Boiler Room Scam : une forme moderne d’escroquerie aux investissements

jeudi 14 Mai 2020

Par Cynthia Maistre

Ce n’est pas nouveau, l’argent fait tourner le monde. Le désir d’avoir plus, et surtout plus d’argent, pousse l’un et l’autre dans notre société à agir de façon irresponsable. Depuis toujours, les fraudeurs en matière d’investissement ont réussi à dérober l’argent des investisseurs. Nous nous souvenons, par exemple, d’un cas de fraude à l’investissement connu dans le monde entier : l’affaire Madoff aux Etats-Unis. Bernard Madoff, négociant en valeurs mobilières âgé de 70 ans à l’époque, a réussi à détourner environ 50 milliards de dollars de ses clients grâce à un système de « boule de neige » ; une pyramide de Ponzi. Il a promis des rendements élevés et a réussi à persuader d’innombrables personnes d’investir. La place financière suisse n’a pas non plus été épargnée.[i] Madoff a été condamné à 150 ans de prison et se trouve actuellement dans une prison fédérale à Bunter, en Caroline du Nord.[ii]

Aujourd’hui, les criminels utilisent internet à leurs fins et cela a rendu la fraude aux investissements plus moderne. Dès lors, la poursuite de tels actes par les autorités est plus difficile. La cybercriminalité existe sous plusieurs formes et de nouveaux phénomènes apparaissent chaque jour. Même si la prudence est en augmentation chez les usagers d’Internet, beaucoup tombent encore dans les pièges des criminels.

Les arnaqueurs du Boiler Room Scam (littéralement « l’arnaque chaudière ») également appelés « les petits frères de Madoff », ont trouvé un moyen de détourner l’argent des gens.[iii] Leur travail consiste à appeler des gens et à les convaincre d’investir dans de supposés titres lucratifs ou dans des crypto-monnaies.  Ils se trouvent souvent dans un centre d’appel situé en Ukraine, en Espagne ou dans d’autres pays.

Les mauvaises conditions des banques, par exemple les taux d’intérêt négatifs ou les rendements moins élevés, poussent les gens à investir leur argent à bon escient au lieu de le stocker sous leur oreiller. Certains pensent même que ces négociants savent mieux faire le travail que les banques. Tout semble merveilleux, les visions sont illimitées pour l’avenir. Malheureusement, une amère désillusion suit rapidement. Non seulement aucun intérêt n’est perçu sur le compte bancaire, mais, dans le pire des cas, les fraudeurs ont dilapidé la totalité des fonds. Pourquoi ? Et bien car il s’agit tout simplement d’une arnaque.

Le fraudeur promet des rendements énormes à sa victime par des prises de contact continues soit par e-mail, par téléphone, ou même via Anydesk.[iv] Le fraudeur transmet régulièrement des documents prouvant les investissements, ainsi la victime peut suivre l’évolution extraordinaire des titres supposément achetés de ses propres yeux.

Au début, les fraudeurs demandent aux victimes d’investir de petites sommes d’argent en tant que « capital de départ ». Peu de temps après, des appels téléphoniques et des courriels plus insistants suivent et recommandent urgemment d’investir davantage. L’occasion est unique : l’investisseur ne doit pas rater cette « chance ». Les victimes de fraude se font raconter des histoires insensées afin d’établir une relation de confiance entre le « conseiller financier » et le « client ».

Cette forme de fraude, plutôt psychologique, peut être apparentée à ce qui est connu sous le nom d’ingénierie sociale. L’ingénierie sociale est une manipulation relationnelle qui vise à induire certains comportements chez les personnes, par exemple pour révéler des informations confidentielles, acheter un produit ou libérer des ressources financières.[v]

L’argent est transféré sur différents comptes bancaires à l’étranger, les titulaires de ces comptes sont généralement des « money mules »[vi], ce qui signifie que les véritables ayants droit économiques sont difficiles à identifier. Si le client souhaite retirer le capital investi, les « conseillers » sont à ce moment très occupés, donc ne peuvent pas traiter l’affaire en cours et la procédure échoue. Un léger sentiment de méfiance peut surgir pendant ce moment chez le client, mais il a déjà suffisamment investi qu’il ne va pas tout arrêter maintenant.

Malheureusement, il arrive souvent que le client remarque l’escroquerie que lorsqu’il est trop tard. Les pages frauduleuses des plateformes de négociation ne sont soudainement plus disponibles sur internet, le conseiller aurait démissionné ou serait injoignable. Ce type de fraude est généralement perpétré par des bandes organisées au niveau international et opérant depuis l’étranger. Une poursuite pénale peut durer des années et peut même être sans succès, car les traces sur internet sont souvent masquées.[vii]

Selon une publication de la police cantonale bernoise en mai 2019, le nombre de dénonciations reçues est en constante augmentation. A cette date, le montant du dommage financier s’élevait déjà à environ 1,4 million de francs pour 2019.[viii] Les forces de l’ordre essaient de sensibiliser les gens pour les protéger contre ces types de fraudes.

Voilà quelques conseils concernant la prévention des escroqueries au placement :

  1. En Suisse, les prestataires fiables de ces plates-formes doivent s’enregistrer auprès de l’Autorité fédérale des marchés financiers (FINMA).[ix] Vérifiez-le !
  2. Renseignez-vous sur le prestataire de services auprès de votre banque ou sur internet (il existe de nombreuses entrées avertissant de ce type de fraude).
  3. Ne versez pas de sommes à des personnes ou des institutions que vous ne connaissez pas.

[i] https://www.nzz.ch/auch_schweizer_sind_reingefallen-1.1421818?reduced=true

[ii] https://www.handelszeitung.ch/invest/bernie-madoff-mochte-freiheit-sterben

[iii] https://www.faz.net/aktuell/finanzen/fonds-mehr/anlagebetrueger-madoffs-kleine-brueder-1768929.html

[iv] Logiciel d’accès à distance pour accéder aux ordinateurs domestiques ou professionnels https://anydesk.com/de/features

[v] Les attaques d’ingénierie sociale profitent de la serviabilité, de la bonne foi ou de l’insécurité des personnes pour accéder à des données confidentielles ou pour inciter les victimes à entreprendre certaines actions :https://www.melani.admin.ch/melani/de/home/themen/socialengineering.html

[vi] https://www.cybercrimepolice.ch/de/haeufige-phaenomene/finanzagent/?search_highlighter=money+mules

[vii] https://www.handelszeitung.ch/unternehmen/boiler-room-internationale-betruegerbande-zerschlagen-575336

[viii] https://www.police.be.ch/police/fr/index/medien/medien.archiv.meldungNeu.html/police/de/meldungen/police/news/2019/05/20190501_1330_kanton_bern_vorsichtvoranlagebetruegern.html

[ix] https://www.finma.ch/fr/documentation/finma-videos/schutz-vor-anlagebetrug/

Les trusts

mardi 28 Avr 2020

Par Emilie Cudré-Mauroux

Les origines du trust

Le trust, qui se traduit en français par « la confiance », trouve ses origines en Angleterre au 12ème siècle lors des croisades. Les chevaliers anglais qui partaient à la bataille laissaient derrière eux leurs terres pour une durée indéterminée. Il fallait donc trouver un moyen de gérer leurs domaines dans le respect de leurs volontés. Dès lors, les chevaliers qui n’étaient pas sûrs de revenir désignaient des administrateurs de leurs biens. C’est ainsi que cet instrument juridique, qui distingue le propriétaire juridique d’un bien et le bénéficiaire de ce bien, à vu le jour.[i]

Définition

Selon l’art. 2 de la Convention de La Haye du 1er juillet 1985 relative à la loi applicable au trust et à sa reconnaissance (RS 0.221.371), le trust se définit ainsi : « Le trust vise les relations juridiques créées par une personne, le constituant – par acte entre vifs ou à cause de mort – lorsque des biens ont été placés sous le contrôle d’un trustee dans l’intérêt d’un bénéficiaire ou dans un but déterminé ».

Les parties d’un trust

Le constituant du trust est appelé settlor. La personne ou la société qui est choisie pour la gestion des actifs du trust est le trustee. Le trustee contrôle et gère les actifs mais ce sont les bénéficiaires qui ont droit à tous les avantages liés aux actifs et aux bénéfices de tous les biens détenus par le trust. Le settlor peut désigner quiconque pour être le bénéficiaire du trust. Il peut s’agir de lui-même, de son époux(se), de ses enfants, mais aussi de fondations ou d’associations.

Un protecteur peut également être nommé pour vérifier que le trustee utilise de manière adéquate les fonds. Le settlor informe le trustee de ses souhaits en termes de gestion du trust dans un document intitulé « Lettre de souhaits ». [ii]

Types de trust

La Convention de la Haye ne vise que les trusts créés de manière volontaire, soit les express trusts.[iii]

Un trust peut avoir plusieurs fonctions, notamment commerciale, financière, d’utilité publique ou viser un but spécifique et à caractère non caritatif.[iv]

Dans le cadre d’un trust privé créé pour la gestion d’une succession, le settlor peut influencer le sort de ses biens de manière plus durable que lors d’une donation, car il n’y a pas de remise immédiate des biens aux bénéficiaires[v]. Il existe deux grandes distinctions de trust. Les trusts révocables et les trusts irrévocables. Dans le premier cas, le constituant à la possibilité de mettre fin au trust à tout moment et peut dès lors retrouver la propriété de ses biens. Dans le deuxième cas, le transfert des biens est définitif et ne peut être annulé.

Le settlor peut également décider de définir clairement le mode de distribution des actifs du trust, mais il peut aussi laisser le trustee décider du montant à distribuer (trust discrétionnaire). Comme cité plus haut, le settlor peut cependant indiquer une ligne conductrice au trustee par le biais de la lettre de souhaits.

Caractéristiques d’un trust

Les caractéristiques d’un trust sont les suivantes (notamment selon RS 0.221.371) :

  • Le trust n’est ni une personne physique, ni une personne morale. Le trust est une forme juridique à part entière ;
  • Les biens du trust constituent une masse distincte et ne font pas partie du patrimoine du trustee ;
  • Le titre relatif aux biens du trust est établi au nom du trustee ou d’une autre personne pour le compte du trustee ;
  • Le trustee est investi du pouvoir et chargé de l’obligation, dont il doit rendre compte, d’administrer, de gérer ou de disposer des biens selon les termes du trust et les règles particulières imposées au trustee par la loi.

Conséquences d’un trust pour les créanciers

La constitution d’un trust amène à une réorganisation du patrimoine de tous les intervenants qui se répercute sur les créanciers des parties prenantes. En effet, les actifs mis dans le trust ne sont plus accessibles aux créanciers du settlor puisqu’il s’en est dessaisi en faveur du trustee. Comme indiqué plus haut, les avoirs du trust ne font pas non plus partie du patrimoine du trustee. Par conséquent, les créanciers personnels du trustee et du settlor n’ont aucun droit sur les actifs formant le trust. De plus, les créanciers des bénéficiaires ne peuvent saisir directement les biens du trust puisque les bénéficiaires ne possèdent que des prérogatives à la remise d’avantages patrimoniaux.[vi]

Cadre juridique suisse

Jusqu’à la ratification de la Convention de la Haye intervenue le 1er juillet 2007, le terme de trust était totalement inconnu au droit suisse. En adhérant à la Convention, la Suisse a décidé de reconnaître l’existence et les effets juridiques des trusts. Néanmoins, il ne s’agit que d’une reconnaissance du trust, puisqu’il n’existe pas à proprement parler un trust de droit suisse. A l’heure actuelle, si un Suisse souhaite placer ses avoirs dans un trust, il doit se référer à un droit étranger.[vii] Toutefois, cette ratification permet à la place financière suisse de gérer des trusts étrangers depuis le territoire helvétique.

