L’accès ou le maintien frauduleux dans un STAD

132. Absence de préjudice. Selon l’article 323-1 du Code pénal « le fait d’accéder ou de

se maintenir, fraudulement, dans tout ou partie d’un système de traitement automatisé de

données est puni de deux ans d’emprisonnement et de 60 000 € d’amende ». Le système

répressif vise en l’occurrence ce simple accès ou maintien indépendamment de l’existence

d’un préjudice lié à cette intrusion. Il s’agit d’un délit instantané qui se consomme en un trait

de temps, le préjudice ne faisant pas partie des éléments constitutifs de l’infraction.

133. L’accès. La notion d’accès dans un STAD se caractérise par la pénétration dans un

système suite à une manipulation informatique ou tout autre manœuvre opérée de manière

frauduleuse

⁴³⁷

. Plus généralement, l’infraction est caractérisée dès lors qu’une personne non

habilitée pénètre dans un STAD tout en sachant qu’elle est dépourvue d’autorisation. Ainsi, le

fait d’usurper le mot de passe et de se connecter dans un espace réservé d’un système ouvert

au public, par exemple le compte d’un réseau social, caractérise l’accès frauduleux. De même,

le fait d’utiliser un cracker de mot de passe ou encore d’introduire un cheval de Troie ou tout

436 C. pén., Livre III, Titre II, Chapitre 2 « des atteintes aux systèmes de traitement automatisé de données ».

114

autre procédé visant à interroger un système à distance, sont constitutifs de cette infraction.

Au final l’ingénierie sociale constitue parfaitement un moyen d’accès frauduleux à un

STAD

438

. En revanche, il ne peut être reproché à un internaute d’accéder dans les parties d’un

site internet qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de

navigation lorsque ces parties ne font l’objet d’aucune protection de la part de l’exploitant du

site ou de son prestataire de service

⁴³⁹

.

134. Le maintien. Le maintien peut quant à lui revêtir deux formes. Il peut s’agir dans un

premier temps de la situation où l’accès dans le STAD a été régulier mais lorsqu’il est suivi

d’un maintien qui lui ne l’est pas. Cela peut concerner l’hypothèse où la personne n’était pas

habilitée à se maintenir dans le système, est ainsi frauduleuse « l’utilisation pendant plus de

deux ans d’un code permettant l’accès à une base de données accessibles aux seules

personnes autorisées, alors que ce code a été remis à un salarié pour sa période d’essai »

⁴⁴⁰

.

Dans un deuxième temps, le maintien peut se réaliser par celui qui, par inadvertance accède à

un système fermé et qui s’y maintient volontairement tout en sachant qu’il n’en a pas le

droit

⁴⁴¹

. Dans cette hypothèse, le fait de prendre possession d’un ordinateur où certaines

sessions n’auraient pas été auparavant fermées et de naviguer sur les comptes personnels du

titulaire de l’ordinateur serait de nature à qualifier l’infraction de maintien frauduleux dans un

STAD. Celle-ci ne saurait cependant être qualifiée sans rapporter également le caractère

frauduleux du comportement, autrement dit, la preuve que la personne ait agi en connaissance

de cause.

135. Élément moral. Le caractère frauduleux suppose la conscience chez l’individu de

l’irrégularité de son acte

⁴⁴²

. Plus précisément, le délinquant doit avoir eu conscience

d’accéder ou de se maintenir sans droit dans le système. Selon la jurisprudence constante,

l’élément intentionnel du délit est caractérisé lorsque l’ « accès [est] fait sans droit et en

pleine connaissance de cause […] cette absence de droit résulte de l’absence d’autorisation

du maître du système »

⁴⁴³

. Dans le cas présent l’élément moral ne suppose pas chez l’auteur

de l’infraction une intention de nuire, il suppose la seule conscience d’accéder dans un

438 V. en ce sens : TGI Paris, 2 septembre 2004, no 0312990195, reconnaissant la méthode du phishing comme moyen d’accès frauduleux à un STAD.

439 Paris, 30 octobre 2002, LPA no 104, 26 mai 2003, p. 12, note BOURGEOIS ; V. dans le même sens, Paris, 30 octobre 2002, Expertises, 2003. 266, no 33.

440 Crim., 3 octobre 2007, no 07-81.045 : AJ Pénal 2007, p. 535.

441 V. en ce sens : Paris, 5 avril 1994 : D. 1994. IR 130.

442 F. CHOPIN, Rép. pén. Dalloz, juillet 2013 (actualisation : avril 2018), V° Cybercriminalité, § 17.

443 M. QUÉMÉNER, Y. CHARPENEL, Cybercriminalité Droit pénal appliqué, Économica, 2010, p. 73 ; référence : Toulouse, 3ème Chambre, 21 janvier 1999.

