Le développement d’internet a révolutionné le monde en facilitant l’accès à l’information, la communication et aux activités économiques. Cependant, cette évolution rapide, s’est également accompagnée d’un accroissement de la cybercriminalité, un phénomène global qui menace les individus, les entreprises et les gouvernements. Ce phénomène, qui se traduit par des infractions commises au moyen ou sur un système d’information (internet, ordinateur) est devenu, en Côte d’Ivoire, une préoccupation majeure, au cours des dernières années, en raison du nombre croissant de victimes. Les services d’enquête du pays notamment l’Agence nationale de la sécurité des systèmes d’information (ANSSI), sont à pied d’œuvre pour maîtriser avec efficacité l’identification et la détection des actes des cybercriminels.
Typologies des infractions et sanctions
L’Agence nationale de la sécurité des systèmes d’information a dénoté plusieurs typologies en matière d’infractions.
L’usurpation d’identité sur internet. Il s’agit d’une technique dans laquelle un individu obtient ou utilise frauduleusement les données personnelles d’une personne généralement ou d’une institution à des fins financières ou criminelles. L’individu usurpe les noms, prénoms, photos, notamment, en exploitant les comptes réseaux sociaux.
L’usurpation de l’adresse électronique d’une personne. Dans cette situation, le cyber délinquant utilise l’adresse électronique d’une personne en se faisant passer pour ce dernier dans une communication et pour un but bien précis.
L’article 19 de la loi sur la cybercriminalité réprime cette infraction. La peine est de 1 à 5 ans d’emprisonnement et de 5 à 100 millions de francs CFA d’amende.
La spoliation de comptes. C’est une technique utilisée pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. Elle se manifeste par l’envoie d’un formulaire à une personne pour lui dire qu’il a eu, par exemple, un problème sur son compte. « Quand on parle de compte, cela peut concerner les réseaux sociaux mais également un compte bancaire », précise le commissaire Parfait Manzan, expert à l’Agence nationale de la sécurité des systèmes d’information. Le cyber délinquant demande, entre autres, le nom et la date de naissance. Des informations qu’il utilisera pour commettre une infraction. Elle est également punie dans son article 25 de la loi sur la cybercriminalité. La peine d’emprisonnement est de 1 à 5 ans et de 5 à 100 millions FCFA d’amende.
L’escroquerie sur internet. Cette infraction concerne les fausses annonces. On voit généralement de faux investissements, de faux achats, de fausses offres d’emploi, de fausses locations, des prêts en ligne. Des infractions qui, selon l’expert de l’ANSSI, sont en vogue actuellement.
Le faux investissement. Il consiste à vous faire miroiter. « Par exemple, le cyber délinquant vous contacte en vous disant qu’il a une telle entreprise sur internet. Il vous promet un gros retour sur investissement. Généralement, ils vous contactent via le réseau social WhatsApp pour vous envoyer sur l’autre réseau social Telegram. Vous allez juste aimer des pages. Quand vous aimez, on vous paye. On vous envoie une page, vous aimez une fois, une deuxième fois, une troisième fois, on vous dit bravo, vous avez gagné, on vous envoie 1000 FCFA par exemple. On vous dit, en plus des pages gratuites, il y a des pages payantes que vous devez aimer. Pour telle page, on vous fait trois options. Ils vont commencer par exemple avec 2 000, 5 000, 10 000 FCFA. Selon vos moyens, vous pouvez payer 2 000 FCFA. Quand vous finissez d’aimer, on vous envoie encore de l’argent, une plus-value. Vous vous dites que c’est une bonne affaire. Mais c’est à partir de cet instant qu’on vous anarque parce qu’on a réussi à vous appâter. Au fur et à mesure, l’offre augmente. On vous demande maintenant 200 000, 500 000, des millions de Frrancs CFA. Plusieurs personnes sont tombées dans ce piège », explique le commissaire Manzan. Puis de rappeler que l’ANSSI a récemment démantelé un réseau. « Des personnes faisaient croire aux gens qu’ils devaient investir pour des panneaux solaires. Nous avons, durant 6 mois, mené une enquête pour démanteler le réseau. Aujourd’hui, ces personnes sont au Pôle pénal économique et financier », relate-t-il.
Les faux achats. Ils se manifestent à partir d’une commande qu’une personne sollicite et qu’on doit lui livrer. Mais avant la livraison, on demande à cette personne de payer une avance ou la totalité. Des délinquants utilisent aussi cette méthode pour pouvoir arnaquer.
Les fausses offres d’emploi. Dans cette infraction, le cyber délinquant arnaque les citoyens, à partir d’une fausse offre emploi qu’il annonce aux internautes, en leur demandant de postuler moyennant une somme d’argent.
