Darkweb : dans les entrailles du Web (fr)
France > Droit privé & Droit public > Libertés publiques & Droit du numérique (fr) > Protection des données personnelles > Droit pénal
Auteur: Me Olivier de MAISON ROUGE, Avocat – Docteur en droit[1]
Date: le 29 septembre 2020
Dans un article du 24 février 2020, le Figaro révélait l’existence d’une cellule spécialisée de magistrats dédiés à la répression des crimes et délits commis sur le Darkweb . Cela nous amène à nous pencher sur cet espace immatériel méconnu.
Darkweb : Dans les entrailles du Web Effectivement, évoquer le Darkweb, c’est un peu comme se plonger dans le côté obscur de la force que seuls les initiés connaissent. Cependant, ce monde immatériel enfoui n’est pas un ensemble monolithique, échappant simplement à l’indexation des moteurs de recherche[1].
Ainsi, le Darkweb est un peu plus qu’un repaire d’opérations frauduleuses : c’est aussi une sphère dissimulée du grand public où se retrouvent de nombreux affranchis des règles du web de surface. En cela, il traduit une propension manifeste à une forme de liberté numérique des usagers d’Internet, déclarant vouloir échapper à la surveillance de Big brother.
Mais comme toute société libertarienne, l’absence de loi n’a qu’un temps et rapidement d’autres obligations alternatives voient le jour. Nous nous proposons d’en décrypter les principaux codes, qui reposent essentiellement sur les usages des internautes de cette partie immergée du web, qui n’échappe cependant pas totalement aux pouvoirs publics..
Anonymat et darkweb
Le Darkweb fonctionne comme les catacombes : étant un condensé de réseaux privés anonymes a priori construits entre pairs de confiance (peer-to-peer), il faut donc en posséder les clés préalable à toute navigation. Les noms de domaines s’affranchissent des droits d’administration de l’ICANN.
Parmi les logiciels d’accès et d’anonymisation est souvent mentionné TOR (pour The Onion Router, réunissant les sites possédant l’extension .orion), considéré comme la porte d’entrée du Darknet. Mais il en existe d’autres comme GNU, freenet., I2P, Zeronet, SafetyGate, … Au titre des plus utilisés[2], TOR fait transiter le trafic par plusieurs strates (les couches de l’oignon) de manière à ce que l’on ne puisse plus, à la sortie, en déterminer l’origine ni localiser l’internaute. En d’autres termes, une fois passée les portes du Darknet, l’adresse IP ne peut plus être identifiée, en théorie seulement[3].
En pratique, l’anonymat total sur Internet n’existe pas, on ne peut que rendre plus difficile l’identification. C’est la raison pour laquelle ce vaste réseau, constitué d’espaces plus ou moins fermés, n’est pas exempt de la présence de services de renseignements et d’enquête : NSA, FBI, FSB, Europol …
Contenu du Darkweb, les bas instincts de l’humanité
Parmi les aspects vertueux, agissant comme une communauté de communications privées, retenons que le Darkweb est employé par les contestataires et dissidents des régimes autoritaires (Chine, Tibet, …), trouvant dans cet ensemble une liberté d’expression et une caisse de résonnance pour les journalistes alternatifs. De même, étant la sphère de liberté des geeks et technophiles les plus pointus, cette masse d’utilisateurs forment également une censure « naturelle », par voie d’autorégulation. C’est ainsi que furent dénoncés par les Anonymous des sites pédophiles présents dans le Darkweb.
Pour les sites crapuleux, on trouve effectivement des pages répréhensibles au nom des bonnes mœurs (pédophilie, SM, pratiques extrêmes, …), mais encore des ventes de fausse-monnaie, d’armes, de drogue, de fichiers comprenant des données bancaires, échanges de fichiers frauduleux, transactions douteuses en tout genre … de nombreux réseaux clandestins, notamment terroristes, se financent sur le darkweb.
Questions juridiques relatives au Darkweb
L’utilisation d’un logiciel d’anonymat, type TOR, n’a en soi rien de répréhensible, sauf, le cas échéant, à s’affranchir des dispositions de l’article 19 de la loi LCEN du 21 juin 2004[4].En revanche, l’utilisation intentionnelle qui en est faite peut le devenir. La Loi, quant à elle, ne fait aucune distinction entre Internet de surface et réseaux virtuels privés, anonymes ou non. Ces réseaux virtuels privés, même s’ils ne sont pas indexés par les moteurs de recherche grand public, juridiquement ils restent des réseaux communiquant avec des « systèmes automatisé de traitement de données » (ou STAD)[5]. Ainsi, de nombreuses infractions informatiques sont constituées, indépendamment du support sur lesquelles elles ont été réalisées et constatées. En revanche, il est certain que l’utilisation d’un logiciel d’anonymat rend plus difficile l’identification de son auteur.
Dès lors, par principe, tout le corpus juridique propre aux données personnelles et au commerce électronique est applicable (loi 78-17 du 6 janvier 1978 dite « Informatique et libertés », RGPD ; loi n°2004-575 du 21 juin 2004 « pour la confiance dans l’économie numérique »).
En vertu de l’article 30.I de la loi LCEN du 21 juin 2004, l’usage des logiciels de chiffrement est libre. En revanche, ils doivent être employés au moyen de programmes de cryptage dûment déclarés (LCEN, article 31 et s.). La responsabilité pénale du fournisseur de logiciel de cryptage est susceptible d’être engagée[6].
