b- Le compte de réseau social, un STAD
B. Les sites de réseaux sociaux, un bien objet d’atteintes aux STAD
1) L’accès ou le maintien frauduleux dans un STAD
132. Absence de préjudice. Selon l’article 323-1 du Code pénal « le fait d’accéder ou de
se maintenir, fraudulement, dans tout ou partie d’un système de traitement automatisé de
données est puni de deux ans d’emprisonnement et de 60 000 € d’amende ». Le système
répressif vise en l’occurrence ce simple accès ou maintien indépendamment de l’existence
d’un préjudice lié à cette intrusion. Il s’agit d’un délit instantané qui se consomme en un trait
de temps, le préjudice ne faisant pas partie des éléments constitutifs de l’infraction.
133. L’accès. La notion d’accès dans un STAD se caractérise par la pénétration dans un
système suite à une manipulation informatique ou tout autre manœuvre opérée de manière
frauduleuse
437. Plus généralement, l’infraction est caractérisée dès lors qu’une personne non
habilitée pénètre dans un STAD tout en sachant qu’elle est dépourvue d’autorisation. Ainsi, le
fait d’usurper le mot de passe et de se connecter dans un espace réservé d’un système ouvert
au public, par exemple le compte d’un réseau social, caractérise l’accès frauduleux. De même,
le fait d’utiliser un cracker de mot de passe ou encore d’introduire un cheval de Troie ou tout
436 C. pén., Livre III, Titre II, Chapitre 2 « des atteintes aux systèmes de traitement automatisé de données ».
114
autre procédé visant à interroger un système à distance, sont constitutifs de cette infraction.
Au final l’ingénierie sociale constitue parfaitement un moyen d’accès frauduleux à un
STAD
438. En revanche, il ne peut être reproché à un internaute d’accéder dans les parties d’un
site internet qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de
navigation lorsque ces parties ne font l’objet d’aucune protection de la part de l’exploitant du
site ou de son prestataire de service
439.
134. Le maintien. Le maintien peut quant à lui revêtir deux formes. Il peut s’agir dans un
premier temps de la situation où l’accès dans le STAD a été régulier mais lorsqu’il est suivi
d’un maintien qui lui ne l’est pas. Cela peut concerner l’hypothèse où la personne n’était pas
habilitée à se maintenir dans le système, est ainsi frauduleuse « l’utilisation pendant plus de
deux ans d’un code permettant l’accès à une base de données accessibles aux seules
personnes autorisées, alors que ce code a été remis à un salarié pour sa période d’essai »
440.
Dans un deuxième temps, le maintien peut se réaliser par celui qui, par inadvertance accède à
un système fermé et qui s’y maintient volontairement tout en sachant qu’il n’en a pas le
droit
441. Dans cette hypothèse, le fait de prendre possession d’un ordinateur où certaines
sessions n’auraient pas été auparavant fermées et de naviguer sur les comptes personnels du
titulaire de l’ordinateur serait de nature à qualifier l’infraction de maintien frauduleux dans un
STAD. Celle-ci ne saurait cependant être qualifiée sans rapporter également le caractère
frauduleux du comportement, autrement dit, la preuve que la personne ait agi en connaissance
de cause.
135. Élément moral. Le caractère frauduleux suppose la conscience chez l’individu de
l’irrégularité de son acte
442. Plus précisément, le délinquant doit avoir eu conscience
d’accéder ou de se maintenir sans droit dans le système. Selon la jurisprudence constante,
l’élément intentionnel du délit est caractérisé lorsque l’ « accès [est] fait sans droit et en
pleine connaissance de cause […] cette absence de droit résulte de l’absence d’autorisation
du maître du système »
443. Dans le cas présent l’élément moral ne suppose pas chez l’auteur
de l’infraction une intention de nuire, il suppose la seule conscience d’accéder dans un
438 V. en ce sens : TGI Paris, 2 septembre 2004, no 0312990195, reconnaissant la méthode du phishing comme moyen d’accès frauduleux à un STAD.