Les prêts sur internet. Ce sont des prêts d’argent, avec un taux et un délai de remboursement, qui aboutisse généralement à des harcèlements. « Quand vous ne payez pas au moment convenu, on appelle vos contacts. Ce que beaucoup ne savent pas, lorsque vous installez l’application pour le prêt, derrière, ils ont accès à votre galerie photo et à tous vos contacts. On vous dit par exemple, vous prenez 10 000 FCFA, vous remboursez 15 000 FCFA en 3 mois. Quand vous prenez le prêt, ils ne vous donnent pas 10 000, ils vous donnent 8 000 FCFA. Ils déduisent déjà une partie de ce que vous devez rembourser. Quand vous mettez plus de temps pour rembourser, ils font un montage, un collage de photos en vous exposant avec pour information que vous êtes recherché pour le remboursement d’un prêt. Généralement, c’est à vos connaissances qu’ils envoient. Si vous êtes une personne avec une certaine stature, cela ne vous rend pas crédible et vous donne une mauvaise image auprès des siens », déplore le commissaire Manzan.
Les fausses annonces de location de maison. Ce sont des annonces de location de maison sur internet où le cyber délinquant demande à la personne, qui est à la recherche d’une maison à louer, d’envoyer de l’argent à un soi-disant démarcheur pour la concrétisation de l’opération. Toutes ces infractions sont punies également par la loi sur la cybercriminalité dans son article 19.
Les comptes bancaires et de téléphones mobiles ne sont pas épargnés
Les fraudes sur les porte-monnaies électroniques (l’ingénierie sociale et le Sim swap). Dans le cas de l’ingénierie sociale, l’arnaqueur envoie un message à une personne lui informant qu’il a reçu un bonus ou une téléphonie mobile l’a choisi pour récupérer un cadeau. Le cyber délinquant se sert de cette supercherie pour soutirer de l’argent à des personnes.
En ce qui concerne le Sim swap, chaque puce a une identité. Les délinquants désactivent votre puce temporairement. Il y a le numéro et l’identifiant de la puce qu’on appelle l’IMSI (Identification internationale d’abonné mobile). Le cyber délinquant attribue le numéro à une autre puce. Quand il finit de commettre le forfait, il redonne le numéro de téléphone à son propriétaire.
« Nous avons été confronté à un cas de ce genre avec une femme qui est venue faire un retrait dans un point de vente. Le responsable du point de vente a fait une photo du code QR et comme ce gérant a les moyens de pouvoir réattribuer un numéro, il a appliqué le Sim swap en désactivant la puce de la femme et il a mis le numéro sur une autre puce qu’il a en main. Il est allé dans une autre agence, quand ils ont scanné, il a reçu le sms parce que votre puce est désactivée. Il a validé et retiré 550 000 FCFA. Lorsque ce gérant a fini, il a activé la puce de la femme et lui a redonné le numéro », révèle l’expert de l’ANSSI. Ensuite, il a souligné que c’est la même chose pour les comptes dits dormants. « Des personnes ont des comptes en banque, cela fait des années, il n’y a pas d’ayant droit, personne ne vient réclamer. Pour un agent de la banque qui voit que ce compte est là depuis 10 ou 15 voire 20 ans, il trouve un réseau hors de la banque, il fait en sorte qu’on puisse faire le Sim swap. Parce que quand tu veux initier un retrait à la banque ou tu veux faire une transaction, ils vont forcément appeler le propriétaire du compte. Quand on l’appelle, il dit oui, j’ai autorisé pour faire le virement. Nous sommes dans un cas de vol ».
Attention à la sextorsion
La sextorsion entre deux inconnus. Il s’agit d’une technique utilisée par un cyber délinquant qui peut se présenter comme une femme et pourtant il s’agit d’un homme. L’arnaqueur appâte une personne qu’il ne connait ni d’Adam ni d’Eve et l’emmène à s’exhiber devant une vidéo. Le cyber délinquant enregistre la vidéo de la victime puis lui faire du chantage, en lui demandant de l’argent. Si la victime ne paye pas, l’escroc poste la vidéo sur les réseaux sociaux.
La sextorsion entre deux personnes qui se connaissent. Cette infraction est courante dans le cas d’une rupture amoureuse. Il s’agit pour un homme ou une femme d’enregistrer une image ou une vidéo de sa partenaire à son insu et la publier par la suite. « Vous êtes avec une femme ou un homme qui vous annonce la fin de la relation. Mais pendant que vous étiez ensemble, vous lui avez envoyé des photos ou vous vous êtes échangés mutuellement des photos, selon le cas, et cela est consenti puisque vous avez demandé et on vous a envoyé les photos. Mais quand l’homme ou la femme vous dit je ne veux plus, on peut ne pas être d’accord. Si vous envoyez à votre partenaire une photo ou une vidéo qui a été enregistrée à son insu, c’est la première infraction. La loi sur les données à caractère personnelles, la loi 2013-450 intervient ici. Pour pourvoir envoyer une photo, la voix, le nom, l’adresse, le numéro de téléphone de quelqu’un, il faut avoir son autorisation, au risque d’être traité comme un cyber délinquant », fait savoir l’expert.