Bien que le droit suisse ne possède pas une législation propre au trust, la Suisse a introduit diverses normes afin de réglementer son statut. Entrée en vigueur le 1er janvier 2020, la loi fédérale du 15 juin 2018 sur les établissements financiers (LEFin, RS 954.1) prévoit notamment que les gestionnaires de fortune ainsi que les trustees mentionnés à l’art. 2, al.1, let. a et b soient soumis à la loi fédérale concernant la lutte contre le blanchiment d’argent et le financement du terrorisme (LBA, RS 955.0)

  • « Le trustee qui gère des trusts en Suisse ou depuis la Suisse est soumis à la LBA, quel que soit le lieu où se situent les biens du trust et l’ordre juridique dans lequel le trust a été constitué ;
  • Le protecteur est qualifié d’intermédiaire financier et donc soumis à la LBA s’il peut prendre des décisions en matière financière en lieu et place du trustee ou conjointement avec ce dernier. En revanche, si ses prérogatives se limitent à changer ou à surveiller le trustee ou encore à disposer d’un droit de veto lui permettant uniquement de s’opposer à des décisions de placement et d’allocation prises par le trustee, alors le protecteur n’est pas un intermédiaire financier au sens de la LBA ».[viii]

A noter encore qu’en mars 2019, le Conseil national a approuvé une motion afin d’introduire le trust dans le droit helvétique. Le Conseil fédéral est donc chargé de créer les bases légales permettant d’introduire un trust suisse.[ix]


[i] Neue Zürcher Zeitung (NZZ). Michael Ferber, 01.03.2019. « Braucht es einen Schweizer Trust ? ».Disponible à l’adresse : https://www.nzz.ch/finanzen/trusts-ld.1458203

[ii] FOSS Family Office Advisory. Disponible à l’adresse : https://www.family-office-advisory.com/fr/family-office-services/structures/trusts.html#close

[iii] Philippe Kenel. « Le trust : quelle utilité en droit suisse ? » Disponible à l’adresse : https://www.philippekenel.ch/fr/publications/articles/Le-trust–quelle-utilite-en-droit-suisse–1-53-17

[iv] Support de cours, G. Wuest – ILCE, 04.10.2019. Cours « Structures offshore et Trust ».

[v] Ibidem

[vi] Aude Peyrot, 2011. « Le trust de common law et l’exécution forcée en Suisse ». Université de Genève. Disponible à l’adresse : https://archive-ouverte.unige.ch/unige:17339

[vii] Parlement.ch, 13.03.2019 « Le trust devrait apparaître dans le droit suisse ». Disponible à l’adresse : https://www.parlament.ch/fr/services/news/Pages/2019/20190313125527885194158159041_bsf084.aspx

[viii] Confédération Suisse. Administration fédérale des finances AFF, 29.10.2008. « Pratique de l’Autorité de contrôle en matière de lutte contre le blanchiment d’argent relative à l’art. 2, al. 3, LBA ». Pages 17-18. Disponible à l’adresse : http://www.polyreg.ch/f/informationen/unterstellungskommentar.pdf  

[ix] Parlement.ch, 13.03.2019 « Motion CAJ-CE. Introduction du trust dans l’ordre juridique suisse ». Disponible à l’adresse : https://www.parlament.ch/fr/ratsbetrieb/amtliches-bulletin/amtliches-bulletin-die-verhandlungen?SubjectId=45567#votum11

Les néobanques et le blanchiment d’argent provenant de cyber-escroqueries

mercredi 22 Avr 2020

Par un étudiant du MAS à l’ILCE, inspecteur de police dans une division luttant contre la cybercriminalité

Une néobanque, qu’est-ce que c’est ?

Une néobanque, couramment également appelée banque mobile ou digitale, est une entreprise fournissant des services financiers uniquement via une application mobile, et ne disposant de ce fait d’aucun bureau physique pouvant accueillir des clients. Offrant divers avantages tels que des taux de conversion en devise étrangère très bas (taux interbancaire), les néobanques sont prisées des voyageurs. Elles connaissent aujourd’hui une évolution fulgurante, avec notamment en tête les deux gros mastodontes européens que sont Revolut et N26.  Au cours du premier trimestre 2018, les ouvertures de compte bancaire auprès de néobanques en France représentaient même 34% de toutes les ouvertures de compte, soit plus d’un tiers.[1] En Suisse, la néobanque anglaise Revolut posséderait 250’000 clients fin 2019, avec pas moins de 180’000 nouvelles relations bancaires durant cette année -là.[2]

Fonctionnement et réglementation

En Suisse, nous relevons deux néobanques :

  • Zak, appartenant à la Banque Cler (ancienne Banque Coop). Il s’agit d’une application mobile créée par la Banque Cler, laquelle propose une ouverture de compte et une gestion de son compte à 100% via une application mobile.
  • Neon, une fintech zurichoise appuyée par la Hypothekarbank Lenzburg (HBL). Neon utilise l’Open API (Application Programming Interface) de la HBL afin d’avoir accès à un système bancaire. La conséquence est que lorsque l’on veut ouvrir un compte grâce à Neon, nous devenons aussitôt clients de la HBL. [3]

Ces néobanques sont donc soutenues par des banques traditionnelles et sont soumises aux mêmes lois. Elles sont notamment soumises à la Loi sur les Banques (LB), assujetties à la surveillance de la FINMA et tenues à respecter les obligations de diligences bancaires de l’ASB.

Intéressons-nous plus particulièrement à l’ouverture des comptes. En effet, s’agissant de services financiers présents uniquement sur une application mobile, l’ouverture du compte doit s’effectuer à distance. En Suisse, la convention de diligence des banques (CDB20) oblige la banque à « vérifier l’identité du cocontractant lors de l’établissement d’affaires ». L’article 10 CDB20 précise quant à lui que « L’identification en ligne conformément aux prescriptions en vigueur de la FINMA vaut vérification de l’identité lorsque la relation d’affaires est établie par correspondance. ». [4]

Les prescriptions de la FINMA sont établies dans la circulaire 2016/7, qui traite des « obligations de diligence lors de l’établissement de relations d’affaires par le biais de canaux numériques ».  Cette dernière donne des directives claires aux banques concernant l’identification par vidéo. En résumé, elles doivent notamment respecter les critères suivants :

  • Communication audiovisuelle en temps réel
  • La qualité de l’image et du son doit être appropriée pour permettre une identification parfaite.
  • Le cocontractant est identifié par des collaborateurs de l’intermédiaire financier ayant suivi une formation correspondante.
  • L’intermédiaire financier contrôle l’authenticité des documents d’identification, d’une part au moyen de la lecture et du déchiffrage des informations contenues dans la MRZ et, d’autre part, à l’aide d’un élément de sécurité optique variable du document d’identification et d’un autre élément choisi de manière aléatoire.
  • En amont de l’entretien audiovisuel, le cocontractant doit pouvoir saisir les données selon les art. 44 et 60 OBA-FINMA et les transmettre à l’intermédiaire financier. Celui-ci les vérifie pendant l’entretien d’identification en utilisant des supports techniques appropriés ou en posant des questions ciblées.
  • Pendant la transmission vidéo, l’intermédiaire financier prend des photographies du cocontractant ainsi que de toutes les pages importantes du document d’identification et vérifie que les photographies du cocontractant concordent avec celle du document d’identification.[5]

La circulaire 2016/7 différencie l’identification par vidéo de l’identification en ligne. Cette dernière demande des mesures de contrôle supplémentaires, comme un virement d’argent en provenance d’un compte bancaire libellé au nom du cocontractant et une vérification de l’adresse de domicile du cocontractant. Cette méthode n’est aujourd’hui pas utilisée par les néobanques suisses.

Concernant la législation européenne, celle-ci se montre plus souple. En effet, pour ouvrir un compte bancaire auprès de grandes néobanques comme Revolut ou N26, de simples photos du visage ainsi que d’une pièce d’identité suffisent.[6],[7] Ces méthodes de vérification moins strictes ont par ailleurs déjà alerté des régulateurs, comme le Bafin en Allemagne. En effet, il était reproché à N26, au mois de mai 2019, de ne pas prendre toutes les mesures nécessaires afin de s’assurer que ses comptes sont en règle par rapport au blanchiment d’argent et au financement du terrorisme.[8]

Le blanchiment d’argent 2.0

L’émergence des néobanques a offert de nouvelles perspectives en termes de blanchiment d’argent, notamment pour les escroqueries commises sur Internet. Comme vu précédemment, il n’est pas impossible d’ouvrir un compte auprès de néobanques européennes sous une fausse identité. Il n’est donc pas rare que des comptes soient ouverts avec des documents d’identité et des « selfies » dérobés à des victimes d’escroqueries sentimentales par exemple. L’existence des money-mules, dont la Prévention suisse de la criminalité a largement communiqué à ce sujet en 2019[9], est également facilitée par les néobanques. En effet, les money-mules n’ont plus besoin de mettre leur propre compte à contribution des escrocs, mais peuvent simplement en créer un facilement depuis chez elles. Elles peuvent dès lors soit effectuer les transactions frauduleuses elles-mêmes, transférer l’usage de l’application aux escrocs, ou encore leur transmettre la carte bancaire reliée au compte afin que les escrocs l’utilisent directement.

Différents facteurs facilitent le blanchiment d’argent via les néobanques :

  • Facilité et rapidité à ouvrir un compte
  • Transfert d’argent instantané
  • Compte bancaire souvent gratuit, aucuns frais à avancer
  • Peu de suivi lors de transactions internationales car personnel restreint[10]

L’usage des néobanques est donc prisé des cyber-escrocs, qui utilisent une fois de plus les nouveaux services offerts grâce à Internet pour servir leurs propres intérêts. Il fait nul doute que des mesures doivent être prises afin de limiter le blanchiment d’argent via ces nouvelles banques en ligne.

Mesure d’amélioration

Tout d’abord, des mesures pourraient être prises lors de l’ouverture du compte même. En effet, il faudrait s’assurer que le compte soit bien ouvert par le client lui-même, et pour son usage. La législation suisse, en forçant l’entretien vidéo, est déjà un bon exemple dont pourraient s’inspirer différents autres pays européens. Des questions plus ciblées sur l’usage du compte pourraient aussi être posées, afin de garantir un cadre et de bloquer le compte s’il en venait à en sortir.

