Le ransomware, nouvelle poule aux œufs d’or des hackers

lundi 27 Jan 2020

Par Caroline Besse

En octobre 2019, l’hôpital suisse de Wetzikon, dans le canton de Zurich, a été victime d’une cyberattaque au moyen d’un ransomware. Dans ce cadre, l’hôpital s’est vu contraint de débrancher plusieurs dispositifs médicaux du système central, mais ne semble pas avoir subi de dégâts majeurs, après avoir pu isoler rapidement les machines infectées (Seydtaghia, 2019). D’autres n’ont pas eu la même chance. Aux États-Unis notamment, des médecins, des dentistes et de petits établissements hospitaliers de quartier victimes d’une cyberattaque par ransomware ont dû refouler des patients, voire pour certains mettre la clé sous la porte (Janofsky, 2019). CrowdStrike, une société de cybersécurité californienne, met en exergue dans son rapport 2019 le succès grandissant des attaques par ransomware menées contre le secteur privé : cette année, près de 40% des entreprises interrogées, provenant des quatre coins du monde, se sont résolues à verser les sommes conséquentes exigées par les hackers pour récupérer l’accès à leurs fichiers, soit un nombre nettement plus élevé qu’en 2018 (Huvelin, 2019).

Cette brève sélection d’attaques récentes, qui font désormais des victimes en Suisse non plus seulement dans les PME mais aussi dans les collectivités publiques, illustrent la croissance exponentielle de ce phénomène et les dégâts conséquents qu’elles causent. Elles nous alertent aussi sur le fait que chacun d’entre nous peut être une victime directe ou collatérale d’une attaque par ransomware.

Un ransomware, qu’est-ce exactement ?

Passons d’abord par la case définition, pour mieux cerner cette drôle de bête qu’est le ransomware. Ce terme anglais, qui se traduit en français littéralement par « rançongiciel », désigne un type de logiciel malveillant qui chiffre l’accès à votre ordinateur ou à vos fichiers personnels (ANON., 2019) en modifiant souvent l’extension des fichiers (par exemple .locked ou .locky). Il exige ensuite de votre part, par un message affichant les instructions de paiement (ANON., [sans date]), une rançon pour récupérer vos fichiers, souvent dans un certain laps de temps, le montant exigé augmentant parfois après un (ou plusieurs) délai(s) échu(s) (ANON., 2019). Le paiement se fait souvent en monnaie virtuelle (par ex. Bitcoin) à travers un site sur le darknet, si bien qu’il est impossible de remonter jusqu’aux hackers. Le montant des rançons, initialement fixé à quelques centaines de dollars, se chiffre désormais à plusieurs centaines de milliers de francs (ANON., 2019).

« Comment serai-je touché ? »

Le ransomware peut infecter l’ordinateur de plusieurs manières. La plus commune est celle de l’e-mail par phishing et spam (ANON., 2019). L’attaque menée contre l’hôpital de Zurich a d’ailleurs « très certainement été réalisée par e-mail » (Seydtaghia, 2019). Ces e-mails contiennent soit une pièce jointe infectée par un logiciel malveillant, soit un lien sur un site malveillant ou piraté. Une fois que l’utilisateur ouvre la pièce jointe ou clique sur le lien, le ransomware infecte la machine de l’utilisateur et peut se répandre sur son réseau (y compris sur ses éventuels supports périphériques connectés tels que clé USB, disque dur externe, etc.). Une autre manière consiste à exploiter une faille de sécurité dans un système ou un programme, comme le fameux ver WannaCry qui a infecté des centaines de milliers d’ordinateurs dans le monde entier en utilisant une faille Microsoft. Enfin, le ransomware peut également prendre la forme d’une fausse mise à jour d’un logiciel, poussant les utilisateurs à activer les droits d’administrateur et installant ainsi le code malveillant. (ANON., 2019)

Une fois l’ordinateur infecté par le ransomware, celui-ci bloque soit l’accès au disque dur, soit il chiffre tout ou une partie des fichiers de l’ordinateur. Il sera peut-être possible de retirer le logiciel malveillant de l’ordinateur et de restaurer le système, mais les fichiers resteront chiffrés du fait que le ransomware les a déjà rendus illisibles, et que le déchiffrement est mathématiquement impossible sans la clé de déchiffrement du hacker. (ANON., 2019)

Le montant de la rançon en lui-même est fixé à la fois à un niveau suffisamment bas pour que la victime puisse la payer, et à un niveau suffisamment élevé pour que l’opération soit rentable pour le hacker. Les cybercriminels visent certaines organisations ou industries afin de tirer profit de leurs vulnérabilités spécifiques et de maximiser ainsi les chances que la rançon soit payée. Les organisations médicales peuvent par exemple être visées du fait qu’elles nécessitent souvent d’un accès immédiat à leurs données et que des vies peuvent être en jeu, ces facteurs les conduisant à payer immédiatement. Les établissements financiers et les cabinets d’avocats seront également plus enclins à payer la rançon en raison du caractère sensible de leurs données et auront tendance à le faire discrètement pour éviter toute publicité négative (ANON., 2019). La tendance est également désormais de cibler des gouvernements étatiques et locaux ainsi que les collectivités publiques, ceux-ci étant plus enclins à payer les rançons demandées, en raison d’une part des données sensibles qu’ils détiennent et d’autre part, de caisses plus généreusement garnies (Ng, 2019). Il n’empêche qu’une attaque par ransomware peut toucher n’importe lequel d’entre nous, ainsi que de nombreux systèmes d’exploitation (Windows, Linux, MacOS).

