Les smart cities et la cybercriminalité

mardi 30 Nov 2021

Enjeux sociaux, politiques et sécuritaires des communes suisses

Par Diego Sebastian Sanchez Gould, étudiant du MAS en Lutte contre la criminalité économique

Selon les prévisions des Nations Unies, deux tiers de la population mondiale habitera dans des villes d’ici 2050 [1]. Ceci signifie que, dans les décennies à venir, les centres urbains devront faire face à un nombre croissant de problèmes liés à la production de biens et de matières premières, à l’approvisionnement en énergie, aux émissions de CO2 et même à la consolidation des services de santé et de sécurité à tous ceux qui vivent dans ces centres surpeuplés.

Dans ce contexte, et depuis une dizaine d’années déjà, un nouveau concept de développement des villes et des territoires a vu le jour. Lesdites villes intelligentes (smart cities) sont nées dans le but de créer des villes durables sur le plan économique, social et environnemental.

Il s’agit donc de villes dans lesquelles les technologies de l’information et de la communication (TIC) sont utilisées dans le but de les doter d’infrastructures qui garantiraient un développement durable, une utilisation plus efficace des ressources disponibles et une amélioration de la qualité de vie des citoyens.[2]

Ainsi, une ville intelligente exploite différents sous-systèmes afin d’être considérée comme telle. Par exemple :

  • Un sous-système de production et distribution d’énergie développés par les habitants eux-mêmes (communautés d’autoconsommation)[3], une mise en place de réseaux intelligents interconnectés (smart grids)[4], une mesure intelligente des données de consommation d’énergie de chaque utilisateur (smart metering)[5] effectuée à distance et en temps réel ;
  • Un sous-système d’infrastructures, avec des bâtiments domotiques respectueux de l’environnement, ainsi que des sous-systèmes de mobilité qui mettent à disposition des bornes de recharge publiques et privées pour les voitures et les vélos électriques[6] ;
  • Un sous-système de capteurs intelligents ayant comme fonction la collecte d’absolument toutes les données produites pour alimenter les autres sous-systèmes et qui seront traitées et contrôlées par des TIC ;
  • Finalement, un sous-système humain, qui est, sans doute, la partie fondamentale d’une ville intelligente. Sans la participation active des citoyens, il n’est pas possible de mener à bien ces initiatives.

Les villes intelligentes offrent donc des énormes avantages pour les gestionnaires des administrations, leur permettant d’améliorer la définition et le contrôle des politiques publiques, ainsi que l’offre des services adaptés aux habitants.

La sécurité de l’information et les cyber-risques

Le projet d’un smart world n’est pas entièrement sans risque. Dans un rapport récent du Centre for Government Insigh de Deloitte, cette firme met en avant l’énorme problème de la gestion et de la protection des données qui concernent les villes intelligentes et dévoile comment les différentes plateformes reliées augmentent les risques de cyberattaques.

Selon les auteurs du rapport, «(…) la gouvernance des données peut être un problème épineux pour les villes, car elles doivent se demander si les données sont internes ou externes, si elles sont transactionnelles ou personnalisées, si les données transactionnelles sont collectées via des dispositifs IoT[7] et comment les données sont stockées, archivées, dupliquées et détruites. En outre, en raison de l’absence de normes et de politiques communes, de nombreuses villes expérimentent avec de nouveaux fournisseurs et produits, ce qui crée des problèmes d’interopérabilité et d’intégration sur le terrain et exacerbe les cyber-risques.»[8].

Deux facteurs principaux sont soulevés. D’une part, l’aspect de l’intégration de différents dispositifs hétérogènes dans l’infrastructure technologique utilisée est remise en cause, entraînant des vulnérabilités de sécurité cachées dans l’ensemble de l’écosystème d’information. En conséquence de cela, des possibilités d’intrusion dans les systèmes par des cyber délinquants sont permises. D’autre part, la gestion et du traitement des données questionne.

En Suisse, les principes de base de la protection des données sont traités dans l’art. 13 de la Constitution fédérale (CstF)[9], dans les art. 28 ss. du Code civil (CC)[10] et, plus particulièrement, dans la Loi fédérale sur la protection des données (LPD)[11] et leur ordonnance d’application (OLPD)[12].  

Un guide relatif aux mesures techniques et organisationnelles de la protection des données a été publié en 2015 par le Préposé fédéral à la protection des données et à la transparence (PFPDT) dans le but d’aider à la mise en œuvre des mesures techniques et organisationnelles qui assurent une « protection optimale et appropriée des données personnelles »[13]. Le guide touche différents aspects primordiaux, comme les concepts des autorisations, des rôles et la gestion des appareils mobiles, ainsi que le cryptage pour le transport, le stockage, l’archivage et l’évaluation. La simple lecture de ce guide permet de prendre conscience des énormes enjeux juridiques existants dans la récolte massive de données personnelles.

Finalement, dans les dispositions pénales (cf. art. 34 et 35 LPD), des sanctions sont prévues en cas de non-respect intentionnel des obligations de renseigner, de déclarer et de collaborer, ou en cas de violation du devoir de discrétion, et ce, uniquement sur plainte. Toutes les autres actions concernant les atteintes à la personnalité relèvent du juge civil, conformément à l’art. 15 LPD, dans le cadre d’une procédure usuelle de droit civil.[14]

La commune de Rolle et un bain de réalité

Entre le 21 et le 25 d’août 2021, pendant que nous rédigions cet article, différents médias nous apprenaient qu’une commune dans le canton de Vaud avait été victime d’une cyberattaque. Quelques heures plus tard, l’apparition des données soustraites des ordinateurs de cette commune sur le darknet faisait la Une des journaux et les commentaires à la radio et à la télévision s’étaient multipliés.

L’ampleur des répercussions de cette affaire attire l’attention et donne lieu aux questions suivantes :

Est-ce lié au fait que ce soit une commune l’objet de l’intrusion ? Au fait que les données aient été quelques heures après déjà disponibles sur le darknet ? Au fait que la commune avait une méconnaissance totale de la situation ? Ou même au fait que la commune n’avait pas un plan de crise et de communication face à une situation pareille ? Il se pourrait aussi que ce soit même la somme de tous ces éléments ?

