Les smart contracts, les contrats de demain ?

vendredi 20 Mar 2020

Par Sophie Bonaguro

Définition

Le smart contract (ou « contrat intelligent ») est un concept créé en 1993 par Nick Szabo un informaticien américain. (iii)

Il s’agit en fait de programmes informatiques autonomes, codés sur la blockchain et qui vont exécuter des tâches prédéfinies.

Malgré ce terme de « contrat intelligent », ce n’est pas un contrat au sens juridique du terme et il n’est pas intelligent :

C’est en effet un code informatique qui va servir à conclure et créer des contrats. Et son exécution se fera grâce aux règles préprogrammées par celui qui l’a créé.

La partie « intelligente » du contrat fait plutôt référence à sa capacité d’interagir de manière autonome avec d’autres applications. (ii)

Les smart contracts permettent, en théorie, à deux partenaires de nouer une relation commerciale sans qu’ils aient besoin de se faire confiance au préalable, sans autorité ou intervention centrale : c’est le système lui-même, et non ses agents, qui garantit l’honnêteté de la transaction. (i)

Comment ça marche ?

Ils reposent donc sur un codage informatique : ce sont des programmes qui encodent de manière formelle certaines conditions et résultats ; ce code doit recevoir l’accord préalable des parties contractantes. Les étapes sont les suivantes :

  • Traduction des termes du contrat en code informatique : dans la mesure où les systèmes numériques sont déterministes, toutes les issues possibles liées au contrat, dont notamment la rupture et la décision de soumettre les litiges à un arbitre, doivent être spécifiées explicitement.
  • Accord des parties sur le code qui sera utilisé.
  • Exécution du code de manière fidèle.  (i)

Applications

Les applications peuvent être multiples et variées :

  • Le leasing d’un véhicule (en cas d’interruption du paiement et après plusieurs avertissements, le programme gérant votre smart contract vous enlève le contrôle de la voiture) (iii) ;
  • Le domaine des assurances (versement de dommages-intérêts à certaines conditions) ;
  • La gestion numérique des droits d’auteur (paiement immédiat de ses droits à l’auteur en cas de téléchargement de musique). (ii)
  • Ventes aux enchères.
  • Services financiers. (iii)

Une blockchain spécialement dédiée aux smart contracts a été lancée en 2015 : Ethereum, présenté comme le « premier véritable ordinateur global ». Ethereum fonctionne avec l’ether, une monnaie virtuelle qui sert à payer l’exécution des smart contracts. (i)

Les avantages du recours à un smart contract

  • Aucune possibilité d’influencer le contrat.
  • Haute transparence, fiabilité et sécurité.
  • Traitement rapide et économique des transactions.
  • Contenu parfaitement clair du contrat.
  • Prévisibilité du règlement.
  • Coûts des transactions faibles.
  • Déroulement via une infrastructure globale. (iv)

Les limites du recours au smart contract

  • Nécessité d’une base de données numériques et accès fortement restreint en dehors de la blockchain.
  • Aucune possibilité d’influencer le contrat une fois codé.
  • Il est soumis à une logique de transaction binaire et les problèmes de la vie courante sont généralement plus complexes.
  • Pas de mécanisme prévu pour le règlement des litiges.
  • Droit impératif. (iv)
  • Enfin un risque de fraude peut exister : Le piratage en 2016 contre l’application TheDAO (The Decentralized Autonomous Organisation) sur Ethereum pour un montant estimé à 50 millions d’USD à l’époque est un exemple parlant. Le hacker a utilisé une vulnérabilité dans une fonction du contrat pour détourner un tiers de la somme collectée en ethers. (ii)

Conclusion

Il reste, comme on le voit, encore de nombreux défis à relever notamment au niveau du droit avant que le recours aux smart contracts se généralise.

L’utilisation la plus courante d’un smart contract est à l’heure actuelle le cas du smart contract précédé d’un contrat. Il est alors utilisé comme un outil d’exécution avec comme avantages sa fiabilité, son caractère automatisé, son efficacité et son absence d’intermédiaire. De plus le recours aux smart contracts comme outil dans le but de simplifier et automatiser l’exécution des contrats parait être une stratégie adaptée à des contrats aux caractéristiques spécifiques et notamment contenant des obligations simples.  (ii)

Dans tous les cas, il sera primordial avant de recourir à un smart contract d’analyser la situation juridique ainsi que le contexte et de bien considérer les avantages et les limites actuels afin de profiter pleinement de ce bel outil technologique.

Bibliographie

(i) Geiben Didier, Jean-Marie Olivier, Verbiest Thibault et Vilotte Jean-François, Bitcoin et Blockchain. Vers un nouveau paradigme de la confiance numérique ? RB Edition, 2016.

(ii) Caron Blaise, Müller Christoph, Hug Dario, 3ème journée des droits de la consommation et de la distribution : Blockchain et Smart Contracts – Défis juridiques, Université de Neuchâtel, Helbing Lichtenhahn, 2018.

(iii) Bussac Enée Bitcoin, Ether &, Cie – Guide pratique pour comprendre, anticiper et investir 2019, Dunod, 2018.

(iv) Glarner Andreas Introduction aux contrats intelligents (smart contracts) Journée de formation continue FSA Stade de Suisse à Berne, 31 août 2018. Disponible à l’adresse : https://www.sav-fsa.ch

Le cheval de Troie : un intrus malveillant qui cache bien son jeu

mardi 17 Mar 2020

Par Dounia Grolimund

Un phénomène inéluctable ?

Selon une étude de l’Association of Internet Security Professionals publiée en 2014, un constat, pour le moins inquiétant, a mis en évidence une triste réalité pour les utilisateurs quotidiens de tout système informatique. L’entité en question, chargée d’apporter des pistes d’améliorations et de réponses en matière de cybersécurité pour les entités des secteurs publics et privés, a dévoilé qu’un ordinateur sur trois était infecté par un logiciel malveillant et que près du trois quarts de ces infections, soit 73 %, découlaient d’un cheval de Troie (Trojan horse en anglais)[1].

En d’autres termes, ce pourcentage alarmant signifie que n’importe quel utilisateur lambda est susceptible d’être confronté, au moins une fois dans sa sphère privée ou professionnelle, à un cheval de Troie ou tout autre logiciel malveillant pouvant engendrer de sinistres ravages sur son ordinateur.

Considérés comme les couteaux suisses du piratage selon les intentions criminelles de leurs programmeurs[2], les dégâts provoqués par les chevaux de Troie ne sont pas à prendre à la légère étant donné leur utilité à diverses fins malhonnêtes.

D’où l’importance de sensibiliser le public à ce malware de prédilection pour de nombreux cybercriminels[3] et d’adopter, au quotidien, les bons réflexes pour se protéger et détecter à temps la présence d’un cheval de Troie sur votre système informatique.

Qu’est-ce qu’un cheval de Troie ?

Au préalable, avant d’entrer dans les détails, il paraît nécessaire de définir en quelques mots ce logiciel malintentionné bien connu dans le monde informatique[4].

Un cheval de Troie est un programme malveillant caché dans un logiciel d’apparence légitime et anodine qui s’infiltre dans votre système informatique et agit à votre insu. Pour faire simple, il s’agit d’un logiciel caché dans un autre qui permet à un pirate informatique d’avoir accès à votre ordinateur en ouvrant une porte dérobée (backdoor en anglais)[5].

Bien que, dans la conscience collective, les chevaux de Troie sont souvent assimilés comme étant des virus ou des vers, ceux-ci n’entrent pas dans l’une des catégories précitées. Un virus est un infecteur de fichiers qui peut facilement se dupliquer une fois qu’il a été exécuté au moyen d’un réseau Internet. Quant au ver, il s’agit d’un type de malware semblable au virus mais, toutefois, ce dernier n’a pas besoin de se propager dans un système informatique en se greffant à un programme particulier[6].

Contrairement au virus informatique, le cheval de Troie n’a pas la capacité de se répliquer et d’infecter des fichiers par lui-même. Il vise à infiltrer le dispositif informatique d’un utilisateur vulnérable par le biais de différents moyens[7].

Dans le jargon informatique, le cheval de Troie est un terme générique utilisé pour désigner la distribution de malwares car il n’existe pas un seul et unique type de cheval de Troie[8]. Employé comme porte dérobée pour introduire d’autres programmes malveillants dans un système informatique[9], le cheval de Troie peut agir comme un malware autonome ou un outil utilisé à d’autres fins dont notamment l’exploitation de vulnérabilités[10].

La particularité des chevaux de Troie réside dans le fait que ceux-ci passent inaperçus en raison de leur apparence inoffensive. En effet, ils peuvent simplement s’installer dans votre ordinateur, créer des failles dans votre système de sécurité, recueillir des informations sur vous, prendre le contrôle de votre PC en vous empêchant d’y avoir accès ou encore vous espionner et voler vos mots de passe[11].

Autrement dit, les cybercriminels n’hésitent pas à recourir aux chevaux de Troie pour diffuser différentes menaces allant des rançongiciels (ransomware en anglais) qui exigent une rançon pour déchiffrer les données prises en otage sur un ordinateur aux logiciels espions (spywares en anglais) qui collectent les données personnelles et financières des utilisateurs à leur insu[12].

Origine du terme et bref historique

Le nom « cheval de Troie » est inspiré de l’Iliade, une célèbre légende de la Grèce antique faisant référence à la conquête de la ville de Troie par les Grecs. Pour pénétrer à l’intérieur de la cité connue pour être protégée par d’imposantes fortifications, les conquérants grecs ont eu l’idée de construire un immense cheval en bois dans le but d’y cacher un groupe de soldats[13].

En découvrant cet étalon de bois géant devant les portes de leur ville, les Troyens, ignorant le stratagème des Grecs et étant convaincus qu’il s’agissait d’une offrande, ont fait entrer ce « cadeau » dans leur cité. Une fois la nuit tombée, les soldats grecs, sortis de leur cachette, ont détruit la totalité de la ville de Troie et massacré ses habitants[14].

La technique du cheval en bois employée par les Grecs pour passer à travers les fortifications de la cité troyenne présente donc de nombreuses similitudes avec ce logiciel malveillant utilisant en quelque sorte un « déguisement » pour cacher ses véritables intentions[15].

C’est en 1970 que Daniel J. Edwards, un chercheur à la National Security Agency (NSA) invente le terme « cheval de Troie » pour désigner ce malware[16]. Il faudra, ensuite, attendre l’année 1974 pour voir ce mot apparaître pour la première fois dans un rapport de l’US Air Force ayant pour thème l’analyse des vulnérabilités dans les systèmes informatiques[17].

Concrètement, à quoi ressemble un cheval de Troie ?

Au premier coup d’œil, il n’est pas toujours aisé d’identifier un cheval de Troie car celui-ci peut ressembler à n’importe quel programme à l’apparence saine.  Il peut s’agir d’un logiciel, d’un jeu informatique gratuit téléchargé sur un site web non sécurisé ou encore d’une simple publicité essayant d’installer une fonctionnalité malveillante sur votre ordinateur[18].

Pour vous inciter à exécuter un cheval de Troie dans votre système, les pirates informatiques, font preuve d’imagination et ont recours à diverses techniques d’ingénierie sociale[19] en utilisant notamment un langage trompeur pour essayer de vous convaincre de leur légitimité, raison pour laquelle il est fortement déconseillé de télécharger des logiciels sur des plateformes peu sûres[20].

Les types de chevaux de Troie

Les chevaux de Troie ont la spécificité d’être particulièrement polyvalents. C’est pourquoi, il est difficile de donner une description précise de chaque type même si la grande majorité d’entre eux sont généralement conçus pour prendre le contrôle d’un système à l’insu de son utilisateur. Parmi les menaces les plus courantes liées aux chevaux de Troie, on peut citer[21] :

  • La création de porte dérobée permettant un accès à distance dans un ordinateur.
  • L’espionnage par le biais de logiciels espions qui attendent que l’utilisateur se connecte à ses comptes en ligne pour saisir les données de sa carte bancaire (ex : mot de passe).
  • La transformation d’un ordinateur en zombie (botnet en anglais) lorsque le cybercriminel prend son contrôle pour le rendre esclave d’un réseau.
  • Les malwares qui installent d’autres programmes malveillants comme des rançongiciels ou des enregistreurs de frappe du clavier.

Quelles sont les origines fréquentes des chevaux de Troie ?

De nombreuses activités imprudentes peuvent être à l’origine d’une infection par un cheval de Troie. La liste ci-dessous donne un bref aperçu des méthodes d’infection les plus connues[22] :

  • Connexion d’un ordinateur à un périphérique externe infecté.
  • Ouverture de pièces jointes infectées telles que des factures ou des reçus provenant d’un e-mail louche où le simple fait de cliquer dessus lance un cheval de Troie.
  • Visite de sites web peu fiables qui prétendent diffuser des films connus en direct.
  • Téléchargement de programmes trafiqués, de jeux non payants et d’applications gratuites sur des sites web non officiels.

Les applications peuvent-elles être aussi infectées par des chevaux de Troie ?

Malheureusement oui, les chevaux de Troie peuvent aussi infecter des applications d’appareils mobiles. Le processus reste le même que pour les ordinateurs. Lorsqu’un utilisateur souhaite télécharger une application, le cheval de Troie se fait passer pour un programme inoffensif alors qu’il s’agit d’une contrefaçon remplie de malwares destinée à infecter son téléphone[23].

De tels chevaux de Troie sont habituellement cachés dans des boutiques d’applications pirates. Indépendamment des informations volées sur votre téléphone, ces applications malicieuses peuvent aussi générer des profits en vous envoyant des SMS payants[24].

