Dans la société de l’information, nous avons tous de multiples identités. Une révolution qui crée des opportunités et des risques inédits. En marge des Mystères 2014, qui seront consacrés à la question de l’identité, et qui accueilleront le grand public les 24 et 25 mai prochains à l’UNIL, Allez savoir! fait le point avec David-Olivier Jaquet-Chiffelle, professeur à l’Ecole des sciences criminelles.
Un affable père de famille sur Facebook, un impitoyable avocat sur LinkedIn, un client banal chez PostFinance, un amateur de polars nordiques sur Amazon et un fan des Beatles sur iTunes: sur Internet, nos identités sont multiples et leur contrôle nous échappe en partie. Qu’est-ce que cela implique comme risques pour les citoyens, comme opportunités pour les criminels, et laisse comme traces pour les enquêteurs? Les réponses de David-Olivier Jaquet-Chiffelle, professeur ordinaire à l’Ecole des sciences criminelles de l’Université de Lausanne, spécialiste notamment de la cybercriminalité et de l’identité virtuelle.
Qu’est-ce qu’une identité numérique?
Elle n’est pas forcément liée à Internet: le numéro AVS, celui de la carte d’identité ou du passeport sont autant d’identités numériques traditionnelles qui existent depuis longtemps. Dans certains pays, comme les Etats-Unis, par exemple, un numéro, celui de la sécurité sociale, a plus de valeur que le nom et le prénom: c’est lui qui donne accès à une multitude de services, et pas seulement à ceux de l’Etat. «A ces exemples classiques, on peut aussi ajouter le plus récent numéro de natel, qui, par opposition à la ligne fixe de la maison, est individuel, ou bien sûr le numéro de la carte SIM», explique David-Olivier Jaquet-Chiffelle.
Internet est venu enrichir la palette de ces identités. Il y a celles que l’on se choisit via par exemple son adresse e-mail, son profil Facebook, son compte Twitter. Elles peuvent correspondre parfaitement aux données inscrites sur le passeport, comme Marie.Muller@gmail.com ou être totalement farfelues (Anne.Onyme@gmail.com).
Les machines qui nous permettent de surfer sur Internet ont elles aussi plusieurs «identités»: par exemple leurs adresses IP, pour «Internet Protocol». Elles se présentent sous la forme d’une suite de chiffres (exemple: 212.85.150.134.). «Smartphones, tablettes, ordinateurs, routeurs, tous les objets connectés sur Internet sont pourvus de ce numéro d’identification, explique David-Olivier Jaquet-Chiffelle. Une adresse IP correspond à une machine à un instant donné: on peut savoir quand cette machine s’est connectée, combien de temps, et quelle machine a visité tel site. Mais attention: on ne peut pas en déduire que l’identité de cet ordinateur équivaut à l’identité de son propriétaire. Quelqu’un d’autre peut s’en être servi, un hacker peut s’être frauduleusement emparé de l’adresse IP et l’utiliser, indirectement, depuis un autre engin, etc.»
Comment cette identité numérique se crée-t-elle?
Une identité sur Internet peut être attribuée – c’est habituellement le cas pour l’adresse IP. Les adresses e-mail professionnelles sont aussi le plus souvent générées par l’employeur – les collaborateurs et étudiants de l’Université de Lausanne ont tous le modèle Prénom. Nom@unil.ch pour identité. Elle peut aussi être choisie, dans le cas des adresses gmail.com et autres hotmail.fr. La part de créativité est encore plus grande sur les réseaux sociaux, où les informations sur la situation professionnelle et personnelle, qui servent à créer des profils, peuvent être exhaustives ou très incomplètes, exactes ou imaginaires.
«En faisant une recherche pointue mais en utilisant uniquement des moyens légaux à la portée d’un internaute moyen, il est souvent possible de connaître énormément de choses sur une personne: son métier, son employeur, ses collègues, sa maison, ses hobbys, ses dates et lieux de vacances, ses opinions politiques, la configuration de sa famille (nombre d’enfants, genre, âge…), ses goûts musicaux ou littéraires, éventuellement ses antécédents juridiques si des médias s’en sont fait l’écho», détaille le professeur. Libre à chacun d’exposer publiquement sa vie, «mais les gens ne se rendent pas toujours compte de la précision à laquelle on arrive en faisant la somme de renseignements semés en des endroits différents de l’Internet», note David-Olivier Jaquet-Chiffelle.
Peut-on la manipuler?
Evidemment, chacun peut s’inventer des vacances de rêve ou «adopter» un labrador en volant les images correspondantes sur Internet et en les collant sur son mur Facebook. Ce que l’on croit savoir des membres des réseaux sociaux ne correspond donc de loin pas toujours à leur identité dans le monde physique. «Cela pose bien la question de la confiance, qui est centrale dans les interactions sur Internet: l’identité affichée correspond-elle à la réalité? Le niveau de confiance dans la relation est évidemment variable: il est très faible sur Facebook, où vous pouvez vous créer un personnage de pure fiction, et très élevé, du moins en Suisse, entre les banques et leurs clients: avant de pouvoir effectuer ses paiements en ligne, il faut ouvrir un compte en se présentant en personne à un guichet et prouver son identité officielle. Ensuite, il faut établir la preuve que la personne qui intervient et souhaite effectuer un paiement est bien la détentrice du compte par le biais de plusieurs moyens distincts utilisés successivement.»
