Skip to main content

Cybercriminalité

Définitions

Le terme cybercriminalité est un terme journalistique qui n’a toujours pas, dans la plupart des pays, de définition légale (Wall, 2007). Plusieurs traités internationaux (United Nations Manual On The Prevention And Control Of Computer-Related Crime, Cybercrime Treaty) n’offrent eux non plus aucune définition officielle optant plutôt pour des définitions fonctionnelles.

 

Les définitions du terme cybercriminalité viennent donc du monde scientifique. Le terme est défini de manière très large par Schell & Martin (2004) pour qui la cybercriminalité inclut tous les crimes reliés à la technologie, aux ordinateurs et à l’internet. Similairement, Yar (2013) propose une définition qui englobe toutes les activités assistées par un ordinateur qui sont illégales. D’autres définitions sont plus restrictives et se limitent aux activités criminelles et nocives qui mènent à l’acquisition ou la manipulation d’information pour des gains personnels (Wall, 2007). La tendance actuelle pointe vers des définitions larges qui incluent tous les crimes facilités ou commis par des appareils électroniques ou des réseaux informatiques. Cette dernière définition de Gordon & Ford (2006) sera celle que nous retiendrons pour le présent article en raison de sa simplicité.

 

Il existe une certaine confusion entre les différents groupes d’individus qui commettent – ou semblent commettre – des cybercrimes. Un premier groupe, les white hat hackers, travaillent pour des firmes de sécurité ou encore dans le milieu académique (Caldwell, 2011). Leur objectif est de tester la sécurité de logiciels et d’équipements avec l’autorisation de leurs propriétaires. Ils n’ont donc aucune intention malicieuse, bien au contraire. Ils utilisent les mêmes outils que les cybercriminels aussi connus sous le nom de black hat hackers ou encore de crackers. Les black hat hackers sont les individus qui commettent des crimes pour leur gain personnel ou pour leur plaisir. Le troisième et dernier groupe d’individus forme un hybride et est connu sous le nom de grey hat hackers. Ces derniers cherchent aussi à tester la sécurité des logiciels et d’équipements, mais sans l’autorisation de leurs propriétaires (Bingisser, 2007). Ils utilisent leur sens éthique pour défendre leurs crimes en affirmant agir avant tout pour avertir les individus et compagnies des problèmes dans leur sécurité.

 

Historique

Les comportements délinquants impliquant des systèmes informatiques remontent aux années 1960 et 1970 alors que des académiciens de grandes universités comme le Massuchusetts Institute of Technology (MIT) cherchaient à explorer l’univers du virtuel même si cela impliquait de transgresser certaines normes sociales ou lois (Schell & Martin, 2004). Ce désir d’explorer et cette curiosité sont à la base du comportement de bien des délinquants qui les ont suivis dans les années 1980 et 1990. C’est en cherchant à évaluer la taille de l’internet que Robert Morris a conçu le premier ver informatique en 1988 qui a eu pour effet de mettre hors service plus de 6,000 ordinateurs (Chen & Robert, 2004). Quelques années plus tard, Kevin Mitnick, un jeune pirate informatique s’intéressant au fonctionnement du système de téléphones aux États-Unis a infiltré bon nombre de compagnies téléphoniques américaines ainsi que les compagnies leur fournissant des logiciels (Mitnick, 2011). Mitnick affirme qu’il était en mesure de faire des appels que même les ingénieurs des compagnies de téléphone ne pouvaient retracer.

 

Ces deux cas illustrent bien une forme de cybercriminalité qui se veut avant tout une quête de savoir et de curiosité et où les délinquants cherchent surtout à avoir accès à des ressources ou des informations auxquelles ils n’ont pas de droit légitime. En ce sens, ils sont beaucoup plus proches des grey hat hackers que des blacks hat hackers. Les comportements des grey hat hackers sont très différents des comportements des cyberdélinquants ayant vu le jour à la fin des années 1980 et qui ont été particulièrement actifs au cours des années 1990. Ceux-ci avaient pour objectif de créer des virus aux capacités destructrices importantes (Bisset & Shipton, 2000). Des virus comme Jérusalem effaçaient par exemple tous les programmes activés les vendredis 13; d’autres comme Michelangelo effaçaient tous les fichiers d’un ordinateur le jour de l’anniversaire de l’artiste. Ces virus commettaient surtout des méfaits où les données étaient visées sans procurer aucun avantage apparent au concepteur du virus.

 

Sous sa plus récente forme, la cybercriminalité s’est grandement transformée suite à une commercialisation des comportements délinquants et une mise en réseau des délinquants. Cette transformation a été permise par les outils de communication qui ont été développés sur internet. Une transformation similaire s’est opérée dans le monde légitime avec le développement de compagnies offrant des logiciels comme service; les délinquants n’ont en quelque sorte qu’adapté les mêmes technologies à leur besoin. Dans ce nouveau contexte, les délinquants se sont grandement spécialisés et offrent sur des forums de discussion, des sites de revente ou encore des salles de clavardage, leurs services de conception de virus, d’envoi de pourriel, d’infection d’ordinateur ou encore de fraude de données personnelles et financières (Manky, 2013). Chaque offre de service est complémentaire et un délinquant ou un groupe du crime organisé peut alors faire appel au professionnel dont il a besoin au moment où ses services sont requis. Chaque morceau du script criminel peut ainsi être loué. Cela permet aux délinquants qui achètent ces services de ne pas avoir à se perfectionner dans un domaine en particulier et aux fournisseurs de service de limiter leurs risques en commettant par directement un délit, mais en fournissant à d’autres les moyens de les commettre. La cybercriminalité a ainsi pris un tournant de nature acquisitive avec cette commercialisation des services qui a mené à la création de plusieurs formes de délinquance comme les botnets, le carding et les ransomware (voir définitions plus bas).