Quant aux smartphones, ceux-ci ne sont, eux non plus, pas égaux face aux chevaux de Troie. Alors que les utilisateurs d’Android peuvent être victimes d’applications infectées en allant simplement sur Google Play, les adeptes d’IPhone seraient moins vulnérables à ces intrusions en raison des politiques restrictives d’Apple pour autant que les usagers installent bien des applications provenant de l’App Store. Évidemment, le risque zéro n’existe pas si d’autres programmes sont téléchargés en dehors des paramètres d’Apple[25].

Comment se protéger ?

Pour éviter les chevaux de Troie, vous devez rester vigilants en adoptant certaines bonnes pratiques. Indépendamment du pare-feu et de l’acquisition d’un bon antivirus, les règles de sécurité suivantes sont vivement conseillées[26] :

  • Afficher les paramètres par défaut de votre ordinateur de manière à toujours afficher les extensions des applications.
  • Utiliser des mots de passe robustes difficiles à casser.
  • Procéder régulièrement à des analyses de diagnostic.
  • Éviter d’ouvrir des pièces jointes issues d’e-mails suspects ou inhabituels.
  • Se méfier des sites web douteux.
  • Veiller à maintenir les logiciels de votre système d’exploitation et vos applications à jour de façon à ce que les dernières mises à jour de sécurité soient installées pour prévenir toute vulnérabilité.

Ainsi, au cas où votre ordinateur présenterait les symptômes ci-dessous[27]

  • Activité inhabituelle de votre disque, de votre carte réseau ou de votre modem.
  • Arrêt de manière répétée.
  • Ouverture de programmes indépendamment de votre volonté.
  • Réactions anormales de votre souris.

… n’hésitez pas à vous renseigner auprès d’un spécialiste car votre ordinateur a de grandes chances d’être infecté par un logiciel malveillant tel qu’un cheval de Troie. Si vous ne réagissez pas suffisamment à temps, le cybercriminel derrière son écran risque fort de vous jouer de mauvais tours et de mettre vos nerfs à rude épreuve…


[1] Association of Internet Security Professionals. AISP Working Paper, Autumn 2014. Illegal Streaming and Cyber Security Risks : a  dangerous status quo ? [en ligne]. Publié en 2014, p. 1-31. [Consulté le 23 février 2020]. Disponible à l’adresse : http://www.documentcloud.org/documents/1304012-illegal-streaming-and-cyber-security-risks-aisp.htm

[2] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 23 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[3] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 23 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[4] JOURNAL DU NET. La Rédaction JDN. Cheval de Troie (Trojan) en informatique : définition simple. Site Journal du net [en ligne]. Mis à jour le 9 janvier 2019. [Consulté le 24 février 2020]. Disponible à l’adresse : https://www.journaldunet.fr/web-tech/dictionnaire-du-webmastering/1203489-cheval-de-troie-trojan-definition-traduction-et-acteurs/

[5] PANDA SECURITY. Qu’est-ce qu’un cheval de Troie en informatique ? Site Panda Security. [en ligne]. Publié le 18 juillet 2019. [Consulté le 24 février 2020]. Disponible à l’adresse : https://www.pandasecurity.com/france/mediacenter/malware/quest-quun-cheval-troie-informatique/

[6] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[7] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[8] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[9] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[10] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[11] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[12] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[13] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 26 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[14] Par un-e employé-e de Symantec. NORTON. Malware : qu’est-ce qu’un cheval de Troie ? Malware 101 : what is a Trojan horse ? Site Norton. [en ligne].  Mis à jour en 2019. [Consulté le 26 février 2020]. Disponible à l’adresse : https://fr.norton.com/internetsecurity-malware-what-is-a-trojan.html

[15] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 26 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[16] LIBRAIRIES DIGITAL CONSERVANCY. Oral history interview with Daniel J. Edwards. Charles Babbage Institute. Site Librairies Digital Conservacy. [en ligne]. Mis à jour en 2014. [Consulté le 26 février 2020]. Disponible à l’adresse : https://conservancy.umn.edu/handle/11299/162379

[17] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 26 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[18] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 27 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[19] PANDA SECURITY. Qu’est-ce qu’un cheval de Troie en informatique ? Site Panda Security. [en ligne]. Publié le 18 juillet 2019. [Consulté le 27 février 2020]. Disponible à l’adresse : https://www.pandasecurity.com/france/mediacenter/malware/quest-quun-cheval-troie-informatique/

[20] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 27 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[21] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 28 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[22] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 28 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[23] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 29 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[24] Par un-e employé-e de NortonLifeLock. NORTON. Malware : qu’est-ce qu’un cheval de Troie ? Malware 101 : what is a Trojan horse ? Site Norton. [en ligne].  Mis à jour en 2019. [Consulté le 29 février 2020]. Disponible à l’adresse : https://fr.norton.com/internetsecurity-malware-what-is-a-trojan.html

[25] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 29 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[26] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 1er mars 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[27] PANDA SECURITY. Qu’est-ce qu’un cheval de Troie en informatique ? Site Panda Security. [en ligne]. Publié le 18 juillet 2019. [Consulté le 1er mars 2020]. Disponible à l’adresse : https://www.pandasecurity.com/france/mediacenter/malware/quest-quun-cheval-troie-informatique/

Image : https://www.amnesty.ch/fr/contacts/media/opinions/docs/2016/questions-autour-des-chevaux-de-troie

Le Coronavirus profite aux fraudeurs !

vendredi 06 Mar 2020

Par Renaud Zbinden et Olivier Beaudet-Labrecque

La propagation du Coronavirus sur le globe et son traitement médiatique génèrent un sentiment d’insécurité grandissant dans la population. Devant les mesures extraordinaires promulguées par certains gouvernements et le caractère exceptionnel de la situation, les citoyens peuvent devenir plus crédules qu’à l’habitude. Ce climat est particulièrement propice à la commission de fraudes et les escrocs le savent bien. Voici quelques exemples autour du globe :

  • En France et en Italie, des malfaiteurs déguisés en décontamineur se présentent aux portes de personnes à risque et leur annoncent être envoyés pour décontaminer les habitations de la région. Ils demandent ensuite aux résidents d’évacuer leur propre logement pendant une ou deux heures et profitent de leur absence pour dérober leurs biens de valeur.
  • La société américaine Amazon a retiré de son site plus d’un million de produits frauduleux liés au virus (masques, solutions désinfectantes, médicaments, etc.). Ces produits étaient faux ou dangereux.
  • L’Organisation mondiale de la santé (OMS) met en garde contre des courriels frauduleux invoquant une urgence liée au virus. La victime est invitée à ouvrir une pièce jointe altérée, à cliquer sur un lien qui s’avère corrompu ou encore à donner des informations personnelles.
  • Au Royaume-Uni, plus de 800’000 livres sterling ont été perdues à cause d’escroqueries liées à la vente fictive de masques. Les victimes ont acheté des masques en ligne pour des prix excessifs, mais la marchandise n’est jamais arrivée.
  • Des courriels de fausses levées de fonds sont envoyés au nom d’organisations mondiales ou nationales (OMS, ou CDC aux Etats-Unis par exemple) en vue d’amasser de l’argent pour combattre le virus.
  • Certains fraudeurs profitent du Coronavirus pour mettre sur pieds des techniques d’ingénierie sociale et obtenir des informations sur leurs cibles. Il peut s’agir d’appels téléphoniques non sollicités pour vendre des masques faciaux, ou encore des courriels qui proposent à la personne ou à l’entreprise contactée de connaître les cas diagnostiqués dans la région.
  • En Italie, la police enquête sur des fraudeurs qui vendent du matériel sanitaire non conforme ainsi que des remèdes « miracles » à des prix exorbitants. Les ventes se font en ligne, mais également par téléphone et à domicile.

Au-delà des précautions sanitaires, n’oubliez pas de garder vos cerveaux actifs et vigilants !

Whistleblowing et signalements anonymes

mardi 25 Fév 2020

Par Céline Neuhaus

Situation en Suisse

Malgré deux interventions parlementaires en 2003[i] et un projet du Conseil fédéral 10 ans plus tard[ii], la Suisse n’a toujours pas adopté de loi en matière de whistleblowing. En effet, la version modifiée de ce projet, que le Parlement avait jugé trop compliqué, a été rejetée par le Conseil national le 3 juin 2019. Le projet n’est toutefois pas définitivement enterré puisque le Conseil des Etats lui a encore donné une chance en l’adoptant sans modification le 16 décembre 2019. A noter que l’Union européenne s’est dotée en octobre 2019 d’une Directive imposant aux Etats membres de prévoir d’ici deux ans dans leur législation notamment une obligation pour les entreprises de plus de 50 employés de mettre en place des canaux de signalement[iii].

Les parlementaires avancent pour certains que, malgré la modification apportée par le Conseil fédéral[iv], le système est trop compliqué[v] et pour d’autres qu’il ne protège pas suffisamment l’employé qui signale une irrégularité. Certains estiment finalement que les principes généraux du droit suffisent et qu’il appartient aux tribunaux de juger si un signalement est admissible ou non[vi].

Certes, le projet n’est pas parfait. L’argument selon lequel il ne protège pas suffisamment le whistleblower peut être entendu, mais affirmer que la situation actuelle est satisfaisante n’est pas défendable. Le travailleur qui constate des irrégularités doit savoir comment se comporter et bénéficier d’une sécurité juridique quant aux conséquences de son signalement et non espérer qu’un tribunal, le cas échéant, lui donnera raison[vii].

Le projet propose une marche à suivre claire, privilégiant le signalement interne, et incite les entreprises à mettre en place un dispositif de signalement adéquat. Un bon dispositif d’alerte est la meilleure garantie pour des signalements efficaces, utiles et dans l’intérêt de l’entreprise, ainsi que pour une meilleure protection des whistleblowers. Une étude menée par la Haute Ecole Spécialisée de Coire en collaboration avec EQS Group[viii] montre que, même si près de deux entreprises sur trois en Suisse (71% des grandes entreprises) proposent déjà un dispositif d’alerte, plus de deux entreprises sur trois (58% des grandes entreprises) qui n’ont pas de dispositif ne prévoient pas d’en mettre un en place. La raison principale invoquée est par ailleurs l’absence d’obligation[ix]. En outre, il n’est pas certain que les dispositifs d’alerte proposés par les entreprises sont tous conformes aux exigences fixées dans le projet[x], et la communication relative à ces dispositifs est insuffisante[xi].

Irrégularité au travail : que feriez-vous ?

Prenons l’exemple de Daniel, cadre moyen dans une grande entreprise. Daniel soupçonne fortement son chef d’obtenir des avantages indus d’un fournisseur. Mais il n’a pas de preuve, il ne se prend pas pour un justicier et finalement c’est le problème de l’entreprise et pas le sien. De plus, les relations avec son chef sont tendues et, pour ne rien arranger, celui-ci est très apprécié par le management. Toutefois, il découvre un jour par hasard que certaines prestations facturées par ce fournisseur sont inexistantes. Bien qu’il ne se prenne pas pour un héros, sa conscience et son devoir de loyauté envers son employeur lui imposent de signaler ces faits. Encouragé par la possibilité de s’adresser en toute confidentialité à un service indépendant dans l’entreprise, il annonce le cas. La suite ne s’est toutefois pas passée comme il l’imaginait : son identité a été révélée, des plaintes pénales ont été déposées contre lui, il a subi des pressions et s’est finalement retrouvé en incapacité de travail de longue durée alors que son chef travaille toujours dans l’entreprise.

Il s’agit malheureusement de risques réels pour un whistleblower[xii]. Le collaborateur bien avisé qui ne souhaite ni être connu, ni prétériter sa santé et son avenir professionnel, sait qu’il n’a aucun avantage personnel et donc également aucune raison de signaler des irrégularités. Mais il existe une solution : le signalement anonyme.

Signalement anonyme : le meilleur canal de signalement pour l’entreprise et le whistleblower

La première erreur de Daniel, c’est d’avoir pensé que la confidentialité qu’on lui avait garantie le protégerait. Or, confidentialité ne veut pas dire anonymat. Même si l’employeur respecte la confidentialité, une plainte pénale[xiii] de la personne soupçonnée mettra fin à la confidentialité. Et cela n’est pas critiquable ; la personne soupçonnée a aussi des droits, dont celui d’accéder au dossier. Les dispositions relatives à la protection de la personnalité et à la protection des données du travailleur (art. 328 et 328b CO) imposent déjà à l’employeur d’informer la personne soupçonnée et de lui donner l’accès au dossier dès que le secret de l’enquête interne ne l’exige plus[xiv]. L’autre erreur de Daniel, c’est d’avoir pensé que l’existence d’un système d’annonce sur le papier lui garantirait un traitement professionnel de son signalement par l’entreprise. Or, la réalité peut être bien différente.

Ainsi, seul l’anonymat permet au whistleblower, pour autant qu’il ne fournisse pas des informations permettant de l’identifier de manière absolue, d’éviter tous les « effets pervers » d’un signalement[xv]. L’anonymat ne peut être garanti qu’au moyen d’une plateforme informatique conçue à cet effet, dans le sens où l’anonymat est protégé par des moyens techniques[xvi]. C’est ce que propose notamment le Contrôle fédéral des finances depuis juin 2017[xvii]. Tout en garantissant l’anonymat, ce type de plateforme permet également de dialoguer avec le whistleblower. Il s’agit d’une fonctionnalité essentielle pour que le service en charge du traitement puisse établir correctement les faits et récolter les preuves suffisantes.

Certains estiment que les alertes anonymes ne devraient pas être proposées ou autorisées, notamment en raison d’un risque accru d’abus[xviii]. Mais ce risque n’est pas vérifié[xix]. Au contraire, l’étude précitée et l’expérience montrent non seulement qu’il n’y a pas plus d’abus, mais également que le nombre et la qualité des signalements augmentent avec ce type de canal d’alerte spécialisé. Ce mode de signalement est par ailleurs privilégié par rapport à d’autres lorsqu’il est proposé[xx]. Et cela n’a rien d’étonnant. Il n’est pas dans notre culture de dénoncer. Les whistleblowers sont considérés comme des délateurs, avec des motivations forcément suspectes[xxi]. Une bonne communication, notamment sur les droits et obligations du whistleblower, est certainement la meilleure arme contre les abus[xxii].