Quel impact ces identités numériques ont-elles sur la criminalité?
Bien des crimes ou délits n’ont pas attendu l’ère de la société de l’information pour fleurir: c’est le cas du trafic de drogue ou de plusieurs types d’arnaques par exemple. «Mais Internet ou la téléphonie mobile permettent à ces acteurs de protéger leur personne derrière une identité numérique, donc de diminuer les risques liés à la rencontre physique, tout en augmentant les profits grâce à des économies d’échelle», explique David-Olivier Jaquet-Chiffelle.
Un exemple de cette utilisation des nouvelles technologies pour des activités traditionnelles? Silk Road. Déjà largement médiatisé, ce site, appelé plus communément l’eBay de la drogue, mettait en contact des clients et des dealers autour de toutes sortes de stupéfiants. Les substances étaient acheminées par colis postal après virement de la somme convenue en bitcoins, presque comme pour un DVD acquis sur Amazon. Fermé par le FBI en octobre 2013, il a rapidement eu un successeur. C’est que ce supermarché en ligne protège l’identité «réelle» aussi bien des vendeurs que des acheteurs et diminue considérablement les risques d’être arrêté en flagrant délit en pleine rue.
Mais Internet a aussi ouvert les vannes à l’imagination débridée des criminels, qui ont inventé des infractions nouvelles. La prise d’otage d’un site commercial par exemple, avec chantage et extorsion de fonds. «Si un site de type Amazon.com reçoit des centaines de milliers de requêtes à la seconde, il est débordé, crashe et ne peut honorer les requêtes des “vrais” clients qui veulent se connecter au même moment», illustre le spécialiste. Cela peut constituer une perte financière sèche et une atteinte sévère à la réputation. Certains malfrats n’hésitent donc pas à exercer un chantage sur ces sites en leur extorquant des montants conséquents en échange d’une «non-attaque» de ce type. Le professeur de l’UNIL précise: «Le criminel qui extorque les fonds ne possède pas forcément la technologie qui lui permet de paralyser lui-même les sites commerciaux. Le plus souvent, il loue les services d’autres criminels pour l’aspect informatique, spécialistes qui proposent des contrats de type: j’ai pris possession de 100 000 ordinateurs privés auxquels je peux faire passer x commandes à la minute, je vous les loue 1 franc pièce par heure.»
Les nouvelles technologies peuvent aussi être une source de renseignements précieuse pour les cambrioleurs: twittez «yessss départ pour deux semaines de vacances à Cuba» et la planète entière sait que votre maison est vide durant les 15 prochains jours. Mais ce qui inquiète le plus les citoyens, c’est l’usurpation totale d’identité: un matin je me lève, je branche mon ordinateur et je ne suis plus moi. Tous mes comptes me refusent l’accès, d’iTunes à la banque en passant par Gmail, mon argent s’est volatilisé, mon employeur reçoit des mails insultants signés de mon nom que je ne lui ai bien sûr jamais envoyés, etc. Fantasme ou réalité? «Complètement déconnecter quelqu’un de ses identités numériques à la manière du film The Net (Traque sur Internet) ou s’accaparer ses comptes bancaires suisses relève davantage du fantasme que de la réalité, répond le spécialiste. Mais un hacker peut pénétrer votre ordinateur, vous espionner sans que vous vous en aperceviez, observer les mots de passe que vous tapez. Parfois, il y trouve directement une bonne partie des informations nécessaires pour prendre le contrôle de nombreux comptes – beaucoup de gens ont par exemple un document word ou des notes qui recensent en un seul endroit leurs identifiants et leurs mots de passe. C’est relativement facile et cela favorise ensuite certaines arnaques financières.» Le citoyen lambda n’est donc pas à l’abri. Les autres, CEO de grandes banques ou président des Etats-Unis, dont l’usurpation d’identités pourrait avoir un impact politique ou financier considérable, ont en principe des barrières de sécurité un peu plus difficiles à franchir…
Comment gère-t-on ces nouvelles formes d’identités dans les sciences forensiques? Qu’est-ce que cela change pour les enquêtes?
«Ma vision est essentiellement de ne pas scinder les traces numériques des traces physiques, mais d’utiliser les deux sources de renseignements en collaboration», explique David-Olivier Jaquet-Chiffelle. Et de citer en exemple les échanges de contenus pédo-pornographiques: mener une enquête sur Internet sans la croiser avec l’enquête dans «la vraie vie» pour remonter jusqu’aux coupables n’aurait pas beaucoup de sens. «Aujourd’hui, il n’y a d’ailleurs presque plus aucune activité criminelle qui n’ait pas des ramifications dans le numérique: tout le monde utilise Internet et y laisse des traces, ou travaille à tout le moins avec un téléphone portable.»