Concernant les darknets prônant et appliquant la liberté d’expression (sites de dissidents politiques et de journalistes indépendants), il n’existe pas de difficulté particulière d’application juridique, sauf, comme cela est recensé concernant les réseaux sociaux qui constituent par eux-mêmes une forme de réseaux virtuels privés. Aussi, s’agissant de la diffamation, faut-il en déduite que la loi sur la liberté de la presse du 29 juillet 1881 trouverait à être interprétée dans les mêmes termes par la jurisprudence en pareil cas. En effet, compte tenu du relativement faible nombre de personnes dont la diffamation serait connue, si l’infraction devait être constatée, il conviendrait sans doute de ne retenir qu’une diffamation non publique[7]il en serait probablement de même pour l’insulte ou l’injure.
S’agissant de la répression du commerce électronique sur le Darkweb, qui porte essentiellement sur des biens et services illégaux (drogues, armes, vidéos, …), la réponse est bien évidemment moins nuancée. Au sens de la loi pénale, toute infraction constatée, et dont l’identité de son auteur serait identifiée – ce qui reste la difficulté de l’exercice – le délit ou le crime doit pouvoir être retenu (voir ci-dessous).
Sur le plan civil, il va sans dire que toute transaction ne répond pas aux critères érigés par l’article 1128 (nouveau) du Code civil[8], dès lors que le contenu est illicite. Dans le prolongement de cette idée, tout fichier contenant des données personnelles ainsi revendu sur un darknet, est une opération de vente nulle et de nul effet comme cela a été jugé (indépendamment du support)[9]. En outre, toute violation des bases de données demeure sanctionnée par le Code de la propriété intellectuelle [10].
La répression pénale des infractions commises sur le Darkweb
Bien que n’état pas l’activité exclusive rencontrée sur le darkweb, il faut bien reconnaître cependant qu’elle est majoritairement d’origine frauduleuse. Ainsi, la plupart des délits financiers et/ou informatiques se trouvent réunis dans cette sphère.
La délinquance financière (blanchiment d’argent au moyen du Bitcoin, transactions financières opaques, financement du terrorisme) sanctionnée par l’article L 221-1 du Code de la sécurité intérieure (CSI) figure au titre des infractions qui méritent d’être recensées. Il est inutile de souligner cependant qu’aucun opérateur ne se risque à en aviser TRACFIN. C’est pourquoi, le décret n°2016-1523 du 10 novembre 2016 relatif à la lutte contre le financement du terrorisme, a modifié le Code monétaire et financier et renforcé les obligations de déclaration de soupçon des intermédiaires en matière de monnaie électronique.
Précisément, dans le cadre de la recherche des infractions, les services d’enquête [11] peuvent solliciter toute information les opérateurs Internet (fournisseurs d’accès, hébergeurs, …) en vue d’identifier les internautes se livrant à des activités frauduleuses en application de l’article L 871-1 du CSI. Tout refus de communiquer les moyens de décryptage constitue pour le technicien requis une infraction réprimée par l’article 434-15-2 du Code pénal[12].
La constitution de fichiers et/ou bases de données personnelles (notamment de données bancaires) non déclarées, est soumise aux sanctions énoncées sous l’article 226-16 du Code pénal.
Toute atteinte à tout système d’information (attaque par déni de service, hacking, …), est sanctionnée par les articles 323-1 et suivants du même Code. Enfin, les articles L. 39 et suivants du Code des postes et télécommunications tendent à sanctionner tout opérateur ayant créé et administré, sans déclaration préalable, un réseau virtuel clandestin.
Références
- ↑ Le darkweb est un espace Internet occulte, abritant une masse de Darknets, constitués de réseaux virtuels prvivés
- ↑ 2 millions d’utilisateurs quotidiens estimés
- ↑ Selon la CNIL, l’adresse IP constitue une donnée personnelle ; l’internaute du darkweb s’en dépossède ainsi volontairement
- ↑ Lequel énonce en substance que toute personne qui se livre au commerce électronique doit être identifiable par son nom ou sa dénomination, son domicile ou son siège social, son adresse électronique, son n° de RCS ou SIRET, son n° de TVA intracommunautaire
- ↑ Au sens de l’article 323-1 et suivants du Code pénal
- ↑ Lequel doit, dans les 72 heures de la demande formée par les services de renseignement et d’enquête, les codes de déchiffrement (CSI art. 871-1 et s.)
- ↑ En ce sens :CAA Nantes, 3ème ch., 21 janv. 2016 B. F. / Cne de Montargis ; TGI Paris, 17 janv. 2012 ; CA Reims, 9 juin 2010 ; CA Besançon, 15 nov. 2011 ; CA Rouen, 15 nov. 2011 ; CPH Boulogne-Billancourt, 19 nov. 2010, Aff. Alten ; CA Besançon, 19 nov. 2010 ; CA Versailles, 22 fév. 2012 ; CA Besançon, 6 juil. 2012 ;CA Bordeaux, 12 févr. 2013 ; Cass civ. 1e, 10 avr. 2013, n°11-19.530 ; Cass. Crim., 6 sept. 2016, n°15-83768
- ↑ A noter que l’ancien article 1128 prohibant la vente de biens hors commerce a quant à lui disparu …
- ↑ Cass. com., 25 juin 2013, n°12-17037
- ↑ CPI, article L. 343-1 et suivants ; CPI article L. 112-3-1
- ↑ Enumérés sous l’article R 851-1 du CSI
- ↑ 2270 000 € d’amende et 3 ans d’emprisonnement, ainsi que les peines énoncées sous l’article 132-79 du Code pénal