Une chose semble certaine : il existe une méconnaissance générale de l’ampleur que les cybermenaces ont pris dans le quotidien de nos vies et ceci depuis quelques années déjà.

Selon les statistiques du Centre national pour la cybersécurité (NCSC), 378 cyber-incidents ont été signalés en moyenne par semaine en Suisse depuis le début de l’année en cours et « il s’agit surtout de cas qui n’ont pas causé de dégâts, car les auteurs des annonces ont reconnu rapidement les dangers».[15] Il est clair qu’aux chiffres mentionnés, il faut ajouter les cas sans dégâts qui n’ont jamais été dénoncés, ainsi que les situations qui ont fini par produire de soustractions de données et qui, afin d’éviter des répercussions avec, comme conséquence, une détérioration d’image, n’ont jamais été dénoncés par les victimes.

Il est légitime donc de se demander quelles sont les mesures à prendre pour éviter d’être victime d’une attaque et comment les communes se préparent pour dissuader les cyberdélinquants et pour les empêcher de pénétrer dans leurs systèmes ? Comment les villes et les communes vont faire pour concilier un futur de plus en plus connecté avec la protection des données de ses citoyens et avec la protection de ses infrastructures critiques ?

Jusqu’à aujourd’hui, les communes, en général, n’avaient pas d’informaticiens ou des départements informatiques préparés pour d’autres activités que l’installation des logiciels, le fonctionnement de différents périphériques, l’identification des causes des dysfonctionnements et pannes des ordinateurs et du réseau, etc. Dans certains cas, ce sont même des services effectués par des tiers et selon des mandats spécifiques.

Afin de nous faire une idée plus claire sur la stratégie numérique des communes et les budgets alloués à la sécurité informatique, nous avons mené une recherche documentaire sur les différents sites web des communes vaudoises et nous avons pu constater :

  • Un manque d’information sur la stratégie numérique ou de cybersécurité déployé par les communes ;
  • La partie des budgets allouée à l’informatique n’est pas très conséquente ;
  • Les amortissements des parcs informatiques représentent une grande partie de leurs budgets ;
  • Le budget des ressources humaines dans l’informatique est trop faible pour garantir un niveau de compétences et un nombre d’effectifs nécessaires à la sécurité des systèmes informatiques.

Ce qui est intéressant à analyser dans l’affaire de cyber piratage à la commune de Rolle, est que, paradoxalement, le Canton de Vaud est l’un des cantons qui a fait le plus d’efforts dans ces dernières années pour mettre en place un dispositif de diminution des risques relatifs à la sécurité de l’information et à la cybersécurité. Avec une stratégie en deux étapes qui a commencé en 2009, le canton a déjà investi (et a prévu de continuer le faire) plusieurs millions de francs « afin de renforcer la sécurité des systèmes d’information de l’administration en apportant une attention particulière à la protection des données personnelles, sensibiliser les utilisateurs en renforçant leur rôle de « firewall humain », consolider l’architecture technique et la gestion des identités numériques et leurs accès ainsi que à améliorer les capacités de détection et de réaction du centre opérationnel de sécurité ».[16]

Par ailleurs, il faut signaler aussi que le canton est pionnier dans l’établissement d’une loi garantissant la protection des données collectées et traitées par les différents organismes cantonaux et communaux. Cette loi donne aux habitants la garantie de respect et de surveillance des informations personnelles qui leur appartiennent et qui sont dans les mains de l’Etat [17]. Mais encore une fois, nous pouvons nous questionner sur le niveau de conscientisation des élus et des autorités des communes et des villes de la responsabilité zlégale des données de leurs citoyens.  

Conclusion

Les actes récents de cyber piratage ne représentent que la partie visible d’un iceberg, ceux qui prennent un statut public et qui sont vécus comme une nouveauté désagréable. La réalité est qu’il existe en Suisse un besoin urgent de définition d’une stratégie commune entre la Confédération, les cantons et les communes pour se préparer à faire face à cet nouvel immense champ d’action de la criminalité que représente le cyberespace.

Outre l’investissement dans la sécurisation des systèmes d’information et la formation des collaborateurs à tous les niveaux, il est clair que l’articulation et la coordination entre les différents niveaux de l’Etat présentent un terrain d’enjeux politiques complexe. La Confédération, les cantons et les communes ont donc un travail très important à entreprendre, ensemble, afin de concilier le respect de la souveraineté et l’autonomie à chaque niveau, avec le bénéfice de la protection des données et de la sauvegarde du droit du respect à la vie privée de ses habitants, ainsi que la protection de ces infrastructures critiques.

Bibliographie supplémentaire

de FRÉMINVILLE, M., 2019. La cybersécurité et les décideurs – sécurité des données et confiance numérique. Great Britain : ISTE Editions Ltd.

GHERNAOUTI, S., 2019. Cybersécurité – Analyser les risques, mettre en œuvre les solutions. 6e éd. Malakoff : Dunod.

Sites web consultés

ANTONOFF, L., 2021. Des pirates informatiques ont fait chanter Rolle. 24Heures [en ligne].  20.08.2021. [Consulté le 07.09.2021]. Disponible à l’adresse : https://www.24heures.ch/des-pirates-informatiques-ont-fait-chanter-rolle-316332648167

BESSON, R., 2021. Après Rolle, le canton de Vaud réfléchit à aider les communes tout en respectant leur souveraineté. La Liberté [en ligne]. 02.09.2021. [Consulté le 03.10.2021]. Disponible à l’adresse : https://www.laliberte.ch/news/regions/vaud/la-confiance-numerique-est-cruciale-617099?up=true

BRUMAGHIN, E., MARSHALLET, J., ZOBEC, A., 2021. Vice Society Leverages PrintNightmare In Ransomware Attacks. Talosintelligence.com [en ligne]. 12.08.2021. [Consulté le 08.09.2021]. Disponible à l’adresse : https://blog.talosintelligence.com/2021/08/vice-society-ransomware-printnightmare.html