Une des spécificités de l’Ecole des sciences criminelles de l’Université de Lausanne est d’ailleurs son approche interdisciplinaire pour aborder une enquête. La proximité sur un même site de professeurs couvrant ensemble un large spectre de domaines forensiques favorise les interactions et la transdisciplinarité dans la résolution des problèmes. On part du principe que le volet numérique des enquêtes ne devrait pas être confié à des informaticiens, mais plutôt à des forensiciens, spécialisés en informatique, ayant une vision plus large de l’enquête: «Dans cette optique, nous incluons déjà les traces numériques et leur traitement dans nos cours de base, explique le scientifique. Il est essentiel qu’un enquêteur puisse avoir une vue globale des indices pour comprendre l’infraction et cerner l’identité de la personne qui l’a commise.»
Un défi pour les enquêteurs dans les nouvelles technologies, c’est la localisation: fouiller l’identité d’une personne sur Internet requiert certes des compétences techniques, mais aussi des autorisations de la justice. «Evidemment, nous tenons beaucoup au respect de la sphère privée et à la protection des données: ce n’est pas parce qu’une trace peut être suivie techniquement qu’elle peut l’être juridiquement.» Or le Web est, comme son nom l’indique, «world wide». Et obtenir des autorisations de cinq ou six pays parce que les serveurs sont éclatés aux quatre coins du monde et l’information fragmentée ne va pas sans prendre un certain temps… «La lenteur des procédures est un atout pour ce type de criminalité», reconnaît David-Olivier Jaquet-Chiffelle.
Comment notre identité numérique est-elle utilisée par les entreprises et les Etats?
Vous avez acheté les œuvres complètes de l’auteur de polars suédois très en vogue Henning Mankell sur Amazon? Attendez-vous à ce que le site vous propose à chaque nouvelle connexion des livres d’Arnaldur Indridason (auteur de polars islandais très en vogue) ou de Jo Nesbo (auteur de polars norvégien très en vogue). C’est que tout achat ou simple visite sur un site, voire une requête sur Internet, laisse d’innombrables traces, que les sites recensent en particulier via des petits fichiers appelés cookies. Les informations ainsi recueillies sont évidemment utilisées à des fins commerciales, pour cibler les publicités qui s’affichent sur le moteur de recherche en fonction de vos intérêts, ou pour vous faire des suggestions d’achats. C’est là une identité un peu différente encore qui est saisie, puisqu’elle comprend nos goûts et nos intérêts – elle a donc une dimension plus psychologique, «ce qui d’ailleurs a un effet repoussoir sur certains utilisateurs qui n’apprécient pas d’être ainsi catégorisés», commente David-Olivier Jaquet-Chiffelle.
«Les entreprises ne sont pas les seules à s’intéresser à nos goûts et nos centres d’intérêt – les Etats aussi», poursuit le professeur. Les e-mails que s’échangent les particuliers peuvent être lus, des sites ou des forums sensibles surveillés pour remonter la trace des participants. Depuis le 11-Septembre, l’affaiblissement des lois protégeant la sphère privée a été décidé dans le but de lutter contre le terrorisme. Mais les révélations d’Edward Snowden sur les pratiques de la NSA montrent que les Etats-Unis ont très largement utilisé les moyens technologiques à leur disposition pour pénétrer les identités des utilisateurs d’Internet – à tel point que des citoyens lambda absolument pas impliqués dans des activités criminelles se sont retrouvés empêchés d’embarquer à bord d’un avion en partance pour les USA parce qu’un e-mail contenant le mot «bombe» avait alerté les services de surveillance…
Comment sera utilisée notre identité numérique dans le futur?
De plus en plus, nos identités sont faites d’éléments matériels et d’éléments numériques: la «réalité», c’est désormais le cumul des deux. Un excellent exemple de cette juxtaposition est le passeport biométrique: un document papier, complété par une puce qui contient sous forme numérisée des éléments constitutifs de notre identité physique tels que la taille ou surtout les empreintes digitales. Autre évolution irréversible: la multiplication de nos identités, de nos profils. Il y a trois ans encore, nombreuses étaient les personnes actives sur Facebook, et c’est tout. Désormais, on existe aussi sur Twitter, Instagram, Tumblr…
Pour ce qui est des conséquences sur notre vie «physique», «certains envisagent un environnement de plus en plus intelligent, qui utilisera les informations recueillies dans les interactions avec les objets du quotidien pour faire du profiling en temps réel à grande échelle et anticiper nos besoins», constate David-Olivier Jaquet-Chiffelle. Ou quand les machines font du profilage façon criminologue du FBI… Vous avez l’habitude de commencer la journée par boire un café, dès que le réveil sonne? Votre cafetière, connectée à votre alarme, se mettra en marche tous les matins dès qu’elle sonnera. De même, votre ordinateur au bureau sortira de sa veille à 8h00, parce qu’il sait que c’est à cette heure-là que vous arrivez – et qu’il saura que vous venez d’entrer dans le bâtiment puisque le passage de votre badge sous-cutané a été enregistré. Bref, le rêve! Ou le cauchemar?