Une fois le compte ouvert, des mesures techniques peuvent être prises. En effet, profitant de l’utilisation de ces comptes bancaires via une application mobile, la banque est en mesure d’obtenir l’adresse IP du client, leur géolocalisation et d’autres éléments techniques comme l’user-agent.  Les algorithmes de sécurité pourraient être dès lors être améliorés, en bloquant le compte lorsqu’une connexion, un retrait par carte bancaire au distributeur, ou tout autre usage dans un pays ou l’utilisateur n’a pas raison d’y être seraient effectués. En effet, il a déjà été constaté des logs de connexion en Côte d’Ivoire ou au Bénin par exemple, alors qu’il s’agit de comptes bancaires ouverts au nom d’Européens. Une vérification devrait automatiquement être faite dans ces cas-là pour éviter le blanchiment d’argent venant de cyber-escroqueries.

Différentes autres mesures techniques pourraient également être prises, comme forcer la double authentification. En effet, un test mené personnellement le 14 mars 2020 démontre qu’il est possible, avec une néobanque suisse, de se connecter simultanément sur le même compte bancaire avec deux smartphones différents, avec simplement une adresse email et un mot de passe comme login. Il est surprenant qu’en 2020, pour une banque suisse, que de tels manquements de sécurité soient encore possibles.

Photo prise le 14.03.2020 lors de l’accès à mon propre compte bancaire sur deux smartphones différents, équipés de cartes SIM différentes.

[1] KPMG, « Panorama des néobanques en France, Point sur l’essor de ces nouveaux acteurs bancaires », novembre 2018

[2] Heim, M., « Revolut hat plötzlich massiv mehr Kunden in der Schweiz», in Handelszeitung, 14.10.2019

[3] Charles Foucault-Dumas, https://www.ictjournal.ch/news/2018-05-24/neon-et-la-hypothekarbank-lenzburg-lancent-une-banque-100-mobile, consulté le 29.03.2020

[4] Convention relative à l’obligation de diligence des banques (CDB 20) du 13 juin 2018, récupérée de https://www.swissbanking.org/fr/services/bibliotheque/directives, le 01.03.2020.

[5] Circ.-FINMA 16/7 « Identification par vidéo et en ligne » du 3 mars 2016, récupéré de https://www.finma.ch/fr/documentation/circulaires/ le 01.03.2020

[6] https://support.n26.com/fr-fr/vos-debuts/compte/quels-sont-les-documents-demandes-pour-la-verification-de-mon-identite consulté le 01.03.2020

[7] https://www.revolut.com/fr-FR/help/commencer/verification-de-l-identite/comment-puis-je-confirmer-mon-identite

[8] https://www.latribune.fr/entreprises-finance/banques-finance/la-neobanque-n26-dans-le-collimateur-du-regulateur-allemand-818049.html, consulté le 01.03.3030

[9] https://www.skppsc.ch/fr/sujets/internet/money-mules/, consulté le 14.03.2020

[10]  Christelle Bernhard, https://www.moneyvox.fr/banque-en-ligne/actualites/72937/essor-des-neobanques-une-porte-ouverte-au-blanchiment-argent, consulté le 14.03.2020

Les smart contracts, les contrats de demain ?

vendredi 20 Mar 2020

Par Sophie Bonaguro

Définition

Le smart contract (ou « contrat intelligent ») est un concept créé en 1993 par Nick Szabo un informaticien américain. (iii)

Il s’agit en fait de programmes informatiques autonomes, codés sur la blockchain et qui vont exécuter des tâches prédéfinies.

Malgré ce terme de « contrat intelligent », ce n’est pas un contrat au sens juridique du terme et il n’est pas intelligent :

C’est en effet un code informatique qui va servir à conclure et créer des contrats. Et son exécution se fera grâce aux règles préprogrammées par celui qui l’a créé.

La partie « intelligente » du contrat fait plutôt référence à sa capacité d’interagir de manière autonome avec d’autres applications. (ii)

Les smart contracts permettent, en théorie, à deux partenaires de nouer une relation commerciale sans qu’ils aient besoin de se faire confiance au préalable, sans autorité ou intervention centrale : c’est le système lui-même, et non ses agents, qui garantit l’honnêteté de la transaction. (i)

Comment ça marche ?

Ils reposent donc sur un codage informatique : ce sont des programmes qui encodent de manière formelle certaines conditions et résultats ; ce code doit recevoir l’accord préalable des parties contractantes. Les étapes sont les suivantes :

  • Traduction des termes du contrat en code informatique : dans la mesure où les systèmes numériques sont déterministes, toutes les issues possibles liées au contrat, dont notamment la rupture et la décision de soumettre les litiges à un arbitre, doivent être spécifiées explicitement.
  • Accord des parties sur le code qui sera utilisé.
  • Exécution du code de manière fidèle.  (i)

Applications

Les applications peuvent être multiples et variées :

  • Le leasing d’un véhicule (en cas d’interruption du paiement et après plusieurs avertissements, le programme gérant votre smart contract vous enlève le contrôle de la voiture) (iii) ;
  • Le domaine des assurances (versement de dommages-intérêts à certaines conditions) ;
  • La gestion numérique des droits d’auteur (paiement immédiat de ses droits à l’auteur en cas de téléchargement de musique). (ii)
  • Ventes aux enchères.
  • Services financiers. (iii)

Une blockchain spécialement dédiée aux smart contracts a été lancée en 2015 : Ethereum, présenté comme le « premier véritable ordinateur global ». Ethereum fonctionne avec l’ether, une monnaie virtuelle qui sert à payer l’exécution des smart contracts. (i)

Les avantages du recours à un smart contract

  • Aucune possibilité d’influencer le contrat.
  • Haute transparence, fiabilité et sécurité.
  • Traitement rapide et économique des transactions.
  • Contenu parfaitement clair du contrat.
  • Prévisibilité du règlement.
  • Coûts des transactions faibles.
  • Déroulement via une infrastructure globale. (iv)

Les limites du recours au smart contract

  • Nécessité d’une base de données numériques et accès fortement restreint en dehors de la blockchain.
  • Aucune possibilité d’influencer le contrat une fois codé.
  • Il est soumis à une logique de transaction binaire et les problèmes de la vie courante sont généralement plus complexes.
  • Pas de mécanisme prévu pour le règlement des litiges.
  • Droit impératif. (iv)
  • Enfin un risque de fraude peut exister : Le piratage en 2016 contre l’application TheDAO (The Decentralized Autonomous Organisation) sur Ethereum pour un montant estimé à 50 millions d’USD à l’époque est un exemple parlant. Le hacker a utilisé une vulnérabilité dans une fonction du contrat pour détourner un tiers de la somme collectée en ethers. (ii)

Conclusion

Il reste, comme on le voit, encore de nombreux défis à relever notamment au niveau du droit avant que le recours aux smart contracts se généralise.

L’utilisation la plus courante d’un smart contract est à l’heure actuelle le cas du smart contract précédé d’un contrat. Il est alors utilisé comme un outil d’exécution avec comme avantages sa fiabilité, son caractère automatisé, son efficacité et son absence d’intermédiaire. De plus le recours aux smart contracts comme outil dans le but de simplifier et automatiser l’exécution des contrats parait être une stratégie adaptée à des contrats aux caractéristiques spécifiques et notamment contenant des obligations simples.  (ii)

Dans tous les cas, il sera primordial avant de recourir à un smart contract d’analyser la situation juridique ainsi que le contexte et de bien considérer les avantages et les limites actuels afin de profiter pleinement de ce bel outil technologique.

Bibliographie

(i) Geiben Didier, Jean-Marie Olivier, Verbiest Thibault et Vilotte Jean-François, Bitcoin et Blockchain. Vers un nouveau paradigme de la confiance numérique ? RB Edition, 2016.

(ii) Caron Blaise, Müller Christoph, Hug Dario, 3ème journée des droits de la consommation et de la distribution : Blockchain et Smart Contracts – Défis juridiques, Université de Neuchâtel, Helbing Lichtenhahn, 2018.

(iii) Bussac Enée Bitcoin, Ether &, Cie – Guide pratique pour comprendre, anticiper et investir 2019, Dunod, 2018.

(iv) Glarner Andreas Introduction aux contrats intelligents (smart contracts) Journée de formation continue FSA Stade de Suisse à Berne, 31 août 2018. Disponible à l’adresse : https://www.sav-fsa.ch

Le cheval de Troie : un intrus malveillant qui cache bien son jeu

mardi 17 Mar 2020

Par Dounia Grolimund

Un phénomène inéluctable ?

Selon une étude de l’Association of Internet Security Professionals publiée en 2014, un constat, pour le moins inquiétant, a mis en évidence une triste réalité pour les utilisateurs quotidiens de tout système informatique. L’entité en question, chargée d’apporter des pistes d’améliorations et de réponses en matière de cybersécurité pour les entités des secteurs publics et privés, a dévoilé qu’un ordinateur sur trois était infecté par un logiciel malveillant et que près du trois quarts de ces infections, soit 73 %, découlaient d’un cheval de Troie (Trojan horse en anglais)[1].

En d’autres termes, ce pourcentage alarmant signifie que n’importe quel utilisateur lambda est susceptible d’être confronté, au moins une fois dans sa sphère privée ou professionnelle, à un cheval de Troie ou tout autre logiciel malveillant pouvant engendrer de sinistres ravages sur son ordinateur.

Considérés comme les couteaux suisses du piratage selon les intentions criminelles de leurs programmeurs[2], les dégâts provoqués par les chevaux de Troie ne sont pas à prendre à la légère étant donné leur utilité à diverses fins malhonnêtes.

D’où l’importance de sensibiliser le public à ce malware de prédilection pour de nombreux cybercriminels[3] et d’adopter, au quotidien, les bons réflexes pour se protéger et détecter à temps la présence d’un cheval de Troie sur votre système informatique.

Qu’est-ce qu’un cheval de Troie ?

Au préalable, avant d’entrer dans les détails, il paraît nécessaire de définir en quelques mots ce logiciel malintentionné bien connu dans le monde informatique[4].

Un cheval de Troie est un programme malveillant caché dans un logiciel d’apparence légitime et anodine qui s’infiltre dans votre système informatique et agit à votre insu. Pour faire simple, il s’agit d’un logiciel caché dans un autre qui permet à un pirate informatique d’avoir accès à votre ordinateur en ouvrant une porte dérobée (backdoor en anglais)[5].

Bien que, dans la conscience collective, les chevaux de Troie sont souvent assimilés comme étant des virus ou des vers, ceux-ci n’entrent pas dans l’une des catégories précitées. Un virus est un infecteur de fichiers qui peut facilement se dupliquer une fois qu’il a été exécuté au moyen d’un réseau Internet. Quant au ver, il s’agit d’un type de malware semblable au virus mais, toutefois, ce dernier n’a pas besoin de se propager dans un système informatique en se greffant à un programme particulier[6].

Contrairement au virus informatique, le cheval de Troie n’a pas la capacité de se répliquer et d’infecter des fichiers par lui-même. Il vise à infiltrer le dispositif informatique d’un utilisateur vulnérable par le biais de différents moyens[7].

Dans le jargon informatique, le cheval de Troie est un terme générique utilisé pour désigner la distribution de malwares car il n’existe pas un seul et unique type de cheval de Troie[8]. Employé comme porte dérobée pour introduire d’autres programmes malveillants dans un système informatique[9], le cheval de Troie peut agir comme un malware autonome ou un outil utilisé à d’autres fins dont notamment l’exploitation de vulnérabilités[10].