SEYDTAGHIA, A., 2021. Nouvelles révélations sur le piratage massif subi par Rolle. Le Temps [en ligne] 29.08.2021. [Consulté le 07.09.2021]. Disponible à l’adresse : https://www.letemps.ch/economie/nouvelles-revelations-piratage-massif-subi-rolle

SEYDTAGHIA, A., 2021. Comment j’enquête sur le piratage de Rolle. Le Temps [en ligne]. 06.09.2021. [Consulté le 07.09.2021]. Disponible à l’adresse : https://www.letemps.ch/economie/jenquete-piratage-rolle?utm_source=mail&utm_medium=share&utm_campaign=article

SEYDTAGHIA, A., 2021. Le piratage de Rolle est beaucoup plus grave qu’annoncé. Le Temps [en ligne]. 25.08.2021.  [Consulté le 07.09.2021]. Disponible à l’adresse : https://www.letemps.ch/economie/exclusif-piratage-rolle-beaucoup-plus-grave-quannonce?utm_source=mail&utm_medium=share&utm_campaign=article

SEYDTAGHIA, A., 2021. Après le piratage massif, Rolle admet sa « naïveté ». Le Temps [en ligne]. 26.08.2021. [Consulté le 07.09.2021]. Disponible à l’adresse : https://www.letemps.ch/economie/apres-piratage-massif-rolle-admet-naivete

SEYDTAGHIA, A., 2021. « On a tout fait à l’arrache » : récit d’une soirée entre les habitants de Rolle et la municipalité piratée. Le Temps [en ligne]. 29.09.2021. [Consulté le 30.09.2021]. Disponible à l’adresse : https://www.letemps.ch/economie/on-larrache-recit-dune-soiree-entre-habitants-rolle-municipalite-piratee

SEYDTAGHIA, A., 2021. Cyberattaque à Rolle : un signal d’alarme pour les communes suisses. Le Temps [en ligne]. 24.08.2021. [Consulté le 02.09.2021]. Disponible à l’adresse : https://www.letemps.ch/opinions/cyberattaque-rolle-un-signal-dalarme-communes-suisses?utm_source=mail&utm_medium=share&utm_campaign=article

SEYDTAGHIA, A., 2021. La Suisse est négligente face aux cyberattaques, alerte Berne. Le Temps [en ligne]. 23.08.2021. [Consulté le 02.09.2021]. Disponible à l’adresse : https://www.letemps.ch/economie/suisse-negligente-face-aux-cyberattaques-alerte-berne

WIETLISBACH, O., SCHURTER, D., 2021. Rolle a été piratée par des hackers, données volées sur le darknet. Watson.ch [en ligne]. 21.08.2021. [Consulté le 07.09.2021]. Disponible à l’adresse : https://www.watson.ch/fr/suisse/vaud/323755680-vaud-rolle-a-ete-piratee-par-des-hackers-donnees-volees-sur-le-darknet


Bibliographie dans le texte

[1] Nations unies, Département des affaires économiques et sociales. UN.ORG [en ligne]. 16.05.2018. [Consulté le 10.09.2021].  Disponible à l’adresse :  https://www.un.org/development/desa/fr/news/population/2018-world-urbanization-prospects.html

[2] Ville intelligente. Wikipédia : l’encyclopédie libre [en ligne]. Dernière modification de la page le 16.08.2021 à 21:46. [Consulté le 10.09.2021]. Disponible à l’adresse : https://fr.wikipedia.org/wiki/Ville_intelligente

[3] Yverdon-les-Bains Energies. Yverdon-energies.ch [en ligne]. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www.yverdon-energies.ch/professionnels/produits/electricite/optisolar-communaute-dautoconsommation-pro/

[4] Confédération suisse, Office fédérale de l’énergie. bfe.admin.ch [en ligne]. Dernière modification 19.07.2021. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www.bfe.admin.ch/bfe/fr/home/versorgung/stromversorgung/stromnetze/smart-grids.html

[5] Ibidem N°4.

[6] TCS – Bornes de recharge publiques. TCS.ch [en ligne]. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www.tcs.ch/fr/tests-conseils/conseils/mobilite-electrique/bornes-recharges-publiques.php

[7] Internet of Things, en français Internet des Objets

[8] PANDEY, Piyush, GOLDEN, Deborah, PEASLEY, Sean, KELKAR, Mahesh, 2019. Making smart cities cybersecure. Deloitte.fr [en ligne]. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www2.deloitte.fr/formulaire/telechargement/making-smart-cities-cybersecure

[9] Constitution fédérale de la Confédération suisse du 18 avril 1999 (Cst ; RS 101). Confédération Suisse – Fedlex [en ligne] 18.04.1999. Etat au 07.03.2021. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www.fedlex.admin.ch/eli/cc/1999/404/fr

[10] Code civil suisse du 10 décembre 1907 (CC ; RS 210). Confédération Suisse – Fedlex [en ligne]. Etat au 01.01.2021. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www.fedlex.admin.ch/eli/cc/24/233_245_233/fr

[11] Loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1). fedlex.admin.ch [en ligne]. 19.06.1992. Version au 01.03.2019. [Consulté le 20.09.2021] Disponible à l’adresse : https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/fr

[12] Ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD ; RS 235.11). fedlex.admin.ch [en ligne]. 14.06.1993. Etat au 16.10.2012. [Consulté le 20.09.2021] Disponible à l’adresse : https://www.fedlex.admin.ch/eli/cc/1993/1962_1962_1962/fr

[13]Confédération Suisse, Préposé fédéral à la protection des données et à la transparence. edoeb.admin.ch [en ligne]. 08.2015. [Consulté le 10.09.2021]. Disponible à l’adresse : https://www.edoeb.admin.ch/dam/edoeb/fr/dokumente/2018/TOM.pdf.download.pdf/guideTOM_fr_2015.pdf

[14] Ibidem N°9.

