Les monnaies électroniques sont apparues progressivement dans le sillage de l'économie numérique. Elles ont pris différentes formes, dont la plus débattue actuellement est celle des crypto-monnaies. S'intégrant plus ou moins à la vision classique des systèmes de paiement réglementés et attirant autant l'attention des délinquants que celle des usagers, ces monnaies électroniques représentent des enjeux majeurs que nous allons tenter d'exposer ici.
La cyberdélinquance à l'assaut des échanges financiers
Loin devant l'amusement ou la vengeance (de plus en plus marginaux), le gain financier est évidemment la première motivation ou le moyen des activités cybercriminelles. Même les atteintes aux personnes, telles que l'échange de contenus pédopornographiques, revêtent une dimension financière à travers la commercialisation de l'accès à ces contenus.
Parmi les nouvelles formes de cybercriminalité financière, les plus remarquables reposent sur des interactions - la vente de services cybercriminels - entre des personnes isolées et des petits groupes qui ne se connaissent souvent que par leurs échanges en ligne. C'est ainsi qu'a émergé un véritable écosystème cybercriminel. Cette évolution a eu un impact sur le développement des paiements électroniques, et s'en est nourri.
La carte bancaire, contrefaite y compris sous sa forme de carte à puce dès les années 2000, fut la première touchée. D'après le rapport de l'Observatoire de la sécurité des cartes de paiement publié en juillet 2015, le taux de fraude s'est stabilisé. Mais il reste conséquent : 500 millions d'euros en 2014, dont 66 % en valeur sont liés à des paiements à distance. Les cartes téléphoniques à puce, certaines cartes de transport ou les cartes de télévision à péage ont également été visées.
Les virements et la banque en ligne n'ont pas tardé à être attaqués à leur tour au moyen de techniques rustiques (détournement de coordonnées bancaires dans les boîtes aux lettres, hameçonnage pour obtenir les codes de banque en ligne) ou plus sophistiquées, comme les logiciels malveillants apparus depuis une petite dizaine d'années dans l'univers bancaire (2). Ces « botnets » sont désormais capables de cibler les terminaux de points de vente (3). Chaque nouveau moyen de paiement a été systématiquement exploité, soit pour faire circuler les richesses (moyen de paiement des victimes, blanchiment), soit comme point d'entrée pour accaparer une ressource qui pourra ensuite être revendue. Ces moyens de paiement, aujourd'hui, quels sont-ils ?
Différentes catégories de moyens de paiement électronique
On peut les classer de la façon suivante :
- Cartes de paiement (à puce)
Cartes bancaires classiques avec ou sans crédit
Cartes sans contact
Cartes avec porte-monnaie électronique
- Cartes de transport
- Paiements mobiles
Par SMS ou appels surtaxés
Via l'interface sans contact et un composant sécurisé intégré
Comme support ou vecteur d'authentification d'un autre moyen de paiement électronique (notamment de type porte-monnaie)
- Virements
Entre comptes bancaires, directement ou par un intermédiaire (très pratiqué en Allemagne ou aux Pays-Bas, par exemple)
Par versement d'espèces (mandats cash)
- Porte-monnaie ou comptes de paiement en ligne
Adossés à des moyens de paiement classiques ou indépendants
Sous forme de tickets ou de recharges
- Crypto-monnaies
Nombre de ces systèmes de paiement électronique reposent sur une autorité centrale. Mais certains se caractérisent par un certain anonymat, comme les tickets de paiement (qui peuvent être échangés librement) ou les crypto-monnaies.
Une constante : la vulnérabilité
Tous les moyens de paiement électronique ont été (ou seront vraisemblablement) piratés. Ainsi, dès sa création en 1996, le porte-monnaie électronique e-Gold, dont le principe reposait sur un compte alimenté en unités de valeur fictives basées sur le métal or, a suscité l'intérêt des criminels. Les détenteurs de comptes e-Gold auraient été les cibles, en juin 2001, de la première campagne d'hameçonnage contre un système financier. Mais c'est l'utilisation de cette monnaie par des groupes criminels qui a conduit ses dirigeants à reconnaître leur responsabilité dans des opérations de blanchiment (4). En mai 2013, un autre prestataire de paiement - Liberty Reserve, dont le siège se trouve au Costa Rica - a été lourdement sanctionné par le ministère de la Justice américain qui a procédé à la saisie de ses avoirs et de ses noms de domaine, l'accusant d'avoir blanchi pour 6 milliards de dollars de revenus criminels (5).
L'histoire s'est répétée avec les paiements mobiles, notamment ceux qui se fondent sur une identité incertaine, liée aux abonnements téléphoniques mobiles prépayés par exemple.