Il faut également être conscient qu’il n’existe aucune garantie pour la victime que le paiement de la rançon lui permettra de récupérer la clé de déchiffrement des fichiers (mise par ailleurs sur un serveur du darknet qu’il est impossible de retracer), puisqu’elle a en face d’elle des hackers sans foi ni loi qui se soucient peu de respecter leur engagement, leur seul but étant de maximiser les profits à moindre effort. Il y a ainsi de fortes chances qu’une fois la rançon payée, la victime n’obtienne strictement rien en retour… On pense ici notamment à la cyberattaque ayant visé le groupe d’ingénierie français Altran en janvier 2019 : l’entreprise, en dépit des recommandations des experts exhortant à ne jamais payer les rançons exigées (MELANI, 2019a), a versé 300 bitcoins (soit près d’un million d’euros selon la valeur du bitcoin à ce moment-là), et fin février, elle n’avait pas reçu la clé de déchiffrement des fichiers (Gros, 2019). D’un autre côté, si la victime ne paie pas, elle est doublement pénalisée : non seulement elle n’a plus accès à ses données, mais elle est en outre dans l’incapacité de poursuivre son activité, ce qui engendre pour elle des pertes de revenus considérables. L’impact financier de l’attaque par rançongiciel contre Altran a été estimé à 20 millions d’euros en février 2019 (Gros, 2019). Ce choix cornélien pour la victime illustre le potentiel de nuisance extrêmement élevé du ransomware.

Comment me protéger ?

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI liste sur son site plusieurs mesures de précaution pour minimiser autant que faire se peut les risques d’être victime d’un ransomware ou les conséquences d’une attaque par ransomware, dont nous reprenons ci-dessous les plus importantes :

Mesures préventives

  • Effectuer des sauvegardes régulières des données importantes sur un support externe et déconnecter ce dernier de l’ordinateur après la sauvegarde afin d’éviter que le rançongiciel ne le chiffre également lors d’une infection.
  • Maintenir à jour son système d’exploitation, toutes les applications installées sur l’ordinateur, l’antivirus et le pare-feu personnel.
  • Procéder avec grande prudence en présence de courriels suspects, inattendus ou provenant d’un expéditeur inconnu : ne pas cliquer sur les liens indiqués et ne pas ouvrir les pièces jointes au courriel.    

Mesures après infection de l’ordinateur

  • En cas d’infection, déconnecter immédiatement l’ordinateur de tous les réseaux. Procéder à une réinstallation du système et à un changement de tous les mots de passe.
  • Restaurer les données à partir de copies de sauvegarde (par ex. depuis disque dur externe non connecté au réseau lors de l’infection).
  • Signaler l’incident au Service national de coordination de la lutte contre la criminalité sur Internet (SCOCI) et porter plainte auprès des services de police locaux.
  • Ne pas payer la rançon.

Mesures supplémentaires pour les entreprises

  • Renforcer la protection de l’infrastructure informatique contre les maliciels en utilisant Windows AppLocker.
  • Bloquer la réception de courriels contenant des fichiers dangereux (par ex. .js, .jar, .exe, .scr, .pif, .ps1) sur le service de messagerie.
  • Bloquer tous les fichiers joints contenant des macros (par ex. .docm, .xlsm ou .ppsm)

(MELANI, 2019b)

Liste complète des mesures disponible ici.  

Références

ANON., 2019. What is Ransomware? | Definition, Examples, & Prevention. In : crowdstrike.com [en ligne]. 2 août 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.crowdstrike.com/epp-101/what-is-ransomware/.

ANON., [sans date]. Ransomware / Rançongiciels. In : CommentCaMarche.net [en ligne]. [Consulté le 22 décembre 2019]. Disponible à l’adresse : https://www.commentcamarche.net/faq/45808-ransomware-rancongiciels.

GROS, Maryse, 2019. Cyberextorsion contre Altran : un coût estimé à 20 M€ – Le Monde Informatique. In : LeMondeInformatique.fr [en ligne]. 28 février 2019. [Consulté le 23 décembre 2019]. Disponible à l’adresse : https://www.lemondeinformatique.fr/actualites/lire-cyberextorsion-contre-altran-un-cout-estime-a-20-meteuro-74492.html.

HUVELIN, Grégoire, 2019. En 2019, les attaques par ransomware contre le secteur privé ont été encore plus efficaces. In : Cyberguerre [en ligne]. 20 décembre 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://cyberguerre.numerama.com/2059-en-2019-les-attaques-par-ransomware-contre-le-secteur-prive-ont-ete-encore-plus-efficaces.html.

JANOFSKY, Adam, 2019. Smaller Medical Providers Get Burned by Ransomware. In : Wall Street Journal [en ligne]. 6 octobre 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.wsj.com/articles/smaller-medical-providers-get-burned-by-ransomware-11570366801.

MELANI, Centrale d’enregistrement et d’analyse pour la sûreté de l’information, 2019a. Mise à jour rançongiciels: nouvelle façon de procéder. In : Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI [en ligne]. 30 juillet 2019. [Consulté le 26 décembre 2019]. Disponible à l’adresse : https://www.melani.admin.ch/melani/fr/home/dokumentation/newsletter/update-ransomware-neue-vorgehensweise.html.

MELANI, Centrale d’enregistrement et d’analyse pour la sûreté de l’information, 2019b. Rançongiciels. In : Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI [en ligne]. 6 août 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.melani.admin.ch/melani/fr/home/themen/Ransomware.html.

NG, Alfred, 2019. Ransomware froze more cities in 2019 as hackers got smarter. In : CNET.com [en ligne]. 5 décembre 2019. Consulté le 22 décembre 2019]. Disponible à l’adresse : https://www.cnet.com/news/ransomware-devastated-cities-in-2019-officials-hope-to-stop-a-repeat-in-2020/.

SEYDTAGHIA, Anouch, 2019. Un hôpital suisse victime d’une cyberattaque. In : Le Temps [en ligne]. 20 décembre 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.letemps.ch/economie/un-hopital-suisse-victime-dune-cyberattaque.