[15]Statistiques cybersécurité – Confédération Suisse, Centre nationale pour la cybersécurité. NCSC.admin.ch [en ligne]. 10.10.2021 [Consulté le 10.10.2021]. Disponible à l’adresse : https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/aktuelle-zahlen.html

[16]Etat de Vaud, 2019. L’Etat intensifie sa lutte contre les cyberrisques pour offrir à la population un environnement numérique de confiance. VD.CH [en ligne]. 26.08.2019. [Consulte le 10.09.2021]. Disponible à l’adresse :

https://www.vd.ch/toutes-les-autorites/departements/departement-des-infrastructures-et-des-ressources-humaines-dirh/direction-generale-du-numerique-et-des-systemes-dinformation-dgnsi/actualites/news/11964i-letat-intensifie-sa-lutte-contre-les-cyberrisques-pour-offrir-a-la-population-un-environneme/

[17]Loi sur la protection des données personnelles du Canton de Vaud du 11 septembre 2007 (LPrD ; BLV 172.65). 11.09.2007. Version au 01.10.2018. [Consulté le 10.09.2021]. Disponible à l’adresse : https://prestations.vd.ch/pub/blv-publication/actes/consolide/172.65?key=1543934892528&id=cf9df545-13f7-4106-a95b-9b3ab8fa8b01

Digitalisation des communications de soupçons

mercredi 17 Nov 2021

Par un étudiant du MAS en Lutte contre la criminalité économique

Avant le 1er janvier 2020, les communications de soupçons des intermédiaires financiers étaient envoyées par fax ou par courrier au Bureau de communication en matière de blanchiment d’argent de la Confédération (MROS) qui est chargé, conformément à la loi sur le blanchiment, de recevoir, centraliser, analyser et transmettre aux différentes autorités pénales les communications de soupçons[1] [2]. Tout un chacun s’accordera à dire qu’il s’agissait d’une pratique qui peut paraître aujourd’hui surprenante, voire très archaïque, en regard de la transformation numérique des différents secteurs de l’économie. Un virage vers la digitalisation paraît évident et nécessaire, si ce n’est obligatoire pour lutter de manière efficiente contre la criminalité économique.

Introduit par le MROS en janvier 2020, le premier système en Suisse de communication des données par voie électronique est nommé goAML. Il ne s’agit pas d’un logiciel développé intra-muros, mais par l’Office des Nations unies contre les drogues et le crime (UNODC) pour lutter contre le blanchiment des capitaux et le financement du terrorisme[3]. Ce dernier a été spécialement conçu pour les cellules de renseignement financier (CRF), dont fait partie le MROS. Le système est modulaire pour s’adapter aux spécificités de ces dernières (par exemple : taille, volume de données)[4].

L’année 2020 a donc constitué un changement radical pour le MROS, mais aussi, sans l’oublier, pour les intermédiaires financiers, qui ont dû s’adapter pour répondre technologiquement à ce nouveau format de communication. Par exemple, toutes les transactions suspectes qu’un intermédiaire financier veut transmettre doivent être soumises au format électronique. Chaque donnée doit dès lors être saisie à choix manuellement ou de manière automatique dans goAML via un fichier XML (Extensible Markup Language), qui sont des fichiers utilisant les balises pour structurer les données[5] [6]. L’intermédiaire financier désirant automatiser la saisie des données (2 méthodes à choix : automatique ou semi-automatique)[7] a donc dû mettre en place une solution permettant de transposer les données de ses systèmes en format XML, ce qui peut s’avérer très difficile et coûteux ,si on considère qu’il peut s’agir par exemple de transactions ayant été effectuées 10 ans auparavant, voire plus. Rappelons que le secteur bancaire s’est consolidé depuis une douzaine d’années à la suite de la crise financière de 2008 et que le nombre d’établissements a reculé d’un quart, à 250 banques[8].

Imaginons, dans ce cadre, le cas d’une banque X ayant migré plusieurs fois ses données à la suite d’un rachat (fusion-acquisition), puis à la migration vers un nouveau système bancaire qui est à la tendance dans le secteur[9] [10]. Il peut ainsi s’avérer extrêmement difficile pour un intermédiaire financier de fournir rapidement une solution stable en termes d’intégrité des données et permettant la saisie de toutes les transactions de manière automatique. On imagine le calvaire des équipes au sein de ces établissements qui peuvent se retrouver à devoir saisir manuellement, faute de solutions adéquates et avec le risque d’erreur que cela comporte, plusieurs dizaines, voire jusqu’à 100 transactions et toutes les données qu’elles comportent, dans l’outil goAML, dans les délais impartis par le régulateur. Certains établissements se verront peut-être même dans l’incapacité de faire face à leurs obligations réglementaires. Globalement la situation a été inversée par rapport à avant 2020, où les analystes du MROS se trouvaient à saisir manuellement les données reçues des intermédiaires financiers, submergés par la quantité de documents papier et perdant, dans la volée, une multitude de données non-informatisées, mais aussi leur rôle d’analyste[11].

En parallèle, il est nécessaire de mettre en avant l’augmentation du nombre de communications de soupçons des intermédiaires financiers. Dans son rapport annuel de 2015, le MROS indiquait 2367 communications de soupçons reçues selon l’Art 9 LBA[12] et Art 305ter al. 2 CP[13]. En 2019 le chiffre s’élevait à 7705 et en 2020 à 9601 (estimation à la suite d’un changement de méthode pour dénombrer les communications reçues)[14] [15]. Une hausse qui s’explique notamment par 1000 signalements liés aux crédits transitoires Covid-19, une augmentation générale de la cybercriminalité liée aux conséquences du Covid-19 offrant aux criminels de nouvelles cibles, mais aussi, peut-être, par une propension des intermédiaires financiers à communiquer plus facilement lorsqu’ils ont un doute pour se couvrir des risques[16]. Néanmoins, cette hausse n’est pas due à une augmentation des grandes affaires de blanchiment, qui ont un impact sur la réputation de la place financière, mais plus à des cas de moindre importance liés à la petite criminalité de type arnaques sur les sites de petites annonces, money mules, arnaques aux sentiments, escroqueries de type Zairean connection, etc.

Nous entrons peut-être dans une tendance à rejoindre, ou du moins à tendre, vers ce qui se fait à l’étranger. En l’occurrence, il s’agit là de communications quasiment automatiques aux autorités, mais avec la conséquence de noyer le système par des déclarations moins judicieuses, sans analyse pertinente, et portant sur des transactions non pas suspectes, mais considérées anormales par rapport à un comportement déterminé[17].