La particularité des chevaux de Troie réside dans le fait que ceux-ci passent inaperçus en raison de leur apparence inoffensive. En effet, ils peuvent simplement s’installer dans votre ordinateur, créer des failles dans votre système de sécurité, recueillir des informations sur vous, prendre le contrôle de votre PC en vous empêchant d’y avoir accès ou encore vous espionner et voler vos mots de passe[11].

Autrement dit, les cybercriminels n’hésitent pas à recourir aux chevaux de Troie pour diffuser différentes menaces allant des rançongiciels (ransomware en anglais) qui exigent une rançon pour déchiffrer les données prises en otage sur un ordinateur aux logiciels espions (spywares en anglais) qui collectent les données personnelles et financières des utilisateurs à leur insu[12].

Origine du terme et bref historique

Le nom « cheval de Troie » est inspiré de l’Iliade, une célèbre légende de la Grèce antique faisant référence à la conquête de la ville de Troie par les Grecs. Pour pénétrer à l’intérieur de la cité connue pour être protégée par d’imposantes fortifications, les conquérants grecs ont eu l’idée de construire un immense cheval en bois dans le but d’y cacher un groupe de soldats[13].

En découvrant cet étalon de bois géant devant les portes de leur ville, les Troyens, ignorant le stratagème des Grecs et étant convaincus qu’il s’agissait d’une offrande, ont fait entrer ce « cadeau » dans leur cité. Une fois la nuit tombée, les soldats grecs, sortis de leur cachette, ont détruit la totalité de la ville de Troie et massacré ses habitants[14].

La technique du cheval en bois employée par les Grecs pour passer à travers les fortifications de la cité troyenne présente donc de nombreuses similitudes avec ce logiciel malveillant utilisant en quelque sorte un « déguisement » pour cacher ses véritables intentions[15].

C’est en 1970 que Daniel J. Edwards, un chercheur à la National Security Agency (NSA) invente le terme « cheval de Troie » pour désigner ce malware[16]. Il faudra, ensuite, attendre l’année 1974 pour voir ce mot apparaître pour la première fois dans un rapport de l’US Air Force ayant pour thème l’analyse des vulnérabilités dans les systèmes informatiques[17].

Concrètement, à quoi ressemble un cheval de Troie ?

Au premier coup d’œil, il n’est pas toujours aisé d’identifier un cheval de Troie car celui-ci peut ressembler à n’importe quel programme à l’apparence saine.  Il peut s’agir d’un logiciel, d’un jeu informatique gratuit téléchargé sur un site web non sécurisé ou encore d’une simple publicité essayant d’installer une fonctionnalité malveillante sur votre ordinateur[18].

Pour vous inciter à exécuter un cheval de Troie dans votre système, les pirates informatiques, font preuve d’imagination et ont recours à diverses techniques d’ingénierie sociale[19] en utilisant notamment un langage trompeur pour essayer de vous convaincre de leur légitimité, raison pour laquelle il est fortement déconseillé de télécharger des logiciels sur des plateformes peu sûres[20].

Les types de chevaux de Troie

Les chevaux de Troie ont la spécificité d’être particulièrement polyvalents. C’est pourquoi, il est difficile de donner une description précise de chaque type même si la grande majorité d’entre eux sont généralement conçus pour prendre le contrôle d’un système à l’insu de son utilisateur. Parmi les menaces les plus courantes liées aux chevaux de Troie, on peut citer[21] :

  • La création de porte dérobée permettant un accès à distance dans un ordinateur.
  • L’espionnage par le biais de logiciels espions qui attendent que l’utilisateur se connecte à ses comptes en ligne pour saisir les données de sa carte bancaire (ex : mot de passe).
  • La transformation d’un ordinateur en zombie (botnet en anglais) lorsque le cybercriminel prend son contrôle pour le rendre esclave d’un réseau.
  • Les malwares qui installent d’autres programmes malveillants comme des rançongiciels ou des enregistreurs de frappe du clavier.

Quelles sont les origines fréquentes des chevaux de Troie ?

De nombreuses activités imprudentes peuvent être à l’origine d’une infection par un cheval de Troie. La liste ci-dessous donne un bref aperçu des méthodes d’infection les plus connues[22] :

  • Connexion d’un ordinateur à un périphérique externe infecté.
  • Ouverture de pièces jointes infectées telles que des factures ou des reçus provenant d’un e-mail louche où le simple fait de cliquer dessus lance un cheval de Troie.
  • Visite de sites web peu fiables qui prétendent diffuser des films connus en direct.
  • Téléchargement de programmes trafiqués, de jeux non payants et d’applications gratuites sur des sites web non officiels.

Les applications peuvent-elles être aussi infectées par des chevaux de Troie ?

Malheureusement oui, les chevaux de Troie peuvent aussi infecter des applications d’appareils mobiles. Le processus reste le même que pour les ordinateurs. Lorsqu’un utilisateur souhaite télécharger une application, le cheval de Troie se fait passer pour un programme inoffensif alors qu’il s’agit d’une contrefaçon remplie de malwares destinée à infecter son téléphone[23].

De tels chevaux de Troie sont habituellement cachés dans des boutiques d’applications pirates. Indépendamment des informations volées sur votre téléphone, ces applications malicieuses peuvent aussi générer des profits en vous envoyant des SMS payants[24].

Quant aux smartphones, ceux-ci ne sont, eux non plus, pas égaux face aux chevaux de Troie. Alors que les utilisateurs d’Android peuvent être victimes d’applications infectées en allant simplement sur Google Play, les adeptes d’IPhone seraient moins vulnérables à ces intrusions en raison des politiques restrictives d’Apple pour autant que les usagers installent bien des applications provenant de l’App Store. Évidemment, le risque zéro n’existe pas si d’autres programmes sont téléchargés en dehors des paramètres d’Apple[25].

Comment se protéger ?

Pour éviter les chevaux de Troie, vous devez rester vigilants en adoptant certaines bonnes pratiques. Indépendamment du pare-feu et de l’acquisition d’un bon antivirus, les règles de sécurité suivantes sont vivement conseillées[26] :

  • Afficher les paramètres par défaut de votre ordinateur de manière à toujours afficher les extensions des applications.
  • Utiliser des mots de passe robustes difficiles à casser.
  • Procéder régulièrement à des analyses de diagnostic.
  • Éviter d’ouvrir des pièces jointes issues d’e-mails suspects ou inhabituels.
  • Se méfier des sites web douteux.
  • Veiller à maintenir les logiciels de votre système d’exploitation et vos applications à jour de façon à ce que les dernières mises à jour de sécurité soient installées pour prévenir toute vulnérabilité.

Ainsi, au cas où votre ordinateur présenterait les symptômes ci-dessous[27]

  • Activité inhabituelle de votre disque, de votre carte réseau ou de votre modem.
  • Arrêt de manière répétée.
  • Ouverture de programmes indépendamment de votre volonté.
  • Réactions anormales de votre souris.

… n’hésitez pas à vous renseigner auprès d’un spécialiste car votre ordinateur a de grandes chances d’être infecté par un logiciel malveillant tel qu’un cheval de Troie. Si vous ne réagissez pas suffisamment à temps, le cybercriminel derrière son écran risque fort de vous jouer de mauvais tours et de mettre vos nerfs à rude épreuve…


[1] Association of Internet Security Professionals. AISP Working Paper, Autumn 2014. Illegal Streaming and Cyber Security Risks : a  dangerous status quo ? [en ligne]. Publié en 2014, p. 1-31. [Consulté le 23 février 2020]. Disponible à l’adresse : http://www.documentcloud.org/documents/1304012-illegal-streaming-and-cyber-security-risks-aisp.htm

[2] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 23 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[3] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 23 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[4] JOURNAL DU NET. La Rédaction JDN. Cheval de Troie (Trojan) en informatique : définition simple. Site Journal du net [en ligne]. Mis à jour le 9 janvier 2019. [Consulté le 24 février 2020]. Disponible à l’adresse : https://www.journaldunet.fr/web-tech/dictionnaire-du-webmastering/1203489-cheval-de-troie-trojan-definition-traduction-et-acteurs/

[5] PANDA SECURITY. Qu’est-ce qu’un cheval de Troie en informatique ? Site Panda Security. [en ligne]. Publié le 18 juillet 2019. [Consulté le 24 février 2020]. Disponible à l’adresse : https://www.pandasecurity.com/france/mediacenter/malware/quest-quun-cheval-troie-informatique/

[6] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[7] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[8] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[9] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[10] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[11] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[12] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[13] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 26 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[14] Par un-e employé-e de Symantec. NORTON. Malware : qu’est-ce qu’un cheval de Troie ? Malware 101 : what is a Trojan horse ? Site Norton. [en ligne].  Mis à jour en 2019. [Consulté le 26 février 2020]. Disponible à l’adresse : https://fr.norton.com/internetsecurity-malware-what-is-a-trojan.html

[15] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 26 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[16] LIBRAIRIES DIGITAL CONSERVANCY. Oral history interview with Daniel J. Edwards. Charles Babbage Institute. Site Librairies Digital Conservacy. [en ligne]. Mis à jour en 2014. [Consulté le 26 février 2020]. Disponible à l’adresse : https://conservancy.umn.edu/handle/11299/162379

[17] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 26 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[18] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 27 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[19] PANDA SECURITY. Qu’est-ce qu’un cheval de Troie en informatique ? Site Panda Security. [en ligne]. Publié le 18 juillet 2019. [Consulté le 27 février 2020]. Disponible à l’adresse : https://www.pandasecurity.com/france/mediacenter/malware/quest-quun-cheval-troie-informatique/

[20] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 27 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[21] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 28 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[22] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 28 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[23] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 29 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[24] Par un-e employé-e de NortonLifeLock. NORTON. Malware : qu’est-ce qu’un cheval de Troie ? Malware 101 : what is a Trojan horse ? Site Norton. [en ligne].  Mis à jour en 2019. [Consulté le 29 février 2020]. Disponible à l’adresse : https://fr.norton.com/internetsecurity-malware-what-is-a-trojan.html

[25] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 29 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[26] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 1er mars 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[27] PANDA SECURITY. Qu’est-ce qu’un cheval de Troie en informatique ? Site Panda Security. [en ligne]. Publié le 18 juillet 2019. [Consulté le 1er mars 2020]. Disponible à l’adresse : https://www.pandasecurity.com/france/mediacenter/malware/quest-quun-cheval-troie-informatique/

Image : https://www.amnesty.ch/fr/contacts/media/opinions/docs/2016/questions-autour-des-chevaux-de-troie

Le Coronavirus profite aux fraudeurs !

vendredi 06 Mar 2020

Par Renaud Zbinden et Olivier Beaudet-Labrecque

La propagation du Coronavirus sur le globe et son traitement médiatique génèrent un sentiment d’insécurité grandissant dans la population. Devant les mesures extraordinaires promulguées par certains gouvernements et le caractère exceptionnel de la situation, les citoyens peuvent devenir plus crédules qu’à l’habitude. Ce climat est particulièrement propice à la commission de fraudes et les escrocs le savent bien. Voici quelques exemples autour du globe :