Avec un système de signalement anonyme tel que décrit ci-dessus, les témoins de dysfonctionnements souhaitant rester discrets, mais pas forcément silencieux, seront encouragés à effectuer un signalement. L’anonymat permet également d’éviter un détournement de l’attention vers le whistleblower et ses motivations. Le temps et les ressources peuvent ainsi être consacrés au sujet pertinent : les irrégularités. De plus, en investissant dans un tel système, l’entreprise donne un signal clair à ses collaborateurs sur sa volonté d’agir contre les comportements contraires à la loi ou à l’éthique. Rappelons que le whistleblowing est l’arme la plus efficace contre les actes qui ne causent pas de victimes directes, tels que notamment la fraude et la corruption[xxiii].


[i] Motion Gysin 03.3212 « Protection juridique pour les personnes qui découvrent des cas de corruption » du 7 mai 2003 et Motion Marty 03.334 « Mesures de protection des whistleblowers » du 19 juin 2003.

[ii] Message du 20 novembre 2013 sur la révision partielle du code des obligations (Protection en cas de signalement d’irrégularités par le travailleur) (FF 2013 [50] p. 8547). Documentation relative au projet : https://www.bj.admin.ch/bj/fr/home/wirtschaft/gesetzgebung/whistleblowing.html

[iii] Directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l’Union, JO L 305 du 26 novembre 2019, p. 17-56.

[iv] Message additionnel du 21 septembre 2018 sur la révision partielle du code des obligations (Protection en cas de signalement d’irrégularités par le travailleur) (FF 2018 [41] p. 6163) et Projet (FF 2019 [7] p. 1423).

[v] Système de signalement en cascade : pour autant que l’employeur ait mis en place un dispositif d’alerte indépendant et avec des règles claires (art. n321aquater al. 2 CO), le signalement doit en principe d’abord être adressé à l’employeur (art. n321abis CO) puis, s’il demeure sans effet, le whistleblower peut s’adresser aux autorités compétentes (art. n321ater CO) et en dernier lieu, à des conditions très strictes, au public (art. n321aquinquies CO).

[vi] Cf. débats parlementaires BO 2019 N 805. Projet du Conseil fédéral 13.094 « CO. Protection en cas de signalement d’irrégularités par le travailleur » du 20 novembre 2013, https://www.parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20130094

[vii] Le projet prévoit également le droit pour l’employé de prendre conseil auprès d’une personne soumise à un devoir légal de confidentialité (art. n321asexies CO). L’employé ne risque ainsi pas d’être poursuivi pour la violation d’un secret (Carranza/Micotti, Whistleblowing/Perspectives en droit suisse, Zurich 2014 p. 67 s.). Le whistleblower se verrait d’ailleurs bien inspiré de prendre conseil auprès d’un avocat s’il pense adresser son signalement à l’extérieur de l’entreprise.

[viii] Hauser/Hergovits/Blumer, Rapport 2019 sur les alertes professionnelles, Coire 2019, www.htwchur.ch/whistleblowingreport, ci-après : Rapport 2019.

[ix] Rapport 2019, pp. 18, 25, 28 et 31.

[x] Art. n321aquater al. 2 CO, cf. note 7. Le dispositif d’alerte est souvent rattaché à la direction et aux ressources humaines (aussi pour les grandes entreprises), mais moins souvent à l’audit interne ou au conseil d’administration (Rapport 2019, p. 43).

[xi] Près d’une grande entreprise sur trois ne communique jamais ou une seule fois (Rapport 2019, pp.50 et 52).

[xii] Carranza/Micotti, pp. 52 et 64 ss.

[xiii] Pour diffamation, calomnie, dénonciation calomnieuse ou même violation de la loi sur la protection des données contre l’employeur

[xiv] Carranza/Micotti, p. 85; D. Raedler, L’employé comme partie faible dans l’enquête interne, in : O. Hari (édit.), Protection de certains groupements de personnes ou de parties faibles versus libéralisme économique : quo vadis ?, Zurich 2016, p. 345 ss.

[xv] Carranza/Micotti, p. 52 ss.

[xvi] Il n’est pas possible de tracer l’adresse IP du whistleblower.

[xvii] Un anonymat total pour les lanceurs d’alerte, 24 heures, le 17 novembre 2017, https://www.24heures.ch/suisse/anonymat-total-lanceurs-alerte/story/12815435; Contrôle fédéral des finances: https://www.bkms-system.ch/CDF-fr; également proposé par la Poste https://post.integrityplatform.org et la Cour des comptes de la République et canton de Genève https://www.bkms-system.ch/cdc

[xviii] Avis notamment de Shelby du Pasquier, Le Temps, 30 août 2015, https://www.letemps.ch/economie/whistleblowing-derive-responsabilite-democratique

[xix] Les alertes abusives sont plutôt rares de manière générale et pour celles qui sont anonymes, la proportion est identique (Rapport 2019, p. 9 s.). Les alertes anonymes sont proposées par 2/3 des entreprises suisses dotées d’un dispositif et seules 5% sont abusives (Rapport 2019, pp. 39 s. et 58).

[xx] Les canaux d’alertes spécialisés, comprenant les plateformes digitales, font augmenter le nombre d’alertes et leur pertinence (Rapport 2019, p. 57 s.). Le Rapport annuel 2018 du Contrôle fédéral des finances relève également le succès et la pertinence de la plateforme d’alerte sécurisée (Rapport annuel 2018, p. 74, https://www.efk.admin.ch/fr/publications/communication-institutionnelle/rapports-annuels.html).

[xxi] Également avis du professeur Luc Thévenoz, Le Temps, 19 septembre 2012, https://www.letemps.ch/economie/lanceurs-dalerte-faut-faciliter-tache-suisse. Eviter une culture de la délation est la troisième raison invoquée par les entreprises suisses qui n’ont pas de dispositif d’alerte (Rapport 2019, p. 25).

[xxii] Rapport 2019, pp. 9, 48 et 59.

[xxiii] Carranza/Micotti, p. 8.

La taxation des GAFA

mardi 11 Fév 2020

Par Nathalie Peignon

La problématique de la taxation des GAFA

Les GAFA – acronyme de Google, Amazon, Facebook, Apple – sont les représentants les plus célèbres des entreprises de l’économie numérique qui compte en son sein nombre d’institutions telles que Meetic, Airbnb, Linkedin, Instagram, Critéo, etc.

Le principe de l’économie digitale consiste à fournir une gamme de services sur le web, via des plateformes numériques. Par conséquent, ces sociétés n’ont pas besoin d’établir une présence physique dans les Etats dans lesquels elles opèrent. Elles peuvent donc établir leur siège social et être taxées sur leur bénéfice dans le pays de leur choix, de préférence le plus « accueillant ».

La fiscalité européenne

Au sein de l’UE, les règles actuelles d’imposition des bénéfices sont fondées sur le principe de l’établissement stable à savoir une présence physique, matérialisée par des employés et/ou des actifs.

En matière de fiscalité, l’avis du Parlement européen est purement consultatif et les ministres de l’Economie des Etats membres peuvent s’accorder directement sur une proposition. Par contre, l’unanimité des membres du Conseil est requise pour adopter un texte.

L’absence d’harmonisation autorise la concurrence fiscale entre certains Etats et les GAFA ont implanté leurs filiales et leur présence physique, dans les pays qui proposent les taux d’imposition les plus faibles. Ainsi, l’Irlande accueille les sièges de Facebook et de Google et le Luxembourg accueille Amazon.

La Commission estime que, dans l’Union européenne, le taux moyen d’imposition des bénéfices des GAFA est compris dans une fourchette de 8.5% à 10% alors que celle des entreprises dotées de sièges sociaux physiques se situe en moyenne entre 20% et 23%.[1]

Le cas d’Amazon

Selon les comptes déposés au Luxembourg pour 2016, Amazon Europe a réalisé 21.6 milliards d’euros de chiffre d’affaires (ce montant n’intègrerait pas les revenus du cloud ni de la publicité). Le bénéfice déclaré est de 60 millions d’euros et l’impôt final de 16.5 millions d’euros.

Comment cela est-il possible ? En 2003, Amazon a signé un accord fiscal avec le Luxembourg aux termes duquel Amazon Europe paie des droits de propriété intellectuelle à une autre société qui, elle, est non taxable. Via celle-ci, les profits réalisés en Europe partent vers l’état du Delaware. Bruxelles estime que sur la période 2006-2014, Amazon a ainsi économisé 250 millions d’euros.

Depuis 2015, en signe de bonne volonté, Amazon a créé de vraies filiales par pays. Mais si en 2015, la succursale française a déclaré un milliard d’euros de chiffre d’affaires (loin des 4,4 milliards estimés), elle n’a payé que 1,7 million d’euros d’impôts sur les bénéfices en raison d’une déduction de 250 millions d’euros au titre de services extérieurs.

Les questions relatives à la taxation

La taxation des activités numériques envisagée par les pays européens, notamment la France, remet en cause une règle fondamentale de l’imposition des entreprises : la taxation des chiffres d’affaires et non plus des bénéfices.

Pour Robert Danon, directeur du centre de politique fiscale de l’Université de Lausanne : « le problème avec la taxe sur les chiffres d’affaires c’est que la compatibilité de cette taxe avec les standards internationaux est douteuse. Elle crée des distorsions parce qu’elle vise certaines entreprises uniquement ».

La position de la Commission européenne

La Commission européenne avait dévoilé en mars 2018 le projet de taxer les multinationales du numérique non plus en fonction de la présence physique, mais là où elles enregistrent leurs revenus.

L’idée était de taxer dans chaque Etat membre de l’UE – en proportion de l’utilisation des services numériques offerts – le chiffre d’affaires généré par certaines activités numériques : vente de données personnelles, vente d’espaces publicitaires en ligne, les services qui permettent les interactions entre utilisateurs et facilitent la vente de biens et de services. Cette taxe devait frapper les très grandes entreprises de l’économie numérique qui réalisent un chiffre d’affaires mondial supérieur à 750 millions d’euros, dont 50 millions dans l’UE. Cela concernerait 120 à 150 entreprises, pour des recettes fiscales de l’ordre de 5 milliards d’euros par an. Par contre, les start-ups et les entreprises numériques de l’économie solidaire étaient exclues du champ d’application.[2]

En l’absence d’unanimité des 28 Etats, le 11 juillet 2019 le parlement français promulgue sa propre taxe GAFA. Les groupes dont les activités numériques rapportent plus de 750 millions d’euros dans le monde dont 25 millions pouvant être rattachés à des utilisateurs localisés en France seront imposés à 3% en France.

Le chef du Département fédéral des finances a prévenu : « on ne peut faire autrement que de taxer les recettes provenant d’activités digitales ». Le modèle préconisé vise un taux d’imposition des ventes proche de 2% : dans ce cas, la taxation des seules recettes publicitaires de Google en Suisse rapporterait environ 20 millions de francs au fisc helvétique.

La Suisse privilégie les approches multilatérales, élaborées au sein de l’OCDE, qui prévoient une taxation des bénéfices dans l’Etat où a lieu la création de valeur. Tant qu’une solution n’a pas été trouvée au niveau de l’OCDE le Conseil fédéral estime qu’il n’y a pas lieu d’agir.[3]

Conclusion

Faute de consensus européen, l’OCDE s’est saisie du dossier et a annoncé en janvier 2019 l’accord de principe de 127 pays pour une réforme au niveau mondial avec l’objectif de parvenir à un accord final d’ici 2020. Mais pour Washington, cette refonte devrait concerner tous les groupes ayant une activité de distribution transfrontalière.

La solution à long terme privilégiée par la Commission est un système où les bénéfices seraient taxés en fonction du lieu où se trouve l’utilisateur au moment de la consommation.

La taxation des chiffres d’affaires serait transitoire faisant place à une fiscalité plus adaptée aux règles numériques : le nombre d’utilisateurs de services en ligne déterminerait aussi le domicile fiscal de l’entreprise permettant alors de taxer les bénéfices.

Les représentants des GAFA se sont élevés collectivement récemment contre la taxation française des groupes numériques, dénonçant rétroactivité, discrimination et double imposition dans le cadre d’une enquête ouverte par les services du représentant américain au Commerce4. Une étude d’impact estime que la taxe augmentera le prix des services et sera intégralement payée par les consommateurs (Amazon a déjà répercuté la taxe de 3% sur ses clients en France).

Un consensus existe parmi les autorités et les industriels pour reconnaître le besoin d’une réforme du système d’imposition des transactions numériques, sous l’égide de l’OCDE, d’autant que tous les secteurs deviennent progressivement numériques. Des solutions alternatives sont à l’étude comme revoir les règles de répartition du bénéfice entre les états de résidence des entreprises et les états de marché pour donner une part plus importante à l’état de marché.


[1] P. Rodrik, tdg/economie/taxation 23.03.2018

[2] M-H Revaz, La fiscalité face au défi de l’économie digitale Mazars Suisse 2019

[3] A. Seydtaghia, le temps.ch/economie/imposition gafa 30.11.2018

La fraude à la douane, un phénomène fréquent

mercredi 05 Fév 2020

De Gérald Jenni

Pour les habitants de la Suisse, les prix pratiqués en France, en Allemagne, en Autriche ou en Italie restent très attractifs pour un grand nombre de produits et services. Dès qu’une opportunité se présente, les tentations restent très fortes d’aller faire ses achats personnels voire des investissements de l’autre côté de la frontière. Les économies peuvent être substantielles… Mais attention …

… que risque-t-on lorsqu’on a « oublié » de déclarer quelque chose à l’importation ?

