Lutte contre le pourriel, les espiogiciels et les logiciels malveillants

Malgré la législation communautaire visant à interdire le pourriel ("spam") en Europe, les activités en lignes illicites continuent d'affecter l'Union. C'est pourquoi, par cette communication, la Commission appelle les autorités réglementaires et les parties intéressées à intensifier la lutte contre le pourriel, les espiogiciels et les logiciels malveillants. La Commission souhaite que la préoccupation grandissante à l'égard de ces phénomènes se traduise par des mesures offensives concrètes.

ACTE

Communication de la Commission, du 15 novembre 2006, au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions sur la lutte contre le pourriel, les espiogiciels et les logiciels malveillants [COM(2006) 688 final - Non publié au Journal officiel].

SYNTHÈSE

La présente communication dresse un bilan des initiatives adoptées jusqu'à présent en vue de faire face aux menaces que constituent le pourriel *, les espiogiciels * et les logiciels malveillants. Elle recense également les mesures qui devraient être prises au niveau des États membres, des entreprises et de l'Union européenne (UE) afin d'atteindre une meilleure efficacité.

ACTIONS ENTREPRISES DEPUIS 2004

L'UE a récemment adopté des mesures visant à sanctionner les activités illicites en ligne:

la directive de 2002 sur la vie privée et les communications électroniques qui interdit le pourriel;
la communication de 2004 sur le pourriel qui recense les actions destinées à compléter la directive (actions en matière de sensibilisation, d'autorégulation, de solutions techniques, de coopération et d'application de la loi);
le programme Safer Internet plus qui vise à promouvoir une utilisation plus sûre d'Internet et des nouvelles technologies en ligne;
la directive sur les pratiques commerciales déloyales qui protège notamment les consommateurs contre les pratiques commerciales agressives;
la prise en compte de la question de la lutte contre le pourriel, les espiogiciels et les logiciels malveillants dans ses discussions avec les pays tiers.

Actions de sensibilisation

Les États membres ont lancé des campagnes de sensibilisation à destination des utilisateurs aux problèmes de pourriel et aux moyens d'y remédier. Les fournisseurs de service Internet (FSI) offrent également à leurs clients des conseils sur la façon de se protéger contre les espiogiciels et les virus.

Coopération internationale

Le pourriel est par nature un problème transfrontière. Aussi, plusieurs initiatives de coopération internationale et de mécanismes d'application transfrontière de la loi ont été mis en place. La Commission apporte sa contribution à ces initiatives, au travers notamment:

de la création du Réseau de contact des autorités anti-pourriel (CNSA - Contact Network of Spam Enforcement Authorities) qui favorise l'échange des meilleures pratiques et coopère en matière d'application transfrontière de la loi;
du soutien au Plan d'action de Londres (PAL) qui regroupe les autorités chargées de faire appliquer la loi de vingt pays et qui a également mis en place une procédure de coopération transfrontière sur le plan global;
de la coopération entre l'Union européenne et ses principaux partenaires internationaux (États-Unis, Canada, Chine et Japon, notamment) dans le domaine de la lutte contre le pourriel, les logiciels illicites, espions et malveillants.

Recherche et développement technologique

Dans le cadre du 6ème programme-cadre de recherche, la Commission a lancé différents projets visant à aider les parties intéressées à lutter contre le pourriel et d'autres formes de logiciels malveillants. Les actions menées à ce titre incluent:

la création d'une communauté scientifique spécialisée dans la maîtrise des logiciels malveillants;
la mise au point d'une infrastructure européenne pour contrôler le trafic Internet;
l'élaboration de filtres adaptatifs contre le hameçonnage * qui permettent de détecter les menaces inconnues et les cyber-attaques.

Actions des entreprises

Les entreprises jouent un rôle moteur en matière de lutte contre le pourriel.

Les FSI ont pris des mesures techniques dans ce sens, notamment dans le domaine des filtres antipourriel. Ils mettent à la disposition des utilisateurs des services de support technique ainsi que des logiciels contre le pourriel, les espiogiciels et les logiciels malveillants. Par ailleurs, la plupart de ces FSI prévoient des clauses contractuelles qui interdisent les malversations en ligne.

Les opérateurs de téléphonie mobile ont également pris des mesures, au travers notamment de codes de conduite qui prévoient de mener des actions contre les messages non sollicités.

Actions pour faire appliquer la loi

Il est indéniable que la lutte contre le pourriel donne des résultats. Les mesures de filtrage imposées en Finlande ont ainsi permis de réduire la proportion de pourriel dans les messages électroniques de 80% à 30%.