De même, les tickets de paiement, presque aussi faciles à manipuler que de l'argent liquide, font l'objet d'attentions particulières : il suffit de connaître le numéro du ticket pour le mettre en oeuvre. Ils ont été largement utilisés pour le paiement des fausses amendes des premiers rançongiciels (6) rencontrés à partir de 2012 en Europe. Ils étaient ensuite revendus sur des places de marché « noir », pour un certain pourcentage de leur valeur faciale.
Plus récemment, les criminels se sont intéressés aux virements SEPA (Espace unique de paiement en euros) destinés à faciliter les transactions transfrontalières en Europe. Ils se servent des références de compte bancaire (IBAN) collectées frauduleusement pour initier des paiements, en espérant que la victime ne décèle pas le montant dans son relevé bancaire ou que la banque ne vérifie pas la prétendue autorisation qui y est normalement associée.
La plupart de ces techniques de piratage ne nécessitent pas un haut niveau de compétence. Une bonne connaissance de l'organisation du système de paiement et de ses faiblesses suffit. Les délinquants sont très doués à ce jeu, et apprennent les uns des autres.
Bitcoins et autres : l'essor des crypto-monnaies
Les crypto-monnaies, qui se sont développées à partir de 2009, font appel à des techniques cryptographiques pour valider les transactions et la création d'unités de valeur. La plus célèbre d'entre elles est le bitcoin (7), qui aurait été inventé par un individu non identifié se faisant appeler Satoshi Nakamoto (8).
L'architecture du bitcoin prend appui sur un système décentralisé (pair-à-pair) qui permet de publier sur l'ensemble des noeuds du réseau toutes les transactions : cette technologie est baptisée blockchain ou chaîne de blocs. Chaque transaction est signée grâce à la clé privée (9) détenue par celui qui la valide (le propriétaire des bitcoins) en la publiant sur l'un de ces noeuds (10).
Particularité intéressante, les nouvelles unités de compte sont attribuées aux mineurs, c'est-à-dire aux personnes qui contribuent au processus cryptographique de validation des transactions par blocs (d'où le nom de blockchain). Toutefois, le nombre d'unités de bitcoins attribuées à chacune de ces validations diminue avec le temps et sera limité à 21 millions de bitcoins (environ 16 millions de bitcoins sont en circulation à ce jour). Les mineurs sont aussi rétribués par les frais de transaction éventuellement associés.
L'utilisateur de crypto-monnaies stocke ses avoirs dans un porte-monnaie local (sur son ordinateur personnel, par exemple) avec sa clé privée, ou bien dans un porte-monnaie hébergé chez un intermédiaire en ligne. Elles peuvent être échangées entre elles ou évidemment contre des monnaies réelles sur des plates-formes d'échange. À titre d'information, le taux de conversion d'un bitcoin a varié de 200 à 400 euros au cours des douze derniers mois (janvier 2015 à janvier 2016).
Une mauvaise réputation... guère usurpée
Le fait que cet instrument de paiement puisse être librement échangé par n'importe qui contre des monnaies réelles a provoqué l'émergence d'un grand nombre d'acteurs plus ou moins importants et plus ou moins honnêtes. MtGox est l'une de ces plates-formes d'échange. Créée en 2009, cette société basée au Japon a déposé son bilan en 2014, alors que 850 000 bitcoins (soit plus de 300 millions d'euros) avaient disparu de ses comptes. Tous les clients n'ont pas été remboursés de leurs dépôts, seuls 200 000 d'entre eux ayant été retrouvés. Le dirigeant de la société, un Français installé au Japon, a été formellement accusé du détournement de plus de 2 millions d'euros à titre personnel par les autorités du pays en août 2015 (11). Par ailleurs, comme cette monnaie n'a pas de cours légal, le statut juridique (monnaie, instrument de paiement ou bien matériel selon les décisions judiciaires) et fiscal de ces transactions fait souvent débat.
On reproche aussi aux crypto-monnaies leur nature éminemment spéculative. Une grande partie des ventes et des achats de ces monnaies sont liés à de simples opérations financières (88 % des transactions sur Coinbase étaient de nature purement financière à la fin de l'année 2014 (12)), qui plus est concentrés entre peu de mains ; et 95 % des ressources dédiées au minage des bitcoins serait détenues par une poignée de personnes, essentiellement basées en Chine (13).
Leur usage courant, voire prépondérant aujourd'hui dans les transactions illégales n'arrange pas leur réputation. Elles ont presque la même fluidité que l'argent liquide et garantissent surtout un anonymat renforcé par l'absence d'intermédiaire pour la mise en oeuvre des transactions. Cet anonymat est certes relatif dans le cas du bitcoin : toutes les transactions sont publiées et associées à un numéro de porte-monnaie... mais ne mentionnent pas forcément l'adresse IP réelle du titulaire. Les succès récents de saisies de bitcoins par la gendarmerie nationale en France en témoignent (14).
