que doit faire une victime de cybercriminalité pour que la police arrête le coupable ?

Ces actes sont des délits, comme mentionné ci-dessus, et l’entreprise concernée est la victime, il est donc possible de demander une enquête par la police. Cependant, en réalité, la police japonaise n’est pas très active dans la lutte contre ce type de délit. Cela est dû en partie à des problèmes techniques. Par exemple, nous avons mentionné ci-dessus une simple attaque DoS, mais en réalité, de nombreuses attaques ne proviennent pas d’une seule adresse IP envoyant un million de courriels ou d’accès, mais sont plutôt réparties sur de nombreuses adresses IP. Ces attaques sont appelées “DDoS”.

Si un grand nombre de courriels ou d’accès proviennent de la même adresse IP, il est clair qu’il s’agit d’un grand nombre d’accès par la même personne et que ces informations sont “inattendues”. Cependant, si les adresses IP sont réparties, chaque courriel ou accès en soi est légal, donc à moins qu’il n’y ait de preuve que ces actions ont été commises par la même personne, on ne peut pas dire qu’il s’agit d’un envoi d’informations illégal. Alors, comment peut-on prouver que “c’est le même individu qui a envoyé un grand nombre de courriels ou d’accès” dans le cadre d’un procès pénal strict ? C’est certainement un problème épineux pour la police et le parquet.

De plus, dans un procès pénal, il ne suffit pas de prouver que “la communication constituant un délit (par exemple, l’envoi d’un grand nombre de courriels dans l’exemple ci-dessus) a été effectuée à partir du PC de l’accusé”. Ce qui est requis dans une affaire pénale, ce n’est pas “de quel PC” mais “par qui” la communication a été effectuée. En fait, de nombreux jugements dans les procès pénaux examinent soigneusement cette partie, c’est-à-dire “il est certain que l’acte criminel a été commis à partir du PC de l’accusé, mais a-t-il vraiment été commis par l’accusé lui-même ?”. Ces obstacles à la preuve sont importants pour prévenir les erreurs judiciaires, mais ils peuvent aussi dissuader la police et le parquet d’enquêter sur la cybercriminalité.

Cependant, si l’incident se produit dans un délai très court, il est possible, en analysant en détail les journaux du serveur, de trouver des preuves indiquant que “il est très probable que ce soit la même personne” et que “c’est certainement l’accusé lui-même”. Une enquête basée sur la technologie de l’information et une analyse juridique de ce qui a été découvert lors de cette enquête pour le transformer en un document juridiquement significatif. Si ces deux éléments sont réunis, il est possible d’encourager la police à enquêter.

La résolution civile est difficile

Il serait bien qu’il y ait des solutions civiles sans avoir à recourir à la police, mais la réalité est que pour ce type de délit, les mesures civiles sont limitées.

Par exemple, dans le cas où un grand nombre de courriels ont été envoyés, l’adresse IP de l’expéditeur est indiquée dans le courriel (dans l’en-tête du courriel), donc vous voudriez que le fournisseur d’accès à Internet révèle l’adresse et le nom du contractant qui utilisait cette adresse IP. Cependant, en droit civil japonais, il n’existe pas de droit de demander légalement cette divulgation. Dans le cas de la diffamation sur Internet mentionnée ci-dessous, il est possible d’utiliser le droit de divulgation de l’information sur l’expéditeur en vertu de la loi sur la limitation de la responsabilité des fournisseurs d’accès à Internet, mais pour le dire simplement, ce droit de divulgation n’est reconnu que pour :

La communication destinée à être vue par un grand nombre de personnes non spécifiées (typiquement, la communication pour poster des diffamations sur un forum Internet ouvert au public)

En pratique, dans les cas de cybercriminalité avancée, il est souvent nécessaire de fournir des rapports plus détaillés pour encourager la police à enquêter que dans le cas où une action en justice est intentée. De plus, il peut s’écouler une période d’un an ou plus entre le premier contact avec la police et l’enquête ou l’arrestation réelle. Par contre, la résolution civile peut être plus facile, nécessitant moins de travail et de temps… mais pour ce type de délit, la résolution civile est généralement impossible ou très difficile. Si le coupable peut être identifié, il est possible de demander des dommages-intérêts pour les dommages causés par l’acte criminel, par exemple si une panne se produit sur le serveur web, mais il n’y a pas de moyen spécifique pour cela.

Les crimes liés à l’utilisation du réseau

Les dommages causés par la diffamation sur Internet

Les dommages à la réputation sont également un type de cybercriminalité.

Ce sont des actes criminels qui sont commis en utilisant des ordinateurs ou des réseaux, autres que les crimes informatiques mentionnés ci-dessus. Par exemple, la soi-disant diffamation sur Internet n’endommage pas les données, n’envoie pas d’informations non prévues, et ne fait pas fonctionner l’ordinateur de manière inattendue, mais elle est commise en utilisant le réseau Internet.

Les publications qui peuvent être considérées comme diffamatoires sont classées en :

  • Des actes illégaux tant sur le plan pénal que civil (l’exemple typique est la diffamation)
  • Des actes qui ne sont pas illégaux sur le plan pénal, mais qui le sont sur le plan civil (typiquement, l’atteinte à la vie privée ou à l’image)

Si l’acte est illégal tant sur le plan pénal que civil, il est possible de tenter d’identifier l’auteur en utilisant une demande de divulgation d’informations sur l’expéditeur en vertu de la loi sur la limitation de la responsabilité des fournisseurs, ou d’encourager la police à enquêter et à arrêter l’auteur.

