LegalTech
Cybercriminalité
Darknet, zone de non-droit ou terra incognita pour le juriste ?
La France occupe la 6ème place du classement des pays comptabilisant le nombre le plus important de connexions au réseau Tor, un « darknet » comptabilisant à ce jour plus de 50 000 services et sites internet avec une extension en *.onion[1]. Désormais décrit comme le repère des pirates informatiques et terroristes, une incursion dans ce nouveau continent d’Internet laisse apparaître un jugement à l’emporte-pièce.
Voyage en Terre d’Onions. La Terre d’Onions n’est pas une façon poétique (?) de désigner une quelconque région de Chine ou d’Inde, pays qui récolteraient à eux deux près de 45% de la production mondiale de ce légume. La Terre d’Onions est le nom donné par les utilisateurs du réseau Tor aux services et sites accessibles via le navigateur éponyme. Si cela reste sibyllin pour vous, peut-être que les termes « darknet » ou « darkweb »[2] vous paraîtront plus familiers. Les apôtres de la loi Toubon pourraient être tentés de parler d’ « internet clandestin », suite à la publication au Journal Officiel du 26 septembre 2017 de l’avis de la Commission de Terminologie traduisant ainsi les deux termes, mais espérons que l’exposé qui suit les convaincra de la nécessité d’une entorse à leur doctrine.
Ce silence de la Commission fait-il du darknet un territoire vierge, inexploré pour le juriste ? Apparemment pas. Le moteur de recherche Lexis360 répertorie ainsi déjà trois textes – dont une circulaire – utilisant le terme, sans pour autant le définir ou tenter de l’appréhender juridiquement[3].
Si le juriste français fait d’ores et déjà des incursions en Terre d’Onions, une question se pose : considérer le darknet comme un simple dérivé d’Internet, sous un prisme technologique, permet-il de lui appliquer le droit de l’Internet ? Avant de tenter de répondre à cette question, peut-être faut-il préciser la terminologie et les caractéristiques du darknet.
Terminologie. Internet est un réseau informatique mondial permettant d’utiliser différents services : messagerie, transferts de fichiers, P2P, Web, etc. Les darkonautes désignent l’ensemble de ces services sous le terme clearnet, soulignant ainsi le fait que l’utilisation de ces services est alors transparente.
Le deepweb désigne la partie immergée du Web, la partie émergée représentant l’ensemble des sites accessibles et référencés par des moteurs de recherche. Cette inaccessibilité n’emporte pas l’anonymat de l’utilisateur. Entrent donc dans le deepweb toutes les pages dont l’accès est protégé par mot de passe[4] ou dont le référencement a été rendu impossible[5].
Le darknet désigne un protocole de communication spécifique sur Internet, une sorte de strate posée sur Internet, permettant d’accéder à des services identiques à ceux du clearnet. La différence principale est qu’ici, il n’y a en principe aucune transparence, l’anonymat constituant la propriété cardinale d’un darknet. Le darkonaute est donc réputé anonyme et, dans la majorité des cas, les services ne conservent aucune trace de leur utilisation.
Parmi les services accessibles en Terre d’Onions, on retrouve le darkweb. Sous cette appellation sont regroupées les pages Web accessibles sur un darknet. C’est ici que Bernard Debré a acheté de la cocaïne sur un blackmarket et se l’est faite livrer par colis postal à son bureau de l’Assemblée nationale. Ces blackmarkets peuvent proposer à peu près tous les produits et services possibles et imaginables, avec effectivement une nette prédilection pour ceux faisant l’objet d’une prohibition. Pour autant, la Terre d’Onions n’est pas une zone de non-droit.
- – La Terre d’Onions n’est pas une zone de non-droit
La Terre d’Onions serait l’Internet des pirates, rançonneurs et trafiquants de tout type. Pour faire simple, ce serait l’île Tortuga des temps modernes. Un espace sans foi ni loi, inaccessible à l’internaute lambda. Le darknet peut-il se résumer à une telle définition ? Sans effectivement pouvoir l’écarter, cette analyse semble toutefois éminemment réductrice. Certes, la première propriété du darknet est fortement prisée des cybercriminels et partisans de la théorie du complot, voire des terroristes[6]. Mais certains darkonautes utilisent le darknet à des fins légitimes, et même pour exercer certains droits.
- – Une population désireuse de faire valoir ses droits
Rappeler qu’à l’origine[7], Tor a été conçu par le gouvernement américain pour permettre à ses agents infiltrés de communiquer sans crainte des mesures de surveillance électroniques jalonnant l’Autoroute de l’Information[8]. L’utilisation d’un darknet peut donc s’inscrire dans un but parfaitement légitime et en dehors de l’action de services de renseignement étatiques.