La possibilité de dépenser directement ses bitcoins avec une carte bancaire ou de retirer des espèces depuis une borne avec son porte-monnaie en bitcoins soulève des inquiétudes en termes de blanchiment. Il existe même des services dédiés au blanchiment des bitcoins, afin de rajouter une couche de sécurité à l'anonymat existant (15).
Tout cela explique que les bitcoins ont remplacé les tickets de paiement électronique comme moyen de paiement des rançons réclamées par les rançongiciels. Les activités du groupe criminel DD4BC (qui menace ses victimes d'attaques en déni de service, rendant inaccessibles leurs services en ligne, et réclame le paiement d'une rançon en bitcoins) en sont une autre illustration. Ce groupe a fait l'objet d'une opération de police coordonnée en décembre 2015 (16).
Enfin, les crypto-monnaies sont aussi un moyen de paiement répandu entre délinquants eux-mêmes. Le cas du marché en ligne Silk Road l'a brutalement mis en lumière. Ce site Web, disponible via la plate-forme de communication anonymisée Tor, permettait d'acquérir aussi bien des armes que des drogues ou des numéros de cartes bancaires. Les études récentes portant sur les marchés noirs de la cybercriminalité montrent l'importance qu'a acquise la crypto-monnaie dans les transactions de cette nature (17).
La puissance publique doit s'adapter
La réglementation évolue progressivement. En France, suite aux inquiétudes exprimées par la Banque de France et Tracfin, un rapport parlementaire est venu faire le point en juillet 2014 (18). Il recommande de prendre en compte les multiples opportunités qu'offrent les crypto-monnaies et d'oeuvrer à un encadrement cohérent à l'échelle européenne - un point repris dans le plan d'action présenté récemment par la Commission européenne en matière de lutte contre le financement du terrorisme (19).
Mais l'évolution du cadre juridique concerne évidemment un ensemble plus large de systèmes de paiement. Ainsi, la directive européenne sur les services de paiement (DSP2, votée en octobre 2015 par le Parlement européen) introduit de nouveaux acteurs : les prestataires de services de paiement (PSP) tiers. Les banques - françaises notamment (20) - émettent des doutes quant à la sécurité des données qu'elles auront à traiter.
Dans la mesure où chaque nouveau système de paiement est voué à être exploité à des fins délictuelles, les organes de contrôle doivent s'adapter. L'Agence de gestion et de recouvrement des avoirs saisis et confisqués (AGRASC), qui peut désormais saisir des bitcoins dans le cadre des enquêtes judiciaires, l'a fait et devrait être bientôt suivie par l'Observatoire de la sécurité des cartes de paiement (OSCP). Il existe, en effet, une forte interaction entre tous les systèmes de paiement : pour les usagers qui se servent indifféremment des uns ou des autres et qui transfèrent de l'argent entre leurs différents services, ainsi que pour les plates-formes qui doivent offrir à leurs clients diverses méthodes de paiement, ou pour les banques tenues de proposer le même niveau de sécurité des comptes, quel que soit le canal utilisé.
L'OSCP a été créé par la loi de 2001 sur la sécurité quotidienne. Il rend compte chaque année de l'évolution de la sécurité des transactions par carte en France, émet des recommandations et accompagne les acteurs dans l'adaptation de la réponse. C'est l'OSCP qui a poussé à l'adoption d'un second facteur d'authentification tel 3D-Secure pour les paiements à distance. Dans un ouvrage de 2012 (21), nous proposions que les missions de cet observatoire soient étendues à tous les instruments de paiement, idée reprise dans la cinquième recommandation du groupe de travail interministériel de 2014 sur la cybercriminalité. Espérons que cette solution sera rapidement mise en place.
Sont aussi concernés au premier chef ceux qui développent et opèrent les solutions de paiement, libres ou centralisées. Il est indispensable qu'ils prennent en compte la sécurité dès la conception de leurs projets, et sous tous les angles nécessaires, en particulier la protection contre les usages abusifs par les cybercriminels. C'est d'ailleurs l'un des axes forts de la Stratégie nationale pour la sécurité du numérique, présentée en octobre 2015 par le premier ministre Manuel Valls (22).
Univers en perpétuelle mutation, le paiement électronique est devenu la proie des (cyber) délinquants. Face à cette menace, la riposte tient en trois mots : comprendre, prévenir et réagir. Comprendre en analysant les risques de fraudes et en en tirant les leçons - chacun à son niveau de responsabilité ; prévenir en prenant les mesures adaptées dès la conception d'un nouveau système de paiement ; et réagir à chaque évolution et à chaque alerte. Cette vigilance implique aussi d'informer les usagers de façon préventive, et dès que survient un incident qui les concerne. Autant de pistes que la législation en matière de protection des données personnelles (règlement européen à venir sur les données personnelles) est en train d'explorer.
