Par Vincent Varet, Professeur associé à l’Université Panthéon-Assas Paris II, et Xavier Près, enseignant à l’Université Paris Dauphine et au CELSA, Avocats à la Cour d’appel de Paris

L’affaire Vinnik a tout du futur thriller a succès. Elle est surtout riche d’enseignements pour les entreprises victimes de cyberattaques.

L’affaire Vinnik (ou Locky) réunit un programmateur russe, un logiciel de rançon dénommé « Locky », des rançons payées en bitcoins, de nombreuses victimes situées dans le monde entier, une arrestation du principal suspect en Grèce pendant ses vacances, une extradition en France, des demandes d’extradition en provenance des États-Unis et de la Russie et ce, alors que M. Alexander Vinnik, puisque c’est son nom, clame son innocence.

Ce procès, dans lequel on attend la décision de la 11e chambre correctionnelle de la cour d’appel de Paris le 24 juin prochain, est l’occasion de revenir sur ces cyberattaques, qui se multiplient avec l’accélération de la transition numérique.

Quelles sont les différentes formes de cyberattaques ?

En France, l’enquête portant sur l’affaire Vinnik a commencé en 2016 après plusieurs plaintes déposées par des particuliers et des entreprises victimes du logiciel Locky, dont le mode opératoire est aussi simple que dévastateur : logé dans la pièce jointe d’un e-mail, le virus, après l’ouverture de celle-ci, crypte les données de l’ordinateur de la victime, les rendant inaccessibles jusqu’au paiement d’une rançon permettant d’obtenir une clé de déchiffrement.

Ce type de cyberattaque est connu sous le nom de « rançongiciel » (ou « ranconware »). Mais d’autres techniques existent, plus ou moins intrusives, parfois opérées après l’obtention de données relatives à la victime, souvent une entreprise.

La cyberattaque peut ainsi prendre la forme d’un logiciel malveillant logé, comme Locky, dans la pièce jointe d’un e-mail et installé, après ouverture de ce dernier, sur l’ordinateur de la victime, mais à la différence de Locky, cette fois pour enregistrer ses actions numériques, spécialement sur ses comptes bancaires en ligne, afin de soustraire ses identifiants de connexion, d’accéder à l’interface bancaire et d’opérer des virements frauduleux au profit des cybercriminels. Ainsi procédait, par exemple, le logiciel Dridex qui a fait de nombreuses victimes dès 2014.

La « fraude au président » (ou faux ordre de virement international, FOVI) est également répandue. Le succès de cette cyberattaque repose sur une fine connaissance des données de l’entreprise, spécialement de son organigramme et de ses moyens de communication. Concrètement, elle se manifeste par une demande présentée comme urgente et émanant du président ou validée par ce dernier (ou un membre de direction), sollicitant d’un employé le versement sans délai d’une somme d’argent sur un compte, souvent établi à l’étranger.

La cyberattaque peut encore consister en une demande de modification des coordonnées bancaires d’un fournisseur et ce afin que les règlements alimentent, en réalité, le compte bancaire des cybercriminels.

A la différence du logiciel Locky, l’efficacité de ces cyberattaques repose en grande partie sur la connaissance des données de l’entreprise permettant de cibler les bonnes personnes au bon moment.

Quelles sont les infractions applicables à une cyberattaque ?

Ces variétés de cyberattaques sont susceptibles de revêtir des qualifications juridiques multiples. Dans l’affaire Vinnik, pas moins de 14 chefs de prévention visaient celui qui était soupçonné d’être le « chef d’orchestre » d’un vaste système d’extorsion aux bitcoins. Par sa décision du 7 décembre 2020, la 13e chambre du Tribunal judiciaire de Paris a condamné M. Alexander Vinnik pour une seule de ces 14 infractions : blanchiment en bande organisée. Le prévenu a été relaxé des autres infractions faute de preuves suffisantes.

Cependant, selon les faits constitutifs de la cyberattaque et à condition qu’ils soient établis, plusieurs délits sont susceptibles d’être constitués. L’un des principaux est le délit d’escroquerie, prévu et réprimé par l’article 313-1 du Code pénal, dont les éléments constitutifs le rendent aisément applicable aux cyberattaques visant à extorquer des fonds.

Le délit de vol, prévu et réprimé par les articles 311-1 et suivants du Code pénal, sera également invocable dans certains cas, étant rappelé que le vol est défini comme « la soustraction frauduleuse de la chose d’autrui » et qu’il est désormais admis que la « chose » soustraite peut consister en des informations.

Les délits de faux et usage de faux, prévus et réprimés par les articles 441-1 et suivants du Code pénal, sont également susceptibles de s’appliquer pour appréhender la modification de coordonnées bancaires ou la fabrication de faux ordres de virement.

