Le Burkina est il le centre névralgique du scam 419 ?

A l’heure actuelle, rien de permet de tirer une telle conclusion. Une analyse rapide de quelques mails frauduleux de type scam 419 faisant référence au Burkina m’a permis de constater que tous ces mails ne sont pas envoyés à partir d’ordinateurs localisés au Burkina.

Mais le fait que plusieurs de ces mails incluent des numéros de contact au Burkina laisse fortement penser que ces escroqueries ne sont pas toujours orchestrées par des personnes isolés, qui dans leur coin, décident tous seuls d’extorquer des fonds à des honnêtes citoyens. Il pourrait s’agir pour certains, de réseaux très structurés, avec surement des tâches reparties en fonction des régions.

Alors, quel pourrait être le rôle du Burkina dans ces types de réseau ?

Je ne saurai vous répondre. Seule une étude approfondie et officielle du phénomène, une analyse d’un échantillon représentatif de ces mails frauduleux, basée sur des critères tels que : leur source, leur contenu, le procédé utilisé pour les diffuser, le procédé d’extorsion, etc. , permettra de mieux cerner le phénomène et la position du Burkina dans ces activités malveillantes.

Et j’insiste sur le coté officiel de l’étude parce qu’elle pourrait être un argument de poids, quelque chose de concret qui pourrait être brandi pour dire aux autorités compétentes "voici des chiffres, le phénomène est réel, donnez-nous les moyens de le combattre". Une telle démarche aura beaucoup plus de chance d’aboutir que celle basée sur l’illumination ou l’inspiration qui consiste à se dire "tiens, tel pays a un plan de lutte contre la cybercriminalité, pourquoi pas nous ?". Nul besoin de vous dire qu’une telle démarche s’arrêtera au meilleur des cas à la production de lois qui ne seront probablement jamais appliquées puisqu’elles ne se fondent sur rien de concret.

Quelles pourraient être les raisons pour lesquelles le Burkina est constamment cité ?

Là encore, je ne saurais me substituer à une étude formelle, mais en matière de cybercriminalité, il y’a des signes qui ne trompent pas : tous les pays où les actes cybercriminels sont fréquents ont en commun le fait de ne pas disposer de cadre juridique de lutte contre la cybercriminalité. Plus la loi est sévère dans un pays qui a des accords internationaux en matière de cybercriminalité, plus les actes cybercriminels baissent. Bien entendu le scam 419 n’est qu’une des facettes de la cybercriminalité, mais dans le cas du Burkina, c’est le plus important.

Mais ne confondons pas le soupçon et La preuve Dans plusieurs commentaires sur Lefaso.net au sujet du scam 419, plusieurs personnes s’étonnent du fait que des cybercriminels fréquentent des cybercafés au Burkina, au vu et au su de "tout le monde" sans être inquiétés. Chose encore plus inquiétante, le profil du cybercriminel parfait semble déjà établit :une personne originaire d’un pays X, qui passe plusieurs heures dans un cybercafé, qui va retirer de l’argent à Western Union, etc. Il faut être très prudent sur ce genre de déductions car nul n’a le monopole du bien ou du mal. Et puis, l’expérience a toujours montré que les cerveaux des escroqueries ne sont pas toujours ceux qu’on soupçonne le plus.

Pourquoi ne peut-on pas se permettre de priver une personne de ses libertés juste parce qu’on la soupçonne de commettre une activité malveillante ?

Il faut savoir que dans un Etat de droit et dans tout pays qui se respecte, le soupçon ne saurait en aucun cas être utilisé comme une preuve de culpabilité. Tout comme dans la vraie vie, en matière de cybercriminalité, pour qu’une personne soit reconnue coupable, il faut brandir des preuves irréfutables et montrer que la personne qu’on soupçonne est bel et bien celle qui a commis l’acte malveillant.

Si cela est souvent difficile dans la vraie vie, il l’est encore plus en matière de cybercriminalité. En effet, non seulement l’on doit montrer des preuves mais l’on doit aussi montrer que les preuves n’ont pas été modifiées et qu’elles ont été collectées conformément à la Loi.

Pourquoi un mail de scam isolé ne peut pas être accepté comme une preuve absolue ?

Pour la simple raison que les mails peuvent être falsifiés ou envoyés de manière mal intentionnée. On n’y pense pas toujours mais une personne malveillante, dans l’intention de vous nuire, peut envoyer un mail de scam en votre nom en y insérant votre adresse et votre numéro de téléphone, ce qui ferait de vous un suspect potentiel et donc un coupable si on part du principe que le mail est une preuve absolue. Je vous vois sursauter et dire "tiens, j’y avais pas pensé !". D’où l’importance d’un encadrement juridique de la cybercriminalité pour s’assurer qu’on ne punit que les coupables.

