• Aucun résultat trouvé

Une définition en avait été proposée lors des débats parlementaires, mais elle n’a pas été retenue dans le souci de ne pas lier l’incrimination à un état trop passager de la technique

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Une définition en avait été proposée lors des débats parlementaires, mais elle n’a pas été retenue dans le souci de ne pas lier l’incrimination à un état trop passager de la technique"

Copied!
10
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Leçon 9 Les atteintes aux STAD

Jusqu’à la deuxième moitié des années 1980, la criminalité informatique en France n’a fait l’objet d’aucune disposition législative visant à la réprimer ; il s’agissait encore d’un phénomène mal connu et marginal.

Par la suite, le dépôt en 1986, par le député Jacques Godfrain, d’un projet de loi qui avait pour objectif de mettre en œuvre une répression globale contre la criminalité informatique a conduit à la loi du 5 janvier 1988 relative à la répression des « atteintes aux systèmes de traitement automatisé de données ».

Cette loi a eu pour effet l’ajout dans le code pénal (Livre III Titre II Chapitre III) de sept articles (323-1 à 323-7) condamnant différentes séries de délits visant les systèmes de traitement automatisé de données.

Ces articles ont été révisés par la Loi pour la confiance dans l’économie numérique du 21 Juin 2004 (LCEN), qui, tout en conservant la rédaction des articles, a fortement augmenté les peines liées à ces comportements.

STAD : définition

Les infractions définies par les articles 323-1 à 323 du code pénal sont relatives aux atteintes aux « systèmes de traitement automatisé de données «, « STAD ». Une définition en avait été proposée lors des débats parlementaires, mais elle n’a pas été retenue dans le souci de ne pas lier l’incrimination à un état trop passager de la technique.

Les tribunaux ont aujourd’hui de cette notion une conception large : le réseau France Telecom est un système, le réseau Carte bancaire aussi (Trib. cor. Paris, 25 fev. 2000), un disque dur (Cour d’appel de Douai, 7 oct. 1992), un radiotéléphone (Cour d’appel de Paris, 18 nov. 1992), un ordinateur isolé, un réseau ...dès lors qu’un système existe système existe et si son objet est bien le traitement automatisé de données la loi s’applique. Protection du STAD : l’existence d’un dispositif de sécurité n’est pas une condition préalable à la réalisation de l’infraction. Autrement dit, un système peut parfaitement faire l’objet d’un accès frauduleux quand bien même il ne disposerait d’aucun mécanisme de sécurité.

1 – Accéder ou se maintenir frauduleusement dans un STAD

Parmi les actes réprimés, on trouve en premier lieu l’accès et le maintien frauduleux. Ces infractions résultent de

(2)

l’article 323-1 du code pénal qui dispose dans sa nouvelle rédaction de 2004 :

« Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende (anciennement 1 an de prison et 100.000 F d’amende)

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende (anciennement deux ans de prison et 200.000 F d’amende).»

Comme pour tout délit pénal il convient d’analyser tour à tour l’élément matériel, l’élément moral et enfin les peines pour chaque délit visé.

L'élément matériel des délits visés :

L’accès frauduleux (A) tout comme le maintien frauduleux (B) peuvent être accomplis de manières très diverses ce qui rend aisé la démonstration de l’élément matériel les concernant.

A.- L'élément matériel de l'accès frauduleux : Exemples d’accès frauduleux

- contournement ou violation d’un dispositif de sécurité - insertion d’un fichier espion enregistrant les codes d’accès des abonnés

- connexion pirate visant à interroger à distance un système - appel d’un programme ou d’une consultation de fichier sans habilitation

- etc.

Dans le cadre de ce délit, l’élément matériel peut être constitué par la mise en œuvre de « tout mode de pénétration irrégulier d’un système de traitement automatisé de données, que l’accédant travaille déjà sur la même machine, qu’il procède à distance ou qu’il se branche sur une ligne de télécommunication » (C. Appel Paris 5 Avril 1994).

L’accès frauduleux peut être matériellement réalisé aussi bien de manière passive qu’active, l’activité ou la passivité devant être appréciée par rapport au système visé par les atteintes.

Pour ce qui est de l’accès de manière passive on peut citer « la mise sur écoute » d’un réseau par le biais de la

(3)

capture de paquets ou trames circulant sur le média constituant ce réseau. Cette technique est en plein essor avec le développement croissant des technologies de réseau sans fil. Le résultat de cet acte passif d’écoute (il n’y a aucune connexion mais juste une analyse des données transitant depuis ou vers le système), pourra déboucher par la suite sur un accès frauduleux actif par le biais des renseignements ainsi récupérés (identifiants, mots de passe…).