L’humanitaire et la fraude

lundi 13 Jan 2020

Par Barbara Schmuki

Une partie des informations et opinions exprimées dans cet article sont le fruit de mon expérience professionnelle. Celles-ci n’engagent que moi et non pas mon ancien employeur qui ne peut être tenu responsable des propos tenus dans cet article.

Prise de conscience

La fraude ou la corruption tant privée que publique dans l’humanitaire ne font généralement que peu couler d’encre dans les médias traditionnels. Pourtant ces phénomènes existent et sont une préoccupation permanente des acteurs de la branche. De temps à autre au gré des conflits ou des désastres naturels ce problème se retrouve soudain sur le devant de la scène, comme lors du tsunami de 2004

26 décembre 2004, 7h58 et 53 secondes, un tremblement de terre d’une magnitude de 9 à 9,3 sur l’échelle de Richter secoue l’Océan Indien. 12 pays sont frappés, entre 230’000 et 250’000 personnes périssent.

Le tsunami de 2004 domina l’information internationale pendant des semaines. Le monde entier s’est senti concerné car beaucoup d’Occidentaux faisaient partie des victimes. Les dons, tant dans le domaine public que privé, ont été sans précédent.

On notera le pic de l’assistance en 2005 puis le déclin entre 2005 et 2006 (diminution de l’assistance aux pays affectés par le tsunami).

Cette catastrophe a attiré l’attention sur les dérives que cet afflux massif d’aide financière a pu créer. Les énormes montants financiers investis dans cette catastrophe pour l’humanité ont posé beaucoup de questions quant à l’utilisation des fonds et les montants destinés à l’aide des victimes qui sont restées dans des poches qui n’en auraient pas eu besoin.

Le niveau élevé des ressources financières qui a été engagé a causé des préoccupations au sujet de nouvelles occasions de corruption. Il a été constaté qu’une « capacité de réaction à l’urgence dans le domaine de la corruption » manquait cruellement et devait être mise en place afin d’éviter certaines dérives futures. Cette prise de conscience a permis de prendre des mesures afin que la transparence dans l’aide humanitaire d’urgence soit prise au sérieux et mise en place.

Très souvent, les pays touchés par des catastrophes naturelles ou des conflits sont des pays où la corruption est déjà très présente. La corruption a une définition qui varie entre les cultures et parfois même au sein d’une même culture. Par exemple, le népotisme est très clairement considéré comme de la fraude dans certains pays alors que dans certaines cultures cela est toléré voir normal. Dans certains pays la corruption est même un agissement courant voir attendu au niveau même du gouvernement. Une grande quantité de ressources subitement injectées dans des économies pauvres peuvent aggraver le déséquilibre du pouvoir et de ce fait augmenter la corruption.

Ceci englobe la corruption financière telle que la fraude, les pots-de-vin, l’extorsion et les dessous-de-table. Malheureusement, la fraude est également non financière et dans ce cas elle peut également toucher les plus vulnérables, les véritables victimes. Il s’agira alors de manipulation, de détournement de l’aide humanitaire par exemple par des groupes armés qui se serviront dans les denrées alimentaires pour nourrir leurs combattants.

Les préférences à l’embauche aux personnes d’un même clan, d’une même ethnie ou d’une même famille sont monnaies courantes ainsi que la coercition exercée sur le personnel ou les bénéficiaires pour prendre part au système ou pour tout bonnement fermer les yeux.

Le comportement le plus abject étant sans aucun doute celui de l’attribution de biens nécessaires à la survie en échange de faveurs sexuelles.

Exemples de fraudes

La corruption ne se passe pas uniquement dans le domaine financier. Les fonctions dites de soutien ont également leur lot de fraudes et de malversations. Les fonctions de soutien principales dans une action humanitaire sont la chaîne logistique, la chaîne d’approvisionnement et la gestion des avoirs.

Ces fonctions englobent notamment la passation du marché, les montants en jeu pouvant être colossaux, les cas de fraudes sont courants. Les appels d’offres peuvent être faussés, certains fournisseurs peuvent être mis volontairement à l’écart. Les réponses à l’appel d’offres peuvent être truquées, en effet une seule et même personne fera plusieurs offres sous des noms d’entreprise différents et avec la complicité de la personne en charge de l’appel d’offres, il s’assure ainsi d’être celui qui va remporter l’offre. Un fournisseur peut également falsifier des bulletins de livraisons en faisant croire que la totalité a été livrée, ce qui n’est pas le cas, mais le montant de la facture lui est bel et bien pour la totalité de la commande. Un fournisseur peut verser un pot-de-vin et ainsi livrer de la marchandise tout à fait inutile et ainsi partager le profit avec l’employé. La qualité peut être inférieure que celle commandée mais à nouveau le prix sera celui de la qualité supérieure. Un gouvernement corrompu ou des milices locales peuvent exiger des pots-de-vin pour laisser passer les marchandises destinées aux personnes dans le besoin. Ils peuvent également agir à des niveaux plus stratégiques comme les douanes ou l’accès au visa. Certains chauffeurs ou transporteurs peuvent prétendre avoir dû payer des pots-de-vin ou que les marchandises ont été volées ou détruites, mais en réalité la marchandise a été détournée dans le but de la vendre. Les inventaires de marchandise peuvent être falsifiés afin de cacher le détournement des biens.