Comment peut-on collecter des preuves en cas de scam ?

La collecte de preuve en cas de scam va consister en général à partir du mail frauduleux reçu par une personne qui a porté plainte, le pré-analyser pour remontrer à l’ordinateur source (qui a envoyé le mail). Lorsque la source est trouvée, le gros du travail commence : il faut répondre à LA QUESTION "qui était connecté à cet ordinateur au moment précis où le mail a été envoyé ?", ce qu’on appelle dans le jargon de l’investigation informatique "démontrer l’imputabilité de l’accès".

L’imputabilité d’un accès est plus facile à montrer si le mail a été envoyé à partir d’un ordinateur personnel appartenant à une personne abonnée chez un fournisseur d’accès internet (FAI). Il sera demandé au FAI de retrouver l’abonné qui était connecté à cette adresse au moment précis et c’est chose assez facile en général. Pour des raisons évidentes, je ne rentrerai pas dans les détails de cette opération.

Si le mail a été envoyé à partir de l’ordinateur d’une entreprise, il est également assez facile de remonter à l’auteur si des mesures de sécurité appropriés y sont mises en place. L’un des principes directeurs informatiques d’une entreprise devrait être "l’imputabilité de tout accès ou de toute connexion au réseau ou à tout ordinateur de l’entreprise doit être démontrable" et des mesures doivent être mises en place à cet effet. Les entreprises qui ne respectent pas ce principe devront revoir leur copie car même en cas de malversation interne, ils pourraient avoir du mal à poursuivre l’auteur en justice.

Comment peut-on démonter l’imputabilité d’un accès si le mail frauduleux a été envoyé à partir d’un lieu public (cybercafé, etc.) ?

Les choses se compliquent dans ce cas et on se rend compte très rapidement qu’il y’a une pièce du puzzle qui manque et cette pièce, c’est l’encadrement juridique de la cybercriminalité. Si l’on veut pouvoir assurer l’imputabilité des accès dans les cybercafés, il faut :

  pouvoir lier toute connexion à un individu : par exemple vérifier son identité, la consigner dans un registre tout en indiquant l’adresse de l’ordinateur sur lequel il est connecté, le début de sa connexion, la durée de sa connexion et très important : la signature de l’individu.
  Obliger les cybercafés à loguer (enregistrer dans un fichier appelé fichier de log) toutes les connexions établies sur les ordinateurs du cybercafé. Cette information est absolument nécessaire et couplée avec le registre signée par l’internaute, peut être utilisé comme élément de preuve.

Bien entendu, il existe plusieurs autres éléments qui peuvent être utilisés comme preuves et ce sera à la loi de définir ce qui peut être acceptable comme preuve.

Pourquoi les gérants de cyber sont frileux quant au signalement des actes cybercriminels qu’ils soupçonnent ?

Tout simplement parce qu’il n’y a pas un cadre juridique qui définit de manière formelle leurs rôles et responsabilités quand un acte de cybercriminalité a lieu dans leur cybercafé. Leur est-il fait obligation de contacter la police s’ils constatent ou soupçonnent un acte cybercriminel ? Si cela n’est pas clairement spécifié, certains gérants de cybercafés resteront toujours muets pour éviter de perdre des clients.
Bien entendu, l’encadrement juridique de la cybercriminalité est plus vaste que cela et doit couvrir d’autres aspects tels que la définition de ce qui peut être considéré comme acte cybercriminel, ce qui peut être acceptable comme preuves en cas de cybercriminalité ou encore les conditions pour déclencher une investigation pour cybercriminalité. Par exemple, peut-on initier une poursuite pour cybercriminalité si aucune victime ne porte plainte ? Ce sera à la Loi de le dire.

L’encadrement juridique de la cybercriminalité est donc beaucoup plus vaste que la mise en vigueur d’une Loi sur la cybercriminalité…

Tout à fait. Ce sera déjà un grand pas en avant, mais pour être efficace, elle doit s’accompagner de beaucoup d’autres choses telles que la "Loi sur la preuve", le statut des cybercafés, la sensibilisation de la population au signalement d’actes cybercriminels, la mise en place de structures opérationnelles d’investigations cybercriminelles, etc. L’investigation informatique (computer forensics) et la collecte de preuves sont tout un art ; la manière de copier ou d’enregistrer les preuves peut même conduire à l’annulation d’une poursuite judiciaire.