  • En France et en Italie, des malfaiteurs déguisés en décontamineur se présentent aux portes de personnes à risque et leur annoncent être envoyés pour décontaminer les habitations de la région. Ils demandent ensuite aux résidents d’évacuer leur propre logement pendant une ou deux heures et profitent de leur absence pour dérober leurs biens de valeur.
  • La société américaine Amazon a retiré de son site plus d’un million de produits frauduleux liés au virus (masques, solutions désinfectantes, médicaments, etc.). Ces produits étaient faux ou dangereux.
  • L’Organisation mondiale de la santé (OMS) met en garde contre des courriels frauduleux invoquant une urgence liée au virus. La victime est invitée à ouvrir une pièce jointe altérée, à cliquer sur un lien qui s’avère corrompu ou encore à donner des informations personnelles.
  • Au Royaume-Uni, plus de 800’000 livres sterling ont été perdues à cause d’escroqueries liées à la vente fictive de masques. Les victimes ont acheté des masques en ligne pour des prix excessifs, mais la marchandise n’est jamais arrivée.
  • Des courriels de fausses levées de fonds sont envoyés au nom d’organisations mondiales ou nationales (OMS, ou CDC aux Etats-Unis par exemple) en vue d’amasser de l’argent pour combattre le virus.
  • Certains fraudeurs profitent du Coronavirus pour mettre sur pieds des techniques d’ingénierie sociale et obtenir des informations sur leurs cibles. Il peut s’agir d’appels téléphoniques non sollicités pour vendre des masques faciaux, ou encore des courriels qui proposent à la personne ou à l’entreprise contactée de connaître les cas diagnostiqués dans la région.
  • En Italie, la police enquête sur des fraudeurs qui vendent du matériel sanitaire non conforme ainsi que des remèdes « miracles » à des prix exorbitants. Les ventes se font en ligne, mais également par téléphone et à domicile.

Au-delà des précautions sanitaires, n’oubliez pas de garder vos cerveaux actifs et vigilants !

Whistleblowing et signalements anonymes

mardi 25 Fév 2020

Par Céline Neuhaus

Situation en Suisse

Malgré deux interventions parlementaires en 2003[i] et un projet du Conseil fédéral 10 ans plus tard[ii], la Suisse n’a toujours pas adopté de loi en matière de whistleblowing. En effet, la version modifiée de ce projet, que le Parlement avait jugé trop compliqué, a été rejetée par le Conseil national le 3 juin 2019. Le projet n’est toutefois pas définitivement enterré puisque le Conseil des Etats lui a encore donné une chance en l’adoptant sans modification le 16 décembre 2019. A noter que l’Union européenne s’est dotée en octobre 2019 d’une Directive imposant aux Etats membres de prévoir d’ici deux ans dans leur législation notamment une obligation pour les entreprises de plus de 50 employés de mettre en place des canaux de signalement[iii].

Les parlementaires avancent pour certains que, malgré la modification apportée par le Conseil fédéral[iv], le système est trop compliqué[v] et pour d’autres qu’il ne protège pas suffisamment l’employé qui signale une irrégularité. Certains estiment finalement que les principes généraux du droit suffisent et qu’il appartient aux tribunaux de juger si un signalement est admissible ou non[vi].

Certes, le projet n’est pas parfait. L’argument selon lequel il ne protège pas suffisamment le whistleblower peut être entendu, mais affirmer que la situation actuelle est satisfaisante n’est pas défendable. Le travailleur qui constate des irrégularités doit savoir comment se comporter et bénéficier d’une sécurité juridique quant aux conséquences de son signalement et non espérer qu’un tribunal, le cas échéant, lui donnera raison[vii].

Le projet propose une marche à suivre claire, privilégiant le signalement interne, et incite les entreprises à mettre en place un dispositif de signalement adéquat. Un bon dispositif d’alerte est la meilleure garantie pour des signalements efficaces, utiles et dans l’intérêt de l’entreprise, ainsi que pour une meilleure protection des whistleblowers. Une étude menée par la Haute Ecole Spécialisée de Coire en collaboration avec EQS Group[viii] montre que, même si près de deux entreprises sur trois en Suisse (71% des grandes entreprises) proposent déjà un dispositif d’alerte, plus de deux entreprises sur trois (58% des grandes entreprises) qui n’ont pas de dispositif ne prévoient pas d’en mettre un en place. La raison principale invoquée est par ailleurs l’absence d’obligation[ix]. En outre, il n’est pas certain que les dispositifs d’alerte proposés par les entreprises sont tous conformes aux exigences fixées dans le projet[x], et la communication relative à ces dispositifs est insuffisante[xi].

Irrégularité au travail : que feriez-vous ?

Prenons l’exemple de Daniel, cadre moyen dans une grande entreprise. Daniel soupçonne fortement son chef d’obtenir des avantages indus d’un fournisseur. Mais il n’a pas de preuve, il ne se prend pas pour un justicier et finalement c’est le problème de l’entreprise et pas le sien. De plus, les relations avec son chef sont tendues et, pour ne rien arranger, celui-ci est très apprécié par le management. Toutefois, il découvre un jour par hasard que certaines prestations facturées par ce fournisseur sont inexistantes. Bien qu’il ne se prenne pas pour un héros, sa conscience et son devoir de loyauté envers son employeur lui imposent de signaler ces faits. Encouragé par la possibilité de s’adresser en toute confidentialité à un service indépendant dans l’entreprise, il annonce le cas. La suite ne s’est toutefois pas passée comme il l’imaginait : son identité a été révélée, des plaintes pénales ont été déposées contre lui, il a subi des pressions et s’est finalement retrouvé en incapacité de travail de longue durée alors que son chef travaille toujours dans l’entreprise.

Il s’agit malheureusement de risques réels pour un whistleblower[xii]. Le collaborateur bien avisé qui ne souhaite ni être connu, ni prétériter sa santé et son avenir professionnel, sait qu’il n’a aucun avantage personnel et donc également aucune raison de signaler des irrégularités. Mais il existe une solution : le signalement anonyme.

Signalement anonyme : le meilleur canal de signalement pour l’entreprise et le whistleblower

La première erreur de Daniel, c’est d’avoir pensé que la confidentialité qu’on lui avait garantie le protégerait. Or, confidentialité ne veut pas dire anonymat. Même si l’employeur respecte la confidentialité, une plainte pénale[xiii] de la personne soupçonnée mettra fin à la confidentialité. Et cela n’est pas critiquable ; la personne soupçonnée a aussi des droits, dont celui d’accéder au dossier. Les dispositions relatives à la protection de la personnalité et à la protection des données du travailleur (art. 328 et 328b CO) imposent déjà à l’employeur d’informer la personne soupçonnée et de lui donner l’accès au dossier dès que le secret de l’enquête interne ne l’exige plus[xiv]. L’autre erreur de Daniel, c’est d’avoir pensé que l’existence d’un système d’annonce sur le papier lui garantirait un traitement professionnel de son signalement par l’entreprise. Or, la réalité peut être bien différente.

Ainsi, seul l’anonymat permet au whistleblower, pour autant qu’il ne fournisse pas des informations permettant de l’identifier de manière absolue, d’éviter tous les « effets pervers » d’un signalement[xv]. L’anonymat ne peut être garanti qu’au moyen d’une plateforme informatique conçue à cet effet, dans le sens où l’anonymat est protégé par des moyens techniques[xvi]. C’est ce que propose notamment le Contrôle fédéral des finances depuis juin 2017[xvii]. Tout en garantissant l’anonymat, ce type de plateforme permet également de dialoguer avec le whistleblower. Il s’agit d’une fonctionnalité essentielle pour que le service en charge du traitement puisse établir correctement les faits et récolter les preuves suffisantes.

Certains estiment que les alertes anonymes ne devraient pas être proposées ou autorisées, notamment en raison d’un risque accru d’abus[xviii]. Mais ce risque n’est pas vérifié[xix]. Au contraire, l’étude précitée et l’expérience montrent non seulement qu’il n’y a pas plus d’abus, mais également que le nombre et la qualité des signalements augmentent avec ce type de canal d’alerte spécialisé. Ce mode de signalement est par ailleurs privilégié par rapport à d’autres lorsqu’il est proposé[xx]. Et cela n’a rien d’étonnant. Il n’est pas dans notre culture de dénoncer. Les whistleblowers sont considérés comme des délateurs, avec des motivations forcément suspectes[xxi]. Une bonne communication, notamment sur les droits et obligations du whistleblower, est certainement la meilleure arme contre les abus[xxii].

Avec un système de signalement anonyme tel que décrit ci-dessus, les témoins de dysfonctionnements souhaitant rester discrets, mais pas forcément silencieux, seront encouragés à effectuer un signalement. L’anonymat permet également d’éviter un détournement de l’attention vers le whistleblower et ses motivations. Le temps et les ressources peuvent ainsi être consacrés au sujet pertinent : les irrégularités. De plus, en investissant dans un tel système, l’entreprise donne un signal clair à ses collaborateurs sur sa volonté d’agir contre les comportements contraires à la loi ou à l’éthique. Rappelons que le whistleblowing est l’arme la plus efficace contre les actes qui ne causent pas de victimes directes, tels que notamment la fraude et la corruption[xxiii].


[i] Motion Gysin 03.3212 « Protection juridique pour les personnes qui découvrent des cas de corruption » du 7 mai 2003 et Motion Marty 03.334 « Mesures de protection des whistleblowers » du 19 juin 2003.

[ii] Message du 20 novembre 2013 sur la révision partielle du code des obligations (Protection en cas de signalement d’irrégularités par le travailleur) (FF 2013 [50] p. 8547). Documentation relative au projet : https://www.bj.admin.ch/bj/fr/home/wirtschaft/gesetzgebung/whistleblowing.html

[iii] Directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l’Union, JO L 305 du 26 novembre 2019, p. 17-56.

[iv] Message additionnel du 21 septembre 2018 sur la révision partielle du code des obligations (Protection en cas de signalement d’irrégularités par le travailleur) (FF 2018 [41] p. 6163) et Projet (FF 2019 [7] p. 1423).

[v] Système de signalement en cascade : pour autant que l’employeur ait mis en place un dispositif d’alerte indépendant et avec des règles claires (art. n321aquater al. 2 CO), le signalement doit en principe d’abord être adressé à l’employeur (art. n321abis CO) puis, s’il demeure sans effet, le whistleblower peut s’adresser aux autorités compétentes (art. n321ater CO) et en dernier lieu, à des conditions très strictes, au public (art. n321aquinquies CO).

[vi] Cf. débats parlementaires BO 2019 N 805. Projet du Conseil fédéral 13.094 « CO. Protection en cas de signalement d’irrégularités par le travailleur » du 20 novembre 2013, https://www.parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20130094

[vii] Le projet prévoit également le droit pour l’employé de prendre conseil auprès d’une personne soumise à un devoir légal de confidentialité (art. n321asexies CO). L’employé ne risque ainsi pas d’être poursuivi pour la violation d’un secret (Carranza/Micotti, Whistleblowing/Perspectives en droit suisse, Zurich 2014 p. 67 s.). Le whistleblower se verrait d’ailleurs bien inspiré de prendre conseil auprès d’un avocat s’il pense adresser son signalement à l’extérieur de l’entreprise.