En conclusion, une augmentation constante des communications de soupçons des intermédiaires financiers va inévitablement poser la question des coûts. Actuellement, l’intermédiaire financier doit produire, dans les grandes lignes, le même travail, que ce soit pour une affaire de blanchiment à plusieurs millions, une escroquerie portant sur un faible montant ou, parfois, des coûts exorbitants en regard de ce que rapporte annuellement la relation d’affaires et mobilisant en même temps des ressources humaines, qui pourraient être utilisées à meilleur escient dans la lutte contre le blanchiment d’argent et le financement du terrorisme. Une solution devra être trouvée. Peut-être passera-t-elle par une ségrégation permettant des communications automatiques des cas bagatelles souvent liés aux clients de la banque de détail. Peut-être saura-t-elle sauvegarder la qualité des analyses poussées pour les cas complexes de blanchiment, plus particulièrement liés aux clients de private banking, des grandes entreprises et du négoce de matières premières. L’avenir nous le dira.


[1] Office fédéral de la police fedpol. goAML : Foire aux questions (FAQ) [en ligne]. [Consulté le 14.07.2021]. Disponible à l’adresse : https://www.fedpol.admin.ch/dam/fedpol/fr/data/kriminalitaet/geldwaescherei/aml/faq-f.pdf.download.pdf/faq-f.pdf

[2] Office fédéral de la police fedpol. Bureau de communication en matière de blanchiment d’argent. Rapport annuel 2020 [en ligne]. [Consulté le 14.07.2021]. Disponible à l’adresse : https://www.fedpol.admin.ch/fedpol/fr/home/kriminalitaet/geldwaescherei/jb.html

[3] UNITED NATIONS. Office on Drugs and Crime [en ligne]. [Consulté le 17.07.2021]. Disponible à l’adresse : https://www.unodc.org/

[4] INTERNATIONAL MONEY LAUNDERING INFORMATION NETWORK (IMOLIN). goAML [en ligne]. [Consulté le 17.07.2021]. Disponible à l’adresse : https://www.imolin.org/imolin/fr/goAML-goCASE.html

[5] WIKIPEDIA L’encyclopédie libre. Extensible Markup Language [en ligne, Version 6 avril 2021 à 10:43]. [Consulté le 17.07.2021]. Disponible à l’adresse : https://fr.wikipedia.org/wiki/Extensible_Markup_Language

[6] Office fédéral de la police fedpol. goAML : Foire aux questions (FAQ) [en ligne]. [Consulté le 14.07.2021]. Disponible à l’adresse : https://www.fedpol.admin.ch/dam/fedpol/fr/data/kriminalitaet/geldwaescherei/aml/faq-f.pdf.download.pdf/faq-f.pdf

[7] Office fédéral de la police fedpol. Bureau de communication en matière de blanchiment d’argent. Rapport annuel 2020 [en ligne]. [Consulté le 14.07.2021]. Disponible à l’adresse : https://www.fedpol.admin.ch/fedpol/fr/home/kriminalitaet/geldwaescherei/jb.html

[8] BILAN. Le patron d’UBS table sur une consolidation parmi les banques [en ligne]. [Consulté le 25.07.2021]. Disponible à l’adresse : https://www.bilan.ch/finance/le-patron-dubs-table-sur-une-consolidation-parmi-les-banques

[9] M&BD Consulting. La montée du digital, une nécessité pour le secteur bancaire. [en ligne]. [Consulté le 25.07.2021]. Disponible à l’adresse : https://www.mbdconsulting.ch/publications/montee-du-digital-necessaire-secteur-bancaire

[10] ICTjournal. Le changement de système bancaire génère une hausse des coûts de l’IT [en ligne]. [Consulté le 25.07.2021]. Disponible à l’adresse : https://www.ictjournal.ch/news/2014-01-31/le-changement-de-systeme-bancaire-genere-une-hausse-des-couts-de-lit

[11] 20 Minutes. La montée du digital, une nécessité pour le secteur bancaire [en ligne]. [Consulté le 25.07.2021]. Disponible à l’adresse : https://www.20min.ch/fr/story/lutte-contre-le-blanchiment-la-suisse-est-encore-au-xixe-siecle-118120419150

[12] Fedlex. Loi fédérale concernant la lutte contre le blanchiment d’argent et le financement du terrorisme [en ligne]. [Consulté le 13.10.2021]. Disponible à l’adresse : https://www.fedlex.admin.ch/eli/cc/1998/892_892_892/fr

[13] Fedlex. Code pénal suisse [en ligne]. [Consulté le 13.10.2021]. Disponible à l’adresse : https://www.fedlex.admin.ch/eli/cc/54/757_781_799/fr

[14] Office fédéral de la police fedpol. Bureau de communication en matière de blanchiment d’argent. Rapport annuel 2020 [en ligne]. [Consulté le 14.07.2021]. Disponible à l’adresse : https://www.fedpol.admin.ch/fedpol/fr/home/kriminalitaet/geldwaescherei/jb.html

[15] Office fédéral de la police fedpol. RAPPORT ANNUEL DU BUREAU DE COMMUNICATION EN MATIÈRE DE BLANCHIMENT D’ARGENT MROS. Rapport 2015 [en ligne]. [Consulté le 25.07.2021]. Disponible à l’adresse : https://www.fedpol.admin.ch/fedpol/fr/home/kriminalitaet/geldwaescherei/jb.html

[16] L’AGEFI. La criminalité financière fait flamber les coûts de la conformité [en ligne]. [Consulté le 25.07.2021]. Disponible à l’adresse : https://www.agefi.fr/banque-assurance/actualites/quotidien/20210427/criminalite-financiere-fait-flamber-couts-320127

[17] LE TEMPS. Pour les banques, le délicat exercice de la communication de soupçons [en ligne]. [Consulté le 25.07.2021]. Disponible à l’adresse : https://www.letemps.ch/economie/banques-delicat-exercice-communication-soupcons

The coronavirus pandemic and the emergence of new fraudulent technics

mercredi 10 Nov 2021

Par Eric Etongwe, étudiant du MAS en Lutte contre la criminalité économique

Introduction

In December 2019, the world witnessed an outbreak of a new coronavirus known as SARS-COV-2, which began in Wuhan, the Hubei province in China. In March 2020, The World Health Organization (WHO) indicated about 124,847 confirmed cases and 4613 deaths in 118 countries. Countries like China, Iran and Italy imposed widespread quarantine, and on March 9, 2020, Italy imposed quarantine for the entire population[1].