Cependant, en fonction du contenu, la police n’est pas très encline à enquêter activement sur ces publications, en raison de ce que l’on appelle l’attitude de “non-intervention dans les affaires civiles”. De plus, l’atteinte à la vie privée ou à l’image n’est pas un crime au sens du code pénal, donc une résolution civile est nécessaire.

Les dommages causés par la communication un-à-un, comme les courriels

Il est très difficile d’identifier l’expéditeur d’un courriel sur le plan civil.

La difficulté réside dans l’envoi de messages inappropriés par des moyens de communication un-à-un, tels que les courriels et les DM de Twitter. Par exemple, un courriel typique contenant des propos qui pourraient être considérés comme une menace ou une extorsion. La demande de divulgation d’informations sur l’expéditeur en vertu de la loi sur la limitation de la responsabilité des fournisseurs ne peut être utilisée que dans le cas de :

La communication destinée à faire des publications vues par un grand nombre de personnes non spécifiées (typiquement, la communication destinée à publier des messages diffamatoires sur des forums Internet ouverts au public)

Par conséquent, pour ce type de communication, il n’y a pas de solution civile préparée à l’avance, et il ne reste plus qu’à espérer une enquête de la police. Cependant, même si le contenu posté sur un forum Internet pourrait être considéré comme diffamatoire, si un moyen de communication un-à-un est utilisé, le délit de diffamation n’est pas constitué. Pour le dire simplement, le délit de diffamation ne peut être constitué que si l’acte est commis à l’encontre d’un grand nombre de personnes non spécifiées. Dans le cas d’une communication un-à-un, la diffamation n’est généralement pas constituée.

Les dommages causés par les images obscènes et les sites illégaux

En outre, les crimes qui n’ont pas de victimes, ou qui ne causent pas de dommages aux entreprises qui sont les victimes en pratique, sont également inclus dans ce type. Par exemple :

  • La publication d’images ou de vidéos non censurées sur des sites pour adultes (exposition publique d’images obscènes)
  • La publicité pour des sites de casino illégaux
  • Les sites frauduleux qui prétendent vendre des produits de marque mais qui n’expédient pas réellement les produits

Sont des exemples typiques.

Par exemple, si des photos volées sont prises dans le vestiaire des femmes d’une entreprise et publiées sur Internet, ces photos constituent clairement une atteinte à la vie privée (ou à l’image) de la femme photographiée. Cependant, comme mentionné ci-dessus, l’atteinte à la vie privée (ou à l’image) n’est pas un crime, et bien que l’acte de voyeurisme soit un crime, la publication de photos prises par voyeurisme n’est pas immédiatement un crime. Par conséquent, il est difficile de demander à la police comment enquêter.

De plus, même si l’existence de sites de casino illégaux ou de sites frauduleux a entraîné une baisse des ventes de votre entreprise ou une perte de confiance, ces actes sont des crimes pour la société, même s’ils n’ont pas de victimes spécifiques (typiquement, les excès de vitesse ou les régulations sur les drogues sont de la même nature), ou ils ne concernent que les victimes directes (par exemple, les consommateurs qui ont payé de l’argent sur le site frauduleux). Par conséquent, même si une entreprise se plaint des dommages, elle ne fait que signaler en tant que tiers qui n’est pas une victime. De plus, si vous n’êtes pas une “victime”, vous ne pouvez pas envisager d’identifier l’auteur par une demande de divulgation d’informations sur l’expéditeur.

Cependant, si l’acte viole les droits de propriété intellectuelle de l’entreprise (droits d’auteur, marques, etc.), l’entreprise peut encourager la police à enquêter en tant que “victime”, ou tenter d’identifier le vendeur par des moyens civils.

Violation de la loi japonaise sur l’interdiction des accès non autorisés

Les actions interdites par la loi japonaise sur l’interdiction des accès non autorisés

Enfin, voici les actions interdites par la loi japonaise sur l’interdiction des accès non autorisés. Cette loi interdit :

  1. Les accès non autorisés
  2. Les actions favorisant les accès non autorisés
  3. Les actions de récupération non autorisée

Concernant le premier point, les accès non autorisés, il y a principalement :

  • Les actions d’usurpation d’identité : entrer l’ID et le mot de passe de quelqu’un d’autre et se connecter sans autorisation en tant que cette personne
  • Les actions d’exploitation des failles de sécurité : exploiter une faille de sécurité pour se connecter en tant qu’autre personne sans avoir besoin d’entrer un ID ou un mot de passe

Le deuxième point, les actions favorisant les accès non autorisés, consiste à informer ou à vendre sans autorisation les informations de compte d’autrui (ID, mot de passe, etc.).

Le vol de mots de passe par des sites de phishing, par exemple, fait partie de ce type d’actions.

Enfin, le troisième point, les actions de récupération non autorisée, consiste à faire entrer les informations de compte d’autrui par des moyens tels que des sites de phishing, ou à stocker les informations de compte obtenues illégalement de cette manière.

Résolution par la police

En cas de préjudice dû à un accès non autorisé, il faudra également inciter la police à enquêter. Cependant, de nombreux cas impliquent des problèmes techniquement très avancés, et comme dans le cas des crimes informatiques mentionnés ci-dessus, si une personne possédant des connaissances et un savoir-faire en informatique et en droit ne rédige pas un rapport, il est souvent difficile pour la police de mener une enquête en pratique.

De plus, si le coupable peut être identifié, il est possible de demander des dommages et intérêts à ce dernier. Cependant, comme dans le cas des crimes informatiques mentionnés ci-dessus, il est très difficile d’identifier le coupable par des moyens civils.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Retourner En Haut