Notre focus principal restera le touriste (sans considérer spécialement les sociétés commerciales)

A. Pourquoi est-ce (si) intéressant pour un Suisse ?

Le niveau des prix des principales catégories de bien et de services valables pour les pays limitrophes de la Suisse est particulièrement bas (voir le graphique ci-dessous publié le 17.12.18 [i]). Il est rare, voire impossible, de trouver une catégorie de produits ou de services moins chère en Suisse que dans ses pays limitrophes :

N.B. Il existe une différence de coûts d’un canton à l’autre, notamment sur les dépenses d’impôts, de logement ou encore pour la santé qui pourraient influencer l’indice dans certaines régions. Nous ne considérerons ici que le niveau des prix pour la Suisse dans son ensemble.

B. Quelles sont les principales règles en vigueur ?

Pour savoir si un produit ou un service doit être soumis à une taxe, une redevance ou tout autre impôt, il faut se référer aux principales lois suivantes (liste non exhaustive) :

1. L’obligation de payer la TVA et/ou les droits de douane est fonction des seuils suivants :

Vous remarquerez que pour des achats de par ex. CHF 400.- (1 ou 2 pers.), la totalité du montant est soumise à TVA et non la différence entre le total des achats soustrait de la franchise … !

2. Les autres importations en franchise de redevances (Source : [iv] et [v])

Lorsque vous revenez de l’étranger ou que vous effectuez un voyage en Suisse, vous pouvez importer en franchise les marchandises suivantes :

C. Quelques cas particuliers auxquels on ne pense souvent pas (Source : [vi])

1. Emprunter un véhicule étranger et entrer en Suisse

Emprunter un véhicule étranger et entrer en Suisse peut coûter cher, très cher !

La démarche d’une personne domiciliée en Suisse qui entre sur le territoire suisse avec un véhicule emprunté à des proches mais immatriculé à l’étranger peut coûter cher.

L’inverse est également valable pour les ressortissants européens qui entrent dans l’UE. Franchir la frontière avec un véhicule immatriculé à l’étranger est considéré comme une importation de marchandises soumises à des taxes.

S’il est contrôlé avant l’entrée sur le territoire, le conducteur est sensibilisé à la situation juridique s’il souhaite poursuivre son trajet. Le véhicule sera alors dédouané et taxé. Le contrevenant devra s’acquitter de la TVA à 7.7% et de droits de douane qui varient entre 12 et 15 francs par 100 kilos pour une automobile, supérieurs pour les motos.

S’il est contrôlé sur le territoire suisse, les taxes d’importation seront estimées et une procédure pénale lancée. Selon l’Administration fédérale des douanes (AFD), ces taxes correspondent environ à 13% de la valeur du véhicule. Une amende peut alors aussi être décidée et varie en fonction de l’importance des taxes non perçues et de celle de l’infraction. Selon la pratique, elle peut atteindre jusqu’au total de ces taxes. Mais en cas de première infraction, elle n’est que de 20%.

2. Depuis le 1er mai 2015, l’utilisation transfrontalière des véhicules d’entreprise est restreinte.

a. Utilisation du véhicule uniquement pour les trajets domicile/travail :

En cas de contrôle à la douane, vous devez pouvoir présenter une copie de votre contrat de travail, dans lequel sera mentionnée l’autorisation d’utiliser un véhicule de fonction. En cas de non-respect, le trajet pourra être considéré comme une importation de véhicules dans l’Union européenne. Ceci occasionnerait alors le dédouanement du véhicule et le paiement de la TVA, en sus d’une amende et du dépôt d’une plainte pénale.

b. Utilisation du véhicule à des fins privées, autres que pour le trajet domicile/travail :

Pour pouvoir faire des trajets privés et professionnels sans limites, il reste une seule solution : la double immatriculation. Pour ce faire, le véhicule doit être taxé simultanément dans le pays européen concerné et en Suisse. Ces taxes d’importation sont constituées de la TVA au taux de 20 % et des droits de douane au taux de 10 %. Les droits de douane sont calculés à partir de la valeur actuelle (Eurotax) du véhicule. La TVA est calculée à partir de la valeur Eurotax + les droits de douane.
Les démarches sont à effectuer par l’employeur ou le salarié auprès d’un poste de douane situé à la frontière.

c. Utilisation à des fins professionnelles d’un véhicule étranger sur territoire suisse :

Il y a lieu de prendre garde à l’utilisation transfrontalière des véhicules du côté étranger, mais également du côté suisse, puisque l’utilisation d’un véhicule immatriculé à l’étranger n’est pas autorisée pour des courses professionnelles sur le territoire suisse. Des mesures devront certainement se présenter dans un avenant au contrat de travail ou, pour les nouveaux collaborateurs, directement dans le contrat de travail.

3. Lors de la participation à une exposition en Suisse (en tant qu’exposant)

Tenant compte du fait que les ventes ne peuvent pas être définies à l’avance, les formalités douanières d’importation et de réexportation doivent obligatoirement être faites (directement sur site ou via un transitaire) :

Source : [vii]

4. Importation ou passage en douane de produits contrefaits (Source :[viii])

Rappelons rapidement que la contrefaçon consiste à reproduire des produits protégés par des marques, des designs, des indications de provenance ou des brevets et à imiter le nom ou l’apparence du produit original.

L’importation (tout comme le transit et l’exportation) de produits contrefaits à des fins commerciales est interdite. Mais même effectuée à des fins privées, l’importation de marchandises enfreignant des droits de design ou de marque est également prohibée (art. 13, al. 2bis de la loi sur la protection des marques et art. 9, al. 1bis de la loi sur les designs). Le titulaire d’un droit à la marque, de brevet ou de design peut exiger la saisie et la destruction à la douane de produits contrefaits portant atteinte à ses droits de propriété intellectuelle (art. 70 ss. de la loi sur la protection des marques; art. 46 ss. de la loi sur les designs; art. 86a ss. de la loi sur les brevets et art. 75 ss. de la loi sur le droit d’auteur).

Les douaniers effectuent un contrôle des importations et des envois afin de détecter les produits suspects. S’ils identifient ou soupçonnent une contrefaçon, la marchandise est retenue.

Les contrefaçons peuvent, en plus de la destruction des marchandises et de l’obligation de réparer le préjudice, donner lieu à des sanctions pénales (outre une amende d’un maximum de 1 080 000 francs) en une peine privative de liberté allant jusqu’à cinq ans.

D. Comment dédouaner vos marchandises ? (Source : [ix])

Il y a trois moyens de déclarer des marchandises :

  • App QuickZoll
    L’application de l’Administration fédérale des douanes vous renseigne sur les principales formalités. Les marchandises ainsi déclarées peuvent être importées en Suisse par n’importe quel poste-frontière.
  • Déclaration en douane orale
    Si le poste-frontière suisse est occupé, vous devez déclarer spontanément toutes les marchandises (voir la liste des offices de douane les adresses et heures d’ouverture).
  • Autodéclaration écrite au moyen de la boîte à déclarations aux passages non occupés
    Dans les endroits moins fréquentés, il existe un nombre croissant de passages frontières qui ne sont occupés que de façon sporadique ou qui ne le sont pas du tout. Vous pouvez déclarer vous-même vos marchandises par écrit au moyen d’une boîte à déclarations. Des formulaires sont disponibles dans les boîtes. Veillez à importer uniquement des marchandises qui ne sont pas destinées à être commercialisées et qui ne sont pas interdites.

N.B. Remboursement de la TVA étrangère

L’AFC ne peut rembourser la TVA d’un pays étranger. Les démarches doivent être entreprises directement avec le vendeur concerné et les autorités fiscales du pays concerné.

Vous êtes en règle … ?

Vous êtes parfaitement en règle, alors vous avez droit à apposer un tel sigle et emprunter les voies vertes et ainsi accélérer votre passage en douane. Mais attention ! Les sanctions sont plus lourdes si vous aviez tout de même omis certaines déclarations… vous vous rendez coupable d’une fausse déclaration (ce sigle présenté a valeur légale) !

E. Que risque-t-on plus (amendes, peines, etc. et les lois qui s’y rapportent) ?

Petits extraits (se référer aux textes complets) :

Loi sur les douanes

  • Infractions douanières
    Art. 117 LD : soustraction, mise en péril, trafic, recel, détournement
  • Soustraction douanière
    Art. 118 LD : est puni d’une amende pouvant atteindre cinq fois voire plus des droits de douane
  • Mise en péril douanière
    Art. 119 LD : ne déclarant pas ou en dissimulant les marchandises (peine prison d’un an au plus)
  • Trafic prohibé
    Art. 120 LD : enfreint une interdiction ou restriction d’introduction (peine prison d’un an au plus)
  • Recel douanier
    Art. 121 LD : encourt la peine applicable à l’auteur de l’infraction préalable
  • Détournement du gage douanier
    Art. 122 LD : détruit une marchandise saisie par l’AFD à titre de gage sera puni (amende)
  • Tentative
    Art. 123 LD : la tentative est punissable
  • Circonstances aggravantes
    Art. 124 LD : le fait d’embaucher des personnes pour commettre des infractions douanières
  • Infractions commises dans une entreprise
    Art. 125 LD : selon les circonstances et si l’amende ne dépasse pas 100kCHF, peut renoncer
  • Poursuites pénales
    Art. 127 LD : Le renvoi devant le juge de l’auteur d’une infraction à l’art. 285 ou 286 CP est réservé

Loi sur la TVA

La LTVA prévoit trois infractions principales :

  • La soustraction de l’impôt (art. 96 LTVA) y.c. par négligence
  • La violation d’obligation de procédure (art. 98 LTVA) y.c. par négligence
  • Le recel (art. 99 LTVA)

L’état de fait constitutif de l’infraction concernant la soustraction de l’impôt est différencié ainsi : fausse déclaration, qualification erronée, soustraction dans la procédure de taxation et soustraction qualifiée. Les dispositions pénales s’appliquent aussi bien à l’impôt grevant les opérations réalisées sur le territoire suisse qu’à l’impôt sur les acquisitions et à celui sur les importations.


[i] OFS 2018 Indices des niveaux de prix en comparaison internationale en 2017 (provisoire), UE28 = 100  https://www.bfs.admin.ch/bfs/fr/home/statistiques/prix/parites-pouvoir-achat.assetdetail.6986866.html

[ii] https://www.ezv.admin.ch/ezv/fr/home/infos-pour-particuliers/voyages-et-achats–franchises-quantitatives-et-franchise-valeur/importation-en-suisse.html

[iii] https://www.ezv.admin.ch/ezv/fr/home/infos-pour-particuliers/voyages-et-achats–franchises-quantitatives-et-franchise-valeur/importation-en-suisse/marchandises-dont-la-valeur-ne-depasse-pas-300-francs–en-franch.html

[iv] https://www.ezv.admin.ch/ezv/fr/home/infos-pour-particuliers/voyages-et-achats–franchises-quantitatives-et-franchise-valeur/importation-en-suisse.html

[v] Ordonnance sur les douanes (OD)

[vi] www.ezw.admin.ch et TCS Genève

[vii] mch-group-lausanne-douane-guide-fr.pdf

[viii] FH, service juridique

[ix] www.ezw.admin.ch

Le ransomware, nouvelle poule aux œufs d’or des hackers

lundi 27 Jan 2020

Par Caroline Besse

En octobre 2019, l’hôpital suisse de Wetzikon, dans le canton de Zurich, a été victime d’une cyberattaque au moyen d’un ransomware. Dans ce cadre, l’hôpital s’est vu contraint de débrancher plusieurs dispositifs médicaux du système central, mais ne semble pas avoir subi de dégâts majeurs, après avoir pu isoler rapidement les machines infectées (Seydtaghia, 2019). D’autres n’ont pas eu la même chance. Aux États-Unis notamment, des médecins, des dentistes et de petits établissements hospitaliers de quartier victimes d’une cyberattaque par ransomware ont dû refouler des patients, voire pour certains mettre la clé sous la porte (Janofsky, 2019). CrowdStrike, une société de cybersécurité californienne, met en exergue dans son rapport 2019 le succès grandissant des attaques par ransomware menées contre le secteur privé : cette année, près de 40% des entreprises interrogées, provenant des quatre coins du monde, se sont résolues à verser les sommes conséquentes exigées par les hackers pour récupérer l’accès à leurs fichiers, soit un nombre nettement plus élevé qu’en 2018 (Huvelin, 2019).

Cette brève sélection d’attaques récentes, qui font désormais des victimes en Suisse non plus seulement dans les PME mais aussi dans les collectivités publiques, illustrent la croissance exponentielle de ce phénomène et les dégâts conséquents qu’elles causent. Elles nous alertent aussi sur le fait que chacun d’entre nous peut être une victime directe ou collatérale d’une attaque par ransomware.

Un ransomware, qu’est-ce exactement ?

Passons d’abord par la case définition, pour mieux cerner cette drôle de bête qu’est le ransomware. Ce terme anglais, qui se traduit en français littéralement par « rançongiciel », désigne un type de logiciel malveillant qui chiffre l’accès à votre ordinateur ou à vos fichiers personnels (ANON., 2019) en modifiant souvent l’extension des fichiers (par exemple .locked ou .locky). Il exige ensuite de votre part, par un message affichant les instructions de paiement (ANON., [sans date]), une rançon pour récupérer vos fichiers, souvent dans un certain laps de temps, le montant exigé augmentant parfois après un (ou plusieurs) délai(s) échu(s) (ANON., 2019). Le paiement se fait souvent en monnaie virtuelle (par ex. Bitcoin) à travers un site sur le darknet, si bien qu’il est impossible de remonter jusqu’aux hackers. Le montant des rançons, initialement fixé à quelques centaines de dollars, se chiffre désormais à plusieurs centaines de milliers de francs (ANON., 2019).

