La notion d’anonymat (du grec ἀνώνυμος / anṓnumos, « qui n’a pas reçu de nom, anonyme ») est apparue à travers l’existence des sociétés anonymes, organisations dont la raison de la fondation n’est pas connue. Le terme renvoie donc au camouflage d’identité. Appliqué au domaine de la cybercriminalité, il devient une stratégie afin d’éviter la découverte de l’auteur d’un acte cybercriminel.
La couverture de l’anonymat ne constitue pas un crime par ordinateur au sens de Kyung-Shick Choi, Claire S. Lee, et Eric R. Louderback (2020), puisqu’il n’enfreint aucune règle : l’objectif premier de l’anonymat est de camoufler son identité réelle sur Internet. Selon ces auteurs, ce qui consiste en un cybercrime est plutôt l’utilisation malveillante de l’anonymat par les attaquants pour enfreindre la loi. Il n’est pas question, selon cette littérature, de percevoir l’anonymat comme une fin mais plutôt comme un moyen, c’est-à-dire un outil au profit du crime. Ainsi et par exemple, une personne pédophile tente d’élaborer une identité fictive afin de se cacher pendant ses activités illégales (consultation d'images pédo-pornographiques), qu’il sait punissables et anormales en société. Selon la théorie du contrôle social (Hirschi, 2004), le pédophile qui identifie ses actions comme étant déviantes se marginalise vis-à-vis des normes de la société pour agir dans l’ombre de l'espace numérique. Le but pour le pédophile est de maximiser son acte : assouvir ses pulsions tout en contrôlant sa sécurité en tentant d’assurer son anonymat. La déviance peut expliquer pourquoi un individu bascule vers une cybercriminalité. Ainsi l’anonymat peut constituer un danger au sens où il protège un cybercriminel. En effet, l’anonymat empêche l’accès à un élément constitutif du crime comme le « likely offender » (cf. Routine activity theory de Cohen & Felson, 1980). Si l’anonymat est une motivation au crime, dans la mesure où il le protège, il est aussi un défi pour les moins aguerris aux manipulations techniques. Concrètement, les individus peu compétents en IT, les « script kiddies » achètent des exploits afin de les activer chez leurs cibles. Avec l’échange de l'objet criminel (le script malveillant) entre le script kiddie et l'administrateur, la responsabilité glisse sur les épaules du script kiddie ; cela dit, il ne détient souvent pas les compétences nécessaires afin de bien protéger son identité. L’anonymat dans ce cas peut leur apparaître comme un défi. En somme, tous les acteurs malveillants ne sont pas égaux face à l’accès à l’anonymat efficace : les administrateurs plus compétents seront mieux protégés puisqu’ils connaissent mieux les techniques que les script kiddies (Collier, B., Clayton, R., Hutchings, A., & Thomas, D., 2020).
Bien être protégé par l’anonymat ne signifie pas que cet anonymat est complet et sans faille. Dès lors se pose la question suivante : est-ce que l’anonymat existe vraiment? En pratique, existe-t-il des actes sur Internet, comme les transactions en bitcoin, qui sont potentiellement intraçables?
Sur cette question, deux écoles s’opposent : d’un côté les croyants en l’anonymat et de l’autre les détracteurs. Les premiers auteurs assument le fait que l’anonymat existe et sert les activités cybercriminelles. Selon Van Puyvelde (2019), l’anonymat s’illustre dans la construction d’une « persona layer » c’est-à-dire dans le façonnement d’une identité fictive utilisée pour des usages déterminés, criminels ou non, sur Internet. Pour reprendre l’exemple de l’individu pédophile, cette « persona layer » lui permet de naviguer sur Internet en revêtant une autre identité : c’est séparer la personne de la personnalité déviante qui vise à assouvir ses fantasmes illégaux.
Au-delà de sa simple existence, l’anonymat peut représenter un incitateur pour les criminels en puissance. En effet, depuis la 3ème révolution, les utilisateurs peuvent manipuler des éléments du réseau afin d’assurer leur couverture : routeurs, VPN, browser reposant sur le système de réseaux en nœuds (TOR browser). L’anonymat permet en tous cas au criminel de courir moins de risques en comparaison avec un acte criminel situé dans le monde matériel (ibid). Même si l’anonymat constitue un travail en amont de protection pour une navigation future sur Internet, il n’existe pas de mention de cybercrime avec préméditation, là où les crimes matériels avec préméditation sont souvent sanctionnés au pénal avec plus de sévérité. Par là, on comprend que l’anonymat permet d’annuler des obstacles avant le passage à l’acte qui pourraient exister dans le monde matériel.