439 Paris, 30 octobre 2002, LPA no 104, 26 mai 2003, p. 12, note BOURGEOIS ; V. dans le même sens, Paris, 30 octobre 2002, Expertises, 2003. 266, no 33.
440 Crim., 3 octobre 2007, no 07-81.045 : AJ Pénal 2007, p. 535.
441 V. en ce sens : Paris, 5 avril 1994 : D. 1994. IR 130.
442 F. CHOPIN, Rép. pén. Dalloz, juillet 2013 (actualisation : avril 2018), V° Cybercriminalité, § 17.
443 M. QUÉMÉNER, Y. CHARPENEL, Cybercriminalité Droit pénal appliqué, Économica, 2010, p. 73 ; référence : Toulouse, 3ème Chambre, 21 janvier 1999.
115
système sans droits et la volonté de s’y maintenir. Le maître du système s’interprète comme la
personne ou le service compétent pour autoriser l’accès
444, rapportée aux réseaux sociaux en
ligne l’infraction est qualifiée à partir du moment où le titulaire du compte de réseau social
n’a pas donner son accord exprès à l’entrée sur son espace personnel et que l’individu décide
malgré tout d’y accéder ou de s’y maintenir. Toutefois, lorsqu’une attaque informatique vise
un réseau social ou les espaces personnels de leurs membres, celle-ci a souvent pour but de
tirer bénéfice des données auxquelles cette dernière donnerait accès. Dans cette situation le
pirate informatique ne se contente plus uniquement de déjouer les barrières de sécurité mises
en place mais poursuit aussi un objectif bien précis et préjudiciable pour la personne visée.
Dès lors la répression peut se fonder sur l’article 323-3 du Code pénal qui prévoit l’atteinte à
l’intégrité des données du système.
136. Utilisation de la méthode d’ingénierie sociale sur les sites de réseaux sociaux. Les
sites de réseaux sociaux sont devenus une cible privilégiée des pirates informatiques. Ces
derniers utilisent principalement la méthode d’ingénierie sociale
445pour accéder aux comptes
des utilisateurs. Ce concept fait référence à une acquisition déloyale d’une information ou la
divulgation d’une information sensible suite à une manipulation psychologique de l’individu.
Ces techniques consistent donc à utiliser les capacités décisionnelles et cognitives des
individus pour les induire en erreur. Autrement dit, les failles humaines d’un système
d’information vont être utilisées pour casser les barrières de sécurité mises en place.
L’ingénierie sociale se base donc sur la force de persuasion et sur l’exploitation de la crédulité
de la personne ciblée. Ce concept n’est pas propre au piratage informatique, on le retrouve
également sous d’autres formes comme l’utilisation du téléphone ou du courrier écrit. Dans le
contexte de la sécurité informatique, l’ingénierie sociale se matérialise par le fait d’induire en
erreur un internaute pour ensuite installer sur son ordinateur un programme malveillant
destiné le plus souvent à récupérer ses identifiants et mots de passe c’est le cas en particulier
de la méthode du phishing ou hameçonnage
446. Le pirate agit au moyen de messages
électroniques et de sites internet miroirs revêtant l’apparence de messages émanant
d’entreprises légitimes tels que des établissements financiers ou des administrations
publiques. La victime croyant s’adresser à un tiers de confiance renseigne en réalité le pirate
444Ibid.
445 Cette notion connue sous le terme anglais de social engineering a été théorisée dans l’ouvrage de K. D. MITNICK et W. L. SIMON : L’art de la supercherie, l’importance du facteur humain dans la sécurité informatique, CampusPress, 2011.
446 Le terme « Hameçonnage » est un néologisme québécois créé en avril 2004 par l'Office québécois de la langue française. En France, la Commission générale de terminologie et de néologie a choisi en 2006 le terme « filoutage ».