(1) Ensemble constitué par des systèmes informatiques compromis par un logiciel malveillant qui communiquent avec un système de commande et de contrôle donné.
(2) Éric Freyssinet, « Botnets bancaires », in Lutte contre les botnets : analyse et stratégie (thèse), Paris, 2015.
(3) N. E. Weiss et R. S. Miller, The Target and Other Financial Data Breaches : Frequently Asked Questions, Congressional Research Service, 2015.
(4) K. Zetter, « E-Gold Founder Pleads Guilty to Money Laundering », Wired, 25 juillet 2008. Consulté le 2 janvier 2016 sur http://www.wired.com/2008/07/e-gold-founder/
(5) Liberty reserve indictment (United States District Court, Southern District of New York), mars 2013.
(6) Un rançongiciel est un logiciel malveillant qui bloque l'accès à un système informatique, offrant pour seule solution à la victime le paiement d'une rançon.
(7) Mais ce n'est pas la seule : Litecoin, Namecoin ou encore DarkCoin sont conçues sur le même modèle.
(8) S. Nakamoto, Bitcoin : A Peer-to-Peer Electronic Cash System, 2008.
(9) La cryptographie asymétrique repose sur l'utilisation d'un couple de clés (des valeurs numériques suffisamment longues) : une clé privée et une clé publique. Cette dernière est utilisée par un tiers pour chiffrer un fichier informatique, un document que seul le détenteur de la clé privée pourra rendre à nouveau intelligible.
(10) Ces transactions sont consultables aussi sur des sites Web tel que le service offert par http://blockchain.info (qui est aussi une plate-forme de gestion de portefeuilles).
(11) P. Alonso, « Mark Karpelès, imparfait escroc à Tokyo », Libération, 11 février 2015. Consulté en janvier 2016 sur http://www.liberation.fr/futurs/2015/09/11/mark-karpelesimparfait-escroc-a-tokyo_1380673
(12) J. D. Rey, « Bitcoin Firm Coinbase Raises 75 million From DFJ, the NYSE and Two Banks », Recode, 20 janvier 2015. Récupéré sur http://recode.net/2015/01/20/bitcoin-firm-coinbase-raises-75-million-from-dfj-the-nyse-and-two-banks/
(13) M. Hearn, « The resolution of the Bitcoin experiment », 14 janvier 2016. Récupéré sur https://medium.com/@octskyward/the-resolution-of-the-bitcoin-experiment-dabb30201f7#.e6igtnqqm
(14) « Un trafic de bitcoins démantelé en France », Le Monde, 7 juillet 2014. Récupéré sur http://www.lemonde.fr/pixels/article/2014/07/07/demantelement-d-une-plate-forme-d-echange-de-bitcoins-en-france_4452471_4408996.html
(15) D. V. Ciancaglini, D. M. Balduzzi, R. McArdle et M. Rösler, Below the Surface : Exploring the Deep Web, TrendLabs, 2015.
(16) Europol, International Action against DD4BC Cybercriminal Group. Récupéré sur https://www.europol.europa.eu/content/international-action-against-dd4bc-cybercriminal-group
(17) D. V. Ciancaglini, D. M. Balduzzi, R. McArdle et M. Rösler, op. cit.
(18) Commission des finances de l'Assemblée nationale, La Régulation à l'épreuve de l'innovation : les pouvoirs publics face au développement des monnaies virtuelles, Rapport d'information, Assemblée nationale, 2014.
(19) Commission européenne, La Commission présente un plan d'action destiné à renforcer la lutte contre le financement du terrorisme, 2 février 2016. Récupéré sur http://europa.eu/rapid/press-release_IP-16-202_fr.htm
(20) Fédération bancaire française, La Révision de la Directive services de paiement (DSP2), 9 octobre 2015. Récupéré sur http://www.fbf.fr/fr/espace-presse/fiches-reperes/la-revision-de-la-directive-services-de-paiement-(dsp2)
(21) Éric Freyssinet, La Cybercriminalité en mouvement, Hermès Sciences-Lavoisier, 2012.
(22) Secrétariat général de la défense et de la sécurité nationale, La Stratégie nationale pour la sécurité du numérique, 16 octobre 2016. Récupéré sur http://www.ssi.gouv.fr/actualite/la-strategie-nationale-pour-la-securite-du-numerique-une-reponse-aux-nouveaux-enjeux-des-usages-numeriques/