Sans inciter automatiquement aux crimes les plus graves, l’anonymat incite également aux délits. Dans le cas d’un harcèlement scolaire en ligne, il est moins contraignant de participer à un harcèlement : partager, liker des commentaires haineux, commenter ou insulter sont autant d’actions liées au harcèlement qui sont facilitées sur les réseaux sociaux. Sur ces plateformes, les utilisateurs sont pris dans des effets de groupe, minimisent leur participation au harcèlement et peuvent camoufler leur identité au moyen de pseudonymes non évocateurs de leur vrai nom. Dans ce jeu d’usage de l’anonymat, les harceleurs ne voient pas la souffrance vécue par la victime ; l’immatérialité du délit minimise, du point de vue du harceleur, la gravité perçue de son acte (cf. mécanisme de la neutralisation développé par Sykes, G. M., & Matza, D., 1957). En raison du caractère anonymisé du phénomène, peu de statist
iques et d'études sont faites pour mesurer la proportion du cyberbullying comparé au harcèlement matériel. Aux Philippines, des voix proposent de légiférer pour abolir l’anonymat sur Internet afin de faciliter l’identification des individus auteurs de cyberintimidation et de désinformation. L’idée serait d’imposer l’enregistrement de la carte d’identité pour la création d'un compte personnel sur les réseaux sociaux. La logique veut que l’individu identifié en amont portera plus de responsabilité de ses actes sur Internet, et réfléchira plusieurs fois avant de commettre des actions répréhensibles en ligne. Cela dit, cette proposition est critiquée par le fait qu’elle entrave le droit à la vie privée des individus. Dans le cas de la Chine, le contrôle par l’État sur les connexions Internet des citoyens est très fort. Mais comment évaluer le succès de cette politique de restriction et de surveillance dans un pays censuré ? Le système chinois semble poser des problèmes pour son application dans les démocraties démocratiques.
David S. Wall (2001), un criminologue britannique, résume très bien cette situation en exposant que l’anonymat représente non seulement un défi puisqu’il incite à basculer dans le monde criminel ; mais qu’il est aussi très utile pour que les enquêteurs effectuent leurs missions tout en restant sous couverture. L’anonymat, utilisé par les forces opérantes, permet de récolter secrètement des renseignements sur l’auteur d’actes cybercriminels ; d’apprendre les méthodes d’action de ces derniers et in fine de leur tendre des pièges après observation du comportement (honeypot). C’est l’équilibre entre la prévention de la cybercriminalité (en agissant sur la réduction de l’anonymat), et la protection de la vie privée que les lois doivent trouver. Cette lutte permanente entre ces deux tendances produit parfois des lois contradictoires. Au Canada, les lois concernant l’anonymat sur Internet ne sont pas nombreuses et sont moribondes : les seuls textes évocateurs datent de 2000 et visent à la « protection des renseignements personnels contre l’abus d’utilisation à des fins commerciales ». En d’autres termes, ces lois portent plus sur la souveraineté individuelle vis-à-vis des données numériques dans les navigations Internet. Il est plus question d’un enjeu économique que criminologique. Les discussions parlementaires récentes ne vont pas dans le sens de trouver cet équilibre. Le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, penche pour la limitation des techniques entravant l’anonymat des individus dans leur utilisation par les organes policiers et de renseignement.
Hors Canada, certains pays comme on l’a vu sont partisans de l'abolition de l’anonymat (Philippines, Chine, Russie, Inde par exemple). L’anonymat est-il vraiment un levier sur lequel agir pour influencer le taux de criminalité ? Dans les faits, la réponse est non. Il est techniquement possible de démasquer quelqu’un : des outils existent ; cela dit, la police traditionnelle n’est généralement pas équipée ni formée pour ces enquêtes. Les cybercrimes et autres délits sur Internet sont nombreux alors que le temps manque pour la police pour qui la majorité du temps est consacrée aux missions dans l’espace physique. Alors que certains se questionnent sur la possibilité d’instituer un nouvel organe spécialisé dans les missions cyber (McGuire, M., 2012 ; Grabosky, P. N., 2017), la loi canadienne préfère donner plus de compétences et de terrain aux policiers issus de l’institution policière déjà existante : extension des compétences en collecte d’informations personnelles, partage d’information entre organismes privés et institutions publiques comme par exemple les abonnements téléphoniques. Ce partage entre privé et public suit la logique mise en place en Belgique où l’obligation de collaboration impose aux sociétés de services de partager les données de ses utilisateurs pour certains types d’enquêtes.
