Proposition de Décision-Cadre du Conseil relative aux attaques visant les systèmes d’information

EXPOSÉ DES MOTIFS

1. INTRODUCTION

Les réseaux de communication électronique et les systèmes d’information sont aujourd’hui un élément essentiel de la vie quotidienne des citoyens de l’UE et jouent un rôle fondamental pour le succès de l’économie européenne. Les réseaux et les systèmes d’information convergent et sont de plus en plus interconnectés. Cette évolution comporte des avantages nombreux et évidents, mais elle s’accompagne également du risque inquiétant d’attaques intentionnelles contre les systèmes d’information. Ces attaques peuvent prendre des formes très différentes (accès illégal, diffusion de codes malveillants et attaques par déni de service). Elles peuvent avoir n’importe quelle origine géographique, viser tout lieu dans le monde et ce à tout moment. De nouvelles formes d’attaques inattendues pourraient se produire à l’avenir. Les attaques contre des systèmes d’information constituent une menace pour la réalisation d’une société de l’information plus sûre et d’un espace de liberté, de sécurité et de justice; elles appellent donc une réaction au niveau de l’Union européenne. La présente proposition de décision-cadre sur le rapprochement du droit pénal concernant les attaques contre les systèmes d’information s’inscrit dans le cadre de la contribution de la Commission à cette réponse.

1.1. Types d’attaques contre les systèmes d’information

Les termes "système d’information" sont délibérément utilisés ici dans leur sens le plus large eu égard à la convergence entre les réseaux de communication électronique et les différents systèmes qu’ils connectent. Aux fins de la présente proposition, les systèmes d’information couvrent donc les ordinateurs personnels autonomes, les agendas électroniques personnels, les téléphones mobiles, les intranets, les extranets et, naturellement, les réseaux, serveurs et autres infrastructures d’Internet.

Dans sa communication intitulée "Sécurité des réseaux et de l’information - Proposition pour une approche politique européenne [1]", la Commission a proposé la description suivante des menaces contre les systèmes informatiques:

a) Accès non autorisé à des systèmes d’information.

Cela couvre la notion de piratage. Le piratage consiste à accéder sans y être autorisé à un ordinateur ou à un réseau d’ordinateurs. Il peut prendre des formes diverses allant d’une simple exploitation d’informations internes à des attaques de force et à l’interception de mots de passe. Il relève généralement - mais pas toujours - d’une intention malveillante de copier, modifier ou détruire des données. La corruption intentionnelle de sites Internet ou l’accès sans paiement à des services protégés par un accès conditionnel peuvent constituer l’un des objectifs de l’accès non autorisé.

b) La perturbation de systèmes d’information.

Il existe différentes manières de perturber des systèmes d’information par des attaques malveillantes. L’un des moyens les plus connus de dégrader les services offerts sur Internet ou d’en dénier l’accès est une attaque par "déni de service"(DdS). Cette attaque est d’une certaine manière similaire au fait d’inonder des télécopieurs de nombreux messages volumineux. Les attaques par déni de service visent à submerger les serveurs ou les fournisseurs de services Internet (FSI) de messages générés automatiquement. D’autres types d’attaques peuvent consister à perturber les serveurs faisant fonctionner le système de nom de domaine (DNS) ou viser les "routeurs". Les attaques ayant pour objectif de perturber les systèmes ont été préjudiciables pour certains sites web prestigieux comme les portails. D’après certaines études, une attaque récente a causé des dommages estimés à plusieurs centaines de millions d’euros, sans compter le préjudice non quantifiable en termes de réputation. Les entreprises comptent de plus en plus sur la disponibilité de leur site Internet pour leurs affaires et celles qui en dépendent pour la fourniture "juste à temps" sont particulièrement vulnérables.

c) Exécution de logiciels malveillants modifiant ou détruisant des données.

Le type le plus connu de logiciel malveillant est le virus. Les virus "I Love You", "Melissa" et "Kournikova" en sont des exemples tristement célèbres. Environ 11 % des utilisateurs européens ont vu leur ordinateur domestique (PC) infesté par un virus. Il existe d’autres types de logiciels malveillants. Certains endommagent l’ordinateur lui-même, tandis que d’autres utilisent le PC pour attaquer d’autres éléments du réseau. Certains programmes (appelés "bombes logiques") peuvent rester inactifs jusqu’à ce qu’ils soient déclenchés par un événement comme une date déterminée et causent alors d’importants dommages en modifiant ou en détruisant des données. D’autres programmes semblent être inoffensifs, mais lorsqu’on les lance, ils déclenchent une attaque malveillante (c’est pourquoi on les appelle des "Chevaux de Troie"). D’autres programmes (souvent appelés "vers") n’infestent pas d’autres programmes comme les virus, mais s’autoreproduisent et les copies créées finissent par inonder le système.

d) Interception des communications.

L’interception malveillante de communications porte atteinte aux exigences de confidentialité et d’intégrité des utilisateurs. Elle est souvent appelée "sniffing" (reniflage).

e) Présentation mensongère.

Les systèmes d’information donnent de nouvelles possibilités de présentation mensongère et de fraude. Le fait d’usurper l’identité ou l’adresse d’une autre personne sur Internet et de l’utiliser à des fins malveillantes est appelé "spoofing" (usurpation).

Bruxelles, le 19.04.2002

COM(2002)173 final 2002/0086 (CNS)

Télécharger au format PDF

COM 2002 173 final