 

Le cybercrime comme un service

Les fournisseurs de services illicites
Dans le contexte du crime comme un service (Manky, 2013), peu de délinquants ont les connaissances et/ou les capacités nécessaires à la création de logiciels malveillants. Cette spécialisation est plutôt réservée à une élite de programmeurs qui produisent de leur propre chef ou sur demande des logiciels aux multiples fonctionnalités. Celles-ci incluent le contrôle à distance d’ordinateurs et/ou l’exfiltration de données personnelles et financières. Les concepteurs de logiciels malveillants ne lancent pas eux-mêmes leurs créations dans la nature, mais rendent disponibles ces logiciels sur internet, offrant même à l’occasion un service de soutien technique (Krebs, 2012).

 

Les délinquants ont besoin d’avantage que de logiciels malveillants pour mener à terme leurs activités criminelles. Ils doivent aussi louer des serveurs d’où lancer leur attaque, trouver des individus prêts à servir de mule pour blanchir leurs profits, trouver des experts en fraude pour monter leurs arnaques ainsi que des experts en télécommunication pour sécuriser leurs opérations. Tous ces services sont disponibles de manière indépendante et sont offerts aux délinquants qui auraient des besoins dans l’un ou l’autre de ces domaines.

 

Plutôt que de faire affaire avec de multiples fournisseurs, il est aussi possible pour les délinquants de se tourner vers des botmasters, les délinquants contrôlant des botnets (Abu Rajab et al., 2006). Les botnets sont des réseaux d’ordinateurs personnels, appartenant à des compagnies ou des gouvernements, qui ont été infectés par un virus. Ce virus sert de contrôleur à distance et permet au botmaster d’avoir un contrôle total des ordinateurs dans son botnet, comme s’il était devant le clavier de chaque ordinateur. Les botnets modernes comptent plusieurs milliers voire plusieurs centaines de milliers d’ordinateurs. En faisant affaire avec un botmaster, les délinquants peuvent obtenir plusieurs services à la fois comme l’envoi de pourriel, l’hébergement de faux sites bancaires et l’entreposage de mots de passe dans le cas d’un délinquant intéressé par la fraude d’identité. Toutes les données enregistrées sur les ordinateurs piratés, toutes les données qui transigent par ces ordinateurs, la bande passante et les ressources computationnelles sont à la disposition des botmasters.
 
 
Les marchés criminels en ligne
Il existe un besoin naturel pour les délinquants et les fournisseurs de services illicites de se retrouver pour acheter et vendre des services (Holt & Lampke, 2010). Ceux-ci se retrouvent habituellement dans des salles de clavardage sur IRC ou encore sur des forums de discussion. Une nouvelle tendance est d’utiliser des cryptomarchés (Martin, 2013). Ceux-ci ressemblent, du point de vue de leur utilisation, à des sites de marchands en ligne comme Amazon ou eBay où les fournisseurs peuvent offrir leurs services et où les délinquants peuvent laisser des commentaires sur leurs interactions passées avec les fournisseurs. L’identité des participants à ces marchés est protégée par le service The Onion Router (TOR) (Dingledine et al., 2004) et les paiements se font en bitcoins, une monnaie virtuelle anonyme (Nakamoto, 2008).   

 

Types et typologies de cybercriminalité

Wall (2007) distingue trois types de cybercriminalité. La première est composée des délits qui menacent l’intégrité des ordinateurs et inclut le piratage, le contournement des mesures de protection et les dénis de service. La deuxième est composée des délits assistés par les ordinateurs et inclut les fraudes et les vols. Finalement, la troisième est composée des délits basés sur le contenu des ordinateurs et inclut la pornographie, la violence et les communications offensantes.

 

Cette classification de Wall (2007) est l’une des plus utilisées bien qu’il en existe de nombreuses autres. Parmi celles-ci, plusieurs classent les activités des délinquants en deux groupes soit les délits assistés par ordinateur – soit les délits qui existaient avant l’internent et qui prennent maintenant une nouvelle couleur (fraude, blanchiment d’argent, harcèlement sexuel, crimes haineux) – et les délits centrés sur les ordinateurs – soit les délits qui sont apparus suite à l’internet (piratage informatique, déni de service, vandalisme de sites web) (Furnell, 2002).

 

Leman-Langlois (2006) propose une troisième voie qui met en commun certains des éléments des typologies décrites ci-dessus. Son modèle fait la distinction entre les crimes dits traditionnels qui existaient avant l’internet et les crimes émergents qui sont apparus suite à l’adoption importante de l’internet. Dans chaque cas, les crimes sont classés en fonction du rôle que les réseaux informatiques ont joué. Les crimes émergents qui ont été déclenchés par l’arrivée des réseaux informatiques incluent les attaques de déni de service et le vandalisme virtuels, des crimes qui ne pourraient exister sans ces réseaux. Les crimes traditionnels qui ont vu leur impact se multiplier suite à l’arrivée des réseaux incluent la pornographie juvénile et la fraude tant d’identité que financière. Ces crimes existaient avant, mais l’apparition de marchés en ligne a grandement augmenté leur fluidité et l’efficacité des délinquants. Les crimes émergents ont aussi profité de l’effet multiplicateur des réseaux comme en fait foi l’explosion du nombre de fraudes de propriété intellectuelle sur internet et les réseaux poste-à-poste. L’aspect cyber a finalement eu un rôle accessoire dans le cas de crimes traditionnels comme le leurre. Il est vrai que les délinquants peuvent trouver des victimes dans les salles de clavardage, mais cela ne réduit pas les efforts nécessaires à attirer une victime. Ce rôle accessoire s’observe aussi dans les crimes émergents comme le terrorisme où les réseaux de support peuvent s’organiser grâce aux réseaux. Cette structure et les communications qui en découlent ne sont pas transformées cependant par l’arrivée des réseaux.

 

Ces typologies incluent un nombre important de comportements criminels très variés. Parmi ceux-ci, quelques-uns se démarquent de par leur prévalence et de leur impact social.