Si l’on peut se demander si l’avènement et la popularisation d’Internet ont fait baisser la criminalité, la réponse est non : celle-ci s’est transformée. Si Internet réduit le taux de criminalité traditionnel :
Premièrement, l’usage d’Internet a modifié la nature des crimes : les victimes et auteurs ne se rencontrent parfois plus et sont confinés chez eux ou au travail lorsque le cybercrime a lieu ; ainsi ce n’est plus la sécurité qui est en jeu mais on parle de cybersécurité.
Deuxièmement, la navigation sur Internet laisse des traces indélébiles, ce qui peut dissuader les délinquants potentiels au moment du passage à l’acte.
Et troisièmement, Internet fourmille d'informations s’inscrivant dans une mouvance continue, ce qui constitue un risque et dans certains cas une protection contre le crime.
Dans les faits, l’anonymat complet est impossible : les adresses IP ont été créées à cette fin. À l'image de la création des noms de rues pour permettre d’identifier plus facilement les usagers de ces espaces ; les adresses IP permettent de localiser les utilisateurs. Le matériel grave les activités numériques (historiques, RAM) mais ne représente pas le risque d’exposition le plus important. C’est l’erreur humaine, le défaut de précaution de l’utilisateur qui est source de failles de protection de l’anonymat dans la plupart des cas. Par exemple, l’absence de diligence sur les heures de connexion peut nuire à la protection de l’anonymat, il est possible de détecter la zone géographique en identifiant sur quels fuseaux horaires l’attaquant se trouve.
Pour revenir aux interrogations premières de ce papier concernant le lien entre bitcoin et anonymat, Sarah Meiklejohn, professeure en cryptographie et en sécurité à l’University College London (UCL), démontre dans ses conclusions que le fonctionnement de la blockchain permet d’identifier les auteurs de transactions de par les modèles d’utilisation qu’ils utilisent. Une autre façon de percer à jour leur identité est de voir si ces transactions ont partiellement été effectuées hors-chaîne, ce qui les relierait à leur identité réelle. Au final, l’anonymat est techniquement possible mais n’est pas absolu : comme le prouvent les usages de l’OSINT.
Bibliographie
Choi, K. S., Lee, C. S., & Louderback, E. R. (2020). Historical evolutions of cybercrime: From computer crime to cybercrime. The Palgrave handbook of international cybercrime and cyberdeviance, 27-43. Collier, B., Clayton, R., Hutchings, A., & Thomas, D. (2020). Cybercrime is (often) boring: maintaining the infrastructure of cybercrime economies. Felson, M., & Cohen, L. E. (1980). Human ecology and crime: A routine activity approach. Human Ecology, 8, 389-406. Grabosky, P. N. (2017). Virtual criminality: Old wine in new bottles?. In Cyberspace Crime (pp. 75-81). Routledge. David S.Wall (2007) Cybercrime: The Transformation of Crime in the Information Age" David S.Wall (2001)"Crime and the Internet » Hirschi, T. (2004). Self-control and crime. Handbook of self-regulation, 537-552 Sykes, G. M., & Matza, D. (1957). Techniques of Neutralization: A Theory of Delinquency. American Sociological Review, 22(6), 664-670. Van Puyvelde, D., & Brantly, A. F. (2019). Cybersecurity: politics, governance and conflict in cyberspace. John Wiley & Sons. Mathieu, C., & Trudel (2021), Cycles des crimes financiers et théorie des activités routinières, Université de Sherbrooke. McGuire, M. (2012). Technology, crime and justice: the question concerning technomia. Routledge. Ouimet, M. (2006). Réflexions sur Internet et les tendances de la criminalité. Criminologie, 39(1), 7-21.