Il faut noter que l’encadrement juridique de la cybercriminalité devra aussi prendre en compte le volet « services de communication ». Par exemple, l’acquisition de toute puce de téléphone portable devra être conditionnée par la présentation d’une pièce d’identité, ce qui permettra d’assurer l’imputabilité des accès téléphoniques et sera d’un grand apport lors des investigations pour cybercriminalité.

Le Burkina ou tout autre pays africain peut-il lutter contre la cybercriminalité de manière isolée ?

Non. Les cybercriminels travaillent souvent en réseau, souvent repartis dans plusieurs pays, voir plusieurs continents. Dans le contexte africain, pour être efficace, la lutte contre la cybercriminalité doit se faire soit de manière globale, soit par regroupements d’entités qui coopèrent étroitement entre elles. L’idéal serait d’avoir un encadrement uniforme de la cybercriminalité sur tout le continent, sinon les cybercriminels profiteront des incohérences des lois pour continuer leurs activités en toute impunité.

Un exemple d’incohérence ? Par exemple, un pays A peut considérer qu’une personne ne peut être poursuivie pour cybercriminalité que si une victime porte plainte. Un autre pays B peut considérer que l’Etat peut se substituer à toute personne à partir du moment où il est cité comme le pays source de l’acte cybercriminel (ce qui en passant porte atteinte à son image et à sa réputation). Dans une telle situation, il est évident que la cellule chargée d’appâter les victimes sera très probablement installée dans le pays A, vu que beaucoup de victimes ne portent pas plainte.

Existe-t-il des outils permettant de lutter de manière proactive contre le scam 419 ?

Tout à fait. Aujourd’hui, il existe des outils assez mûrs qui, installés dans un réseau permettent de bloquer des paquets qui contiennent des mots prédéfinis (qu’on appelle patterns). Bien configurés, ces outils pourraient permettre de bloquer plusieurs mails de scam, même s’ils sont envoyés via des serveurs de mail gratuits tels que Hotmail, Yahoo, etc. Bien entendu, ils ne bloqueront pas tout, mais le taux de mails frauduleux baissera énormément, ce qui est très intéressant. Le problème n’est donc pas au niveau des outils, mais d’encadrer la lutte contre la cybercriminalité de manière organisationnelle et juridique.

La sensibilisation peut donc être considérée comme un facteur de réduction du risque ?

On ne le répétera jamais assez, le meilleur moyen pour lutter contre le scam 419 reste la sensibilisation. Parlez-en autour de vous, ne répondez pas aux courriels qui vous semblent louches, fuyez tout ce qui vous semble trop facile, ne laissez pas vos adresses de courriel n’importe où. A ce propos, je vous invite à lire ou relire l’article "Le Spam : présentation, fonctionnement, principaux moyens de lutte" disponible sur lefaso.net et qui donne des conseils sur l’attitude à adopter pour éviter la collecte de vos adresses de courriel.

Et pour terminer avec quelques petits conseils…

Plusieurs procès pour piratage informatique n’ont pas abouti parce que les pirates ont argué le fait qu’ils ignoraient qu’ils n’avaient pas le droit de se connecter à l’ordinateur qu’ils ont piraté (ce qui peut être un argument solide). Sur vos serveurs d’entreprise, vous devez donc obligatoirement mettre un message de connexion (appelé LOGIN BANNER), informant toutes les personnes qui essaient de se connecter que :
  L’accès au serveur n’est permis qu’aux personnes autorisées
  Leurs actions peuvent être enregistrés et surveillées
  Une action en justice peut être initiée s’ils commettent un acte malveillant via ce serveur.

Ce devra également être le cas sur tous les ordinateurs de l’entreprise (portables, PC, etc.).

Pourra-t-on toujours poursuivre l’auteur d’un acte cybercriminel dans un cybercafé s’il n’a pas signé une charte de bonne utilisation des ordinateurs ou si à sa connexion il ne lui est pas clairement spécifié qu’il s’expose à des poursuites judiciaires en cas d’utilisation malveillante de l’ordinateur ? (l’encadrement juridique devra y répondre)

Si vous soupçonnez qu’un de vos ordinateurs est piraté et si vous voulez collecter des preuves en vue d’une poursuite judiciaire éventuelle (ou pour comprendre ce qui s’est passé afin d’améliorer la sécurité de votre réseau), il faut éviter de débrancher automatiquement le câble réseau de l’ordinateur concerné. En effet certains outils de piratage installés sur un système compromis testent la connexion réseau en permanence et si la connexion est rompue, ils s’autodétruisent, effacent les traces et « adieu les preuves ». Solution : débranchez l’ordinateur compromis du réseau de l’entreprise et branchez-le très rapidement sur un Hub ou un switch isolé avant de faire quoi que ce soit.

Interview réalisée par Cyriaque Paré
Lefaso.net