L’entretien des voitures générant également de gros montants, il est fréquent que des pièces défectueuses ne soient pas remplacées par des pièces neuves mais que le prix, lui, soit bien celui de matériel neuf. Les employés peuvent prétendre que les pièces en stock étaient abîmées mais ces dernières ont été en fait vendues. La consommation de carburant peut parfois être ridiculement haute et la justification peut être une fuite d’essence ou l’évaporation, mais en fait les réservoirs ont été siphonnés. Lors de la livraison du fuel, une partie peut être détournée alors que le prix sera celui pour toute la quantité commandée. Le compteur de la pompe à essence peut également être truqué et ainsi faire croire que les litres utilisés sont supérieurs à la réalité, de cette façon la différence pourra être subtilisée et utilisée à d’autre fin.

Opérer dans un endroit sans aucun accès aux instituts bancaires augmente considérablement le montant de cash qui se trouve à disposition pour les différentes activités et programmes des organisations humanitaires. Ces montants se trouvent augmentés dans le cas de programmes comme «travail contre rémunération» où des programmes nécessitant beaucoup de main-d’œuvre qu’il faut payer régulièrement. Ce genre de situation peut susciter une forte tentation de corruption. L’argent pourra facilement être volé ou détourné.

Bénéficier d’organisme bancaire à proximité n’élimine pourtant pas tous les problèmes, certains escrocs peuvent être autorisés à signer à la banque ou être de connivence avec le banquier et de ce fait détourner les fonds. Des partenaires et également des employés fantômes peuvent voir le jour et ainsi toucher des montants indus. La comptabilité peut être falsifiée. De faux documents comptables comme des fausses factures ou des documents incomplets peuvent être utilisés. Si des comptables de différents sites parviennent à s’entendre, des montants destinés à d’autres sites pourront être sortis d’une comptabilité mais jamais entrés dans l’autre, et le montant pourra ainsi être partagé.

Comment diminuer la fraude

La baguette magique permettant d’éradiquer la fraude n’a pas encore été trouvée. Il appartient à chaque organisation humanitaire d’en prendre conscience et de mettre en place des mesures adéquates à chaque contexte. Une bonne connaissance de la région, de ses coutumes et de sa culture est impérative.

Certaines organisations sont réticentes à discuter publiquement de ce problème car elles craignent que cela ait une influence négative sur la levée des fonds. L’effet devrait logiquement être l’opposé, puisqu’un donateur devrait être plus enclin à verser de l’argent à une institution qui reconnaît ses faiblesses et qui y travaille et renforce ainsi sa crédibilité. La prise de conscience seule de l’organisation n’est pas suffisante. En effet, le personnel tant expatrié que local doit absolument prendre conscience de l’importance que le respect des victimes, donc de l’argent des donateurs, est vital et le centre d’une action humanitaire.

En phase d’urgence les procédures sont simplifiées et plus rapides, car il faut sauver les victimes en priorité, mais comme le cas du tsunami nous l’a démontré, il est important de bénéficier d’une capacité à réagir rapidement également à ce niveau-là, afin d’entraver la corruption du départ.

L’analyse des risques inhérents à chaque contexte ne doit pas uniquement être du ressort de l’audit interne, mais les risques de corruptions doivent faire partie intégrante de la stratégie de l’organisation. Un code de conduite donnant une définition claire de la corruption rend les employés attentifs au fait que cette dernière ne sera pas tolérée et que des sanctions seront prises vis-à-vis de ceux qui ne respecteront pas ce code de conduite.

Le fait que le personnel travaille dans le domaine humanitaire n’implique pas qu’il ne soit pas tenté de frauder. Au contraire peut-être, car l’aide humanitaire est logiquement présente dans des pays détruits par des conflits ou des catastrophes pour l’humanité et qui manquent de tout, il est donc d’autant plus tentant de vouloir se servir là où il y a ce qui peut manquer.

Les fraudeurs de l’humanitaire ne sont pas différents des criminels économiques lambdas et l’on peut donc faire l’analogie suivante :

Les criminels économiques évaluent l’attractivité d’une opération selon trois critères :

  1. La perception du risque encouru
  2. La probabilité que la manipulation soit découverte
  3. La peine à laquelle ils s’exposent

La règle des 20-60-20 nous apprend que 20% de la population est fondamentalement honnête et peu importe quel gain se trouve à la clé, elle ne passera jamais à l’acte. Le 60% est en principe honnête, néanmoins la tentation de passer à l’acte sera présente s’il se trouve confronté à une opportunité liée à un risque minime d’être démasqué. Le 20% restant est constitué de personnes foncièrement malhonnêtes qui sont prêtes à profiter de chaque occasion pour frauder.

Si de tels critères s’appliquent à une société ne devant pas faire face à de grands manquements, il est envisageable de penser que pour les populations dans le besoin le 60% des gens se laissent tenter encore plus facilement. L’idée ici n’étant aucunement de faire un amalgame et de dire que «ce sont tous des fraudeurs». Bien au contraire, si l’on met en relation le niveau de fraude et la tentation à laquelle la population doit faire face, les cas de fraude importants ne sont que rarement mis au point par ceux qui en auraient le plus besoin.

Les «lessons learned» de plusieurs décennies d’aide humanitaire ont permis au plus grand nombre d’organisations humanitaires d’établir des contrôles internes efficaces qui n’ont absolument rien à envier à ceux d’entreprises actives dans d’autres domaines. Malheureusement un contrôle interne si bon soit-il sur le papier ne pourra pas à lui seul diminuer les cas de fraude. La formation du personnel et des contrôles réguliers tant internes qu’externes doivent renforcer ce dernier et de cette façon assurer du mieux possible que les dons arrivent bien aux victimes et non pas aux fraudeurs.

Sources :

Reymond, P., Margot, J., Margot, A. (2006-2007) Les limites de l’aide humanitaire. (Projet SHS de 1e année master. SHS Développement Durable et Développement Nord-Sud Lausanne, année 2006-2007). Ecole Polytechnique fédérale de Lausanne.