Se remémorer le Printemps arabe permet ainsi de compter au rang des utilisateurs légitimes du darknet les dissidents et minorités opprimés d’Etat aux pratiques peu démocratiques ainsi que les lanceurs d’alerte, reporters de guerre et journalistes d’investigations. Les Seychelles, pays dont proviennent 1,59% des connexions au réseau Tor, sont ainsi plus connues pour leur régime peu démocratique que pour leur implication dans le piratage ou le cyber hacktivisme[9]. Le darknet apparaît alors comme un vecteur de la liberté d’expression et de la liberté de la presse, comme en témoigne l’incitation de Reporters sans Frontières à utiliser le réseau Tor[10].
Enfin, une dernière catégorie d’utilisateurs à laquelle on peut songer est composée des internautes désireux d’échapper au tracking omniprésent sur le clearnet[11].
Partant, un darknet ne constitue-t-il pas un média contribuant à l’exercice de droits fondamentaux, tel que la liberté d’expression ou le droit à la protection des données personnelles ? Une chose est certaine, l’assimilation du darknet à la cybercriminalité est aussi abusive que l’est la confusion entre le pirate informatique et le hacker[12].
- – Le darknet, entre services licites et encadrement contractuel de l’illicite
On ne peut nier l’existence des blackmarkets sur le darkweb. Mais Tor n’a pas pour vocation première de servir de terre d’accueil à la cybercriminalité.
Des sites on ne peut plus légitimes et licites y sont également accessibles. Aux côtés d’institutions ayant pignon sur rue, telles que Facebook[13] et Reporters Sans Frontières avec une version sombre de son site WeFightCensorship[14], on peut ainsi trouver des blogs dédiés à la poésie, des bibliothèques électroniques au catalogue international, des didacticiels exposant comment protéger sa vie privée en ligne, etc. Etiqueter le darknet comme le domaine réservé de la cybercriminalité est donc abusif.
Ce qui est intéressant, c’est de constater qu’à l’instar de la Flibuste des XVIème et XVIIème siècles, le darknet des cybercriminels ne rejette pas le droit en tant qu’« ensemble des principes qui régissent les rapports »[15] des darkonautes entre eux. Certes, les blackmarkets permettent d’acheter à peu près tous les produits et services illicites que l’on peut imaginer. Récemment, c’est le trafic d’êtres humains qui a été sous le feu des projecteurs[16]. Mais dans cet underground numérique, le droit existe néanmoins, se manifestant principalement de deux façons.
En premier lieu, force est de constater la quasi-omniprésence du droit d’origine contractuelle. Une grande majorité des forums et blackmarkets, qu’ils aient un objet licite ou non, n’est ainsi accessible qu’après avoir pris connaissance et accepter des conditions générales d’utilisation. Allant bien au-delà de la Netiquette[17] des années 1990, cet encadrement contractuel impose aux darkonautes diverses obligations de faire ou de ne pas faire. La pédopornographie est ainsi fréquemment interdite et les discriminations, notamment en raison de l’origine ou du sexe, sont souvent prohibées. Des administrateurs et modérateurs assurent le respect de ces textes en excluant tout contrevenant, voire en mettant fin, directement ou indirectement, à des agissements qu’ils estimeraient intolérables.
Une autre manifestation du droit résulte du besoin de confiance dans la conclusion et l’exécution des transactions. La moderne cryptomonnaie s’est ainsi adossée à l’ancien mécanisme du droit romain du séquestre. Un blackmarket digne de confiance proposera donc systématiquement le recours à un tiers séquestre, chargé de débloquer les bitcoins, ethers et autres devises virtuelles de l’acheteur une fois le produit reçu. L’importance de ce mécanisme est telle que des moteurs de recherche, comme TORCH, rappellent ainsi aux darkonautes qu’il serait imprudent de conclure une vente sans avoir recours à ce mécanisme juridique.
Le darknet n’est donc pas une zone de non-droit, pas plus qu’il est hostile au droit par principe. En revanche, on peut s’interroger quant à savoir s’il peut être appréhendé par le droit d’un Etat souverain.
- – La Terre d’Onions, une zone inaccessible au droit étatique ?
L’anonymat qu’il offre semble conduire à l’incapacité des législations nationales à appréhender le darknet. Mais cet anonymat reste relatif, ce qui permet a minima l’application des branches répressives du droit.