[viii] Hauser/Hergovits/Blumer, Rapport 2019 sur les alertes professionnelles, Coire 2019, www.htwchur.ch/whistleblowingreport, ci-après : Rapport 2019.

[ix] Rapport 2019, pp. 18, 25, 28 et 31.

[x] Art. n321aquater al. 2 CO, cf. note 7. Le dispositif d’alerte est souvent rattaché à la direction et aux ressources humaines (aussi pour les grandes entreprises), mais moins souvent à l’audit interne ou au conseil d’administration (Rapport 2019, p. 43).

[xi] Près d’une grande entreprise sur trois ne communique jamais ou une seule fois (Rapport 2019, pp.50 et 52).

[xii] Carranza/Micotti, pp. 52 et 64 ss.

[xiii] Pour diffamation, calomnie, dénonciation calomnieuse ou même violation de la loi sur la protection des données contre l’employeur

[xiv] Carranza/Micotti, p. 85; D. Raedler, L’employé comme partie faible dans l’enquête interne, in : O. Hari (édit.), Protection de certains groupements de personnes ou de parties faibles versus libéralisme économique : quo vadis ?, Zurich 2016, p. 345 ss.

[xv] Carranza/Micotti, p. 52 ss.

[xvi] Il n’est pas possible de tracer l’adresse IP du whistleblower.

[xvii] Un anonymat total pour les lanceurs d’alerte, 24 heures, le 17 novembre 2017, https://www.24heures.ch/suisse/anonymat-total-lanceurs-alerte/story/12815435; Contrôle fédéral des finances: https://www.bkms-system.ch/CDF-fr; également proposé par la Poste https://post.integrityplatform.org et la Cour des comptes de la République et canton de Genève https://www.bkms-system.ch/cdc

[xviii] Avis notamment de Shelby du Pasquier, Le Temps, 30 août 2015, https://www.letemps.ch/economie/whistleblowing-derive-responsabilite-democratique

[xix] Les alertes abusives sont plutôt rares de manière générale et pour celles qui sont anonymes, la proportion est identique (Rapport 2019, p. 9 s.). Les alertes anonymes sont proposées par 2/3 des entreprises suisses dotées d’un dispositif et seules 5% sont abusives (Rapport 2019, pp. 39 s. et 58).

[xx] Les canaux d’alertes spécialisés, comprenant les plateformes digitales, font augmenter le nombre d’alertes et leur pertinence (Rapport 2019, p. 57 s.). Le Rapport annuel 2018 du Contrôle fédéral des finances relève également le succès et la pertinence de la plateforme d’alerte sécurisée (Rapport annuel 2018, p. 74, https://www.efk.admin.ch/fr/publications/communication-institutionnelle/rapports-annuels.html).

[xxi] Également avis du professeur Luc Thévenoz, Le Temps, 19 septembre 2012, https://www.letemps.ch/economie/lanceurs-dalerte-faut-faciliter-tache-suisse. Eviter une culture de la délation est la troisième raison invoquée par les entreprises suisses qui n’ont pas de dispositif d’alerte (Rapport 2019, p. 25).

[xxii] Rapport 2019, pp. 9, 48 et 59.

[xxiii] Carranza/Micotti, p. 8.

La taxation des GAFA

mardi 11 Fév 2020

Par Nathalie Peignon

La problématique de la taxation des GAFA

Les GAFA – acronyme de Google, Amazon, Facebook, Apple – sont les représentants les plus célèbres des entreprises de l’économie numérique qui compte en son sein nombre d’institutions telles que Meetic, Airbnb, Linkedin, Instagram, Critéo, etc.

Le principe de l’économie digitale consiste à fournir une gamme de services sur le web, via des plateformes numériques. Par conséquent, ces sociétés n’ont pas besoin d’établir une présence physique dans les Etats dans lesquels elles opèrent. Elles peuvent donc établir leur siège social et être taxées sur leur bénéfice dans le pays de leur choix, de préférence le plus « accueillant ».

La fiscalité européenne

Au sein de l’UE, les règles actuelles d’imposition des bénéfices sont fondées sur le principe de l’établissement stable à savoir une présence physique, matérialisée par des employés et/ou des actifs.

En matière de fiscalité, l’avis du Parlement européen est purement consultatif et les ministres de l’Economie des Etats membres peuvent s’accorder directement sur une proposition. Par contre, l’unanimité des membres du Conseil est requise pour adopter un texte.

L’absence d’harmonisation autorise la concurrence fiscale entre certains Etats et les GAFA ont implanté leurs filiales et leur présence physique, dans les pays qui proposent les taux d’imposition les plus faibles. Ainsi, l’Irlande accueille les sièges de Facebook et de Google et le Luxembourg accueille Amazon.

La Commission estime que, dans l’Union européenne, le taux moyen d’imposition des bénéfices des GAFA est compris dans une fourchette de 8.5% à 10% alors que celle des entreprises dotées de sièges sociaux physiques se situe en moyenne entre 20% et 23%.[1]

Le cas d’Amazon

Selon les comptes déposés au Luxembourg pour 2016, Amazon Europe a réalisé 21.6 milliards d’euros de chiffre d’affaires (ce montant n’intègrerait pas les revenus du cloud ni de la publicité). Le bénéfice déclaré est de 60 millions d’euros et l’impôt final de 16.5 millions d’euros.

Comment cela est-il possible ? En 2003, Amazon a signé un accord fiscal avec le Luxembourg aux termes duquel Amazon Europe paie des droits de propriété intellectuelle à une autre société qui, elle, est non taxable. Via celle-ci, les profits réalisés en Europe partent vers l’état du Delaware. Bruxelles estime que sur la période 2006-2014, Amazon a ainsi économisé 250 millions d’euros.

Depuis 2015, en signe de bonne volonté, Amazon a créé de vraies filiales par pays. Mais si en 2015, la succursale française a déclaré un milliard d’euros de chiffre d’affaires (loin des 4,4 milliards estimés), elle n’a payé que 1,7 million d’euros d’impôts sur les bénéfices en raison d’une déduction de 250 millions d’euros au titre de services extérieurs.

Les questions relatives à la taxation

La taxation des activités numériques envisagée par les pays européens, notamment la France, remet en cause une règle fondamentale de l’imposition des entreprises : la taxation des chiffres d’affaires et non plus des bénéfices.

Pour Robert Danon, directeur du centre de politique fiscale de l’Université de Lausanne : « le problème avec la taxe sur les chiffres d’affaires c’est que la compatibilité de cette taxe avec les standards internationaux est douteuse. Elle crée des distorsions parce qu’elle vise certaines entreprises uniquement ».

La position de la Commission européenne

La Commission européenne avait dévoilé en mars 2018 le projet de taxer les multinationales du numérique non plus en fonction de la présence physique, mais là où elles enregistrent leurs revenus.

L’idée était de taxer dans chaque Etat membre de l’UE – en proportion de l’utilisation des services numériques offerts – le chiffre d’affaires généré par certaines activités numériques : vente de données personnelles, vente d’espaces publicitaires en ligne, les services qui permettent les interactions entre utilisateurs et facilitent la vente de biens et de services. Cette taxe devait frapper les très grandes entreprises de l’économie numérique qui réalisent un chiffre d’affaires mondial supérieur à 750 millions d’euros, dont 50 millions dans l’UE. Cela concernerait 120 à 150 entreprises, pour des recettes fiscales de l’ordre de 5 milliards d’euros par an. Par contre, les start-ups et les entreprises numériques de l’économie solidaire étaient exclues du champ d’application.[2]

En l’absence d’unanimité des 28 Etats, le 11 juillet 2019 le parlement français promulgue sa propre taxe GAFA. Les groupes dont les activités numériques rapportent plus de 750 millions d’euros dans le monde dont 25 millions pouvant être rattachés à des utilisateurs localisés en France seront imposés à 3% en France.

Le chef du Département fédéral des finances a prévenu : « on ne peut faire autrement que de taxer les recettes provenant d’activités digitales ». Le modèle préconisé vise un taux d’imposition des ventes proche de 2% : dans ce cas, la taxation des seules recettes publicitaires de Google en Suisse rapporterait environ 20 millions de francs au fisc helvétique.

La Suisse privilégie les approches multilatérales, élaborées au sein de l’OCDE, qui prévoient une taxation des bénéfices dans l’Etat où a lieu la création de valeur. Tant qu’une solution n’a pas été trouvée au niveau de l’OCDE le Conseil fédéral estime qu’il n’y a pas lieu d’agir.[3]

Conclusion

Faute de consensus européen, l’OCDE s’est saisie du dossier et a annoncé en janvier 2019 l’accord de principe de 127 pays pour une réforme au niveau mondial avec l’objectif de parvenir à un accord final d’ici 2020. Mais pour Washington, cette refonte devrait concerner tous les groupes ayant une activité de distribution transfrontalière.

La solution à long terme privilégiée par la Commission est un système où les bénéfices seraient taxés en fonction du lieu où se trouve l’utilisateur au moment de la consommation.

La taxation des chiffres d’affaires serait transitoire faisant place à une fiscalité plus adaptée aux règles numériques : le nombre d’utilisateurs de services en ligne déterminerait aussi le domicile fiscal de l’entreprise permettant alors de taxer les bénéfices.

Les représentants des GAFA se sont élevés collectivement récemment contre la taxation française des groupes numériques, dénonçant rétroactivité, discrimination et double imposition dans le cadre d’une enquête ouverte par les services du représentant américain au Commerce4. Une étude d’impact estime que la taxe augmentera le prix des services et sera intégralement payée par les consommateurs (Amazon a déjà répercuté la taxe de 3% sur ses clients en France).

Un consensus existe parmi les autorités et les industriels pour reconnaître le besoin d’une réforme du système d’imposition des transactions numériques, sous l’égide de l’OCDE, d’autant que tous les secteurs deviennent progressivement numériques. Des solutions alternatives sont à l’étude comme revoir les règles de répartition du bénéfice entre les états de résidence des entreprises et les états de marché pour donner une part plus importante à l’état de marché.


[1] P. Rodrik, tdg/economie/taxation 23.03.2018

[2] M-H Revaz, La fiscalité face au défi de l’économie digitale Mazars Suisse 2019

[3] A. Seydtaghia, le temps.ch/economie/imposition gafa 30.11.2018

La fraude à la douane, un phénomène fréquent

mercredi 05 Fév 2020

De Gérald Jenni

Pour les habitants de la Suisse, les prix pratiqués en France, en Allemagne, en Autriche ou en Italie restent très attractifs pour un grand nombre de produits et services. Dès qu’une opportunité se présente, les tentations restent très fortes d’aller faire ses achats personnels voire des investissements de l’autre côté de la frontière. Les économies peuvent être substantielles… Mais attention …

… que risque-t-on lorsqu’on a « oublié » de déclarer quelque chose à l’importation ?