Il existe toutefois des différences importantes entre les États membres concernant le nombre réel de poursuites. Certaines autorités n'ont pas hésité à ouvrir un nombre substantiel d'enquêtes qui ont permis de sanctionner les activités de pollupostage. Dans d'autres États membres, le nombre d'affaires instruites a été, au contraire, très limité.

ACTIONS RESTANT À ENTREPRENDRE

Actions au niveau des États membres

La mise en œuvre effective de la directive européenne sur la vie privée pose toujours problème dans la plupart des États membres. Pour progresser, une définition claire des responsabilités doit être établie.

Une étroite coopération entre les autorités compétentes, les opérateurs de réseau et les FSI au niveau national devrait être mise en place. L'objectif est de favoriser l'échange d'informations et d'expertise technique, ainsi que les poursuites contre les malversations en ligne.

Au-delà, une coopération internationale effective reste un élément majeur de la lutte "anti-spam". Celle-ci doit donc être encouragée. Il convient en outre de faire en sorte que les ressources nécessaires (mécanismes de plaintes en ligne, par exemple) soient consacrées à l'application de la loi.

Actions au niveau des entreprises

Les offres de logiciels en ligne constituent désormais une méthode très employée de fourniture et d'installation d'espiogiciels sur l'équipement terminal de l'utilisateur. Afin d'éviter que ceux-ci n'atteignent l'utilisateur final, les sociétés qui proposent des produits logiciels sont incitées à exposer tous les termes du contrat et à s'assurer que leur offre logicielle est conforme à la législation sur la protection des données. L'autorégulation et l'utilisation de labels de qualité constituent par ailleurs des outils pertinents pour distinguer les sociétés fiables des autres.

Les sociétés qui vendent des produits devraient interdire contractuellement à leurs partenaires commerciaux l'utilisation illicite de logiciels dans les publicités. La Commission recommande également qu'elles contrôlent la manière dont les annonces publicitaires parviennent aux consommateurs et qu'elles donnent suite aux malversations.

S'agissant des fournisseurs de services, ils sont encouragés à appliquer une politique de filtrage du courrier électronique qui soit conforme aux recommandations et orientations en la matière (notamment celles émises par le groupe de travail sur la protection des données.

Actions au niveau européen

La communication de 2006 sur le réexamen du cadre réglementaire applicable aux communications électroniques propose un renforcement des règles en matière de protection de la vie privée et de sécurité. De nouvelles règles pourraient également être proposées par la Commission en ce qui concerne le niveau de sanction à prévoir en cas d'infraction.

En raison de son expertise, l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) a un rôle important à jouer dans la lutte contre les activités illicites en ligne. La Commission entend faire appel à son expertise en vue, notamment, d'examiner la faisabilité d'un système européen de partage d'informations et d'alerte. Ce système permettrait de répondre efficacement aux menaces pour les réseaux électroniques.

Le 7ème programme-cadre de recherche permettra de lancer de nouvelles actions visant à sécuriser les systèmes d'information.

La Commission continuera également à établir des accords avec les pays tiers abordant la question de la lutte contre le pourriel, les espiogiciels et les logiciels malveillants.

Contexte

L'envoi massif de messages électroniques non sollicités reste un phénomène préoccupant. Le pourriel représente en effet entre 50% et 80% des messages envoyés aux utilisateurs finaux. La majeure partie provient de l'extérieur de l'UE (Asie et Etats-Unis, notamment). Néanmoins, 25% des messages non sollicités sont relayés par les pays européens.

On estime à 39 milliards d'euros le coût du pourriel au niveau mondial.

Le pourriel n'est plus seulement une nuisance pour l'utilisateur final. Il constitue également de plus en plus une activité frauduleuse et délictueuse, avec notamment le recours aux courriels hameçons.

Termes-clés de l'acte

Courriel hameçon/hameçonnage ("phishing" en anglais): courrier électronique qui persuade l'utilisateur final de révéler des données confidentielles à l'aide d'une imitation de site censée représenter de véritables sociétés
Espiogiciel (logiciel espion ou "spyware"): logiciel installé sur l'ordinateur de l'utilisateur à son insu. Le logiciel transmet des informations sur l'utilisateur ou ses habitudes dès qu'il est connecté sur Internet. Les annonceurs publicitaires sont généralement les destinataires de ces informations.
Pourriel ("spam" en anglais): messages électroniques envoyés en grand nombre aux utilisateurs Internet, sans leur consentement. Ces courriers électroniques non sollicités sont le plus souvent de type commercial. Le pourriel est l'équivalent électronique de la pratique consistant à remplir les boîtes aux lettres physiques de prospectus publicitaires qui n'ont pas été demandés par les destinataires.

See also