- – Les darkonautes, ressortissants exclusifs de Terre d’Onions ?
Alors que les pionniers du clearnet y voyaient un espace inaccessible au droit étatique, les législations nationales ont su se saisir d’Internet via les hébergeurs et les fournisseurs de service ou en prenant en compte la destination du service pour pouvoir appliquer le droit national de l’internaute.
Sur le darknet, de tels mécanismes ne sauraient prospérer. La technologie utilisée exclut en effet toute géolocalisation aussi bien des serveurs que des darkonautes, de sorte que les critères de rattachement actuels ne sont pas pertinents. Même des législations particulièrement extensives, telles que les articles 113-2 et suivants du code Qpénal ou l’article 2 du récent Règlement général relatif à la protection des données (RGPD), renforçant fortement l’attractivité du droit national, devraient en principe s’avérer inefficaces pour des transactions totalement dématérialisées. Partant, l’application d’un droit national à des serveurs virtuellement sans implantations territoriales et à des services ne visant aucun territoire national déterminé paraît donc devoir être écartée.
- – Un anonymat relatif
L’anonymat du darkonaute et l’absence de rattachement géographique des serveurs sont toutefois relatifs, comme en témoignent la fermeture de blackmarkets du darknet et la récente condamnation à la prison à vie de Ross Ulbrecht, fondateur de Silk Road, la plus célèbre de ces places de marché occultes, par la Cour d’Appel de New York[18].
Cette fragilisation de l’anonymat est rendue possible par des erreurs des darkonautes dans la mise en œuvre d’un processus d’operation security[19] (OPSEC) et par l’exploitation de métadonnées. Tandis que les heures de connexion permettent de cibler un fuseau horaire, barbarismes et solécismes contribuent à l’identification de la nationalité du darkonaute. Les failles d’OPSEC – telles que l’utilisation de pseudonymes identiques sur le darknet et le clearnet ou l’utilisation de cryptomonnaies acquises auprès d’établissements de monnaie électronique agréés par les autorités[20] – permettent in fine de remonter à l’identité réelle du darkonaute négligent. Autant d’éléments que la division de lutte contre la cybercriminalité (DLCC) du service central de renseignement criminel (SCRC) de la gendarmerie nationale pourra exploiter dans le cadre des cyberpatrouilles sur le darknet permises par un logiciel de détection des contenus illicites[21]. La question qui se posera alors rapidement est celle de la licéité du traitement des données à caractère personnel relatives aux darkonautes. En effet, sur le plan de la loi Informatique et libertés et du RGPD, les utilisateurs de Tor devraient en principe être considérés comme des personnes identifiables. En tant que tels, ils pourraient se prévaloir des jurisprudences limitant la collecte d’adresse IP sur le clearnet, par exemple.
Autre élément fragilisant l’anonymat, la nécessaire matérialisation de certains services et produits. Le droit français autorise l’exploitation de cette faille dans le cadre de la lutte contre le crime organisé, le terrorisme et leur financement ainsi que de trafic d’armes, en autorisant « de diligenter des coups d’achat sur le « darknet » en ayant recours à une identité d’emprunt ». La France n’est pas le seul Etat à autoriser de telles actions, comme ont pu l’apprendre à leurs dépens les darkonautes ayant voulu louer les services d’assassins qui n’étaient autres que des agents infiltrés du FBI.
La Terre d’Onions ne saurait être dépeinte comme la terre d’asile des cybercriminels, l’utilisation de protocoles de communication anonymes pouvant poursuivre des finalités parfaitement légitimes. L’existence de places de marché dédiées aux produits et services illicites est indéniable. Mais les trafics n’ont pas attendu l’avènement des darknets pour se développer et il n’est pas illogique que ces protocoles de communication servent de nouveaux vecteurs de propagation, comme le clearnet aux origines ou dans certains Etats souverains[22].
Se connecter à un darknet n’est pas illégal. Et sauf à vouloir imposer une transparence absolue des communications électroniques vis-à-vis des autorités, ce qui ne paraît pas possible en France, cela ne devrait jamais le devenir. En revanche, les caractéristiques propres aux darknets mettent en évidence l’inadéquation des critères de compétence législative et juridictionnelle à la Terre d’Onions. En effet, faute de pouvoir géolocaliser un serveur, un blog ou une place de marché et ses vendeurs et acheteurs, l’application du droit de l’Internet au darknet est vouée à l’échec.