Notre focus principal restera le touriste (sans considérer spécialement les sociétés commerciales)

A. Pourquoi est-ce (si) intéressant pour un Suisse ?

Le niveau des prix des principales catégories de bien et de services valables pour les pays limitrophes de la Suisse est particulièrement bas (voir le graphique ci-dessous publié le 17.12.18 [i]). Il est rare, voire impossible, de trouver une catégorie de produits ou de services moins chère en Suisse que dans ses pays limitrophes :

N.B. Il existe une différence de coûts d’un canton à l’autre, notamment sur les dépenses d’impôts, de logement ou encore pour la santé qui pourraient influencer l’indice dans certaines régions. Nous ne considérerons ici que le niveau des prix pour la Suisse dans son ensemble.

B. Quelles sont les principales règles en vigueur ?

Pour savoir si un produit ou un service doit être soumis à une taxe, une redevance ou tout autre impôt, il faut se référer aux principales lois suivantes (liste non exhaustive) :

1. L’obligation de payer la TVA et/ou les droits de douane est fonction des seuils suivants :

Vous remarquerez que pour des achats de par ex. CHF 400.- (1 ou 2 pers.), la totalité du montant est soumise à TVA et non la différence entre le total des achats soustrait de la franchise … !

2. Les autres importations en franchise de redevances (Source : [iv] et [v])

Lorsque vous revenez de l’étranger ou que vous effectuez un voyage en Suisse, vous pouvez importer en franchise les marchandises suivantes :

C. Quelques cas particuliers auxquels on ne pense souvent pas (Source : [vi])

1. Emprunter un véhicule étranger et entrer en Suisse

Emprunter un véhicule étranger et entrer en Suisse peut coûter cher, très cher !

La démarche d’une personne domiciliée en Suisse qui entre sur le territoire suisse avec un véhicule emprunté à des proches mais immatriculé à l’étranger peut coûter cher.

L’inverse est également valable pour les ressortissants européens qui entrent dans l’UE. Franchir la frontière avec un véhicule immatriculé à l’étranger est considéré comme une importation de marchandises soumises à des taxes.

S’il est contrôlé avant l’entrée sur le territoire, le conducteur est sensibilisé à la situation juridique s’il souhaite poursuivre son trajet. Le véhicule sera alors dédouané et taxé. Le contrevenant devra s’acquitter de la TVA à 7.7% et de droits de douane qui varient entre 12 et 15 francs par 100 kilos pour une automobile, supérieurs pour les motos.

S’il est contrôlé sur le territoire suisse, les taxes d’importation seront estimées et une procédure pénale lancée. Selon l’Administration fédérale des douanes (AFD), ces taxes correspondent environ à 13% de la valeur du véhicule. Une amende peut alors aussi être décidée et varie en fonction de l’importance des taxes non perçues et de celle de l’infraction. Selon la pratique, elle peut atteindre jusqu’au total de ces taxes. Mais en cas de première infraction, elle n’est que de 20%.

2. Depuis le 1er mai 2015, l’utilisation transfrontalière des véhicules d’entreprise est restreinte.

a. Utilisation du véhicule uniquement pour les trajets domicile/travail :

En cas de contrôle à la douane, vous devez pouvoir présenter une copie de votre contrat de travail, dans lequel sera mentionnée l’autorisation d’utiliser un véhicule de fonction. En cas de non-respect, le trajet pourra être considéré comme une importation de véhicules dans l’Union européenne. Ceci occasionnerait alors le dédouanement du véhicule et le paiement de la TVA, en sus d’une amende et du dépôt d’une plainte pénale.

b. Utilisation du véhicule à des fins privées, autres que pour le trajet domicile/travail :

Pour pouvoir faire des trajets privés et professionnels sans limites, il reste une seule solution : la double immatriculation. Pour ce faire, le véhicule doit être taxé simultanément dans le pays européen concerné et en Suisse. Ces taxes d’importation sont constituées de la TVA au taux de 20 % et des droits de douane au taux de 10 %. Les droits de douane sont calculés à partir de la valeur actuelle (Eurotax) du véhicule. La TVA est calculée à partir de la valeur Eurotax + les droits de douane.
Les démarches sont à effectuer par l’employeur ou le salarié auprès d’un poste de douane situé à la frontière.

c. Utilisation à des fins professionnelles d’un véhicule étranger sur territoire suisse :

Il y a lieu de prendre garde à l’utilisation transfrontalière des véhicules du côté étranger, mais également du côté suisse, puisque l’utilisation d’un véhicule immatriculé à l’étranger n’est pas autorisée pour des courses professionnelles sur le territoire suisse. Des mesures devront certainement se présenter dans un avenant au contrat de travail ou, pour les nouveaux collaborateurs, directement dans le contrat de travail.

3. Lors de la participation à une exposition en Suisse (en tant qu’exposant)

Tenant compte du fait que les ventes ne peuvent pas être définies à l’avance, les formalités douanières d’importation et de réexportation doivent obligatoirement être faites (directement sur site ou via un transitaire) :

Source : [vii]

4. Importation ou passage en douane de produits contrefaits (Source :[viii])

Rappelons rapidement que la contrefaçon consiste à reproduire des produits protégés par des marques, des designs, des indications de provenance ou des brevets et à imiter le nom ou l’apparence du produit original.

L’importation (tout comme le transit et l’exportation) de produits contrefaits à des fins commerciales est interdite. Mais même effectuée à des fins privées, l’importation de marchandises enfreignant des droits de design ou de marque est également prohibée (art. 13, al. 2bis de la loi sur la protection des marques et art. 9, al. 1bis de la loi sur les designs). Le titulaire d’un droit à la marque, de brevet ou de design peut exiger la saisie et la destruction à la douane de produits contrefaits portant atteinte à ses droits de propriété intellectuelle (art. 70 ss. de la loi sur la protection des marques; art. 46 ss. de la loi sur les designs; art. 86a ss. de la loi sur les brevets et art. 75 ss. de la loi sur le droit d’auteur).

Les douaniers effectuent un contrôle des importations et des envois afin de détecter les produits suspects. S’ils identifient ou soupçonnent une contrefaçon, la marchandise est retenue.

Les contrefaçons peuvent, en plus de la destruction des marchandises et de l’obligation de réparer le préjudice, donner lieu à des sanctions pénales (outre une amende d’un maximum de 1 080 000 francs) en une peine privative de liberté allant jusqu’à cinq ans.

D. Comment dédouaner vos marchandises ? (Source : [ix])

Il y a trois moyens de déclarer des marchandises :

  • App QuickZoll
    L’application de l’Administration fédérale des douanes vous renseigne sur les principales formalités. Les marchandises ainsi déclarées peuvent être importées en Suisse par n’importe quel poste-frontière.
  • Déclaration en douane orale
    Si le poste-frontière suisse est occupé, vous devez déclarer spontanément toutes les marchandises (voir la liste des offices de douane les adresses et heures d’ouverture).
  • Autodéclaration écrite au moyen de la boîte à déclarations aux passages non occupés
    Dans les endroits moins fréquentés, il existe un nombre croissant de passages frontières qui ne sont occupés que de façon sporadique ou qui ne le sont pas du tout. Vous pouvez déclarer vous-même vos marchandises par écrit au moyen d’une boîte à déclarations. Des formulaires sont disponibles dans les boîtes. Veillez à importer uniquement des marchandises qui ne sont pas destinées à être commercialisées et qui ne sont pas interdites.

N.B. Remboursement de la TVA étrangère

L’AFC ne peut rembourser la TVA d’un pays étranger. Les démarches doivent être entreprises directement avec le vendeur concerné et les autorités fiscales du pays concerné.

Vous êtes en règle … ?

Vous êtes parfaitement en règle, alors vous avez droit à apposer un tel sigle et emprunter les voies vertes et ainsi accélérer votre passage en douane. Mais attention ! Les sanctions sont plus lourdes si vous aviez tout de même omis certaines déclarations… vous vous rendez coupable d’une fausse déclaration (ce sigle présenté a valeur légale) !

E. Que risque-t-on plus (amendes, peines, etc. et les lois qui s’y rapportent) ?

Petits extraits (se référer aux textes complets) :

Loi sur les douanes

  • Infractions douanières
    Art. 117 LD : soustraction, mise en péril, trafic, recel, détournement
  • Soustraction douanière
    Art. 118 LD : est puni d’une amende pouvant atteindre cinq fois voire plus des droits de douane
  • Mise en péril douanière
    Art. 119 LD : ne déclarant pas ou en dissimulant les marchandises (peine prison d’un an au plus)
  • Trafic prohibé
    Art. 120 LD : enfreint une interdiction ou restriction d’introduction (peine prison d’un an au plus)
  • Recel douanier
    Art. 121 LD : encourt la peine applicable à l’auteur de l’infraction préalable
  • Détournement du gage douanier
    Art. 122 LD : détruit une marchandise saisie par l’AFD à titre de gage sera puni (amende)
  • Tentative
    Art. 123 LD : la tentative est punissable
  • Circonstances aggravantes
    Art. 124 LD : le fait d’embaucher des personnes pour commettre des infractions douanières
  • Infractions commises dans une entreprise
    Art. 125 LD : selon les circonstances et si l’amende ne dépasse pas 100kCHF, peut renoncer
  • Poursuites pénales
    Art. 127 LD : Le renvoi devant le juge de l’auteur d’une infraction à l’art. 285 ou 286 CP est réservé

Loi sur la TVA

La LTVA prévoit trois infractions principales :

  • La soustraction de l’impôt (art. 96 LTVA) y.c. par négligence
  • La violation d’obligation de procédure (art. 98 LTVA) y.c. par négligence
  • Le recel (art. 99 LTVA)

L’état de fait constitutif de l’infraction concernant la soustraction de l’impôt est différencié ainsi : fausse déclaration, qualification erronée, soustraction dans la procédure de taxation et soustraction qualifiée. Les dispositions pénales s’appliquent aussi bien à l’impôt grevant les opérations réalisées sur le territoire suisse qu’à l’impôt sur les acquisitions et à celui sur les importations.


[i] OFS 2018 Indices des niveaux de prix en comparaison internationale en 2017 (provisoire), UE28 = 100  https://www.bfs.admin.ch/bfs/fr/home/statistiques/prix/parites-pouvoir-achat.assetdetail.6986866.html

[ii] https://www.ezv.admin.ch/ezv/fr/home/infos-pour-particuliers/voyages-et-achats–franchises-quantitatives-et-franchise-valeur/importation-en-suisse.html

[iii] https://www.ezv.admin.ch/ezv/fr/home/infos-pour-particuliers/voyages-et-achats–franchises-quantitatives-et-franchise-valeur/importation-en-suisse/marchandises-dont-la-valeur-ne-depasse-pas-300-francs–en-franch.html

[iv] https://www.ezv.admin.ch/ezv/fr/home/infos-pour-particuliers/voyages-et-achats–franchises-quantitatives-et-franchise-valeur/importation-en-suisse.html

[v] Ordonnance sur les douanes (OD)

[vi] www.ezw.admin.ch et TCS Genève

[vii] mch-group-lausanne-douane-guide-fr.pdf

[viii] FH, service juridique

[ix] www.ezw.admin.ch

Le ransomware, nouvelle poule aux œufs d’or des hackers

lundi 27 Jan 2020

Par Caroline Besse

En octobre 2019, l’hôpital suisse de Wetzikon, dans le canton de Zurich, a été victime d’une cyberattaque au moyen d’un ransomware. Dans ce cadre, l’hôpital s’est vu contraint de débrancher plusieurs dispositifs médicaux du système central, mais ne semble pas avoir subi de dégâts majeurs, après avoir pu isoler rapidement les machines infectées (Seydtaghia, 2019). D’autres n’ont pas eu la même chance. Aux États-Unis notamment, des médecins, des dentistes et de petits établissements hospitaliers de quartier victimes d’une cyberattaque par ransomware ont dû refouler des patients, voire pour certains mettre la clé sous la porte (Janofsky, 2019). CrowdStrike, une société de cybersécurité californienne, met en exergue dans son rapport 2019 le succès grandissant des attaques par ransomware menées contre le secteur privé : cette année, près de 40% des entreprises interrogées, provenant des quatre coins du monde, se sont résolues à verser les sommes conséquentes exigées par les hackers pour récupérer l’accès à leurs fichiers, soit un nombre nettement plus élevé qu’en 2018 (Huvelin, 2019).