Transparency International (2014). Prévenir la corruption dans le cadre des opérations humanitaires, manuel de bonnes pratiques. 2e édition 2014. Berlin

R.W. (2014, 21 décembre). Le tsunami de 2004, catastrophe d’ampleur inégalée. Le Temps :
https://www.letemps.ch/monde/tsunami-2004-catastrophe-dampleur-inegalee

Pérouse de Montclos, M-A. (2009/4) Du développement à l’humanitaire, ou le triomphe de la com’. Revue Tiers Monde 2009/4 no 200 pages 751 à 766. https://www.cairn.info/revue-tiers-monde-2009-4-page-751.htm

Pérouse de Montclos, M-A. (2005/12) Les ONG humanitaires sur la sellette. cairn info ,Dans Études 2005/12 (Tome 403), pages 607 à 616. https://www.cairn.info/revue-etudes-2005-12-page-607.htm#

11,5% des dons pour le tsunami ont été dépensés dans d’autres projets (2011, 12 janvier)

L’Expansion.com. https://lexpansion.lexpress.fr/actualite-economique/11-5-des-dons-pour-le-tsunami-ont-ete-depenses-dans-d-autres-projets_1434296.html

Perrin, B., de Preux, P. (2018). L’investigation en entreprise (Prévention et détection des fraudes). Lausanne : Presse polytechniques et universitaires romandes.


[i] Development Initiatives (2007-2008). Global Humanitarian Assistance. Somerset
http://devinit.org/wp-content/uploads/2010/07/2007-GHA-report.pdf

Development Assistance Committee (DAC) of the Organisation for Economic Cooperation and Development (OECD) https://data.oecd.org/oda/net-oda.htm

Faiblesse croissante de la cellule de renseignement financier au Brésil

mardi 07 Jan 2020

Par Barbara Menezes de Miranda, investigatrice en blanchiment d’argent

En mars 2014, la plus grande enquête sur des affaires de corruption et de blanchiment de capitaux au Brésil a été ouverte. Appelée Opération Lava Jato, ses premiers suspects faisaient partie d’un réseau d’opérateurs financiers spécialisés dans les opérations de change clandestines et de blanchiment d’argent. Depuis lors, l’opération Lava Jato a généré des centaines de mandats d’arrêt, de déclarations de culpabilité et de classements de faillite au Brésil, en Argentine, au Pérou, en Angola, etc. Ces enquêtes ont permis d’identifier les principaux clients des opérateurs financiers : politiciens corrompus et entrepreneurs corrupteurs – la plupart d’entre eux étant liés au secteur pétrolier.[1]

En plus des conséquences judiciaires de l’opération, la Lava Jato a également modifié la dynamique de la politique brésilienne. Alors que les partis traditionnels ont perdu du terrain en raison de leur implication dans les crimes faisant l’objet d’enquêtes, de nouveaux groupes ont comblé le vide politique avec des programmes contre la corruption et contre la politique en général. Un exemple est l’élection présidentielle en décembre 2018 de Jair Bolsonaro, qui a été élu avec un discours radical et antidémocratique, soutenu par le parti PSL jusque-là dénué de pertinence lors des élections nationales.[2]

En raison de l’ampleur de l’enquête sur la corruption et le blanchiment d’argent et de ses effets sur la politique nationale, plusieurs parallèles ont été établis avec un cas similaire rencontré en Italie dans les années 90, l’opération Mani Pulite. Cette opération a provoqué une crise dramatique dans le système politique italien : elle a impliqué six anciens premiers ministres, plus de cinq cents parlementaires et des milliers d’hommes d’affaires et de fonctionnaires accusés ou reconnus coupables de fraude, corruption, blanchiment d’argent, et d’autres crimes.[3]

Comme au Brésil, Mani Pulite a transformé le système de partis politiques en Italie. Elle a fait de la place pour de nouveaux acteurs comme Forza Italia de Berlusconi. Depuis mai 2001, date à laquelle la coalition dirigée par Berlusconi a remporté les élections, des efforts ont été déployés pour supprimer la corruption de l’agenda national, ainsi qu’une série de mesures ayant abouti à un affaiblissement de la législation anticorruption.[4]

L’autorité de prévention de la corruption a été supprimée et remplacée par le service de lutte contre la corruption et la transparence, dont le champ d’activité, le budget et les ressources humaines ont été réduits. En outre, des lois susceptibles de faciliter l’impunité dans les affaires de corruption et de blanchiment de capitaux ont été adoptées, notamment des lois promouvant des restrictions à l’admissibilité des preuves obtenues à l’étranger, facilitant le transfert d’affaires à d’autres tribunaux à cause de soupçons de partialité, diminuant le temps de prescription pour divers crimes – y compris les crimes en col blanc, etc. Certaines lois ont été jugées partiellement ou totalement inconstitutionnelles et plusieurs restent en vigueur. Mani Pulite a finalement créé un héritage controversé en aggravant le cadre italien de lutte contre la corruption et le blanchiment d’argent.[5]

Depuis l’inauguration de Jair Bolsonaro le 1er janvier 2019, une tendance similaire peut être observée au Brésil, notamment en ce qui concerne les efforts visant à affaiblir la cellule de renseignement financier brésilienne, la Commission de contrôle des activités financières (COAF).