« Comment serai-je touché ? »

Le ransomware peut infecter l’ordinateur de plusieurs manières. La plus commune est celle de l’e-mail par phishing et spam (ANON., 2019). L’attaque menée contre l’hôpital de Zurich a d’ailleurs « très certainement été réalisée par e-mail » (Seydtaghia, 2019). Ces e-mails contiennent soit une pièce jointe infectée par un logiciel malveillant, soit un lien sur un site malveillant ou piraté. Une fois que l’utilisateur ouvre la pièce jointe ou clique sur le lien, le ransomware infecte la machine de l’utilisateur et peut se répandre sur son réseau (y compris sur ses éventuels supports périphériques connectés tels que clé USB, disque dur externe, etc.). Une autre manière consiste à exploiter une faille de sécurité dans un système ou un programme, comme le fameux ver WannaCry qui a infecté des centaines de milliers d’ordinateurs dans le monde entier en utilisant une faille Microsoft. Enfin, le ransomware peut également prendre la forme d’une fausse mise à jour d’un logiciel, poussant les utilisateurs à activer les droits d’administrateur et installant ainsi le code malveillant. (ANON., 2019)

Une fois l’ordinateur infecté par le ransomware, celui-ci bloque soit l’accès au disque dur, soit il chiffre tout ou une partie des fichiers de l’ordinateur. Il sera peut-être possible de retirer le logiciel malveillant de l’ordinateur et de restaurer le système, mais les fichiers resteront chiffrés du fait que le ransomware les a déjà rendus illisibles, et que le déchiffrement est mathématiquement impossible sans la clé de déchiffrement du hacker. (ANON., 2019)

Le montant de la rançon en lui-même est fixé à la fois à un niveau suffisamment bas pour que la victime puisse la payer, et à un niveau suffisamment élevé pour que l’opération soit rentable pour le hacker. Les cybercriminels visent certaines organisations ou industries afin de tirer profit de leurs vulnérabilités spécifiques et de maximiser ainsi les chances que la rançon soit payée. Les organisations médicales peuvent par exemple être visées du fait qu’elles nécessitent souvent d’un accès immédiat à leurs données et que des vies peuvent être en jeu, ces facteurs les conduisant à payer immédiatement. Les établissements financiers et les cabinets d’avocats seront également plus enclins à payer la rançon en raison du caractère sensible de leurs données et auront tendance à le faire discrètement pour éviter toute publicité négative (ANON., 2019). La tendance est également désormais de cibler des gouvernements étatiques et locaux ainsi que les collectivités publiques, ceux-ci étant plus enclins à payer les rançons demandées, en raison d’une part des données sensibles qu’ils détiennent et d’autre part, de caisses plus généreusement garnies (Ng, 2019). Il n’empêche qu’une attaque par ransomware peut toucher n’importe lequel d’entre nous, ainsi que de nombreux systèmes d’exploitation (Windows, Linux, MacOS).

Il faut également être conscient qu’il n’existe aucune garantie pour la victime que le paiement de la rançon lui permettra de récupérer la clé de déchiffrement des fichiers (mise par ailleurs sur un serveur du darknet qu’il est impossible de retracer), puisqu’elle a en face d’elle des hackers sans foi ni loi qui se soucient peu de respecter leur engagement, leur seul but étant de maximiser les profits à moindre effort. Il y a ainsi de fortes chances qu’une fois la rançon payée, la victime n’obtienne strictement rien en retour… On pense ici notamment à la cyberattaque ayant visé le groupe d’ingénierie français Altran en janvier 2019 : l’entreprise, en dépit des recommandations des experts exhortant à ne jamais payer les rançons exigées (MELANI, 2019a), a versé 300 bitcoins (soit près d’un million d’euros selon la valeur du bitcoin à ce moment-là), et fin février, elle n’avait pas reçu la clé de déchiffrement des fichiers (Gros, 2019). D’un autre côté, si la victime ne paie pas, elle est doublement pénalisée : non seulement elle n’a plus accès à ses données, mais elle est en outre dans l’incapacité de poursuivre son activité, ce qui engendre pour elle des pertes de revenus considérables. L’impact financier de l’attaque par rançongiciel contre Altran a été estimé à 20 millions d’euros en février 2019 (Gros, 2019). Ce choix cornélien pour la victime illustre le potentiel de nuisance extrêmement élevé du ransomware.

Comment me protéger ?

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI liste sur son site plusieurs mesures de précaution pour minimiser autant que faire se peut les risques d’être victime d’un ransomware ou les conséquences d’une attaque par ransomware, dont nous reprenons ci-dessous les plus importantes :

Mesures préventives

  • Effectuer des sauvegardes régulières des données importantes sur un support externe et déconnecter ce dernier de l’ordinateur après la sauvegarde afin d’éviter que le rançongiciel ne le chiffre également lors d’une infection.
  • Maintenir à jour son système d’exploitation, toutes les applications installées sur l’ordinateur, l’antivirus et le pare-feu personnel.
  • Procéder avec grande prudence en présence de courriels suspects, inattendus ou provenant d’un expéditeur inconnu : ne pas cliquer sur les liens indiqués et ne pas ouvrir les pièces jointes au courriel.    

Mesures après infection de l’ordinateur

  • En cas d’infection, déconnecter immédiatement l’ordinateur de tous les réseaux. Procéder à une réinstallation du système et à un changement de tous les mots de passe.
  • Restaurer les données à partir de copies de sauvegarde (par ex. depuis disque dur externe non connecté au réseau lors de l’infection).
  • Signaler l’incident au Service national de coordination de la lutte contre la criminalité sur Internet (SCOCI) et porter plainte auprès des services de police locaux.
  • Ne pas payer la rançon.

Mesures supplémentaires pour les entreprises

  • Renforcer la protection de l’infrastructure informatique contre les maliciels en utilisant Windows AppLocker.
  • Bloquer la réception de courriels contenant des fichiers dangereux (par ex. .js, .jar, .exe, .scr, .pif, .ps1) sur le service de messagerie.
  • Bloquer tous les fichiers joints contenant des macros (par ex. .docm, .xlsm ou .ppsm)

(MELANI, 2019b)

Liste complète des mesures disponible ici.  

Références

ANON., 2019. What is Ransomware? | Definition, Examples, & Prevention. In : crowdstrike.com [en ligne]. 2 août 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.crowdstrike.com/epp-101/what-is-ransomware/.

ANON., [sans date]. Ransomware / Rançongiciels. In : CommentCaMarche.net [en ligne]. [Consulté le 22 décembre 2019]. Disponible à l’adresse : https://www.commentcamarche.net/faq/45808-ransomware-rancongiciels.

GROS, Maryse, 2019. Cyberextorsion contre Altran : un coût estimé à 20 M€ – Le Monde Informatique. In : LeMondeInformatique.fr [en ligne]. 28 février 2019. [Consulté le 23 décembre 2019]. Disponible à l’adresse : https://www.lemondeinformatique.fr/actualites/lire-cyberextorsion-contre-altran-un-cout-estime-a-20-meteuro-74492.html.

HUVELIN, Grégoire, 2019. En 2019, les attaques par ransomware contre le secteur privé ont été encore plus efficaces. In : Cyberguerre [en ligne]. 20 décembre 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://cyberguerre.numerama.com/2059-en-2019-les-attaques-par-ransomware-contre-le-secteur-prive-ont-ete-encore-plus-efficaces.html.

JANOFSKY, Adam, 2019. Smaller Medical Providers Get Burned by Ransomware. In : Wall Street Journal [en ligne]. 6 octobre 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.wsj.com/articles/smaller-medical-providers-get-burned-by-ransomware-11570366801.

MELANI, Centrale d’enregistrement et d’analyse pour la sûreté de l’information, 2019a. Mise à jour rançongiciels: nouvelle façon de procéder. In : Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI [en ligne]. 30 juillet 2019. [Consulté le 26 décembre 2019]. Disponible à l’adresse : https://www.melani.admin.ch/melani/fr/home/dokumentation/newsletter/update-ransomware-neue-vorgehensweise.html.

MELANI, Centrale d’enregistrement et d’analyse pour la sûreté de l’information, 2019b. Rançongiciels. In : Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI [en ligne]. 6 août 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.melani.admin.ch/melani/fr/home/themen/Ransomware.html.

NG, Alfred, 2019. Ransomware froze more cities in 2019 as hackers got smarter. In : CNET.com [en ligne]. 5 décembre 2019. Consulté le 22 décembre 2019]. Disponible à l’adresse : https://www.cnet.com/news/ransomware-devastated-cities-in-2019-officials-hope-to-stop-a-repeat-in-2020/.

SEYDTAGHIA, Anouch, 2019. Un hôpital suisse victime d’une cyberattaque. In : Le Temps [en ligne]. 20 décembre 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.letemps.ch/economie/un-hopital-suisse-victime-dune-cyberattaque.

L’humanitaire et la fraude

lundi 13 Jan 2020

Par Barbara Schmuki

Une partie des informations et opinions exprimées dans cet article sont le fruit de mon expérience professionnelle. Celles-ci n’engagent que moi et non pas mon ancien employeur qui ne peut être tenu responsable des propos tenus dans cet article.

Prise de conscience

La fraude ou la corruption tant privée que publique dans l’humanitaire ne font généralement que peu couler d’encre dans les médias traditionnels. Pourtant ces phénomènes existent et sont une préoccupation permanente des acteurs de la branche. De temps à autre au gré des conflits ou des désastres naturels ce problème se retrouve soudain sur le devant de la scène, comme lors du tsunami de 2004

26 décembre 2004, 7h58 et 53 secondes, un tremblement de terre d’une magnitude de 9 à 9,3 sur l’échelle de Richter secoue l’Océan Indien. 12 pays sont frappés, entre 230’000 et 250’000 personnes périssent.

Le tsunami de 2004 domina l’information internationale pendant des semaines. Le monde entier s’est senti concerné car beaucoup d’Occidentaux faisaient partie des victimes. Les dons, tant dans le domaine public que privé, ont été sans précédent.

On notera le pic de l’assistance en 2005 puis le déclin entre 2005 et 2006 (diminution de l’assistance aux pays affectés par le tsunami).

Cette catastrophe a attiré l’attention sur les dérives que cet afflux massif d’aide financière a pu créer. Les énormes montants financiers investis dans cette catastrophe pour l’humanité ont posé beaucoup de questions quant à l’utilisation des fonds et les montants destinés à l’aide des victimes qui sont restées dans des poches qui n’en auraient pas eu besoin.

Le niveau élevé des ressources financières qui a été engagé a causé des préoccupations au sujet de nouvelles occasions de corruption. Il a été constaté qu’une « capacité de réaction à l’urgence dans le domaine de la corruption » manquait cruellement et devait être mise en place afin d’éviter certaines dérives futures. Cette prise de conscience a permis de prendre des mesures afin que la transparence dans l’aide humanitaire d’urgence soit prise au sérieux et mise en place.

Très souvent, les pays touchés par des catastrophes naturelles ou des conflits sont des pays où la corruption est déjà très présente. La corruption a une définition qui varie entre les cultures et parfois même au sein d’une même culture. Par exemple, le népotisme est très clairement considéré comme de la fraude dans certains pays alors que dans certaines cultures cela est toléré voir normal. Dans certains pays la corruption est même un agissement courant voir attendu au niveau même du gouvernement. Une grande quantité de ressources subitement injectées dans des économies pauvres peuvent aggraver le déséquilibre du pouvoir et de ce fait augmenter la corruption.

Ceci englobe la corruption financière telle que la fraude, les pots-de-vin, l’extorsion et les dessous-de-table. Malheureusement, la fraude est également non financière et dans ce cas elle peut également toucher les plus vulnérables, les véritables victimes. Il s’agira alors de manipulation, de détournement de l’aide humanitaire par exemple par des groupes armés qui se serviront dans les denrées alimentaires pour nourrir leurs combattants.

Les préférences à l’embauche aux personnes d’un même clan, d’une même ethnie ou d’une même famille sont monnaies courantes ainsi que la coercition exercée sur le personnel ou les bénéficiaires pour prendre part au système ou pour tout bonnement fermer les yeux.

Le comportement le plus abject étant sans aucun doute celui de l’attribution de biens nécessaires à la survie en échange de faveurs sexuelles.

Exemples de fraudes

La corruption ne se passe pas uniquement dans le domaine financier. Les fonctions dites de soutien ont également leur lot de fraudes et de malversations. Les fonctions de soutien principales dans une action humanitaire sont la chaîne logistique, la chaîne d’approvisionnement et la gestion des avoirs.

Ces fonctions englobent notamment la passation du marché, les montants en jeu pouvant être colossaux, les cas de fraudes sont courants. Les appels d’offres peuvent être faussés, certains fournisseurs peuvent être mis volontairement à l’écart. Les réponses à l’appel d’offres peuvent être truquées, en effet une seule et même personne fera plusieurs offres sous des noms d’entreprise différents et avec la complicité de la personne en charge de l’appel d’offres, il s’assure ainsi d’être celui qui va remporter l’offre. Un fournisseur peut également falsifier des bulletins de livraisons en faisant croire que la totalité a été livrée, ce qui n’est pas le cas, mais le montant de la facture lui est bel et bien pour la totalité de la commande. Un fournisseur peut verser un pot-de-vin et ainsi livrer de la marchandise tout à fait inutile et ainsi partager le profit avec l’employé. La qualité peut être inférieure que celle commandée mais à nouveau le prix sera celui de la qualité supérieure. Un gouvernement corrompu ou des milices locales peuvent exiger des pots-de-vin pour laisser passer les marchandises destinées aux personnes dans le besoin. Ils peuvent également agir à des niveaux plus stratégiques comme les douanes ou l’accès au visa. Certains chauffeurs ou transporteurs peuvent prétendre avoir dû payer des pots-de-vin ou que les marchandises ont été volées ou détruites, mais en réalité la marchandise a été détournée dans le but de la vendre. Les inventaires de marchandise peuvent être falsifiés afin de cacher le détournement des biens.