115

système sans droits et la volonté de s’y maintenir. Le maître du système s’interprète comme la

personne ou le service compétent pour autoriser l’accès

444

, rapportée aux réseaux sociaux en

ligne l’infraction est qualifiée à partir du moment où le titulaire du compte de réseau social

n’a pas donner son accord exprès à l’entrée sur son espace personnel et que l’individu décide

malgré tout d’y accéder ou de s’y maintenir. Toutefois, lorsqu’une attaque informatique vise

un réseau social ou les espaces personnels de leurs membres, celle-ci a souvent pour but de

tirer bénéfice des données auxquelles cette dernière donnerait accès. Dans cette situation le

pirate informatique ne se contente plus uniquement de déjouer les barrières de sécurité mises

en place mais poursuit aussi un objectif bien précis et préjudiciable pour la personne visée.

Dès lors la répression peut se fonder sur l’article 323-3 du Code pénal qui prévoit l’atteinte à

l’intégrité des données du système.

136. Utilisation de la méthode d’ingénierie sociale sur les sites de réseaux sociaux. Les

sites de réseaux sociaux sont devenus une cible privilégiée des pirates informatiques. Ces

derniers utilisent principalement la méthode d’ingénierie sociale

⁴⁴⁵

pour accéder aux comptes

des utilisateurs. Ce concept fait référence à une acquisition déloyale d’une information ou la

divulgation d’une information sensible suite à une manipulation psychologique de l’individu.

Ces techniques consistent donc à utiliser les capacités décisionnelles et cognitives des

individus pour les induire en erreur. Autrement dit, les failles humaines d’un système

d’information vont être utilisées pour casser les barrières de sécurité mises en place.

L’ingénierie sociale se base donc sur la force de persuasion et sur l’exploitation de la crédulité

de la personne ciblée. Ce concept n’est pas propre au piratage informatique, on le retrouve

également sous d’autres formes comme l’utilisation du téléphone ou du courrier écrit. Dans le

contexte de la sécurité informatique, l’ingénierie sociale se matérialise par le fait d’induire en

erreur un internaute pour ensuite installer sur son ordinateur un programme malveillant

destiné le plus souvent à récupérer ses identifiants et mots de passe c’est le cas en particulier

de la méthode du phishing ou hameçonnage

⁴⁴⁶

. Le pirate agit au moyen de messages

électroniques et de sites internet miroirs revêtant l’apparence de messages émanant

d’entreprises légitimes tels que des établissements financiers ou des administrations

publiques. La victime croyant s’adresser à un tiers de confiance renseigne en réalité le pirate

444Ibid.

445 Cette notion connue sous le terme anglais de social engineering a été théorisée dans l’ouvrage de K. D. MITNICK et W. L. SIMON : L’art de la supercherie, l’importance du facteur humain dans la sécurité informatique, CampusPress, 2011.

446 Le terme « Hameçonnage » est un néologisme québécois créé en avril 2004 par l'Office québécois de la langue française. En France, la Commission générale de terminologie et de néologie a choisi en 2006 le terme « filoutage ».

116

sur des informations sensibles comme le mot de passe ou le numéro de carte de crédit

447

. En

conséquence, avant d’utiliser des procédés complexes nécessitant une maîtrise de l’élément

informatique, l’ingénierie sociale constitue un moyen plus simple de détourner les systèmes

de sécurité résultant le plus souvent de la simple connaissance de la victime.

137. Exemple d’une attaque au moyen de l’ingénierie sociale. Le 24 juin 2010, le

Tribunal correctionnel de Clermont-Ferrand

⁴⁴⁸

a ainsi condamné un auvergnat de 23 ans

connu sous le pseudonyme de « Hacker Croll » à 5 mois de prison avec sursis pour s’être

introduit, à l’aide de l’ingénierie sociale, sur les comptes Twitter de personnalités parmi

lesquels, le compte de campagne du président américain Barack Obama. La méthode utilisée

par le pirate fut d’une facilité déconcertante, ce denier s’introduisit dans un premier temps sur

la messagerie électronique du PDG du site de microblogging. Pour y parvenir, le jeune

auvergnat exploita les failles humaines du dispositif de sécurité en répondant à la question

secrète de la boîte de messagerie à savoir : la ville de naissance du titulaire du compte. Cet

accès direct à la boîte de messagerie électronique du PDG de Twitter lui a ensuite permis

d’obtenir les codes administrateurs du site, d’infiltrer les comptes de son choix et de se

procurer des données sensibles relatives à l’entreprise (liste des employés, leur préférences

alimentaires, des numéros de carte bleue ou encore des contrats confidentiels entre la société

Twitter et d’autres comme Nokia, AOL, Microsoft, Samsung, Dell

449

).

Dans le document L’adaptation du droit pénal aux réseaux sociaux en ligne (Page 117-120)