Il existe également des infractions spécifiques liées à l’accès et au maintien frauduleux dans un système de traitement automatisé de données (STAD) prévues par les articles 323-1 et suivants du Code pénal, pour lesquels M. Vinnik était également poursuivi. Dans ses réquisitions devant la Cour d’appel de Paris, le Procureur général a néanmoins renoncé à ces charges ; le ministère public a en effet décidé de s’en tenir au seul blanchiment aggravé, pour lequel M. Vinnik a été condamné par le tribunal correctionnel.

Cette liste n’est pas exhaustive. Observons simplement que l’arsenal législatif est complet et que les peines encourues ne sont pas anodines. Dans l’affaire Vinnik, le Parquet avait requis en première instance 10 ans de prison et 750 000 euros d’amende. Les peines prononcées par le Tribunal correctionnel ont été plus légères : 5 ans d’emprisonnement et 100 000 euros d’amende. En appel, le ministère public a demandé la confirmation de la décision des premiers juges sur ce point.

Quel est le conseil à donner à une société victime d’une cyberattaque ?

La victime d’une cyberattaque doit agir avec rapidité. Car après une cyberattaque, c’est en effet une course de vitesse qui commence, où la réactivité est essentielle.

En effet, seule une réactivité immédiate laisse une chance d’identifier les auteurs de la cyberattaque ainsi que les comptes et ordres de virement utilisés par eux pour récupérer, en espèces sonnantes et trébuchantes, les fruits de leur larcin. Dans l’affaire Vinnik, les rançons auraient alimenté plusieurs comptes avant de transiter par la plateforme d’échanges de cryptomonnaies, BTC-e, pour laquelle opérait M. Alexander Vinnik. Libellés en bitcoins, les fonds auraient ensuite été convertis en monnaie fiduciaire avant de bénéficier, à hauteur de 75%, au prévenu. Néanmoins, la preuve de ces éléments est contestée par la défense, car rapportée uniquement par la copie de fichiers établie par le FBI, sans que les originaux, sous scellés américains, aient pu être expertisés ; à demi-mot, la défense de M. Vinnick suggère que l’agence américaine aurait manipulé lesdites copies de fichiers, pour obtenir son extradition aux Etats-Unis où il risque, pour les mêmes faits, jusqu’à 50 ans de prison.

La réactivité est également essentielle pour faire constater les preuves de la cyberattaque et interrompre, dans les heures qui suivent, les virements et bloquer les sommes sur les comptes identifiés avant que ces dernières ne s’évaporent.

Le gel des fonds est en effet une étape décisive, mais difficile à obtenir. Il s’agit du moyen le plus efficace pour récupérer les sommes frauduleusement soustraites. D’expérience, la procédure est longue, spécialement lorsque les fonds sont à l’étranger. Mais la coopération internationale est efficace et les demandes d’entraide judiciaire en matière pénale sont le plus souvent suivies d’effet grâce aux conventions bilatérales ou multilatérales ratifiées par la France ou sous condition de réciprocité, en application des articles 694 et suivants du code de procédure pénale. Une fois le rapatriement des fonds obtenu, on peut également compter, en France, sur l’Agence de gestion et de recouvrement des avoirs saisis et confisqués (AGRASC), dont la mission est de centraliser les sommes d’argent saisies et de les restituer aux victimes.

L’affaire Vinnik montre l’importance des mesures prises dans les heures ou les jours qui suivent la cyberattaque, pour éviter que les fonds ne disparaissent ou que les rançons ne soient payées. Ainsi, M. Vinnik a été condamné par le Tribunal correctionnel à verser moins de 35 000 euros de dommages et intérêts à 7 parties civiles, les 9 autres ayant été déboutées. Ce montant est faible au regard du montant total estimé de la fraude (8 millions de dollars en bitcoins à son cours en 2016). Mais, quel que soit le montant des dommages et intérêts prononcés, l’efficacité concrète d’une décision de justice dépend, pour la victime, de ses chances d’en obtenir l’exécution et partant le paiement des dommages et intérêts prononcés. Plutôt que de miser sur la solvabilité des cyberpirates, mieux vaut agir vite et bien pour faire geler les fonds.

Cette course de vitesse est donc décisive pour les entreprises victimes de cyberattaques. En la matière encore plus qu’ailleurs, les preuves et leur volatilité sont un élément déterminant du procès ; l’affaire Vinnik le confirme, s’il était besoin et permet de renvoyer, pour d’autres conseils, aux préconisations visant à renforcer la protection des entreprises et des citoyens formulées dans le rapport « Le droit pénal à l’épreuve des cyberattaques » publié en avril dernier par la commission « cyber risk » du Club des juristes.

[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]En savoir plus…[/vcex_button]