Les premières cellules de renseignement financier (CRF) ont été créées au début des années 90, après la Convention des Nations Unies contre le trafic illicite de stupéfiants et de substances psychotropes de 1988, la première convention internationale à criminaliser le blanchiment d’argent. Leur but était la centralisation, l’analyse et la diffusion des informations financières afin de soutenir la lutte contre le blanchiment d’argent. En 1995, un groupe de CRFs a décidé de créer un réseau international pour la coopération, échange d’informations et de connaissances, baptisé Groupe Egmont.[6] En 2003, le Groupe d’action financière internationale (GAFI) a inclus dans ses recommandations la création de CRFs autonomes pour structurer de manière minimale les cadres nationaux de lutte contre le blanchiment d’argent.[7]

Le GAFI, le groupe Egmont, ainsi que d’autres acteurs internationaux tels que les Nations Unies et le Comité de Bâle, ont formulé des recommandations et contribué à la création et au renforcement technique de diverses CRFs dans le monde. L’analyse de ces orientations internationales et la comparaison avec les récents événements survenus dans la CRF du Brésil montrent à quel point la cellule brésilienne est de moins en moins adaptée aux normes internationales sur plusieurs fronts, notamment en ce qui concerne son indépendance.

La Convention des Nations Unies contre la corruption indique que les agences de lutte contre la corruption doivent être suffisamment indépendantes et alignées sur les principes fondamentaux du système juridique national pour leur permettre de fonctionner efficacement et sans influence indue.[8] Selon le Comité de Bâle sur le contrôle bancaire, les agents de surveillance doivent disposer d’une «indépendance opérationnelle, de processus transparents, d’une bonne gouvernance ainsi que des processus budgétaires qui lui confèrent autonomie et ressources suffisantes» et d’un cadre réglementaire incluant «la protection juridique de l’autorité de contrôle».[9]

Dans le même ordre, la Recommandation 29 du GAFI stipule qu’une CRF doit être «opérationnellement indépendante et autonome» et avoir la capacité et l’autorité nécessaires pour «exercer librement ses fonctions, notamment de décider en toute autonomie d’analyser, de demander et/ou de disséminer des informations spécifiques» et plus particulièrement jouissant «le droit de transmettre ou disséminer des informations aux autorités compétentes de façon indépendante».[10]

La CRF brésilienne, COAF, a été créée en mars 1998 avec l’adoption de la loi 9.613. Le COAF devait, selon l’article 14, «recevoir, examiner et identifier les cas présumés d’activités illicites» signalées par les institutions financières, ainsi que «faire rapport aux autorités compétentes de poursuite lorsqu’il conclut qu’il existe des infractions de blanchiment d’argent». [11]Jusque-là, le droit brésilien était aligné sur les Recommandations du GAFI.

Sur la base de ces dispositions, de 1998 à 2018, le COAF a reçu plus de 17 millions de rapports d’activités financières suspectes, dont 414’000 en 2018, qui ont contribué à l’enquête de divers crimes.[12]

Le 1er janvier 2019, déjà sous le président Bolsonaro, l’autonomie du COAF en matière de diffusion de l’information s’est affaiblie avec la publication du décret 9.663[13]. Le nouveau décret a supprimé quelques responsabilités du COAF, telles que demander des enquêtes aux organes compétents lorsqu’il découvre des opérations suspectes. Plus grave, le décret interdisait la fourniture ou la divulgation d’informations secrètes connues ou obtenues à la suite de l’exercice de leurs fonctions.

Outre le plan législatif, la compétence du COAF en matière de diffusion de l’information s’est également aggravée dans le système judiciaire à la suite de la décision prise en juillet 2019 par le Tribunal fédéral.

Le ministre de la Cour suprême, Dias Toffoli, a jugé que les informations obtenues par le ministère public dans le cadre d’une coopération avec le COAF, Fisco et Bacen ne pourraient pas être utilisées comme preuves sans autorisation judiciaire préalable, car elles seraient le résultat d’une violation illégale du secret bancaire et fiscal. La décision a été prise dans le cadre d’une action intentée contre le fils de l’actuel président brésilien et sénateur de l’État de Rio de Janeiro, Flavio Bolsonaro, qui a été accusé de s’approprier une partie du salaire de ses conseillers. Toffoli a décidé d’étendre la décision à toutes les procédures qui utilisaient des informations obtenues de ces organes jusqu’à ce que la plénière du tribunal examine la question le 21 novembre 2019. [14]

La décision du ministre a créé un circuit illogique dans la lutte contre le blanchiment d’argent au Brésil, en vue de plusieurs enquêtes ouvertes par le ministère public ayant été les résultats d’informations fournies par le COAF. Selon cette décision, les procureurs devraient demander l’autorisation de violation du secret bancaire pour obtenir de telles informations, mais dans plusieurs cas, les informations fournies par la COAF constituent la source initiale des enquêtes. Si le COAF ne peut pas communiquer au parquet des informations concernant les activités financières suspectes, les procureurs ne peuvent pas analyser les données qu’ils n’ont pas reçues et n’ont donc pas de motif pour demander une autorisation de violation du secret bancaire.

Depuis cette décision, selon une enquête du ministère public, au moins 700 processus sont bloqués car ils utilisaient des données de COAF, Fisco ou Bacen[15]. Plusieurs procureurs, avocats et spécialistes brésiliens ont déploré la décision du tribunal. La procureure générale, Raquel Dodge, a déclaré que cette décision pourrait conduire le Brésil sur la liste noire du GAFI.[16]

La recommandation 9 du GAFI indique clairement que les lois sur le secret bancaire ne doivent pas empêcher la mise en œuvre de leurs recommandations.[17] En fait, jusqu’en janvier 2019, le COAF disposait de la base légale non seulement pour recevoir, mais aussi pour diffuser des informations concernant des activités financières suspectes – informations considérées comme confidentielles par la loi complémentaire 105[18], au Brésil. Bien que le décret 9.663 indique la compétence du COAF pour diffuser des informations lorsqu’il découvre des soupçons d’infraction pénale, l’interdiction de diffuser des informations confidentielles et la décision de la Cour suprême vident et contredisent cette compétence, étant donné que la quasi-totalité des informations communiquées par les institutions financières sont considérées comme confidentielles par la loi complémentaire 105.