L’entretien des voitures générant également de gros montants, il est fréquent que des pièces défectueuses ne soient pas remplacées par des pièces neuves mais que le prix, lui, soit bien celui de matériel neuf. Les employés peuvent prétendre que les pièces en stock étaient abîmées mais ces dernières ont été en fait vendues. La consommation de carburant peut parfois être ridiculement haute et la justification peut être une fuite d’essence ou l’évaporation, mais en fait les réservoirs ont été siphonnés. Lors de la livraison du fuel, une partie peut être détournée alors que le prix sera celui pour toute la quantité commandée. Le compteur de la pompe à essence peut également être truqué et ainsi faire croire que les litres utilisés sont supérieurs à la réalité, de cette façon la différence pourra être subtilisée et utilisée à d’autre fin.

Opérer dans un endroit sans aucun accès aux instituts bancaires augmente considérablement le montant de cash qui se trouve à disposition pour les différentes activités et programmes des organisations humanitaires. Ces montants se trouvent augmentés dans le cas de programmes comme «travail contre rémunération» où des programmes nécessitant beaucoup de main-d’œuvre qu’il faut payer régulièrement. Ce genre de situation peut susciter une forte tentation de corruption. L’argent pourra facilement être volé ou détourné.

Bénéficier d’organisme bancaire à proximité n’élimine pourtant pas tous les problèmes, certains escrocs peuvent être autorisés à signer à la banque ou être de connivence avec le banquier et de ce fait détourner les fonds. Des partenaires et également des employés fantômes peuvent voir le jour et ainsi toucher des montants indus. La comptabilité peut être falsifiée. De faux documents comptables comme des fausses factures ou des documents incomplets peuvent être utilisés. Si des comptables de différents sites parviennent à s’entendre, des montants destinés à d’autres sites pourront être sortis d’une comptabilité mais jamais entrés dans l’autre, et le montant pourra ainsi être partagé.

Comment diminuer la fraude

La baguette magique permettant d’éradiquer la fraude n’a pas encore été trouvée. Il appartient à chaque organisation humanitaire d’en prendre conscience et de mettre en place des mesures adéquates à chaque contexte. Une bonne connaissance de la région, de ses coutumes et de sa culture est impérative.

Certaines organisations sont réticentes à discuter publiquement de ce problème car elles craignent que cela ait une influence négative sur la levée des fonds. L’effet devrait logiquement être l’opposé, puisqu’un donateur devrait être plus enclin à verser de l’argent à une institution qui reconnaît ses faiblesses et qui y travaille et renforce ainsi sa crédibilité. La prise de conscience seule de l’organisation n’est pas suffisante. En effet, le personnel tant expatrié que local doit absolument prendre conscience de l’importance que le respect des victimes, donc de l’argent des donateurs, est vital et le centre d’une action humanitaire.

En phase d’urgence les procédures sont simplifiées et plus rapides, car il faut sauver les victimes en priorité, mais comme le cas du tsunami nous l’a démontré, il est important de bénéficier d’une capacité à réagir rapidement également à ce niveau-là, afin d’entraver la corruption du départ.

L’analyse des risques inhérents à chaque contexte ne doit pas uniquement être du ressort de l’audit interne, mais les risques de corruptions doivent faire partie intégrante de la stratégie de l’organisation. Un code de conduite donnant une définition claire de la corruption rend les employés attentifs au fait que cette dernière ne sera pas tolérée et que des sanctions seront prises vis-à-vis de ceux qui ne respecteront pas ce code de conduite.

Le fait que le personnel travaille dans le domaine humanitaire n’implique pas qu’il ne soit pas tenté de frauder. Au contraire peut-être, car l’aide humanitaire est logiquement présente dans des pays détruits par des conflits ou des catastrophes pour l’humanité et qui manquent de tout, il est donc d’autant plus tentant de vouloir se servir là où il y a ce qui peut manquer.

Les fraudeurs de l’humanitaire ne sont pas différents des criminels économiques lambdas et l’on peut donc faire l’analogie suivante :

Les criminels économiques évaluent l’attractivité d’une opération selon trois critères :

  1. La perception du risque encouru
  2. La probabilité que la manipulation soit découverte
  3. La peine à laquelle ils s’exposent

La règle des 20-60-20 nous apprend que 20% de la population est fondamentalement honnête et peu importe quel gain se trouve à la clé, elle ne passera jamais à l’acte. Le 60% est en principe honnête, néanmoins la tentation de passer à l’acte sera présente s’il se trouve confronté à une opportunité liée à un risque minime d’être démasqué. Le 20% restant est constitué de personnes foncièrement malhonnêtes qui sont prêtes à profiter de chaque occasion pour frauder.

Si de tels critères s’appliquent à une société ne devant pas faire face à de grands manquements, il est envisageable de penser que pour les populations dans le besoin le 60% des gens se laissent tenter encore plus facilement. L’idée ici n’étant aucunement de faire un amalgame et de dire que «ce sont tous des fraudeurs». Bien au contraire, si l’on met en relation le niveau de fraude et la tentation à laquelle la population doit faire face, les cas de fraude importants ne sont que rarement mis au point par ceux qui en auraient le plus besoin.

Les «lessons learned» de plusieurs décennies d’aide humanitaire ont permis au plus grand nombre d’organisations humanitaires d’établir des contrôles internes efficaces qui n’ont absolument rien à envier à ceux d’entreprises actives dans d’autres domaines. Malheureusement un contrôle interne si bon soit-il sur le papier ne pourra pas à lui seul diminuer les cas de fraude. La formation du personnel et des contrôles réguliers tant internes qu’externes doivent renforcer ce dernier et de cette façon assurer du mieux possible que les dons arrivent bien aux victimes et non pas aux fraudeurs.

Sources :

Reymond, P., Margot, J., Margot, A. (2006-2007) Les limites de l’aide humanitaire. (Projet SHS de 1e année master. SHS Développement Durable et Développement Nord-Sud Lausanne, année 2006-2007). Ecole Polytechnique fédérale de Lausanne.

Transparency International (2014). Prévenir la corruption dans le cadre des opérations humanitaires, manuel de bonnes pratiques. 2e édition 2014. Berlin

R.W. (2014, 21 décembre). Le tsunami de 2004, catastrophe d’ampleur inégalée. Le Temps :
https://www.letemps.ch/monde/tsunami-2004-catastrophe-dampleur-inegalee

Pérouse de Montclos, M-A. (2009/4) Du développement à l’humanitaire, ou le triomphe de la com’. Revue Tiers Monde 2009/4 no 200 pages 751 à 766. https://www.cairn.info/revue-tiers-monde-2009-4-page-751.htm

Pérouse de Montclos, M-A. (2005/12) Les ONG humanitaires sur la sellette. cairn info ,Dans Études 2005/12 (Tome 403), pages 607 à 616. https://www.cairn.info/revue-etudes-2005-12-page-607.htm#

11,5% des dons pour le tsunami ont été dépensés dans d’autres projets (2011, 12 janvier)

L’Expansion.com. https://lexpansion.lexpress.fr/actualite-economique/11-5-des-dons-pour-le-tsunami-ont-ete-depenses-dans-d-autres-projets_1434296.html

Perrin, B., de Preux, P. (2018). L’investigation en entreprise (Prévention et détection des fraudes). Lausanne : Presse polytechniques et universitaires romandes.


[i] Development Initiatives (2007-2008). Global Humanitarian Assistance. Somerset
http://devinit.org/wp-content/uploads/2010/07/2007-GHA-report.pdf

Development Assistance Committee (DAC) of the Organisation for Economic Cooperation and Development (OECD) https://data.oecd.org/oda/net-oda.htm

Faiblesse croissante de la cellule de renseignement financier au Brésil

mardi 07 Jan 2020

Par Barbara Menezes de Miranda, investigatrice en blanchiment d’argent

En mars 2014, la plus grande enquête sur des affaires de corruption et de blanchiment de capitaux au Brésil a été ouverte. Appelée Opération Lava Jato, ses premiers suspects faisaient partie d’un réseau d’opérateurs financiers spécialisés dans les opérations de change clandestines et de blanchiment d’argent. Depuis lors, l’opération Lava Jato a généré des centaines de mandats d’arrêt, de déclarations de culpabilité et de classements de faillite au Brésil, en Argentine, au Pérou, en Angola, etc. Ces enquêtes ont permis d’identifier les principaux clients des opérateurs financiers : politiciens corrompus et entrepreneurs corrupteurs – la plupart d’entre eux étant liés au secteur pétrolier.[1]

En plus des conséquences judiciaires de l’opération, la Lava Jato a également modifié la dynamique de la politique brésilienne. Alors que les partis traditionnels ont perdu du terrain en raison de leur implication dans les crimes faisant l’objet d’enquêtes, de nouveaux groupes ont comblé le vide politique avec des programmes contre la corruption et contre la politique en général. Un exemple est l’élection présidentielle en décembre 2018 de Jair Bolsonaro, qui a été élu avec un discours radical et antidémocratique, soutenu par le parti PSL jusque-là dénué de pertinence lors des élections nationales.[2]

En raison de l’ampleur de l’enquête sur la corruption et le blanchiment d’argent et de ses effets sur la politique nationale, plusieurs parallèles ont été établis avec un cas similaire rencontré en Italie dans les années 90, l’opération Mani Pulite. Cette opération a provoqué une crise dramatique dans le système politique italien : elle a impliqué six anciens premiers ministres, plus de cinq cents parlementaires et des milliers d’hommes d’affaires et de fonctionnaires accusés ou reconnus coupables de fraude, corruption, blanchiment d’argent, et d’autres crimes.[3]

Comme au Brésil, Mani Pulite a transformé le système de partis politiques en Italie. Elle a fait de la place pour de nouveaux acteurs comme Forza Italia de Berlusconi. Depuis mai 2001, date à laquelle la coalition dirigée par Berlusconi a remporté les élections, des efforts ont été déployés pour supprimer la corruption de l’agenda national, ainsi qu’une série de mesures ayant abouti à un affaiblissement de la législation anticorruption.[4]

L’autorité de prévention de la corruption a été supprimée et remplacée par le service de lutte contre la corruption et la transparence, dont le champ d’activité, le budget et les ressources humaines ont été réduits. En outre, des lois susceptibles de faciliter l’impunité dans les affaires de corruption et de blanchiment de capitaux ont été adoptées, notamment des lois promouvant des restrictions à l’admissibilité des preuves obtenues à l’étranger, facilitant le transfert d’affaires à d’autres tribunaux à cause de soupçons de partialité, diminuant le temps de prescription pour divers crimes – y compris les crimes en col blanc, etc. Certaines lois ont été jugées partiellement ou totalement inconstitutionnelles et plusieurs restent en vigueur. Mani Pulite a finalement créé un héritage controversé en aggravant le cadre italien de lutte contre la corruption et le blanchiment d’argent.[5]

Depuis l’inauguration de Jair Bolsonaro le 1er janvier 2019, une tendance similaire peut être observée au Brésil, notamment en ce qui concerne les efforts visant à affaiblir la cellule de renseignement financier brésilienne, la Commission de contrôle des activités financières (COAF).

Les premières cellules de renseignement financier (CRF) ont été créées au début des années 90, après la Convention des Nations Unies contre le trafic illicite de stupéfiants et de substances psychotropes de 1988, la première convention internationale à criminaliser le blanchiment d’argent. Leur but était la centralisation, l’analyse et la diffusion des informations financières afin de soutenir la lutte contre le blanchiment d’argent. En 1995, un groupe de CRFs a décidé de créer un réseau international pour la coopération, échange d’informations et de connaissances, baptisé Groupe Egmont.[6] En 2003, le Groupe d’action financière internationale (GAFI) a inclus dans ses recommandations la création de CRFs autonomes pour structurer de manière minimale les cadres nationaux de lutte contre le blanchiment d’argent.[7]

Le GAFI, le groupe Egmont, ainsi que d’autres acteurs internationaux tels que les Nations Unies et le Comité de Bâle, ont formulé des recommandations et contribué à la création et au renforcement technique de diverses CRFs dans le monde. L’analyse de ces orientations internationales et la comparaison avec les récents événements survenus dans la CRF du Brésil montrent à quel point la cellule brésilienne est de moins en moins adaptée aux normes internationales sur plusieurs fronts, notamment en ce qui concerne son indépendance.

La Convention des Nations Unies contre la corruption indique que les agences de lutte contre la corruption doivent être suffisamment indépendantes et alignées sur les principes fondamentaux du système juridique national pour leur permettre de fonctionner efficacement et sans influence indue.[8] Selon le Comité de Bâle sur le contrôle bancaire, les agents de surveillance doivent disposer d’une «indépendance opérationnelle, de processus transparents, d’une bonne gouvernance ainsi que des processus budgétaires qui lui confèrent autonomie et ressources suffisantes» et d’un cadre réglementaire incluant «la protection juridique de l’autorité de contrôle».[9]

Dans le même ordre, la Recommandation 29 du GAFI stipule qu’une CRF doit être «opérationnellement indépendante et autonome» et avoir la capacité et l’autorité nécessaires pour «exercer librement ses fonctions, notamment de décider en toute autonomie d’analyser, de demander et/ou de disséminer des informations spécifiques» et plus particulièrement jouissant «le droit de transmettre ou disséminer des informations aux autorités compétentes de façon indépendante».[10]

La CRF brésilienne, COAF, a été créée en mars 1998 avec l’adoption de la loi 9.613. Le COAF devait, selon l’article 14, «recevoir, examiner et identifier les cas présumés d’activités illicites» signalées par les institutions financières, ainsi que «faire rapport aux autorités compétentes de poursuite lorsqu’il conclut qu’il existe des infractions de blanchiment d’argent». [11]Jusque-là, le droit brésilien était aligné sur les Recommandations du GAFI.