Cette brève sélection d’attaques récentes, qui font désormais des victimes en Suisse non plus seulement dans les PME mais aussi dans les collectivités publiques, illustrent la croissance exponentielle de ce phénomène et les dégâts conséquents qu’elles causent. Elles nous alertent aussi sur le fait que chacun d’entre nous peut être une victime directe ou collatérale d’une attaque par ransomware.

Un ransomware, qu’est-ce exactement ?

Passons d’abord par la case définition, pour mieux cerner cette drôle de bête qu’est le ransomware. Ce terme anglais, qui se traduit en français littéralement par « rançongiciel », désigne un type de logiciel malveillant qui chiffre l’accès à votre ordinateur ou à vos fichiers personnels (ANON., 2019) en modifiant souvent l’extension des fichiers (par exemple .locked ou .locky). Il exige ensuite de votre part, par un message affichant les instructions de paiement (ANON., [sans date]), une rançon pour récupérer vos fichiers, souvent dans un certain laps de temps, le montant exigé augmentant parfois après un (ou plusieurs) délai(s) échu(s) (ANON., 2019). Le paiement se fait souvent en monnaie virtuelle (par ex. Bitcoin) à travers un site sur le darknet, si bien qu’il est impossible de remonter jusqu’aux hackers. Le montant des rançons, initialement fixé à quelques centaines de dollars, se chiffre désormais à plusieurs centaines de milliers de francs (ANON., 2019).

« Comment serai-je touché ? »

Le ransomware peut infecter l’ordinateur de plusieurs manières. La plus commune est celle de l’e-mail par phishing et spam (ANON., 2019). L’attaque menée contre l’hôpital de Zurich a d’ailleurs « très certainement été réalisée par e-mail » (Seydtaghia, 2019). Ces e-mails contiennent soit une pièce jointe infectée par un logiciel malveillant, soit un lien sur un site malveillant ou piraté. Une fois que l’utilisateur ouvre la pièce jointe ou clique sur le lien, le ransomware infecte la machine de l’utilisateur et peut se répandre sur son réseau (y compris sur ses éventuels supports périphériques connectés tels que clé USB, disque dur externe, etc.). Une autre manière consiste à exploiter une faille de sécurité dans un système ou un programme, comme le fameux ver WannaCry qui a infecté des centaines de milliers d’ordinateurs dans le monde entier en utilisant une faille Microsoft. Enfin, le ransomware peut également prendre la forme d’une fausse mise à jour d’un logiciel, poussant les utilisateurs à activer les droits d’administrateur et installant ainsi le code malveillant. (ANON., 2019)

Une fois l’ordinateur infecté par le ransomware, celui-ci bloque soit l’accès au disque dur, soit il chiffre tout ou une partie des fichiers de l’ordinateur. Il sera peut-être possible de retirer le logiciel malveillant de l’ordinateur et de restaurer le système, mais les fichiers resteront chiffrés du fait que le ransomware les a déjà rendus illisibles, et que le déchiffrement est mathématiquement impossible sans la clé de déchiffrement du hacker. (ANON., 2019)

Le montant de la rançon en lui-même est fixé à la fois à un niveau suffisamment bas pour que la victime puisse la payer, et à un niveau suffisamment élevé pour que l’opération soit rentable pour le hacker. Les cybercriminels visent certaines organisations ou industries afin de tirer profit de leurs vulnérabilités spécifiques et de maximiser ainsi les chances que la rançon soit payée. Les organisations médicales peuvent par exemple être visées du fait qu’elles nécessitent souvent d’un accès immédiat à leurs données et que des vies peuvent être en jeu, ces facteurs les conduisant à payer immédiatement. Les établissements financiers et les cabinets d’avocats seront également plus enclins à payer la rançon en raison du caractère sensible de leurs données et auront tendance à le faire discrètement pour éviter toute publicité négative (ANON., 2019). La tendance est également désormais de cibler des gouvernements étatiques et locaux ainsi que les collectivités publiques, ceux-ci étant plus enclins à payer les rançons demandées, en raison d’une part des données sensibles qu’ils détiennent et d’autre part, de caisses plus généreusement garnies (Ng, 2019). Il n’empêche qu’une attaque par ransomware peut toucher n’importe lequel d’entre nous, ainsi que de nombreux systèmes d’exploitation (Windows, Linux, MacOS).

Il faut également être conscient qu’il n’existe aucune garantie pour la victime que le paiement de la rançon lui permettra de récupérer la clé de déchiffrement des fichiers (mise par ailleurs sur un serveur du darknet qu’il est impossible de retracer), puisqu’elle a en face d’elle des hackers sans foi ni loi qui se soucient peu de respecter leur engagement, leur seul but étant de maximiser les profits à moindre effort. Il y a ainsi de fortes chances qu’une fois la rançon payée, la victime n’obtienne strictement rien en retour… On pense ici notamment à la cyberattaque ayant visé le groupe d’ingénierie français Altran en janvier 2019 : l’entreprise, en dépit des recommandations des experts exhortant à ne jamais payer les rançons exigées (MELANI, 2019a), a versé 300 bitcoins (soit près d’un million d’euros selon la valeur du bitcoin à ce moment-là), et fin février, elle n’avait pas reçu la clé de déchiffrement des fichiers (Gros, 2019). D’un autre côté, si la victime ne paie pas, elle est doublement pénalisée : non seulement elle n’a plus accès à ses données, mais elle est en outre dans l’incapacité de poursuivre son activité, ce qui engendre pour elle des pertes de revenus considérables. L’impact financier de l’attaque par rançongiciel contre Altran a été estimé à 20 millions d’euros en février 2019 (Gros, 2019). Ce choix cornélien pour la victime illustre le potentiel de nuisance extrêmement élevé du ransomware.

Comment me protéger ?

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI liste sur son site plusieurs mesures de précaution pour minimiser autant que faire se peut les risques d’être victime d’un ransomware ou les conséquences d’une attaque par ransomware, dont nous reprenons ci-dessous les plus importantes :

Mesures préventives

  • Effectuer des sauvegardes régulières des données importantes sur un support externe et déconnecter ce dernier de l’ordinateur après la sauvegarde afin d’éviter que le rançongiciel ne le chiffre également lors d’une infection.
  • Maintenir à jour son système d’exploitation, toutes les applications installées sur l’ordinateur, l’antivirus et le pare-feu personnel.
  • Procéder avec grande prudence en présence de courriels suspects, inattendus ou provenant d’un expéditeur inconnu : ne pas cliquer sur les liens indiqués et ne pas ouvrir les pièces jointes au courriel.    

Mesures après infection de l’ordinateur

  • En cas d’infection, déconnecter immédiatement l’ordinateur de tous les réseaux. Procéder à une réinstallation du système et à un changement de tous les mots de passe.
  • Restaurer les données à partir de copies de sauvegarde (par ex. depuis disque dur externe non connecté au réseau lors de l’infection).
  • Signaler l’incident au Service national de coordination de la lutte contre la criminalité sur Internet (SCOCI) et porter plainte auprès des services de police locaux.
  • Ne pas payer la rançon.

Mesures supplémentaires pour les entreprises

  • Renforcer la protection de l’infrastructure informatique contre les maliciels en utilisant Windows AppLocker.
  • Bloquer la réception de courriels contenant des fichiers dangereux (par ex. .js, .jar, .exe, .scr, .pif, .ps1) sur le service de messagerie.
  • Bloquer tous les fichiers joints contenant des macros (par ex. .docm, .xlsm ou .ppsm)

(MELANI, 2019b)

Liste complète des mesures disponible ici.  

Références

ANON., 2019. What is Ransomware? | Definition, Examples, & Prevention. In : crowdstrike.com [en ligne]. 2 août 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.crowdstrike.com/epp-101/what-is-ransomware/.

ANON., [sans date]. Ransomware / Rançongiciels. In : CommentCaMarche.net [en ligne]. [Consulté le 22 décembre 2019]. Disponible à l’adresse : https://www.commentcamarche.net/faq/45808-ransomware-rancongiciels.

GROS, Maryse, 2019. Cyberextorsion contre Altran : un coût estimé à 20 M€ – Le Monde Informatique. In : LeMondeInformatique.fr [en ligne]. 28 février 2019. [Consulté le 23 décembre 2019]. Disponible à l’adresse : https://www.lemondeinformatique.fr/actualites/lire-cyberextorsion-contre-altran-un-cout-estime-a-20-meteuro-74492.html.

HUVELIN, Grégoire, 2019. En 2019, les attaques par ransomware contre le secteur privé ont été encore plus efficaces. In : Cyberguerre [en ligne]. 20 décembre 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://cyberguerre.numerama.com/2059-en-2019-les-attaques-par-ransomware-contre-le-secteur-prive-ont-ete-encore-plus-efficaces.html.

JANOFSKY, Adam, 2019. Smaller Medical Providers Get Burned by Ransomware. In : Wall Street Journal [en ligne]. 6 octobre 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.wsj.com/articles/smaller-medical-providers-get-burned-by-ransomware-11570366801.

MELANI, Centrale d’enregistrement et d’analyse pour la sûreté de l’information, 2019a. Mise à jour rançongiciels: nouvelle façon de procéder. In : Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI [en ligne]. 30 juillet 2019. [Consulté le 26 décembre 2019]. Disponible à l’adresse : https://www.melani.admin.ch/melani/fr/home/dokumentation/newsletter/update-ransomware-neue-vorgehensweise.html.

MELANI, Centrale d’enregistrement et d’analyse pour la sûreté de l’information, 2019b. Rançongiciels. In : Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI [en ligne]. 6 août 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.melani.admin.ch/melani/fr/home/themen/Ransomware.html.

NG, Alfred, 2019. Ransomware froze more cities in 2019 as hackers got smarter. In : CNET.com [en ligne]. 5 décembre 2019. Consulté le 22 décembre 2019]. Disponible à l’adresse : https://www.cnet.com/news/ransomware-devastated-cities-in-2019-officials-hope-to-stop-a-repeat-in-2020/.

SEYDTAGHIA, Anouch, 2019. Un hôpital suisse victime d’une cyberattaque. In : Le Temps [en ligne]. 20 décembre 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.letemps.ch/economie/un-hopital-suisse-victime-dune-cyberattaque.