Un autre revers identifié contre le COAF s’est produit en juin 2019, lorsque l’agence de presse The Intercept Brasil a commencé une série de rapports signés par son fondateur, le journaliste Glenn Greenwald, concernant des irrégularités de l’opération Lava Jato, notamment les agissements du juge de l’époque, Sergio Moro.[19]

Moro a été assermenté ministre de la Justice par Bolsonaro et, en vertu du même décret 9.663 précité, il est également passé à commander le COAF, qui a été transféré du ministère de l’Économie au ministère de la Justice.

Deux jours après la publication d’articles qui remettaient en cause la performance de Moro dans l’affaire Lava Jato, le COAF, placé sous son autorité, a envoyé un rapport sur des transactions financières présumées suspectes de David Miranda, député fédéral de Rio de Janeiro, opposant du gouvernement Bolsonaro et mari de Glenn Greenwald, journaliste de l’ Intercept Brasil. Les informations ont été rendues publiques et ont suscité des préoccupations concernant la liberté d’expression au Brésil.[20]

Le barreau brésilien a demandé des explications au COAF, car il avait compris que ses actions risquaient de porter atteinte aux droits à la liberté d’expression et à la liberté de la presse.[21] Le bureau du procureur de la Cour fédérale des comptes a engagé une procédure sur d’éventuelles déviations des objectifs du COAF et a demandé la suspension de l’enquête[22]. L’Organisation des États américains, avec les Nations Unies et la Commission interaméricaine des droits de l’homme, a publié une déclaration dans laquelle elle répudie les menaces contre le journaliste Glenn Greenwald et sa famille.[23] En septembre 2019, le juge de la 16e cour des finances publiques de Rio de Janeiro a rejeté la demande du ministère public de violer le secret bancaire de David Miranda.[24]

La déviation possible des activités du COAF est contraire à la recommandation 29 du GAFI, selon laquelle chaque CRF devrait pouvoir exercer ses fonctions sans influence politique ni ingérence.[25] Le groupe Egmont précise également que les CRFs ne doivent pas être influencées ni par les agences d’État auxquelles elles appartiennent, ni par des influences politiques, y compris dans le choix des cas à analyser.[26]

Depuis sa création jusqu’en 2019, le COAF faisait partie du ministère de l’Économie. De 2003 à 2018, la cellule avait un seul président, qui s’est retiré et a cédé la place à Antonio Carlos Ferreira de Sousa, l’un des directeurs du COAF à l’époque[27]. Quelques mois après son entrée en fonction, Ferreira de Sousa a été démis. Aucune des situations évoquées dans les statuts du COAF permettant la perte de ses fonctions n’a été identifiée. Roberto Leonel de Oliveira Lima a été assermenté à la présidence du COAF le 1er janvier 2019, lorsque la cellule a été transférée au ministère de la Justice. Oliveira Lima était un auditeur fiscal et avait agi dans des affaires de blanchiment d’argent jugées par Moro.[28]

Oliveira Lima a perdu son mandat en août 2019 après avoir critiqué la décision de la Cour suprême, citée ci-dessus, interdisant la diffusion d’informations par le COAF – une décision favorable au fils du Président Bolsonaro.[29] La critique publique faite par Oliveira Lima peut avoir été comprise comme une violation de l’interdiction d’exprimer un avis sur un processus en cours, l’une des situations possibles de perte de mandat dans le règlement du COAF.

Cependant le président Bolsonaro a non seulement retiré Oliveira Lima de la présidence du COAF, mais a également modifié la garde de l’unité en la transférant, dans la mesure provisoire 893, du ministère de la Justice à la Banque centrale du Brésil, qui fait partie du ministère de l’Economie. Selon les analystes politiques, ces changements sont dus à l’insatisfaction du président à l’égard du ministre de la Justice, Sergio Moro, et de son équipe.[30]

Après une période stable de plus de 15 ans avec le même président et sous la même structure ministérielle, de janvier à août 2019, le COAF était dirigé par trois présidents et a changé de ministère trois fois. Bien que la démission d’Oliveira Lima puisse être justifiée, celle de Ferreira de Sousa n’avait pas base apparente dans le règlement de la cellule. On ne peut pas non plus expliquer par des motivations techniques le changement successif de structures auquel le COAF a appartenu tout au long de 2019.

Selon le groupe Egmont, le processus de révocation des présidents des CRFs est un indicateur important de l’indépendance et de l’autonomie opérationnelle de l’organe. Les motifs de licenciement doivent être transparents et basés sur de mauvaises performances ou manquement aux devoirs.[31] Ces éléments n’ayant pas été identifiés lors de la démission de Ferreira de Sousa, on peut dire qu’elle était contraire à cette disposition du groupe Egmont.

Bien que le GAFI ne se prononce pas sur les risques découlant de l’instabilité des CRFs, tels que les changements successifs de structure ou de présidence, l’agence indique que les influences politiques ne devraient pas modifier les activités de routine de l’agence[32], qui résultent de la stabilité opérationnelle – dépendent de la présidence et de la structure dans laquelle se trouve la CRF. Selon des politologues brésiliens, les changements successifs apportés au COAF s’inscrivent dans le contexte de l’insatisfaction du président Bolsonaro à l’égard de son ministre de la Justice et non de raisons techniques. Les décisions de Bolsonaro peuvent donc être considérées comme des influences politiques indues sur l’administration de l’agence, qui caractérise encore un autre indicateur de l’affaiblissement récent du COAF.

Comme expliqué ci-dessus, depuis le début de 2019, la responsabilité du COAF de diffuser des informations sur d’éventuels crimes de blanchiment de capitaux a été affaiblie par de nouvelles règles et par les décisions de la justice brésilienne. Les activités de la CRF ont été potentiellement instrumentalisées dans la poursuite d’intentions politiques d’intimidation de journalistes, et ont ainsi vu des changements administratifs successifs résultant de mouvements politiques. Ensemble, ces éléments ont entraîné une diminution de la capacité du COAF à examiner et identifier les cas présumés d’activité illicite et à coopérer librement avec les autorités répressives. En conséquence, le rôle du COAF dans la lutte contre le blanchiment d’argent a été de plus en plus affaibli.