 

  • Le piratage informatique : le piratage informatique est un accès non autorisé à un ordinateur. Ce crime permet d’accéder aux données contenues sur un système informatique, aux données qui transigent à travers le système et d’utiliser les ressources (computationnelle, bande passante) du système. Le piratage informatique est la première étape qui donne les ressources nécessaires à la commission de plusieurs autres crimes.
  • Les pourriels : les pourriels sont des courriels non sollicités. Ils sont utilisés pour vendre des produits illicites ou contrefaits ou pour collecter des informations personnelles, financières et des comptes d’utilisateurs. Les pourriels copient souvent les courriels officiels et tenter d’attirer leurs victimes vers de faux sites qui copient eux aussi les véritables sites web.
  • La prise en otage : certains virus prennent en otage les fichiers de leurs victimes en chiffrant leur contenu puis en exigeant une rançon pour obtenir les clés de décryptage. D’autres virus se font passer pour des logiciels antivirus et exigent un paiement afin de retirer un virus qui, dans les faits, n’existe pas. Finalement, certains virus prennent le contrôle du micro et/ou de la caméra d’un ordinateur et surveillent à leur insu leurs victimes. Le délinquant peut ensuite exiger une rançon sous la menace de diffuser le contenu capturé par le micro et la caméra sur internet.
  • Les botnets : tel que décrit ci-dessus, les botnets sont de vastes réseaux d’ordinateurs infectés et contrôlés à distance par un botmaster. Les botnets sont utilisés pour copier des informations personnelles et financières, lancer des attaques de déni de service, envoyer des pourriels et générer artificiellement du trafic vers certains sites afin d’en augmenter les revenus publicitaires.  
  • Le carding : le carding englobe toutes les fraudes de cartes de débit et de crédit en ligne. Cette fraude se distingue des autres types de fraude de par son ampleur et de par le nombre d’individus qui y participe. Cette fraude s’est perfectionnée à un point tel qu’il est maintenant possible d’acheter sur certains sites des cartes de crédit d’institutions bancaires spécifiques ainsi que toutes les informations personnelles des détenteurs de ces cartes.

Les coûts de la cybercriminalité

Évaluer les coûts d’une forme de criminalité aussi large et internationale que la cybercriminalité est un exercice périlleux. L’effort le plus sérieux nous vient d’un groupe de chercheurs anglais (Anderson et al., 2012) qui se sont intéressés aux coûts de la cybercriminalité en Grande-Bretagne et dans le monde. Les deux conclusions les plus intéressantes de leur rapport sont tout d’abord que les délits dits traditionnels et qui ont migré vers l’internet comme la fraude fiscale ont des impacts nettement plus élevés que les nouvelles formes de délits. La deuxième conclusion est que les coûts associés à la protection des infrastructures et des services sont beaucoup plus importants que les profits retirés par les délinquants. Ainsi, les banques investissement des milliards de dollars dans la sécurité de leurs réseaux informatiques, mais perdraient bien moins en fraude directe. Cela crée un déséquilibre qui risque d’être difficile à soutenir à moyen ou long terme.
 
 
Les controverses
Deux controverses ont actuellement cours en lien avec la cybercriminalité. La première est en lien avec la spécificité même de la cybercriminalité. McGuire (2007) affirme qu’il est illusoire de tenter de comprendre le crime en se basant sur les définitions légales étant donné les lacunes dans les codes criminels. McGuire (2007) suggère donc que plutôt que de s’intéresser aux crimes officiels, il faudrait étudier les comportements déviants et discuter des dommages qu’ils causent. Ces dommages se produisent lorsque notre capacité à occuper notre espace est brimée (McGuire, 2007 : p.37). Notre espace inclut non seulement l’espace physique que nous occupons, mais aussi ce qui nous entoure. McGuire (2007) divise cet espace en quatre couches soit : a) la proximité 0 qui représente l’espace physique occupé par notre corps; b) la proximité 1 qui représente l’espace occupé par les objets, les activités et les relations qui assurent notre standard de vie; c) la proximité 2 qui représente les éléments de notre vie sociale comme les amis, la famille, le travail et; d) la proximité 3 qui représente l’environnement social dans lequel nous évoluons. Ces couches d’espaces peuvent elles-mêmes être envahies à trois degrés différents : 1) la simple incursion dans laquelle notre espace est envahi sans pour autant limiter notre capacité à jouir de lui; 2) l’incursion dégradante ou dommageable dans laquelle notre capacité de jouir de l’espace est limitée et; 3) l’incursion destructive dans laquelle nous perdons notre capacité de jouir de notre espace. En adoptant une telle vision de la criminologie, McGuire (2007) affirme qu’il n’existe pas de différence significative entre les mondes réels et virtuels. Il n’y aurait qu’une seule réalité qu’il faudrait comprendre en termes d’espaces et non en termes de deux réalités indépendantes. Rien, dans la nature de la cybercriminalité, ne la distinguerait des crimes dits traditionnels. Un argument supplémentaire en faveur de cette position lorsque des chercheurs se sont intéressés à d’autres révolutions technologiques comme le téléphone et l’automobile. Bien qu’importantes, ces innovations n’ont pas amené la création de nouvelles catégories de crimes, et ce, malgré le fait que l’automobile ait permis aux délinquants de modifier plusieurs de leurs scripts criminels tels que les vols de banque. En suivant cette logique, la cybercriminalité ne devrait donc pas en théorie former une catégorie distincte de crime, mais être étudiée avec toutes les autres formes de criminalité.

