L'article a été rédigé par Dr. iur. Dr. rer. pol. Fabian Teichmann en collaboration avec Léonard Gerber. Le texte traite de la monétisation de la cybercriminalité dans le contexte de l'économie numérique 4.0. Il aborde l'évolution des modèles commerciaux proposés par les cybercriminels sur le Darknet. Ces modèles comprennent des services illégaux tels que des kits d'hameçonnage, des ransomwares, des logiciels espions, des vers, des chevaux de Troie et des services de piratage disponibles pour les particuliers, les entreprises et les autorités publiques. Les cybercriminels utilisent alors l'anonymat et les crypto-monnaies comme le bitcoin pour leurs transactions. En plus des cyberattaques ciblées classiques, l'ouvrage aborde également les attaques par déni de service distribué (DDoS), qui consistent à surcharger les serveurs, ainsi que les poursuites pénales contre les cyberattaques et la résilience des entreprises en Suisse. Les entreprises victimes d'une cyberattaque hésitent souvent à la signaler ou à déposer une plainte pénale. Les raisons en sont la protection de leur réputation, "l'attractivité de leurs services et le manque d'avantages à coopérer avec les autorités de poursuite pénale. Néanmoins, les cyberattaques peuvent être signalées au Centre national de cybersécurité (NCSC), dont le département spécialisé MELANI (Centrale d'enregistrement et d'analyse pour la sûreté de l'information) analyse les logiciels malveillants utilisés dans les attaques. Le Service suisse de coordination de la lutte contre la criminalité sur Internet (SCOCI) reçoit également des demandes de blocage de sites au contenu suspect, qui peuvent donner lieu à des enquêtes pénales en Suisse et à l'étranger. Il convient toutefois de mentionner que certains secteurs sont tenus de signaler les cyberattaques, comme les entreprises financières soumises à la surveillance de la FINMA. Les dispositions de droit pénal en Suisse appréhendent le phénomène de la cybercriminalité sous l'angle des infractions suivantes. En premier lieu, l'extorsion au sens de l'art. 156 CP suppose un moyen de contrainte, à savoir l'usage de la violence, la menace d'un dommage sérieux ou tout autre acte qui entrave la liberté d'action de la victime. Deuxièmement, la victime doit avoir accompli un acte qui porte atteinte à ses intérêts financiers ou à ceux d'un tiers. En outre, il doit exister un lien de causalité entre la menace et l'action de la victime, ainsi qu'une intention et un objectif d'enrichissement illégitime. Les attaques DDoS ont pour but de surcharger un serveur informatique de telle sorte que les services en ligne deviennent inutilisables pour les utilisateurs légitimes. Il arrive que les auteurs utilisent ces cyberattaques comme moyen de pression sur leurs victimes. Ils peuvent également demander une rançon, souvent en bitcoins, à leurs victimes pour mettre fin à l'attaque, remettre les serveurs attaqués en état de marche et poursuivre les services proposés. Dans ce cas, la victime doit céder aux menaces du cyber-attaquant. Si aucune rançon n'est demandée et que la victime n'accomplit aucun acte préjudiciable à ses intérêts financiers, l'auteur peut néanmoins se rendre coupable de contrainte au sens de l'article 181 du CP, notamment en cas de menace de préjudice grave.
L'auteur : Fabian Teichmann est avocat en Suisse, notaire à Saint-Gall, avocat européen au Liechtenstein et conseiller d'entreprise au niveau international. Il assure en outre de nombreuses missions d'enseignement dans différentes universités.
Pour en savoir plus sur ce sujet, voir Teichmann, F. & Gerber, L. (2021). La qualification pénale des attaques DDoS en droit suisse. Jusletter. https://doi.org/10.38023/d6456c6e-9284-4a52-be65-eb2b7e9c3b78.