Outre les attaques subies par le COAF, la lutte contre le blanchiment d’argent au Brésil présente d’autres difficultés, comme la loi sur les abus d’autorité adoptée en septembre 2019, qui définit de manière très large et subjective les situations où les juges et les procureurs peuvent être punis d’abus de pouvoir, pouvant entraîner des actes d’intimidation et une atteinte à l’indépendance des procureurs et des juges.

Selon l’OCDE, la loi sur l’abus de pouvoir et les événements récents impliquant le COAF étaient considérés comme des revers qui, si maintenus, pourraient menacer la capacité du Brésil à lutter contre la corruption et le blanchiment d’argent.

Lorsque l’opération Lava Jato a été instituée, elle a, à l’instar de l’opération Mani Pulite en Italie, placé la corruption au centre du débat politique au Brésil – ainsi que l’espoir de mettre fin à la corruption. Suite aux profonds changements politiques apportés par l’opération Lava Jato, c’est possible d’observer des évolutions législatives et judiciaires au Brésil similaires à celles en Italie après Mani Pulite, telles que l’affaiblissement de la cellule de renseignement financier et les nouvelles lois limitant la capacité des procureurs et des juges à agir avec autonomie – contrairement aux directives du GAFI, de l’OCDE, du Groupe Egmont et des Principes de Bâle. À en juger par les derniers événements survenus au Brésil dans la lutte contre le blanchiment d’argent, les efforts récents semblent désirer transformer la «lutte» en «suggestion».


[1] http://www.mpf.mp.br/grandes-casos/lava-jato

[2] https://www.estadao.com.br/infograficos/politica,com-apenas-um-deputado-eleito-em-2014-psl-se-torna-segunda-maior-bancada-da-camara-em-2018,927028

[3] LIMA PASCOETTO, L.G. (2016). Mani Pulite fonte de inspiração da operação Lava Jato. Cadernos de Pos-Graduação em Direito, Universidade de São Paulo

[4] VANNUCCI, Alberto. (2009). The Controversial Legacy of Mani Pulite: A critical analysis of Italian Corruption and Anti-Corruption Policies. Bulletin of Italian Politics, Vol.1 No. 2, p. 233-64

[5] Ibidem

[6] https://egmontgroup.org/en/content/about

[7] GAFI (2012), Recommandations du GAFI – Normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération, mise à jour octobre 2016, GAFI, Paris, France, p. 100-103

[8] Nations Unies (2004), Convention des Nations Unies Contre la Corruption, p.10

[9] Comité de Bale sur le contrôle bancaire (2012), Principes fondamentaux pour un contrôle bancaire efficace, p.10

[10] GAFI (2012), Recommandations du GAFI – Normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération, mise à jour octobre 2016, GAFI, Paris, France, p. 102

[11] http://www.planalto.gov.br/ccivil_03/leis/L9613compilado.htm

[12] COAF (2018), Relatorio de Atividades 2018

[13] http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Decreto/D9663.htm

[14] https://www.conjur.com.br/dl/leia-decisao-toffoli-suspendeu.pdf

[15] https://www1.folha.uol.com.br/poder/2019/10/decisao-de-toffoli-sobre-coaf-trava-ao-menos-700-investigacoes-na-justica.shtml

[16] https://exame.abril.com.br/brasil/decisao-de-toffoli-sobre-coaf-pode-barrar-brasil-na-ocde/

[17] GAFI (2012), Recommandations du GAFI – Normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération, mise à jour octobre 2016, GAFI, Paris, France, p. 14

[18] http://www.planalto.gov.br/ccivil_03/LEIS/LCP/Lcp105.htm

[19] https://theintercept.com/series/mensagens-lava-jato/

[20] https://www1.folha.uol.com.br/poder/2019/09/coaf-relata-movimentacao-atipica-de-r-25-milhoes-em-conta-de-david-miranda.shtml

[21] http://s.oab.org.br/arquivos/2019/07/fbfa668e-a642-4d13-bedf-1a78c756a16f.pdf

[22] https://www.conjur.com.br/dl/mpf-tcu-informe-coaf-investigando.pdf

[23] http://www.oas.org/es/cidh/expresion/showarticle.asp?artID=1145&lID=2

[24] https://exame.abril.com.br/brasil/juiz-nega-quebra-de-sigilo-de-david-miranda-apos-relatorio-do-coaf/

[25] GAFI (2012), Recommandations du GAFI – Normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération, mise à jour octobre 2016, GAFI, Paris, France, p. 102

[26] Groupe Egmont (2018), Comprendre l’indépendance opérationnelle d’une CRF et son autonomie, p.14-18

[27] http://www.fazenda.gov.br/noticias/2018/maio/antonio-ferreira-de-sousa-e-o-novo-presidente-do-coaf

[28] https://www.conjur.com.br/2019-ago-20/ligado-moro-roberto-leonel-deixa-comando-antigo-coaf

[29] https://www1.folha.uol.com.br/poder/2019/08/bc-indica-servidor-de-carreira-para-substituir-aliado-de-moro-no-novo-coaf.shtml

[30] https://monitordigital.com.br/decisao-politica-leva-coaf-para-o-bc

[31] Groupe Egmont (2018), Comprendre l’indépendance opérationnelle d’une CRF et son autonomie, p.18

[32] GAFI (2012), Recommandations du GAFI – Normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération, mise à jour octobre 2016, GAFI, Paris, France, p. 99