 

Un autre débat important tourne autour de la menace réelle que pose la cybercriminalité. Plusieurs acteurs comme les firmes de sécurité privée et les médias ont un certain avantage à maximiser la menace que pose la cybercriminalité afin d’augmenter leurs revenus (Wall, 2009). D’autres acteurs issus du monde académique cherchent à mesure beaucoup plus détachée et objective la réelle menace que pose la cybercriminalité. Les messages en provenance de ces différents acteurs sont souvent contradictoires et amènent une grande ambiguïté sur le niveau de menace que fait peser la cybercriminalité. Cela est encore plus vrai quand plusieurs domaines différents comme la sécurité nationale, la sécurité personnelle et la sécurité des entreprises sont mélangés. Il n’est pas toujours aisé de mesurer avec certitude l’impact de la cybercriminalité tel que l’illustre le cas du carding. T.J. Maxx et Target ont été les cibles d’attaques prolongées qui ont permis à des délinquants de copier les numéros de carte de crédit de dizaines de millions d’individus. Ces fraudes, très médiatisées, ont augmenté le danger apparent de la cybercriminalité. Dans les faits, il est pratiquement impossible pour une organisation criminelle, quelle que soit sa taille, de frauder un si grand nombre d’individus. La menace réelle est donc bien moindre que celle que les médias pourraient laisser entendre. Par ailleurs, certains des numéros de cartes fraudées se sont retrouvés sur des marchés criminels. Mais, tel que l’illustrent Herley & Flôrencio (2010), les marchés criminels sont très dysfonctionnels et ne se prêtent pas non plus à la diffusion efficace de numéros de carte de crédit volés. Bien qu’il soit possible de s’y procurer de telles données, le degré de victimisation est relativement élevé sur les marchés criminels et ce manque de fluidité se doit d’être intégré dans les analyses de la menace réelle de la cybercriminalité.

 

Références
 

  • Abu Rajab, M. & J. Zarfoss & F. Monrose & A. Terzis. (2006). “A Multifaceted Approach To Understanding The Botnet Phenomenon.” Proceedings Of The 6th ACM SIGCOMM Conference On Internet Measurement. Rio De Janeiro, Brésil.
  • Anderson, R. & C. Barton & R. Böhme & R. Clayton & M. van Eeten & M. Levi & S. Savage. “Measuring The Cost Of Cybercrime.” DANS Böhme, R. (ed). The Economics of Information Security and Privacy. New York, États-Unis : Springer.
  • Bingisser, G. M. (2007). “Data Privacy And Breach Reporting: Compliance With Various State Laws.” Journal Of Law, Commence And Technology. 4(1).
  • Bissett, A. & G. Shipton. (2000). “Some Human Dimensions Of Computer Virus Creation And Infection.” International Journal Of Human-Computer Studies. 52(5): 899-913.
  • Chen, T. M. & J. M. Robert. (2004). “The Evolution Of Viruses And Worms.” DANS Chen, W. W. S. (ed). Statistical Methods In Computer. Londres, Grande-Bretagne: Taylor & Francis.
  • Caldwell, T. (2011). “Ethical Hackers: Putting On The White Hat.” Network Security.7: 10-13.
  • Dingledine, R. & N. Mathewson. & P. Syverson. (2004). “Tor: The Second-Generation Onion Router.” Naval Research Lab, Washington DC.
  • Furnell, S. (2002). Cybercrime: Vandalizing the Information Society. Boston, États-Unis: Addison-Wesley.
  • Gordon, S. & R. Ford. (2006). “On The Definition And Classification Of Cybercrime.” Journal In Computer Virology. 2(1): 13-20.
  • Herley, C. & D. Florêncio. (2010). “Nobody Sells Gold For The Price Of Silver: Dishonesty, Uncertainty And The Underground Economy.” DANS Moore, T. & Pym, D. & Ioannidis, C. (eds). Economics Of Information Security And Privacy. New York, États-Unis : Springer.
  • Holt, T. J. & E. Lampke. (2010). “Exploring Stolen Data Markets Online: Products And Market Forces.” Criminal Justice Studies. 23(1): 33-50.
  • Krebs, B. (2012). “Citadel’ Trojan Touts Trouble-Ticket System.” Téléchargé le 25 avril 2014 au : http://krebsonsecurity.com/2012/01/citadel-trojan-touts-trouble-ticket-system/.
  • Leman-Langlois, Stéphane (2006), « Le crime comme moyen de contrôle du cyberespace commercial », Criminologie, 39 (1), 63-81.
  • Manky, D. (2013). “Cybercrime As A Service: A Very Modern Business.” Computer Fraud & Security. 6: 9-13.
  • Martin, J. (2013). “Lost On The Silk Road: Online Drug Distribution And The ‘Cryptomarket’.” Criminology And Criminal Justice. DOI: 10.1177/1748895813505234.
  • McGuire, M. (2007). Hypercrime: The New Geometry Of Harm. New York, États-Unis : Routledge-Cavendish.
  • Mitnick, K. (2011). Ghost In The Wires: My Adventures As The World's Most Wanted Hacker. New York, États-Unis : Hachette Digital.
  • Nakamoto, S. (2008). “Bitcoin: A peer-to-peer electronic cash system.Consulted, 1, 2012.
  • Schell, B. H. & C. Martin. (2004). Cybercrime: A Reference Handbook. Santa Barbara, États-Unis : ABC-CLIO.
  • Wall, D. S. (2007). Cybercrime: The Transformation of Crime in the Information Age. Cambridge, Grande-Bretagne: Polity.
  • Wall, D. S. (2009). Crime And Deviance In Cyberspace. Brookfield, États-Unis: Ashgate Publishing Co.
  • Yar, M. (2013). Cybercrime And Society. Thousands Oak, États-Unis : Sage Publications.

 

 

Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 

Surveillance

 

Étrangement, la plupart des ouvrages sur la surveillance ont tendance à éviter ou à ignorer, sans doute à cause de son apparente simplicité, le problème de la nature de l’objet et la manière dont on la définit. Dans plusieurs ouvrages, la notion de surveillance se limite à la collecte de renseignements divers (données, images, sons), et surtout par les gouvernements et leurs agences. Ce dernier aspect est d’ailleurs une des failles les plus souvent identifiées de la célèbre analyse de Foucault, fondée sur le panoptique de Bentham (dans Surveiller et punir, 1977). Dans d’autres, elle est si large qu’on a peine à en identifier les caractéristiques, le fil directeur, la « surveillance » censée être décrite.