Sur la base de ces dispositions, de 1998 à 2018, le COAF a reçu plus de 17 millions de rapports d’activités financières suspectes, dont 414’000 en 2018, qui ont contribué à l’enquête de divers crimes.[12]

Le 1er janvier 2019, déjà sous le président Bolsonaro, l’autonomie du COAF en matière de diffusion de l’information s’est affaiblie avec la publication du décret 9.663[13]. Le nouveau décret a supprimé quelques responsabilités du COAF, telles que demander des enquêtes aux organes compétents lorsqu’il découvre des opérations suspectes. Plus grave, le décret interdisait la fourniture ou la divulgation d’informations secrètes connues ou obtenues à la suite de l’exercice de leurs fonctions.

Outre le plan législatif, la compétence du COAF en matière de diffusion de l’information s’est également aggravée dans le système judiciaire à la suite de la décision prise en juillet 2019 par le Tribunal fédéral.

Le ministre de la Cour suprême, Dias Toffoli, a jugé que les informations obtenues par le ministère public dans le cadre d’une coopération avec le COAF, Fisco et Bacen ne pourraient pas être utilisées comme preuves sans autorisation judiciaire préalable, car elles seraient le résultat d’une violation illégale du secret bancaire et fiscal. La décision a été prise dans le cadre d’une action intentée contre le fils de l’actuel président brésilien et sénateur de l’État de Rio de Janeiro, Flavio Bolsonaro, qui a été accusé de s’approprier une partie du salaire de ses conseillers. Toffoli a décidé d’étendre la décision à toutes les procédures qui utilisaient des informations obtenues de ces organes jusqu’à ce que la plénière du tribunal examine la question le 21 novembre 2019. [14]

La décision du ministre a créé un circuit illogique dans la lutte contre le blanchiment d’argent au Brésil, en vue de plusieurs enquêtes ouvertes par le ministère public ayant été les résultats d’informations fournies par le COAF. Selon cette décision, les procureurs devraient demander l’autorisation de violation du secret bancaire pour obtenir de telles informations, mais dans plusieurs cas, les informations fournies par la COAF constituent la source initiale des enquêtes. Si le COAF ne peut pas communiquer au parquet des informations concernant les activités financières suspectes, les procureurs ne peuvent pas analyser les données qu’ils n’ont pas reçues et n’ont donc pas de motif pour demander une autorisation de violation du secret bancaire.

Depuis cette décision, selon une enquête du ministère public, au moins 700 processus sont bloqués car ils utilisaient des données de COAF, Fisco ou Bacen[15]. Plusieurs procureurs, avocats et spécialistes brésiliens ont déploré la décision du tribunal. La procureure générale, Raquel Dodge, a déclaré que cette décision pourrait conduire le Brésil sur la liste noire du GAFI.[16]

La recommandation 9 du GAFI indique clairement que les lois sur le secret bancaire ne doivent pas empêcher la mise en œuvre de leurs recommandations.[17] En fait, jusqu’en janvier 2019, le COAF disposait de la base légale non seulement pour recevoir, mais aussi pour diffuser des informations concernant des activités financières suspectes – informations considérées comme confidentielles par la loi complémentaire 105[18], au Brésil. Bien que le décret 9.663 indique la compétence du COAF pour diffuser des informations lorsqu’il découvre des soupçons d’infraction pénale, l’interdiction de diffuser des informations confidentielles et la décision de la Cour suprême vident et contredisent cette compétence, étant donné que la quasi-totalité des informations communiquées par les institutions financières sont considérées comme confidentielles par la loi complémentaire 105.

Un autre revers identifié contre le COAF s’est produit en juin 2019, lorsque l’agence de presse The Intercept Brasil a commencé une série de rapports signés par son fondateur, le journaliste Glenn Greenwald, concernant des irrégularités de l’opération Lava Jato, notamment les agissements du juge de l’époque, Sergio Moro.[19]

Moro a été assermenté ministre de la Justice par Bolsonaro et, en vertu du même décret 9.663 précité, il est également passé à commander le COAF, qui a été transféré du ministère de l’Économie au ministère de la Justice.

Deux jours après la publication d’articles qui remettaient en cause la performance de Moro dans l’affaire Lava Jato, le COAF, placé sous son autorité, a envoyé un rapport sur des transactions financières présumées suspectes de David Miranda, député fédéral de Rio de Janeiro, opposant du gouvernement Bolsonaro et mari de Glenn Greenwald, journaliste de l’ Intercept Brasil. Les informations ont été rendues publiques et ont suscité des préoccupations concernant la liberté d’expression au Brésil.[20]

Le barreau brésilien a demandé des explications au COAF, car il avait compris que ses actions risquaient de porter atteinte aux droits à la liberté d’expression et à la liberté de la presse.[21] Le bureau du procureur de la Cour fédérale des comptes a engagé une procédure sur d’éventuelles déviations des objectifs du COAF et a demandé la suspension de l’enquête[22]. L’Organisation des États américains, avec les Nations Unies et la Commission interaméricaine des droits de l’homme, a publié une déclaration dans laquelle elle répudie les menaces contre le journaliste Glenn Greenwald et sa famille.[23] En septembre 2019, le juge de la 16e cour des finances publiques de Rio de Janeiro a rejeté la demande du ministère public de violer le secret bancaire de David Miranda.[24]

La déviation possible des activités du COAF est contraire à la recommandation 29 du GAFI, selon laquelle chaque CRF devrait pouvoir exercer ses fonctions sans influence politique ni ingérence.[25] Le groupe Egmont précise également que les CRFs ne doivent pas être influencées ni par les agences d’État auxquelles elles appartiennent, ni par des influences politiques, y compris dans le choix des cas à analyser.[26]

Depuis sa création jusqu’en 2019, le COAF faisait partie du ministère de l’Économie. De 2003 à 2018, la cellule avait un seul président, qui s’est retiré et a cédé la place à Antonio Carlos Ferreira de Sousa, l’un des directeurs du COAF à l’époque[27]. Quelques mois après son entrée en fonction, Ferreira de Sousa a été démis. Aucune des situations évoquées dans les statuts du COAF permettant la perte de ses fonctions n’a été identifiée. Roberto Leonel de Oliveira Lima a été assermenté à la présidence du COAF le 1er janvier 2019, lorsque la cellule a été transférée au ministère de la Justice. Oliveira Lima était un auditeur fiscal et avait agi dans des affaires de blanchiment d’argent jugées par Moro.[28]

Oliveira Lima a perdu son mandat en août 2019 après avoir critiqué la décision de la Cour suprême, citée ci-dessus, interdisant la diffusion d’informations par le COAF – une décision favorable au fils du Président Bolsonaro.[29] La critique publique faite par Oliveira Lima peut avoir été comprise comme une violation de l’interdiction d’exprimer un avis sur un processus en cours, l’une des situations possibles de perte de mandat dans le règlement du COAF.

Cependant le président Bolsonaro a non seulement retiré Oliveira Lima de la présidence du COAF, mais a également modifié la garde de l’unité en la transférant, dans la mesure provisoire 893, du ministère de la Justice à la Banque centrale du Brésil, qui fait partie du ministère de l’Economie. Selon les analystes politiques, ces changements sont dus à l’insatisfaction du président à l’égard du ministre de la Justice, Sergio Moro, et de son équipe.[30]

Après une période stable de plus de 15 ans avec le même président et sous la même structure ministérielle, de janvier à août 2019, le COAF était dirigé par trois présidents et a changé de ministère trois fois. Bien que la démission d’Oliveira Lima puisse être justifiée, celle de Ferreira de Sousa n’avait pas base apparente dans le règlement de la cellule. On ne peut pas non plus expliquer par des motivations techniques le changement successif de structures auquel le COAF a appartenu tout au long de 2019.

Selon le groupe Egmont, le processus de révocation des présidents des CRFs est un indicateur important de l’indépendance et de l’autonomie opérationnelle de l’organe. Les motifs de licenciement doivent être transparents et basés sur de mauvaises performances ou manquement aux devoirs.[31] Ces éléments n’ayant pas été identifiés lors de la démission de Ferreira de Sousa, on peut dire qu’elle était contraire à cette disposition du groupe Egmont.

Bien que le GAFI ne se prononce pas sur les risques découlant de l’instabilité des CRFs, tels que les changements successifs de structure ou de présidence, l’agence indique que les influences politiques ne devraient pas modifier les activités de routine de l’agence[32], qui résultent de la stabilité opérationnelle – dépendent de la présidence et de la structure dans laquelle se trouve la CRF. Selon des politologues brésiliens, les changements successifs apportés au COAF s’inscrivent dans le contexte de l’insatisfaction du président Bolsonaro à l’égard de son ministre de la Justice et non de raisons techniques. Les décisions de Bolsonaro peuvent donc être considérées comme des influences politiques indues sur l’administration de l’agence, qui caractérise encore un autre indicateur de l’affaiblissement récent du COAF.

Comme expliqué ci-dessus, depuis le début de 2019, la responsabilité du COAF de diffuser des informations sur d’éventuels crimes de blanchiment de capitaux a été affaiblie par de nouvelles règles et par les décisions de la justice brésilienne. Les activités de la CRF ont été potentiellement instrumentalisées dans la poursuite d’intentions politiques d’intimidation de journalistes, et ont ainsi vu des changements administratifs successifs résultant de mouvements politiques. Ensemble, ces éléments ont entraîné une diminution de la capacité du COAF à examiner et identifier les cas présumés d’activité illicite et à coopérer librement avec les autorités répressives. En conséquence, le rôle du COAF dans la lutte contre le blanchiment d’argent a été de plus en plus affaibli.

Outre les attaques subies par le COAF, la lutte contre le blanchiment d’argent au Brésil présente d’autres difficultés, comme la loi sur les abus d’autorité adoptée en septembre 2019, qui définit de manière très large et subjective les situations où les juges et les procureurs peuvent être punis d’abus de pouvoir, pouvant entraîner des actes d’intimidation et une atteinte à l’indépendance des procureurs et des juges.

Selon l’OCDE, la loi sur l’abus de pouvoir et les événements récents impliquant le COAF étaient considérés comme des revers qui, si maintenus, pourraient menacer la capacité du Brésil à lutter contre la corruption et le blanchiment d’argent.

Lorsque l’opération Lava Jato a été instituée, elle a, à l’instar de l’opération Mani Pulite en Italie, placé la corruption au centre du débat politique au Brésil – ainsi que l’espoir de mettre fin à la corruption. Suite aux profonds changements politiques apportés par l’opération Lava Jato, c’est possible d’observer des évolutions législatives et judiciaires au Brésil similaires à celles en Italie après Mani Pulite, telles que l’affaiblissement de la cellule de renseignement financier et les nouvelles lois limitant la capacité des procureurs et des juges à agir avec autonomie – contrairement aux directives du GAFI, de l’OCDE, du Groupe Egmont et des Principes de Bâle. À en juger par les derniers événements survenus au Brésil dans la lutte contre le blanchiment d’argent, les efforts récents semblent désirer transformer la «lutte» en «suggestion».


[1] http://www.mpf.mp.br/grandes-casos/lava-jato

[2] https://www.estadao.com.br/infograficos/politica,com-apenas-um-deputado-eleito-em-2014-psl-se-torna-segunda-maior-bancada-da-camara-em-2018,927028

[3] LIMA PASCOETTO, L.G. (2016). Mani Pulite fonte de inspiração da operação Lava Jato. Cadernos de Pos-Graduação em Direito, Universidade de São Paulo

[4] VANNUCCI, Alberto. (2009). The Controversial Legacy of Mani Pulite: A critical analysis of Italian Corruption and Anti-Corruption Policies. Bulletin of Italian Politics, Vol.1 No. 2, p. 233-64

[5] Ibidem

[6] https://egmontgroup.org/en/content/about

[7] GAFI (2012), Recommandations du GAFI – Normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération, mise à jour octobre 2016, GAFI, Paris, France, p. 100-103

[8] Nations Unies (2004), Convention des Nations Unies Contre la Corruption, p.10

[9] Comité de Bale sur le contrôle bancaire (2012), Principes fondamentaux pour un contrôle bancaire efficace, p.10

[10] GAFI (2012), Recommandations du GAFI – Normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération, mise à jour octobre 2016, GAFI, Paris, France, p. 102

[11] http://www.planalto.gov.br/ccivil_03/leis/L9613compilado.htm

[12] COAF (2018), Relatorio de Atividades 2018

[13] http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Decreto/D9663.htm

[14] https://www.conjur.com.br/dl/leia-decisao-toffoli-suspendeu.pdf

[15] https://www1.folha.uol.com.br/poder/2019/10/decisao-de-toffoli-sobre-coaf-trava-ao-menos-700-investigacoes-na-justica.shtml

[16] https://exame.abril.com.br/brasil/decisao-de-toffoli-sobre-coaf-pode-barrar-brasil-na-ocde/

[17] GAFI (2012), Recommandations du GAFI – Normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération, mise à jour octobre 2016, GAFI, Paris, France, p. 14

[18] http://www.planalto.gov.br/ccivil_03/LEIS/LCP/Lcp105.htm

[19] https://theintercept.com/series/mensagens-lava-jato/

[20] https://www1.folha.uol.com.br/poder/2019/09/coaf-relata-movimentacao-atipica-de-r-25-milhoes-em-conta-de-david-miranda.shtml