La sextorsion touche toutes les couches de la société (vieux, jeunes, hauts cadres et non cadres). Elle est punie par les articles 62 et 66 nouveaux. La peine qui était de 10 ans est passée à 20 ans de prison.
Les systèmes d’information menacés
Les accès frauduleux aux systèmes d’information (le détournement de correspondant ou l’homme du milieu). C’est une technique utilisée pour accéder aux contenus d’une adresse électronique, sans toutefois spolier les accès de son utilisateur. Le cyber délinquant consulte régulièrement les contenus des mails. Lorsque le titulaire du compte a des échanges avec des partenaires sur les transactions bancaires, il intercepte les échanges. « Vous êtes une entreprise, vous échangez avec une autre entreprise en occident ou quelque part. Vous échangez régulièrement des mails. Le cyber délinquant a eu accès à votre messagerie. Il suit les conversations, il ne change pas le mot de passe, il suit juste les conversations. Quand il s’agit de faire un virement bancaire, il intervient. Vous avez par exemple commandé du matériel et cela doit venir. L’entreprise avec laquelle vous échangez vous demande de faire le paiement, vous envoyez une facture pro forma. Vous devez faire le paiement, c’est au moment du paiement que l’homme du milieu rentre en scène. Il va changer votre adresse électronique. C’est-à-dire, il crée une autre adresse électronique qui ressemble à la vôtre et il contacte la personne qui doit faire le virement. Dès que le délinquant reçoit l’argent, il s’évapore dans la nature. Après consultation, on se rend compte que ce n’est pas la bonne adresse électronique », développe le commissaire Manzan.
Cette infraction est également punie en son article 31. Les peines d’amende vont de 1 à 5 ans d’emprisonnement et le million pour les amendes.
Le rançongiciel ou ransomware. Il s’agit d’une méthode utilisée pour accéder frauduleusement à un système informatique et y introduire un logiciel malveillant qui bloque les accès aux ordinateurs ou à des fichiers en les cryptant, dans le but d’exiger le paiement d’une rançon pour obtenir de nouveaux accès. « Vous avez par exemple une base de données avec laquelle vous faites les inscriptions. Le cyber délinquant va envoyer un virus dans votre système. Il crée un accès et il copie la base de données ou il fait en sorte que lorsque vous avez accès, vous ne voyez que des carrées ou des étoiles ou vous n’avez même pas accès. Il sait que ce sont des données assez cruciales, si vous ne voulez pas payer, il vous dit qu’il vendra ces données à votre concurrent. Si ce cyber délinquant a tout votre portefeuille clients, la perte est grande pour l’entreprise », instruit l’expert.
L’attaque des établissements financiers. Une technique des cybers délinquants pour s’introduire dans le système bancaire afin de faire des rechargements sur des cartes. « Il y a quelques années, une banque en Côte d’Ivoire a perdu près de 800 millions FCFA. Les cybers délinquants ont eu accès au système et ils ont rechargé les cartes prépayées. On recharge par exemple 2 millions sur une carte et un seul individu possède à lui seul 30 cartes et va faire des retraits dans les guichets », illustre l’expert.
Plus de 21 milliards FCFA perdus en trois ans
L’Agence nationale de la sécurité des systèmes d’information a enregistré un total de 19 743 dossiers sur trois ans, avec 5 032 dossiers en 2021, 6 579 en 2022 et 8 132 en 2023. Ces chiffres montrent une augmentation continue, avec plus de 1 000 dossiers supplémentaires, chaque année.
En ce qui concerne les pertes financières dues aux infractions, celles-ci s’élevaient à 6,3 milliards FCFA en 2021. Ce montant a légèrement diminué en 2022, atteignant 6,2 milliards FCFA, avant de remonter en 2023 à 9,2 milliards FCFA. Au total, cela représente plus de 21 milliards FCFA sur cette période.
Renforcement du dispositif légal pour faire face à ce phénomène
Cette problématique ne laisse pas indifférent l’état qui a mis sur pied, depuis environ deux décennies, plusieurs entités pour lutter contre la cybercriminalité en Côte d’Ivoire. Il s’agit, entre autres, de la Direction de l’informatique et de tracé technologique, crée en 2007, du Laboratoire de criminalistique numérique mis sur pied en 2011 et de la Plateforme de lutte contre la cybercriminalité qui est née en 2021. Toutes ces entités ont finalement été absorbées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour en faire une seule entité.