En tout premier lieu, la surveillance est l’acquisition, temporaire, permanente ou à durée variable, d’information. Cette information peut être visuelle, auditive, ou autre; elle est souvent le produit de nos sens ou de technologies visant à les seconder, mais le lien sens-surveillance n’est pas déterminant. Plusieurs formes d’information ne correspondent pas aux sens humains (par exemple, la structure de l’ADN d’un individu). Bref, la relation sens-surveillance est surtout culturelle et a-scientifique. Elle repose d’ailleurs sur une compréhension aristotélicienne de nos sens, limitée aux 5 variétés archi-connues, mais qui n’a plus cours aujourd’hui. Elle oblige également à réfléchir à la surveillance comme une extension de ces sens, ce qui est trop limitatif.

L’information collectée peut porter sur un individu particulier, sur un type d’individu, sur un endroit où des personnes non identifiées au préalable ont été détectées, sur des traces informatisées de transactions diverses sur Internet et dans le monde physique (des traces de consommation, par exemple). Toutes ces informations peuvent être conservées séparément, ou mises en commun pour déceler des patterns ou extrapoler des éléments manquants à partir de ce qui est connu à l’aide d’une boîte à outils de théories sociologiques, psychologiques, démographiques et économiques.

Le dictionnaire envisage la « surveillance » d’une plante, d’un chien, d’un volcan ou de la température à l’aide d’un thermomètre, mais il est utile de limiter notre conception de la surveillance à celle qui s’applique à des objets sociaux, l’ensemble des éléments qui forment notre réalité subjective. Spontanément, il s’agit bien sûr principalement des personnes et de leurs interactions, qu’elles soient individuellement, spécifiquement surveillées, ou qu’elles se trouvent à entrer dans un champ de surveillance portant sur une population, sur un espace ou sur un flux d’information. Entre autres, la surveillance d’espaces, qu’ils soient publics, privés ou « privés de masse », vise surtout (mais pas uniquement; on surveille également les objets eux-mêmes, comme un toit qui coule, une poubelle qui déborde ou un serveur qui commence à surchauffer) à détecter et à contrôler les comportements proscrits et à encourager les comportements désirés, peu importe qui s’y adonne. Lorsque qu’on surveille des machines, des processus automatisés ou des transactions financières, par exemple, c’est généralement parce qu’on peut supposer que des personnes en sont directement ou indirectement responsables ou dépendantes.

L’objet de la surveillance reste un problème de taille, parce qu’il est à l’occasion difficile ou mal avisé de distinguer les objets physiques, inanimés, des objets sociaux. Au premier abord, il semble utile d’éviter de parler de surveillance lorsque l’objet surveillé est un chien ou un volcan. Cependant, comme Latour l’a déjà noté, les objets inanimés, ou du moins non-humains, qui font partie de la manière dont nous appréhendons notre contexte social détiennent un pouvoir de modifier nos perceptions, nos attitudes et nos actions et sont donc eux aussi des « acteurs » et non les simples détails d’un décor dans lequel se joue le social. Ainsi, si un géologue surveille l’activité sismique du sud des États-Unis pour sa thèse sur le mouvement des plaques tectoniques, il ne s’agira pas de « surveillance » au sens où elle est entendue dans cet ouvrage. Par contre, s’il le fait pour conseiller des personnes qui se proposent d’acheter un condominium situé sur la faille de San Adreas, ou pour en informer leur compagnie d’assurance habitation, son activité devient sociale et compatible avec notre compréhension de la notion de surveillance.

En ce qui a trait à l’objet de la surveillance, un dernier aspect doit être souligné. Presque toutes les activités de surveillance, qu’elles soient assistées par une technologie ou non, ont la capacité de recueillir des informations sur une foule d’objets variés. Par exemple, si un adepte de la surveillance vidéo dirige une webcaméra vers le stationnement où est garée sa voiture de collection, c’est moins pour observer la voiture que le comportement d’éventuels humains qui pourraient s’en approcher. Évidemment, si la branche d’un arbre à proximité menaçait de s’écraser sur son pare-brise il serait aussi heureux de pouvoir l’éviter. Dans ce cas, bien que l’objet social ne soit pas l’unique, ou peut-être même la plus importante cible de cette surveillance, sa présence suffit à glisser cette dernière sous le microscope d’une sociologie de la surveillance.

Ajoutons enfin un troisième et dernier élément de définition, auquel la notion d’objet nous renvoie immédiatement : l’objectif, la fin prévue des informations recueillies. La surveillance vise un but extérieur à la simple collection d’information, qui peut être résumé par l’intervention ou l’obtention d’un bénéfice extérieur à la connaissance pure. Ceci ne suppose aucunement qu’elle soit couronnée de succès, ni que les individus, informations, sites, surveillés soient aussi ceux qui seront la cible de l’intervention ou la source du bénéfice subséquents. On peut collecter des informations sur les habitudes d’une population de consommateurs afin de vendre un produit à d’autres.

La question du but d’une action de surveillance est malheureusement moins simple qu’il n’y paraît. Il arrive souvent que le but explicite soit l’expression d’un idéal qui n’est en pratique jamais réalisé. Une caméra de surveillance a peut-être été installée pour permettre d’identifier des criminels. Mais si, après plusieurs mois d’usage, on a plutôt pris des employés à flâner durant leur quart de travail, il y a déplacement important de l’objectif, qui est devenu, en pratique, la gestion du personnel. Si ce glissement se fait généralement au sein de cette grande catégorie qu’est le contrôle social, il n’en reste pas moins qu’une différence parfois fondamentale existe entre les buts explicitement visés et ceux qu’on peut déduire de l’observation des pratiques de surveillance.

Par conséquent, la totalité des activités de surveillance visant à assurer la sécurité des personnes contre des actes dommageables commis par d’autres peuvent être conçues comme partie intégrante de ce qu’il convient d’appeler le contrôle social. Ce contrôle, s’il est surtout appréhendé à partir de ses actions sur les populations et sur les individus, n’en dépend pas moins, pour exister, d’une phase de surveillance. Ceci est aussi vrai du contrôle social officiel effectué par l’État que de celui, non-officiel, qui est appliqué par les parents, les voisins et les pairs. Cette dyade surveillance-contrôle existe également à travers les variétés de modes de contrôle social, qu’il soit punitif, réformateur, thérapeutique, compensatoire, etc. Ceci provient tout simplement du fait que dans notre culture, l’acte est la responsabilité de l’acteur et non du destin, de la nature ou du clan. Or, pour agir sur le responsable de la faute, il faut d’abord savoir l’identifier, le distinguer, puis l’extraire de la masse.

Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 

Sécurité privée

 

 
La sécurité privée en tant qu’objet d’étude n’a commencé qu’assez tardivement à susciter l’intérêt des criminologues, soit à partir environ du début des années 1980 et des travaux fondateurs de Shearing & Stenning sur le royaume de Disney (1985). Pourtant, les formes privées de production de la sécurité ont toujours cohabité avec leurs contreparties publiques, que l’on pense aux traqueurs de voleurs anglais du XVIIe siècle, aux diverses formes de mercenariat au travers des âges ou encore à la création de la légendaire agence Pinkerton en 1850 (la première entreprise moderne de sécurité privée). Son entrée plutôt tardive dans le giron du savoir criminologique coïncide avec un accroissement spectaculaire de l’industrie de la sécurité privée depuis les années 1970 (Cunningham et al., 1990). Considérée comme une activité professionnelle somme toute marginale comparativement à la place occupée par le secteur public, les effectifs de la sécurité privée ont rapidement crû pour égaler, voire parfois dépasser les forces policières, atteignant le volume – impensable quelques décennies auparavant – de 3 employés de la sécurité privée pour un officier de police aux Etats-Unis (Cunningham et al., 1990). Bien qu’il soit très variable selon les pays (Jones & Newburn, 2006), l’accroissement est partout tangible ; les compagnies de sécurité privée ont foisonné, leurs rôles se sont diversifiés et leur légitimité s’est, bien que sur un rythme lent il est vrai, consolidée. Aujourd’hui devenue un acteur incontournable de la gouvernance de la sécurité, la sécurité privée est au centre d’une série de questionnements et de recherches criminologiques de plus en plus variés et nombreux. Nous allons ici nous pencher sur deux d’entre eux, soit : les difficultés de définition et les enjeux liés à son accroissement contemporain. Précisons que notre analyse s’applique avant tout à la réalité anglo-saxonne, qui a connu les développements les plus spectaculaires dans le domaine ; elle conserve cependant sa pertinence pour réfléchir à la sécurité privée dans d’autres régions du monde.

Questions de définition

La sécurité privée est un objet qui a bien du mal à satisfaire aux exigences d’une définition consensuelle. Elle se heurte en effet à une double inintelligibilité liée à ses deux composantes essentielles, la « sécurité » et le « privé ». Il n’est pas nécessaire de trop s’attarder sur la première, dont l’aspect protéiforme est évident (voir par exemple, Zedner, 2010, qui distingue la sécurité en tant qu’état objectif, état subjectif, pratique, symbole et poursuite). Bien que la sécurité s’applique en effet à une très grande diversité de domaines (emploi, santé, éducation, économie, système pénal, assurances, etc.), la sécurité privée, telle qu’étudiée par les criminologues, se restreint généralement aux activités (para)policières entreprises par le secteur privé et ne s’applique donc qu’à cette partie limitée de son champ sémantique. Le terme « privé », quant à lui, donne lieu à un amalgame fréquent, selon qu’il soit utilisé en référence à ce qui est personnel, intime (la sphère privée) ou qu’il prenne le sens d’opposition au secteur public, les actions étant orientées selon une logique de profit et non d’intérêt public (Shapland et Van Outrive, 1999). C’est la différence entre une milice de quartier (une initiative civile de sécurité) et l’industrie de la sécurité privée, deux catégories d’acteurs fort différentes qui se retrouvent parfois réunies sous le même sceau. Cette distinction se trouve par ailleurs troublée par l’existence d’acteurs qui empruntent aux deux acceptions du terme, telle que la sécurité corporative (une sécurité « doublement » privée, car elle ne regarde que l’entreprise et suit une logique marchande).

À ces premières difficultés, qui touchent à la pluralité de sens que peuvent prendre chacun des termes de l’équation, s’ajoute celle de la porosité de leur frontière, tout particulièrement en ce qui concerne la dichotomie public-privé. En effet, cette dernière est devenue aujourd’hui de plus en plus obsolète, tant l’imbrication des deux secteurs s’est complexifiée, la prolifération d’acteurs hybrides situés à l’intersection des secteurs public et privé étant un phénomène en constante progression (Johnston, 1992 ; Brodeur, 2003). Dès lors, il est de plus en plus délicat de catégoriser un acteur comme public ou privé, l’exercice dépendant de plusieurs facteurs qui peuvent entrer en contradiction. Par exemple, si l’on considère que la ligne de partage se situe dans la source de financement de l’activité de sécurité (une action de sécurité étant publique lorsque sa source de financement est d’origine étatique, privée lorsque les fonds proviennent d’acteurs non-étatiques), qu’en est-il des entreprises qui œuvrent en sous-traitance de l’État ? Et si l’on décide de mettre l’emphase sur le lieu de leur déploiement (l’espace public ou la propriété privée, dont la délimitation comporte elle aussi son lot de difficultés; Kempa et al., 2004), comment qualifier les agents de sécurité qui patrouillent une rue pour le compte d’une société de développement commercial ou tout autre regroupement de propriétaires immobiliers ? Et lorsque le client est une administration locale (une mairie d’arrondissement par exemple) ? Parce que la catégorisation d’une action de sécurité comme étant privée ou publique dépend de plusieurs variables, il est dès lors plus sage de faire usage du vocable « privatisation », une terminologie plus dynamique qui permet de mieux rendre compte de la réalité actuelle (Brodeur, 2003). Une action de sécurité peut ainsi être considérée comme étant plus ou moins privatisée ; il est possible dès lors de la situer sur un continuum, et non pas au sein de catégories souvent peu adéquates.