Due to the COVID 19 pandemic, the world has been in a state of emergency for the past two years. Global health crises have a significant impact on human lives. Uncertainties due to the COVID-19 pandemic is causing a radical changes in societal norms, damaging business operations, and hampering economic growth.

The pandemic has led to an unheard-of and unexpected global situation, with people, organisations, and governments facing difficulties. The efforts by certain governments to reduce the effect of the pandemic has caused long periods of disruptions, closure of services and limitations of travel across continents and within countries. In some cases, countries have experienced severe shocks and even the collapse of supply chain systems.  

Similarly, the COVID-19 pandemic has ushered many employees out of their jobs while other resorted to working from home to maintain productivity and compliance with the new public health rules. As working from home became the new standard, criminal organisations got busy with their creativity, taking advantage of the general panic to engage in new fraudulent behaviours and phishing scams affecting vulnerable people.

Organisational effect of Covid 19

As per a survey conducted by the Association of Certified Fraud Examiners (ACFE) in late March and early April 2021, about 83,677 anti-fraud professionals were invited to give their opinion on how the COVID-19 pandemics has impacted their organisations with the below summary of the survey.

According to a survey conducted by ACFE during the early stage of the COVID-19 outbreak, it was discovered that more than 51% of the organisations revealed more fraud than usual since the beginning of the pandemic. 71% of respondents said they expected the level of fraud impacting their organisations to increase. More than 50% of the respondent expected to see an increase in fraud risk. 38% of respondents said they expected to see an increase in the budget for anti-fraud programs, the most common area for investment in most organisations. According to the survey results, a shift in business operations and changes in consumer behaviour are the most critical risk factors. The challenges faced by anti-fraud programs during this pandemic are changes in the investigative process and changes in the control/operating environment.  It was also revealed that 80% of organisations had implemented one or more changes to their anti-fraud programs due to the pandemic. According to the survey result, more than 50% of respondents believe increased fraud risk awareness and organisational collaboration will be more effective in the post-pandemic era[2].

The emergence of new fraudulent activities due to the COVID-19 pandemic

Due to the radical change in societal norms, business operations, and consumer behaviours, criminals have also sort to changing their pattern and even how they carry out their fraudulent activities and, as a result, the emergence of new types of fraud which include the ones listed below.

Scammers create fake websites and send malicious attachments asking to donate money via charities or crowdfunding to people affected by COVID-19, submit their financial information through their credit cards, and download malware from attachments. Also, fraudsters create fake investment opportunities in the United States by indicating that public companies trading with a product that can prevent, detect, or cure COVID-19 will drastically increase in the Stock Exchange market. In the US, scammers are contacting people using social media, door to door visits, and telemarketing calls, offering COVID-19 tests and sanitary kits to Medicare beneficiaries in exchange for personal information. The fraudster will then use the stolen information to commit medical identity fraud by fraudulently billing the United States Federal Health care program[3].

Clinical trial COVID-19 scams are other fraudulent forms of behaviour that emerged thanks to the COVID-19 pandemic. To prevent the spread of the virus, the United States federal government invested billions of dollars in producing vaccines. Nevertheless, before these vaccines are certified to be used, they need to go through the trial phase. According to the United States federal trade commission, fraudsters create fake websites to entice volunteers to COVID-19 trials. Once one visits the phoney trial site, they are promised a doctor’s care, payments, and are asked to register by providing their social security, credit card or bank account number[4].

A funeral expense scam is another fraudulent behaviour that emerged during the pandemic. Those who have lost loved ones due to COVID-19 might be eligible for government programs that pay funeral expenses. A family who lost loved ones due to COVID-19 will get up to USD 9000 from the United States Federal Emergency Management Agency (FEMA) to cover funeral expenses. Scammers are contacting those who have lost family members because of COVID-19 to get personal or financial information about the deceased, claiming they wish to assist in the registration process for funeral expense benefits[5].

According to the United States department of justice, a fraudster was convicted for care act fraud for falsifying a loan application for the Paycheck Protection Program created by the United States Congress, as part of the USD 2 trillion care act. He was charged with cheating an estimated 12.8 million USD in the coronavirus relief aid dedicated to small businesses. It was reported that the fraudster lied to lenders claiming he had 500 employees, while he had less than 150 employees[6].

Furthermore, the coronavirus stimulus check scam was another documented fraudulent behaviour. The United States Congress passed a bailout package with stimulus checks involving about 150 million households. Fraudsters disguised as government employees tried to extort the households eligible for the stimulus check package by requesting financial information (PayPal account information, Social Security number, bank account number), asserting that this process was indispensable for receiving their promised funds[7].

According to the European Union law enforcement agency (Europol), new fraudulent behaviours have emerged thanks to the COVID-19 pandemic, adversely affecting business processes. Dummy websites offering fake news about COVID-19 or presenting themselves as charitable organisations are stealing personal information or infecting website visitors with malware. Another fraudulent behaviour is the emergence of fake applications offering relevant details about COVID-19; meanwhile, they contaminate devices with ransomware or malware through the application download. Another fraudulent behaviour detected by Europol is the emergence of fake investment opportunities related to products or services claiming to prevent, detect or cure COVID-19. Money mules are another form of fraudulent behaviour identified by Europol, a form of money laundering whereby the fraudsters create fake Non-Governmental Organisation (NGO) and solicit online workers via phoney job advertisements. The recruits will process donations for the fight against COVID-19 and transfer the money from their account to the fraudster’s account, while keeping a commission for themselves[8].