Légiférer pour remédier serait toutefois vain. La décorrélation entre le monde réel et la Terre d’Onions est telle qu’une intervention législative ne serait pertinente qu’au niveau international. En admettant même que l’on puisse y parvenir, comment assurer le respect de cette législation ? A quelle juridiction donner compétence ? Les problématiques juridiques s’accumulent au fur et à mesure de la réflexion…
Si le darknet n’est assurément pas la terre d’asile des cybercriminels, il semble en revanche bel et bien être une terra incognita pour les juristes.
Pierre Desmarais
Desmarais Avocats
Avocat – Analyste Risque IT
[1] https://metrics.torproject.org/hidserv-dir-onions-seen.html.
[2] Les termes désignent des réalités différentes, celui de darknet étant plus large que celui de darkweb – qui désigne les seuls sites internet dotés d’une extension « .onion ». Et il existe plusieurs autres darknets (ex : Freenet, I2P, etc.) que Tor, accessibles par le biais d’autres portails.
[3] Ces trois textes sont : la résolution du Parlement européen du 11 mars 2015 sur la lutte contre la pédopornographie sur l’internet (2015/2564(RSP)), l’avis du Comité européen des régions du 18 janvier 2017 (« Combattre la radicalisation et l’extrémisme violents : mécanismes de prévention au niveau local et régional ») et la Circulaire du 18 octobre 2016 de présentation des dispositions de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale, relatives au renforcement du dispositif en matière de lutte contre le trafic d’armes.
[4] Comme par exemple une messagerie ou un service d’hébergement de fichiers
[5] On peut éviter le référencement de différentes pages d’un site internet en ajoutant un fichier norobot.txt à sa racine.
[6] Question écrite AN n° 85014, 14/07/20
[7] A l’origine, Tor était un projet de l’US Naval Research Labs (NRL).
[8] C’est d’ailleurs en réaction à cette impossibilité théorique d’identifier les darkonautes que le 18 janvier 2017, Comité européen des régions s’est déclaré « conscient de la nécessité de mettre en place des instruments efficaces de contrôle du web invisible et du darknet ».
[9] https://metrics.torproject.org/userstats-relay-table.html
[10] https://rsf.org/fr/kit-de-securite-numerique.
[11] GAFA / Teemo
[12] Le terme hacker désigne une « personne passionnée d’informatique qui, par jeu, curiosité, défi personnel ou par souci de notoriété, sonde, au hasard plutôt qu’à l’aide de manuels techniques, les possibilités matérielles et logicielles des systèmes informatiques afin de pouvoir éventuellement s’y immiscer » et non pas un pirate informatique (Avis de la Commission de Terminologie du 16 mars 1999, NOR : CTNX9903444K).
[13] https://www.facebookcorewwwi.onion.
[14] https://3kyl4i7bfdgwelmf.onion.link/.
[15] Définition du dictionnaire Antidote.
[16] http://mashable.france24.com/monde/20170807-mannequin-kidnappe-darknet-rancon-bitcoins-instagram.
[17] « La nétiquette est une règle informelle, puis une charte qui définit les règles de conduite et de politesse recommandées sur les premiers médias de communication mis à disposition par Internet. Il s’agit de tentatives de formalisation d’un certain contrat social pour l’Internet. » https://fr.wikipedia.org/wiki/Nétiquette
[18] United States of America v. Ulbricht, May 31, 2017, 15-1815-cr
[19] « Application of the operations security (OPSEC) process promotes operational effectiveness by helping prevent the inadvertent compromise of sensitive or classified U.S. Government activities, capabilities, or intentions. » NATIONAL SECURITY DECISION DIRECTIVE NUMBER 298, 28 juillet 1992
[20] Contrairement à ce qui est fréquemment indiquée, la cryptomonnaie n’est pas anonyme. Au mieux est-elle pseudonymisée afin de permettre de rattacher une transaction financière à un acheteur et un vendeur. En France, ce pseudonymat est d’autant plus relatif que depuis l’introduction dans le Code Monétaire et Financier de dispositions spécifiques à l’acquisition de monnaie électronique, un lien entre l’identité réelle et l’identifiant du détenteur d’un portefeuille de monnaie virtuelle existe nécessairement.
[21] Question écrite AN n° 73986, 17/02/20
[22] La souplesse de la justice russe à l’égard des pirates informatiques opérant depuis son territoire mais à destination de pays étrangers est telle, que les pirates locaux échangent sur le deepweb, sans même rechercher l’anonymat du darknet. De même, le droit argentin a longtemps autorisé le piratage informatique, du fait d’une constitution élaborée sur la base du principe selon lequel « tout ce qui n’est pas interdit est autorité ».