La sécurité souffre, elle, d’une définition « en creux », par la négative, en ce qu’elle se caractérise principalement par une absence de danger ou de menace. Elle reste donc difficilement palpable objectivement, la condition de sécurité n’existant tant et si longtemps qu’elle satisfait à cette absence (Ocqueteau 2004 ; Zedner, 2010). Elle évolue de manière relative à une incertitude dont l’ampleur permet de la qualifier : plus l’incertitude est faible, plus la sécurité est grande. Nous pouvons donc affirmer qu’elle  existe à la fois en tant que but à atteindre et à la fois comme objectif inatteignable (ce qui tend à faire le bonheur de l’industrie ; Zedner, 2010) ; dans cet ordre d’idée, une situation, un lieu, un évènement est toujours plus ou moins sécurisé.

Il est donc possible de définir la sécurité privée comme étant l’ensemble des acteurs « privés » (avec toutes les difficultés que le terme comporte) dont l’activité principale consiste à faire diminuer, objectivement ou subjectivement, le degré d’imprévisibilité de la menace. Comme nous l’avons dit plus haut, la sécurité privée telle qu’étudiée par les criminologues se limite généralement aux actions de type policier, et la menace à son tour peut être circonscrite à celle qui pèse sur les personnes, les biens et l’information. Ceci nous rapproche de la position de Fourcaudot (1988) qui considère que la sécurité privée correspond à « l’ensemble des activités et des mesures, visant la protection des personnes, des biens et de l’information, fournies dans le cadre d’un marché compétitif, orienté vers le profit, et où les pourvoyeurs n’assument pas au regard de la loi, des responsabilités de fonctionnaires au service du gouvernement » (Fourcaudot, 1988 : 16). Cette définition exclut les initiatives civiles et précise, de manière étroite, le caractère privé d’un acteur (ne pas assumer de responsabilités de fonctionnaire au service du gouvernement). Bien qu’intéressant, l’ensemble ainsi défini demeure très éclaté (Brodeur, 2003), regroupant une grande diversité de secteurs d’activité : agents de sécurité (patrouille fixe et mobile), enquêteurs ou détectives privés, transporteurs de fonds, industrie de l’alarme, de la serrurerie et de la vidéosurveillance, développeurs de logiciels de protection des données, compagnies militaires privées, gardes du corps, videurs (bouncers), entreprises privées d’intelligence économique, agences de recouvrement, enquêteurs des assurances.

L’énumération ou la liste d’épicerie, une technique souvent utilisée pour circonscrire l’objet «sécurité privée», ne nous permet toutefois pas d’identifier le(s) dénominateur(s) commun(s) applicable(s) à l’ensemble des acteurs qui la constituent. Affirmer que la sécurité privée est composée de tels ou tels acteurs, bien qu’étant un exercice utile, notamment sur le plan juridique, ne nous informe pas forcément sur la substance de l’objet à définir. Parmi les quelques auteurs à s’être frottés à cet exercice périlleux, soulignons la proposition de Shearing & Stenning (1985) qui se décline en quatre caractéristiques : (1) La sécurité privée poursuivrait une logique instrumentale et non normative. (2) Elle serait de nature préventive. (3) Elle serait dépendante de la technologie. (4) Elle serait de nature non coercitive et fonctionnerait au consentement. Si l’on peut critiquer les trois derniers points (en arguant notamment de leur possible application à la police), la logique instrumentale de la sécurité privée permet de mieux comprendre et distinguer un secteur d’activités dont les rationalités sont largement ancrées dans des velléités instrumentales (satisfaction de la clientèle, prévention des pertes, etc.) et non à l’application de la loi, ni même au respect d’une quelconque norme morale. L’obéissance aux lois du marché et une philosophie tournée vers la prévention des risques sont au cœur de l’action de la sécurité privée (Ocqueteau, 1994).

De quelques enjeux

L’accroissement de l’industrie de la sécurité privée dans nos sociétés contemporaines soulève un certain nombre de questionnements. Il existe en premier lieu une crainte légitime d’assister à l’émergence d’une police privée. La disponibilité de produits et de services de sécurité sur le marché permet à de potentiels consommateurs fortunés d’obtenir une garde rapprochée personnelle, des systèmes d’alarmes, de caméras de vidéosurveillance, en bref une plus grande sécurité, relativement aux sections moins bien nanties de la société. Plus l’industrie est présente, plus la possibilité de voir apparaître des formes de polices privées augmente.

Cette peur doit toutefois être tempérée par l’absence de pouvoirs spéciaux donnés à la sécurité privée qui interdit d’établir une simple équivalence entre ce secteur et la police. Généralement non armés (à l’exception notable de certains employés de compagnies de transports de valeurs), les agents de sécurité privée ne jouissent à première vue d’aucun droit  particulier d’arrestation, de détention et d’usage de la force, en dehors de ceux donnés au simple citoyen. Dès lors, il est faux de croire que la sécurité privée puisse véritablement devenir une forme de « police privée », en ce qu’elle est loin de se prévaloir des mêmes pouvoirs que la police publique (et, à ce titre, dépend inévitablement de cette dernière lorsqu’il s’agit de porter une affaire en cour, par exemple).

Il faut toutefois noter, à la suite de Shearing (1984), que les agents de sécurité évoluent souvent dans le cadre d’une propriété privée (tour à bureaux, centre commercial, centre culturel, complexe résidentiel, résidence clôturée, etc.) et qu’à ce titre les pouvoirs du propriétaire leurs sont délégués. Ceux-ci sont loin d’être insignifiants en ce qu’ils permettent à l’agent de sécurité, véhicule de l’autorité du propriétaire, d’interdire l’accès aux indésirables et d’expulser ceux qui ne se conforment pas aux règles établies. Ce pouvoir d’inclusion/expulsion est spécifique au propriétaire et, par extension, à l’agent de sécurité travaillant pour lui. Or, la multiplication des propriétés privées de masse et des espaces communs (Kempa et al., 2004) rend cette délégation de pouvoirs fort importante, les citoyens étant de plus en plus portés à évoluer au quotidien au sein d’espaces privés dont ils peuvent se faire expulser. Nous pouvons donc affirmer que s’il est faux de penser la sécurité privée comme concurrent direct de la police, il ne faut pas non plus la réduire à l’exercice d’une sécurité par de simples citoyens, et ce, même si la source du problème provient de la propagation de grands espaces privés ouverts au public au sein du tissu urbain et non pas de la sécurité privée directement.