[21] http://s.oab.org.br/arquivos/2019/07/fbfa668e-a642-4d13-bedf-1a78c756a16f.pdf

[22] https://www.conjur.com.br/dl/mpf-tcu-informe-coaf-investigando.pdf

[23] http://www.oas.org/es/cidh/expresion/showarticle.asp?artID=1145&lID=2

[24] https://exame.abril.com.br/brasil/juiz-nega-quebra-de-sigilo-de-david-miranda-apos-relatorio-do-coaf/

[25] GAFI (2012), Recommandations du GAFI – Normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération, mise à jour octobre 2016, GAFI, Paris, France, p. 102

[26] Groupe Egmont (2018), Comprendre l’indépendance opérationnelle d’une CRF et son autonomie, p.14-18

[27] http://www.fazenda.gov.br/noticias/2018/maio/antonio-ferreira-de-sousa-e-o-novo-presidente-do-coaf

[28] https://www.conjur.com.br/2019-ago-20/ligado-moro-roberto-leonel-deixa-comando-antigo-coaf

[29] https://www1.folha.uol.com.br/poder/2019/08/bc-indica-servidor-de-carreira-para-substituir-aliado-de-moro-no-novo-coaf.shtml

[30] https://monitordigital.com.br/decisao-politica-leva-coaf-para-o-bc

[31] Groupe Egmont (2018), Comprendre l’indépendance opérationnelle d’une CRF et son autonomie, p.18

[32] GAFI (2012), Recommandations du GAFI – Normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération, mise à jour octobre 2016, GAFI, Paris, France, p. 99

Ingénierie sociale et cybercriminalité

vendredi 29 Nov 2019

Par un étudiant du MAS ILCE

Au cours des dernières décennies, le monde industriel a subi une accélération extraordinaire. De nouveaux secteurs ont fait leur apparition (microélectronique, biotechnologies, énergies renouvelables, etc.) et cela grâce à l’essor de l’informatique et à la révolution d’internet. Cette toile qui relie les Hautes Ecoles et les Universités à travers le monde permet non seulement de partager le savoir acquis, mais aussi de contribuer aux nouvelles découvertes. La communication est instantanée et nous sommes désormais tous, entreprises et particuliers, dépendants de cette technologie révolutionnaire.

Par la force des choses, l’ère internet a inspiré de nouvelles vocations et engendré la cybercriminalité, dont les techniques d’attaque et d’escroquerie sont en constante évolution.

Selon une étude menée en 2018 par un cabinet d’audit de renommée internationale, il ressort que les détournements de biens (dans 51% des cas) et la cybercriminalité (dans 44% des cas) figurent parmi les risques financiers les plus élevés pour les entreprises en Suisse. (1)

Si le risque, pour une entreprise, de subir un détournement de fonds dépend de son système de contrôle interne, et plus précisément des contrôles automatisés ou des contrôles effectués par ses collaborateurs, donc l’humain, il n’en est pas moins pour les risques de cybercriminalité. De nombreux cybercriminels comptent sur le facteur humain pour contourner les sécurités informatiques.

Comment évaluer un risque lié à la cybercriminalité ?

En janvier 2016, le Département fédéral de la défense et le groupe de défense et d’aéronautique RUAG annonçaient aux médias avoir été piratés par un logiciel espion visant à faire de l’espionnage industriel.  Approximativement, 200 jours se sont écoulés entre l’installation du logiciel espion et la découverte du piratage. (2)

Le risque d’une attaque cyber dépend de la sensibilité des informations détenues par l’entreprise, mais aussi du contexte dans lequel elle opère. Un hôpital, par exemple, ne détient pas de secrets de fabrication, mais plutôt des fichiers confidentiels relatifs aux patients. Une attaque visant à chiffrer les fichiers pourrait mettre en péril la vie des patients, mais aussi la réputation de l’hôpital.

A l’origine, les pirates informatiques s’intéressaient aux informations sensibles détenues par les entreprises, susceptibles d’être revendues au plus offrant sur le darknet. De nos jours, les attaques touchent également les particuliers. Le but des cybercriminels est d’installer des malwares pour empêcher l’accès aux fichiers et obtenir ainsi une rançon contre restitution des fichiers. (3)

Mais comment y parviennent-ils ?

En août 2014, La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI informait le public qu’elle avait reçu plusieurs annonces de petites et moyennes entreprises suisses ayant subi des tentatives d’escroquerie par le biais des méthodes d’ingénierie sociale, appelée aussi «social engineering». (4)

L’ingénierie sociale, de quoi s’agit-il ?

L’ingénierie sociale est une technique d’attaque qui vise à exploiter les vulnérabilités humaines. Le but est de gagner la confiance des victimes afin d’obtenir des informations confidentielles comme leur mot de passe, ou de leur faire effectuer des actions comme des transferts d’argent.

Dans un premier temps (pour la partie ingénierie), le criminel recueille et analyse des informations sur l’entreprise afin de construire des méthodes sophistiquées d’attaques (secteur d’activité, postes clés, modèles utilisés pour les adresses e-mails). Des renseignements qu’il trouvera facilement sur le site de l’entreprise. Si nécessaire, il complétera les informations manquantes par la prise de contact avec un collaborateur de l’entreprise. (4)

En règle générale (pour la partie sociale), le criminel contacte un collaborateur de l’entreprise sous un faux prétexte. Pour établir un climat de confiance, le criminel tente de développer des relations au travers de conversations, d’échanges d’e-mails ou de contacts par le biais des réseaux sociaux. Il peut aussi se présenter comme un prestataire de services informatiques, un prestataire réseau, une banque, un dirigeant d’entreprise, une entreprise de recrutement. Pour arriver à ses fins, le criminel privilégiera le choix d’un collaborateur ne faisant pas partie de la direction.

Comment les cybercriminels opèrent-ils ?

Les cybercriminels disposent de nombreux moyens afin d’entrer en contact avec leur victime. En voici les grandes lignes :

Par téléphone, le but étant d’obtenir le plus rapidement possible un maximum d’informations sur l’entreprise.

Par e-mail, l’objectif étant de faire ouvrir une pièce jointe ou cliquer sur un lien dont l’URL redirigera le collaborateur sur un site infecté.

Par une clé USB, afin de contaminer le système par un virus (pour mémoire, un virus va altérer les fichiers, ce qui causera la perte des données).

Par une prise de contact directe, le but étant de commettre une escroquerie. Le collaborateur reçoit un e-mail imitant l’adresse d’un dirigeant de l’entreprise (faux dirigeant). Le faux dirigeant va demander dans son courriel d’effectuer un transfert d’argent pour un objectif de nature confidentielle et urgente. Pour appuyer le scénario, le collaborateur reçoit un appel du faux dirigeant, ce dernier va l’empresser d’effectuer le transfert dans la plus grande discrétion. Le collaborateur, tenu par le caractère confidentiel de cette demande, ne va pas en vérifier la légitimité et effectuera le transfert.

C’est ainsi que Gilbert Chikli, considéré comme l’inventeur de l’arnaque au faux Président, a réussi à détourner 7,9 millions d’euros à des entreprises telles que : Accenture, Alstom, HSBC, la Banque postale, le Crédit lyonnais et Thomson Technicolor. (5)

Quels sont les moyens de prévention ?

Si vous êtes une entreprise

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI recommande aux entreprises suisses les règles de bases suivantes :

  • Mettez en place des formations de prévention du personnel relatives à ces phénomènes, notamment pour les postes clés. (6)
  • Sensibilisez les collaborateurs à la nécessité que chacun respecte les processus et les mesures de sécurité définis par l’entreprise. Il est notamment recommandé de prévoir, pour tout virement, le principe des quatre yeux avec une signature collective à deux. (6)
  • N’indiquez jamais sur le site internet de votre entreprise les adresses nominatives des membres de la direction ou de vos collaborateurs. (7)
  • Installez un système de sauvegarde (back-up) et vérifiez périodiquement la fiabilité des sauvegardes de vos systèmes informatiques.

Si vous êtes un particulier

Les méthodes des cybercriminels sont de plus en plus sophistiquées et trouver un mot de passe pour accéder à vos différents comptes (LinkedIn, Facebook, etc.) ne représente plus un défi pour eux. On peut partir du principe qu’il ne vaut pas la peine de se protéger si l’on n’a rien de spécial à cacher. Mais nous ne sommes pas seuls… Ce n’est jamais agréable, lorsque vos amis commencent à recevoir des messages de votre part leur demandant de l’argent parce que vous êtes soi-disant dans une situation difficile.

Voici quelques indications sur les précautions à prendre :  

Téléphone 

Lorsque le contact vous semble douteux ou inhabituel, ne donnez aucune information et ne procédez à aucune action. (6)

E-mail

Lorsque vous recevez un email suspect ou inhabituel, n’ouvrez jamais les pièces jointes.

Le cas échéant, vérifiez la présence de virus dans les fichiers attachés en soumettant ces derniers à un détecteur de virus. Certains sites web proposent ce type de service gratuitement (ex. www.virustotal.com/old-browsers/).

A noter qu’un virus qui est nouveau sur le marché ne pourra pas être détecté dans ses premières heures d’existence. D’où l’importance de ne pas se fier aveuglément aux premiers résultats obtenus, mais plutôt de soumettre à nouveau le fichier au détecteur de virus 24 heures plus tard.

Il en est de même pour un raccourci proposé dans un e-mail. Il est possible de s’assurer que le lien n’est pas corrompu en effectuant une vérification d’expansion URL (ex. www.expandurl.net) ou de vérifier le détenteur du nom de domaine à l’aide de l’outil WHOIS (http://itools.com/tool/domaintools-whois par ex.). Lorsque vous effectuez cette opération, soyez particulièrement vigilant à ne pas cliquer sur le lien, mais plutôt à sélectionner le lien.

Clé USB

Lorsque vous ignorez la provenance d’une clé USB, n’insérez jamais cette dernière sur un ordinateur, qu’il soit privé ou relié au réseau de l’entreprise.

Mots de passe

Pour une meilleure sécurité de vos différents comptes (LinkedIn, Facebook, Google mail…), choisissez un mot de passe assez long, facile à retenir et qui ne se trouve pas dans un dictionnaire. Idéalement, il devrait contenir au moins dix caractères, avec des caractères spéciaux et des chiffres. Pour créer un mot de passe efficace et facile à retenir, sélectionnez deux mots et rajoutez-y des chiffres et des caractères spéciaux. (8)

Utilisez un mot de passe différent pour chaque prestataire de services, ainsi si l’un de vos comptes est piraté le même mot de passe ne pourra pas être utilisé partout.

Pour vous faciliter la vie, servez-vous d’un gestionnaire de mots de passe tel que : Keepass, 1password, Lastpass ou Dashlane. (8)

Identifiant à deux facteurs

Pour améliorer la sécurité de vos différents comptes (LinkedIn, Facebook), il est possible de mettre en place un identifiant à deux facteurs (comme exemple, l’identifiant à deux facteurs est déjà utilisé par les banques lors des connexions e-banking). (8)

Un identifiant à deux facteurs permet de rajouter une couche supplémentaire de sécurité, en plus de votre mot de passe. Dès que vous entrez votre mot de passe auprès de votre prestataire de services, vous êtes invité à saisir un nouveau code d’identification par le biais de votre téléphone mobile. Le pirate ne pourra pas accéder à votre compte LinkedIn ou Facebook sans le code reçu sur votre téléphone mobile. (9)

Parmi les sites les plus recommandés concernant les identifiants à deux facteurs, vous trouverez www.TurnOn2FA.com. (8)

Pour terminer, que vous soyez une entreprise ou un particulier, effectuez les mises à jour proposées par les logiciels de vos outils professionnels et privés (ordinateur ou Android). Vous éviterez ainsi qu’un cybercriminel exploite les failles de sécurité des softwares, qui sont corrigées lors des mises à jour.

Utilisez un antivirus, il vous permettra de :

  • détecter les logiciels d’hameçonnage (phishing)
  • détecter les fichiers et sites infectés
  • vous protéger contre les rançongiciel (ransomware). (3)

Selon le MELANI, tout indique qu’il y aura de nouvelles vagues de courriels frauduleux et que le nombre d’escroqueries de ce type va aller croissant. En sensibilisant vos collègues, vos connaissances et vos proches à ces stratagèmes, vous éviterez peut-être qu’ils en deviennent victimes à leur tour. Discuter de cette thématique avec votre entourage professionnel et personnel, c’est participer activement à la prévention liée à la cybercriminalité. (7)


(1)          https://www.pwc.ch/en/insights/risk/global-economic-crime-survey.html

(2)          https://www.rts.ch/info/economie/7697872-piratage-informatique-contre-ruag-et-le-departement-federal-de-la-defense.html

(3)          https://www.rts.ch/play/tv/a-bon-entendeur-signe/video/cybersecurite-surfez-proteges–signe-2019?id=10342026

(4)          https://www.melani.admin.ch/melani/fr/home/documentation/lettre-d-information/recrudescence-d_attaques-utilisant-des-methodes-dingenierie-soci.html

(5)         https://www.nouvelobs.com/justice/20171201.OBS8287/gilbert-chikli-le-roi-de-l-arnaque-cerne-par-les-affaires.html

(6)          https://www.melani.admin.ch/melani/fr/home/documentation/lettre-d-information/recrudescence-d_attaques-utilisant-des-methodes-dingenierie-soci.html

(7)          https://www.melani.admin.ch/melani/fr/home/documentation/rapports/rapports-sur-la-situation/rapport-semestriel-2018-2.html

(8)          https://www.laliberte.ch/news/la-cybersecurite-et-vous-les-conseils-de-paul-such-484892

(9)          https://www.youtube.com/watch?v=-Gf_5HroWvM