Au-delà des piratages médiatiques et techniquement très évolués, la majorité des faits est en réalité souvent d’un piètre niveau technique, et ne débouche que sur des préjudices individuels faibles. / NICOLAS SIX / QUENTIN HUGON / « LE MONDE »

La délinquance numérique est un phénomène quotidien qui touche désormais des milliers de Français et d’entreprises chaque année. C’est l’une des confirmations du rapport annuel sur les cybermenaces du ministère de l’intérieur, réalisé par la délégation ministérielle à la lutte contre les cybermenaces, la Dmisc, et publié mardi 9 juillet.

Au-delà des piratages médiatiques et techniquement très évolués, la majorité des faits est en réalité souvent d’un piètre niveau technique, et ne débouche que sur des préjudices individuels faibles. Mais le caractère massif et généralisé de ces phénomènes fait payer un lourd tribu à la société. Ainsi, selon les chiffres – forcément partiels – de la gendarmerie, qui dispose de statistiques plus fines que la police en matière de dépôts de plainte, les infractions numériques ont progressé de 7 % en 2018 par rapport à 2017. Une augmentation moins nette qu’entre 2016 et 2017, où elles avaient bondi de 32 %.

Des escroqueries extrêmement fréquentes

La grande majorité des actes malveillants numériques, qui visent les particuliers et entreprises, relèvent des « escroqueries liées à Internet » : elles rassemblent plus de 73 % des infractions qui ont fait l’objet d’un dépôt de plainte dans une gendarmerie. Le ministère de l’intérieur estime que le préjudice total des escroqueries en ligne, visant à la fois particuliers et entreprises, a été de plus d’un milliard d’euros en 2018.

Parmi les escroqueries visant les particuliers qui ont fait florès en 2018 figure l’arnaque au faux support informatique, où des publicités en ligne font croire à des internautes que leur ordinateur est « infecté » et nécessite immédiatement une coûteuse réparation.

L’escroquerie à la romance, où les responsables convainquent des victimes alpaguées sur des sites de rencontres de leur transférer d’importantes sommes d’argent, a aussi fait de nombreuses victimes. L’unité spécialisée en cybercriminalité de la police nationale a ainsi arrêté, en avril 2018, six individus s’adonnant à cette pratique. Le groupe démantelé a extorqué plus de trois millions d’euros à leurs victimes.

Les arnaques aux marchés « Forex », des plates-formes où les internautes parient sur la hausse ou la baisse de diverses monnaies, font aussi partie des principales escroqueries recensées par les autorités. Les internautes pensent avoir affaire à une plate-forme légitime avant que ses responsables disparaissent dans la nature, rendant impossible la récupération de leur gain et même de leur mise de départ. Le montant du préjudice s’élèverait à plusieurs centaines de millions d’euros.

Les arnaques aux cryptomonnaies se sont aussi développées à grande vitesse, suivant un mode opératoire similaire. En janvier 2019, quatre individus ont été mis en examen, dont trois ont été écroués pour escroquerie en bande organisée : ils organisaient de faux investissements en cryptomonnaies, et auraient détourné 5 millions d’euros.

Les fraudes à la carte bancaire – piratage via Internet ou captation du numéro de carte sur les distributeurs par exemple – sont aussi très importantes. Ainsi, la plate-forme Perceval, mise en place en juin 2018 et qui permet à tout un chacun de signaler facilement sur Internet l’utilisation illégale de sa carte bancaire, reçoit depuis novembre environ 450 alertes par jour, pour un montant moyen de 480 euros. Depuis la mise en ligne de ce site, le montant total des signalements dépasse les 55 millions d’euros.

Des entreprises toujours dans le viseur

Les entreprises sont aussi lourdement touchées. Ces derniers mois, l’évolution des « rançongiciels », ces virus qui bloquent l’accès aux données avant de demander une rançon pour les déverrouiller, inquiète les autorités. A des vagues de contamination massives mais indiscriminées succèdent des opérations d’infection plus ciblées, et donc plus coûteuses.

« Les attaques par rançongiciel semblent davantage cibler les grandes entreprises ayant la capacité de payer des rançons très élevées », écrivent les auteurs du rapport. Plusieurs entreprises françaises en ont dernièrement fait les frais : Altran, entreprise spécialisée dans l’ingénierie, le géant de l’agroalimentaire Fleury Michon ou, encore plus récemment Eurofins, touchée, selon nos informations, par une souche du rançongiciel Ryuk.

Après des années de sensibilisation, les escroqueries aux faux ordres de virement internationaux, où un malfrat convainc un salarié, souvent au téléphone, de faire un important virement frauduleux, confirment leur repli entamé en 2014. En 2018, 145 entreprises en ont cependant été victimes, pour un préjudice total de 40 millions d’euros.

Les piratages informatiques plus classiques, par exemple à des fins d’espionnage, sont toujours fréquents. La police et la gendarmerie en ont dénombré 9 970 en 2018, mais cette statistique a diminué de 9 % depuis 2016. Est-ce le signe d’une diminution de ce type d’attaque ? Impossible de le dire, affirment les auteurs du rapport, montrant bien, ainsi, la difficulté pour les services de l’Etat de mesurer finement la délinquance et la criminalité numérique.

Un phénomène qui reste difficile à mesurer

Ainsi, police et gendarmerie ont enregistré 560 plaintes suite à des infections par un rançongiciel en 2018. Mais « ce chiffre reste bien en deçà de la réalité des attaques. La majorité des entreprises victimes ne dépose pas plainte, ni même ne signale les faits aux forces de l’ordre, généralement pour préserver leur image », notent les auteurs. Même chose pour les fraudes à la carte bancaire : la plate-forme Perceval recueillerait moins de 20 % du nombre total de fraudes.

Mais l’outil statistique est aussi inadapté au phénomène « cyber » : seules certaines infractions (piratage, notamment) disposent d’une catégorie spécifique. De nombreux autres phénomènes, comme les escroqueries, sont numériques en raison de leur mode opératoire et ne disposent pas d’un décompte en propre. Il y a donc un important « chiffre noir » de la cybercriminalité. Au ministère de l’intérieur, on n’aime guère entendre l’expression ; elle traduit pourtant une réalité qui pose un problème d’efficacité dans la lutte contre ces phénomènes.

Les informations à la disposition des enquêteurs sont parcellaires, rendant plus difficiles encore les enquêtes, et alimentant ainsi un faux sentiment d’impunité, qui lui-même décourage les victimes de porter plainte. Les enquêteurs se sont pourtant aperçus qu’ils pouvaient parvenir à de bons résultats en arrivant à faire des recoupements entre les affaires. Cela a été le cas en 2018 dans une affaire de fraude au faux support informatique : les enquêteurs ont pu réunir 8 000 plaintes et procéder à l’arrestation de plusieurs suspects. La plate-forme Perceval a aussi permis des rapprochements, déclenchant l’ouverture de plusieurs enquêtes par le parquet de Pontoise, auquel est adossée la plate-forme.

La police nourrit beaucoup d’espoir dans le projet Thésée, qui doit permettre de centraliser et de relier entre elles des escroqueries dont le préjudice individuel est souvent en dessous du seuil où les parquets ouvrent des enquêtes. « Cela permettra le démantèlement d’organisations criminelles, de peser diplomatiquement sur certains pays sources, de donner réparation du préjudice aux citoyens et d’identifier les modes opératoires afin de nourrir la prévention », expliquait, début 2019, un policier spécialisé haut placé.