Conclusion

As explained above, the COVID-19 pandemic has brought tremendous impacts in all aspects of our daily lives, in our way of behaving, doing business, and even societal norms. This has led to the change of attitude from fraudsters who need to adapt to the changing environment. The fact that employees are working from home has created additional opportunities for fraudsters. It becomes more challenging to protect the personal computers and phones they use while doing their jobs. As new fraudulent behaviour emerge, organisations and governments need to increase the resources allocated to fight fraud. Government and organisations need to increase their investment in training Anti-fraud professionals on how to tackle these new types of fraudulent behaviour, as explained above, while respecting the recommendations to reduce the spread of the COVID-19 pandemic.  


[1] Zirkle, J. (2020). Coronavirus fraudsters add to the anxiety and misery. Fraud Magazine.

[2] Association of Certified Fraud Examiners & Grand Thorton. (2021). The nest normal : preparing for a post pandemic fraud landscape.

[3] Tressler, C. (2020, February 10). Coronavirus: Scammers follow the headlines. Retrieved from Federal Trade Commission: https://www.consumer.ftc.gov/blog/2020/02/coronavirus-scammers-follow-headlines

[4] Kreidler, J. (2020, October 23). COVID-19 clinical trial: real or fake? Learn how to tell the difference. Retrieved from Federal Trade Commission: https://www.consumer.ftc.gov/blog/2020/10/covid-19-clinical-trial-real-or-fake-learn-how-tell-difference

[5] Bureau, C. F. (n.d.). Resources to help you avoid scams. Retrieved from Consumer Financial Protection Bureau: https://www.consumerfinance.gov/coronavirus/avoiding-scams/

[6] Grube, N. (2020, September 30). Prominent Hawaii Defense Contractor Arrested For CARES Act Fraud. Retrieved from Honolulu Civil Beat: https://www.civilbeat.org/2020/09/prominent-hawaii-defense-contractor-arrested-for-cares-act-fraud/

[7] Tompor, S. (2020, March 28). Stimulus check scammers ask you to sign up for PayPal account. Don’t do it. Retrieved from Detroit Free Press: https://eu.freep.com/story/money/2020/03/26/stiumulus-check-scam-paypal-coronavirus-covid-19/2918722001/

[8] Europol. (2021). COVID-19: FRAUD. Retrieved from Europol: https://www.europol.europa.eu/covid-19/covid-19-fraud

Le côté obscur du foot. Blanchiment d’argent et autres activités illégales

mardi 02 Nov 2021

Par Daria Notari, étudiante du MAS en Lutte contre la criminalité économique

Le marché du football en Europe

En 2019, le nombre total de joueurs professionnels de football était estimé à 128’983 répartis dans 3’903 clubs professionnels établis dans 187 pays différents (FIFA Professional Football Department and International Centre for Sports Studies, 2019).

Selon Ajadi, Ambler, et al. (2021), le marché Européen du foot est estimé à 28.9 milliards d’euros en 2021, avec les revenus les plus hauts enregistrés par les clubs d’Angleterre, d’Allemagne, d’Espagne, d’Italie et de France. Ces revenus tiennent compte de la présence aux matchs, de la diffusion télévisée, du parrainage et d’autres accords commerciaux.

Ce type de chiffre montre que le business du foot pourrait être attrayant aux investisseurs à la recherche d’une ultérieure source de revenu, sachant que les clubs le plus rentables sont aussi les plus onéreux. Au top, nous retrouvons les sociétés de la Premier League (Royaume-Uni), la Bundesliga (Allemagne), la Liga (Espagne), la Serie A (Italie) et la Ligue 1 (France), qui ensemble couvrent 60% du marché global du foot. Les bénéfices d’exploitation les plus élevés jusqu’à 2020, appartenaient depuis quelques années à la Premier League ; toutefois, l’arrivée de la pandémie du SARS-CoV-2 début 2020 a bouleversé le chiffre d’affaires en diminuant sensiblement la rentabilité des tous les clubs appartenant au « Big Five » des ligues. Néanmoins, la rentabilité des top ligues Anglaises, Allemagnes et Espagnoles se situe depuis 2010 quasiment toujours en dessus de 100 millions d’euros par saison avec un maximum de 1,2 milliards, tandis que pour les ligues d’Italie et surtout de France on reporte des pertes plus significatives à travers les années.

À la fin de la journée, chaque business qui implique d’importants transferts d’argent et de revenus attire l’attention de personnes intéressées à investir des avoirs, d’origine licite ou douteuse.

Comment est-ce qu’on blanchit de l’argent dans ce secteur ?

C’est important de souligner que le secteur du foot ne garantit pas toujours des hauts revenus ; en fait, le gain économique est sûrement tentant mais pas toujours l’objectif primaire de blanchisseurs. Ce dernier est de réintroduire de l’argent d’origine incertaine dans l’économie. Les importants flux de trésorerie dans le business du foot impliquent plusieurs acteurs, à partir des clubs même, des investisseurs jusqu’aux propriétaires immobiliers. Ce n’est pas difficile d’imaginer qu’il pourrait y avoir plusieurs moyens d’exploiter le secteur à des fins de blanchiment d’argent. Sur la base du rapport de l’Organisation de coopération et de développement économique, les activités les plus à risque sont la propriété d’un club de foot, le marché des transferts et la propriété des joueurs professionnels, les paris sportifs et les droits à l’image, le sponsoring et la publicité (OECD, 2009). Les cas de figure favorables aux criminels à la recherche d’opportunités de gros transferts d’argents sont multiples. Entre autres, l’opportunité peut se créer lors de l’acquisition de clubs endettées, possiblement plus pressés à trouver des investisseurs et plus souples dans le contrôle de la provenance de fonds, ainsi que l’acquisition de joueurs en tant qu’agents afin de bénéficier de la non-transparence des transferts. En tout cas, on n’exclut pas qu’un criminel pourrait choisir cette voie de blanchiment pour avoir une certaine position de pouvoir passible d’ouvrir des portes sur de nouvelles possibilités.

Le secteur est très réglementé par la Fédération Internationale de Football Association (FIFA), mais la structure des acteurs autour d’un club, de ces joueurs, des sponsors, etc. peut être complexe, ce qui rend les relations d’affaires plus emmêlées et moins transparentes.