Au niveau légal, il y a la loi numéro 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnelle, la loi numéro 2013-451 du 19 juin relative à la lutte contre la cybercriminalité et la loi numéro 2013-546 du 30 juillet 2013 relative aux transactions électroniques.
La loi sur la communication audiovisuelle, en vigueur depuis 2017, existe également. Il y a la loi de 2021 ayant modifié le code pénal et la loi de 2023 qui a modifié quelques articles de la loi sur la cybercriminalité. Les articles 17, 33, 58, 60, 62 et 66 ont été modifiés. Les peines de prison ont doublé avec la modification.
Mode de saisine
L’Agence peut être saisie de plusieurs manières.
Plainte : les victimes d’infraction peuvent saisir l’ANSSI par plainte physique. Selon le cas, la plainte est recevable ou ne l’est pas parce que l’agence ne reçoit que des plaintes liées à la manipulation de système d’information ou liées à l’accès de système d’information. Une personne se sentant victime d’un crime informatique (hameçonnage, vol de données, etc.) peut déposer une plainte auprès de l’organisme.
L’ANSSI peut être saisie par soit-transmis venant directement du parquet. Les plaintes sont faites au parquet et elles viennent à l’Agence nationale de la sécurité des systèmes d’information.
Dénonciation : la saisine peut également se faire par dénonciation. Dans le cadre d’une dénonciation, un individu, témoin d’une activité illégale en ligne (diffusion de contenu pédopornographique, par exemple), peut dénoncer les faits à l’organisme sans être lui-même victime directe.
« Nous avons été confrontés à un cas de pédophilie. Un pédophile qui est un répétiteur a intégré un groupe sur un réseau social numérique et il vantait, dans ce groupe sur un internet, ces mérites, en affirmant qu’il aime les enfants et qu’il abuse des tout-petits, non sans mentionner qu’il menace de tuer ces enfants ou leurs parents, s’ils le dénonçaient. Nous avons été saisis par dénonciation », raconte l’expert.
Auto-saisine : l’Agence nationale de la sécurité des systèmes d’information peut se saisir d’un dossier de son propre chef, s’il détecte une activité criminelle en ligne, même sans plainte préalable.
Commission rogatoire : un juge peut demander à l’ANSSI de mener des enquêtes complémentaires dans le cadre d’une enquête judiciaire. C’est une procédure où un dossier est transmis au juge d’instruction pour des enquêtes complémentaires avant d’être renvoyé au tribunal. Le processus implique une enquête initiale, suivie d’une demande de commission rogatoire pour approfondir l’enquête, puis un retour du dossier au service initial pour la suite de la procédure.
Assistance aux victimes
Les victimes sont complètement prises en charge par l’Agence nationale de la sécurité des systèmes d’information. La prise en charge est, dans un premier temps, psychologique. Les adresses électroniques et les comptes réseaux sociaux piratés sont par la suite récupérés. Les contenus sur différentes plateformes sont supprimés et les comptes réseaux sociaux ainsi que les adresses électroniques sont sécurisés.
Après la prise en charge, la victime sera auditionnée afin de collecter des informations qu’il faut pour pourvoir mener les investigations qui aboutiront à des interpellations, des perquisitions et des constations.
Après tout cet aspect, il y a la sensibilisation. Elle est essentielle dans la lutte contre la cybercriminalité car elle permet aux populations et aux différents secteurs d’activités de connaître les risques auxquels ils sont confrontés sur l’utilisation des technologies de l’information et de la communication.
Difficultés rencontrées
Selon le commissaire Parfait Manzan, l’ANSSI rencontre des difficultés dans l’accès aux données des grands groupes, tels les GAFAM (Google, Apple, Facebook, Amazon, Microsoft).
La difficulté se situe, poursuit l’expert, dans la demande de certaines informations, puisque ces groupes n’ont pas leur siège en Côte d’Ivoire et en Afrique de l’Ouest. « Ils sont basés aux Etats-Unis, ce qui fait que le caractère transnational de l’infraction nous pose problème. On peut qualifier tel acte d’infraction en Côte d’Ivoire mais dans un autre pays, c’est légal. Quand on fait une réquisition à ce pays ou à un groupe relativement à telle information, quand il regarde la juridiction de ce pays, ils disent « ce n’est pas une infraction ici, on ne peut pas fournir ces informations » », déplore le commissaire qui appelle à une uniformisation des textes de loi.
La lutte contre la cybercriminalité en Côte d’Ivoire nécessite une sensibilisation accrue des citoyens, une application stricte des lois en vigueur et une collaboration renforcée entre les autorités et les experts en cybersécurité. Les efforts de l’ANSSI et des forces de l’ordre sont essentiels pour contrer ce fléau et protéger les victimes potentielles.
(AIP)
rd/kkf/cmas