Seconde catégorie d’interrogation, la marchandisation de la sécurité questionne le rôle de l’État dans la production, la distribution et le contrôle de la sécurité. Longtemps considérée comme subordonnée à l’État, l’industrie de la sécurité a démontré au fil des ans une capacité à l’indépendance qui aujourd’hui ne fait plus grand doute (Dupont, 2006). Cette propension à l’agir autonome est, à son tour, la source d’une remise en cause de la vision traditionnelle de la gouvernance de la sécurité et tout particulièrement du rôle joué par l’État. En effet, le soi-disant monopole de ce dernier est grandement mis à mal par l’apparition d’une industrie dont le volume dépasserait celui du secteur public et dont la capacité à produire des ordres privés de manière autonome ne cesserait de croître. De fait, l’inévitable renégociation des rapports de force qui en découle aboutit nécessairement à un affaiblissement de la centralité de l’État et de ses institutions dans la gouvernance de la sécurité. Bien que la police en reste l’un des acteurs majeurs, l’industrie de la sécurité privée a pris une place suffisamment significative pour que plusieurs auteurs parlent d’un changement profond dans la production, la distribution et le contrôle de ce bien public (Wood et Shearing, 2007). Le rétrécissement de la zone d’influence de l’État s’accompagne d’une accentuation de l’importance du marché comme source de régulation de la sécurité (Zedner, 2006), évolution qui vide également des polices publiques de plus en plus gérées comme des entreprises (Ayling et al., 2009). La sécurité est progressivement réduite à un simple bien de consommation, ce qui facilite et est facilité par une industrie dont le poids ne cesse d’augmenter. Et ceci a des conséquences qui dépassent le seul marché de la sécurité.

Conclusion

La sécurité privée est un objet protéiforme, aux frontières floues et qui regroupe une grande diversité de secteurs d’activité. Il n’est donc pas étonnant de voir Brodeur (2003) parler de sécurité privée comme d’un objet dont la caractéristique essentielle résiderait dans son éclatement. Pas plus qu’il ne faille être surpris de l’absence de consensus quant à sa définition. Il reste possible de mettre en exergue son caractère instrumental, sa dépendance aux lois du marché, une philosophie tournée vers la prévention du risque, ainsi qu’une action dirigée vers la protection des biens, des personnes et de l’information. Il est aussi évident que son importance, tant sur le plan pratique que symbolique, a connu une croissance si forte qu’il est aujourd’hui difficile d’imaginer que cette industrie puisse disparaître ou même simplement revenir au rôle et au poids qui étaient les siens au début des années 1970. La manière dont la sécurité des citoyens est produite aujourd’hui est fort différente de ce qui a pu exister auparavant. Et cette différence est en grande partie liée à l’industrie de la sécurité, que celle-ci en soit une conséquence, une cause ou les deux.

 

Références

  • Ayling, Julie, Peter Grabosky et Clifford Shearing (2009) Lenghtening the arm of the law. Cambridge: Cambridge University Press.
  • Brodeur, Jean-Paul (2003) Les visages de la police: Pratiques et perceptions. Montréal: Presses Universitaires de Montréal.
  • Cunnigham, W., J. Strauchs et C. Van Meter (1990) Private security trends, 1970 to 2000: The Hallcrest report, Boston: Butterworth-Heinemann.
  • Dupont, Benoît (2006) “Delivering security through networks: Surveying the relational landscape of security managers in an urban setting”. Crime, Law & Social Change, 45, 165-184.
  • Fourcaudaut, Martine (1988) Étude descriptive des agences de sécurité au Québec, Mémoire de maîtrise, Montréal, Université de Montréal, Faculté des études supérieures, École de Criminologie.
  • Johnston, Les (1992) The rebirth of private policing. New York: Routledge.
  • Jones, Trevor et Tim Newburn (2006) Plural policing: A comparative perspective. New York: Routledge.
  • Kempa, Michael A., Philip Stenning et Jennifer Wood (2004) Policing communal spaces: A reconfiguration of the ‘mass private property’ hypothesis.” The British Journal of Criminology. 44/4: 562-581.
  • Ocqueteau, Frédéric (1994) La sécurité marchandisée, Insécurité: question de confiance, 238, 63-72.
  • Ocqueteau, Frédéric (2004) Polices entre État et marché, Paris, Presses de Sciences Po.
  • Shapland, Johanna et Lode Van Outrive (1999) Police et sécurité: Contrôle social et interaction public/privé. Paris: L'Harmattan.
  • Shearing, Clifford (1984) “La sécurité privée au Canada : quelques questions et réponses”. Criminologie, 17/1, 59-89.
  • Shearing, Clifford et Philip Stenning (1985) “From the Panopticon to Disneyworld: The development of discipline.” In: Anthony N. Doob and Edward L. Greenspan (eds.), Perspectives in criminal law: Essays in honour John LL. J. Edwards. Aurora: Canadian Law Books: 335-348.
  • Wood, Jennifer et Clifford Shearing (2007) Imagining security, Portland: Willan Publishing.
  • Zedner, Lucia (2006) “Liquid security: Managing the market for crime control.” Criminology and Criminal Justice. 6/3: 267-288.
  • Zedner, Lucia (2010) Security, London : Routledge.
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 

Sous la direction de Benoît Dupont et Stéphane Leman-Langlois

Chaire de recherche du Canada en sécurité, identité et technologie: http://www.benoitdupont.net

Chaire de recherche du Canada en surveillance et construction sociale du risque: http://www.social-surveillance.com

CICC: http://www.cicc.umontreal.ca

ISBN: 978-2-922137-30-9