Comment est-il donc possible de pénétrer dans ce monde avec un statut de criminel ?

Le cas le plus discuté en 2021

En août 2021, Al Jazeera Investigations a publié un article et une série de podcasts en tant que résultats d’une investigation nommée « The Men Who Sell Football ». L’investigation tourne autour d’une tentative d’acquisition d’un club de foot en « Football League Championship » (deuxième division anglaise) perpétrée par des collaborateurs de AJ Investigatons en tant qu’agents d’un investisseur chinois fictif. La cible de cette mise en scène était Christopher Samuelson, un gestionnaire de fonds fiduciaires et négociateur de foot connu en outre pour sa maîtrise dans les sociétés offshores (Mudaliar, 2021). En bref, l’investisseur fictif se serait présenté à travers ses « agents » en tant qu’ancien criminel, condamné en Chine à 7 années pour contrebande d’argent sortant de Chine en passant par les casinos de Macao, intéressé à l’achat d’un club afin de pouvoir blanchir ledit argent. Même en démontrant quelques soucis pour la réglementation stricte de la English Football League, qui lui interdirait toute implication dans la ligue (English Football League, 2021), Samuelson assure qu’avec un schéma de transfert de fonds dans des sociétés offshores crées ad hoc ou l’obtention d’un passeport falsifié disponible à Chypre à travers le programme « Citizen-by-Investment » auraient été suffisants pour contourner les barrières juridiques et conclure l’affaire. Le coût total de l’achat ? 99 millions pounds avec de 3% frais destinés à Samuelson et la promesse de faire partie de la direction du club (Al Jazeera Investigations, 2021a, 2021b, 2021c; Harrison, 2021).

Enfin, l’accord n’a évidemment pas été signé, mais ce type d’arrangement a apparemment déjà été mis en place avant et est susceptible de se répliquer.

Les personnes dénoncées dans ces affaires ont dénié tout allégation d’actes répréhensibles, par conséquent on ne saurait probablement jamais la vérité derrière cette histoire.

Qu’en sera-t-il du foot dans le futur ?

Les réglementations dans le secteur du foot sont nombreuses et très précises, à partir des règles générales imposées par la FIFA jusqu’aux règles plus spécifiques à chaque division nationale. Le problème ici réside non seulement dans le fait que quelques acteurs du monde du foot contournent les dispositions pour leur propre bénéfice, mais aussi dans l’intégrité douteuse de certains collaborateurs de haut niveau des associations de football qui édictent les règles. En effet, le scandale de 2015 concernant la FIFA et plusieurs banques internationales en est la preuve claire. Dans cette affaire, des soupçons de gestion déloyale, corruption, abus de confiance et blanchiment d’argent au sein de l’association ont été soulevés en rapport à plusieurs des activités et 25 procédures pénales, incluant aussi des acteurs externes, ont été ouvertes (Vuilleumier, 2020). Un des résultats de ces enquêtes a amené Julius Baer à payer presque 80 millions de dollars pour résoudre les accusations de blanchiment d’argent provenant de pots-de-vin liés à la FIFA contre eux (Volkov, 2021).

L’étendue du secteur ne pourrait jamais permettre la sauvegarde absolue de l’intégrité, mais des contrôles internes à tout niveau des associations, des ligues et des clubs devraient devenir de plus en plus fréquents et stricts, afin d’avoir plus d’opportunités de tuer ces activités dans l’œuf.

En utilisant la terminologie des paris sportifs, la cote en faveur de la disparition totale des irrégularités financières dans le football est très élevée, cependant des changements radicaux dans les hauts niveaux des associations de régulations et des clubs professionnels et leur surveillance plus ciblée pourraient, dans le futur, faire pencher la cote plus vers le bas.

Bibliographie

Ajadi T, Ambler T, Dhillon S, et al. (2021) Riding Challenge – Annual Review of Football Finance 2021. Annual Review of Football Finance, September. Deloitte UK.

Al Jazeera Investigations (2021a) The Men Who Sell Football: Part 1. The Men Who Sell Football. 1. Available at: https://www.ajiunit.com/podcasts/.

Al Jazeera Investigations (2021b) The Men Who Sell Football: Part 2. The Men Who Sell Football. 2. Available at: https://www.ajiunit.com/podcasts/.

Al Jazeera Investigations (2021c) The Men Who Sell Football: Part 3. The Men Who Sell Football. 3. Available at: https://www.ajiunit.com/podcasts/.

English Football League (2021) EFL Regulations 2021/2022.

FIFA Professional Football Department and International Centre for Sports Studies (2019) Professional Football Report 2019. Professional Football Report, 12 December. Fédération Internationale de Football Association.

Harrison D (2021) How a convicted criminal can buy a famous English football club. In: Al Jazeera Investigative Unit. Available at: https://www.ajiunit.com/article/how-a-convicted-criminal-can-buy-a-famous-english-football-club/ (accessed 18 September 2021).

Mudaliar K (2021) Who Is Christopher Samuelson – All You Need To Know. In: FootTheBall. Available at: https://www.foottheball.com/explainer/christopher-samuelson-helps-criminal-launder-money-selling-derby-county-al-jazeera-investigation-details (accessed 25 September 2021).

OECD (2009) Money Laundering through the Football Sector. 3 July. OECD. DOI: 10.1787/9789264073579-en.

SchengenVisaInfo (2020) Cyprus Golden Visa – How to Get Permanent Residency and Citizenship. Available at: https://www.schengenvisainfo.com/eu-golden-visas/cyprus-golden-visa/.

Volkov M (2021) Julius Baer Bank Resolves Money Laundering Charges in FIFA Scandal and Pays Nearly $80 Million. In: JD Supra. Available at: https://www.jdsupra.com/legalnews/julius-baer-bank-resolves-money-2605160/.

Vuilleumier M (2020) Corruption à la FIFA: 25 procédures pénales et un procureur sur la sellette. In: Swissinfo. Available at: https://www.swissinfo.ch/fre/politique/enquête-tentaculaire_corruption-à-la-fifa–25-procédures-pénales-et-un-procureur-sur-la-sellette/45788140 (accessed 26 September 2021).