Pour ce qui est de l’accès de manière active on retrouve le problème récurrent des failles de sécurité dans les différents logiciels (systèmes d’exploitation ou applications tierces). Pas un jour ne s’écoule sans qu’une faille ne soit repérée et ne permette dès lors un accès non autorisé à des systèmes vulnérables. La qualification d’accès actif provient ici du fait que le coupable fabrique ou utilise un programme visant à exploiter ces failles et à obtenir ainsi une connexion non autorisée sur le système : il y a un acte au sens physique du terme.L’article 323-1 vise également le maintien frauduleux dans un système automatisé de traitement de donnée, suite logique d’un accès frauduleux.

B.- L'élément matériel du maintien frauduleux : Exemples de maintien frauduleux

- prolongation indue de la présence de l’accédant, par exemple au-delà du temps autorisé

- intervention dans le système pour visualiser ou réaliser une ou plusieurs opérations

- « que le maintien irrégulier suppose que leur auteur n’a pas respecté la « règle du jeu », que celle-ci procède de la loi, du contrat ou de la volonté du « maître du système » CA Paris, 5 avril 1994

- etc

Ici il ressort des différentes jurisprudences que deux cas sont visés :

• Est principalement incriminé le cas de « toute personne ayant accédé à un système et s’y étant maintenu sans droit en pleine connaissance de cause »4, c’est le cas le plus fréquent qui suit logiquement un accès frauduleux.

• Mais la loi incrimine également « le maintien irrégulier dans un système de la part d’une personne qui y serait entré par inadvertance « le maintien dans un système d’une personne qui s’est vue retirer toute habilitation ». En guise d’exemple on peut citer l’exemple de l’arrêt de C.A. Paris 15/12/1999 où

« ont été reconnus coupables de maintien

(4)

frauduleux dans un système informatisé de données des employés de l’ANPE qui ont utilisé des minitels, mis à leur disposition par leur employeur dans un but exclusivement professionnel, et ont abusivement prolongé leur maintien dans ces appareils à l’insu de leur entourage afin de se connecter à des services de jeux ».

Au-delà de l’élément matériel, il faut également, pour que le délit soit constitué, démontrer la présence d’un élément moral particulier.

L'élément moral (intentionnel): une volonté frauduleuse de l'auteur :

L’élément moral apparaît dans l’intitulé même des infractions visées avec l’emploi du terme « frauduleux ».

Il ressort de l’arrêt précité de la cour d’appel de Paris du 5 Avril 1994 qu’afin que la volonté frauduleuse soit retenue il faut d’une part que l’acte qui a conduit à l’accès ou au maintien frauduleux soit volontaire et d’autre part que le coupable ait eu conscience de son acte : « l’accès ou le maintien doivent être faits sans droit et en connaissance de cause ». Ce n’est que si ces deux conditions sont remplies que l’élément moral pourra être constitué.

Ces conditions sont classiques en matière de droit pénal ; en effet si une personne avait la croyance légitime qu’elle pouvait accomplir un acte donné ou bien encore si elle n’avait pas conscience des conséquences que son acte allait entraîner on ne pourra pas retenir qu’elle avait une volonté frauduleuse.

Caractère protégé du système : L’affaire Tati/Kitetoa Les faits

Antoine CHAMPAGNE alias Kitetoa, un journaliste spécialisé en informatique, a pu accéder dans le répertoire-clients de Tati et affirme l’avoir accidentellement fait en utilisant les simples fonctionnalités habituelles de son navigateur sur le site TATI.fr. Il signale cette faille de sécurité à ce dernier.

Par la suite, il est poursuivi pour avoir à Paris et en tout cas sur le territoire national, entre novembre 1997 et novembre 2000 et en tout cas depuis temps non prescrit, accédé ou s’être maintenu, frauduleusement, dans un système de traitement automatisé de données, en l’espèce le système de traitement automatisé de données de la SA TATI.

Le 13 février 2002, le Tribunal correctionnel de Paris déclarait Antoine CHAMPAGNE alias Kitetoa coupable d'accès frauduleux dans le système de traitement

(5)

automatisé de données (STAD) de la société Tati et le condamnait à une amende de 1.000 euros avec sursis, contre l'avis du Parquet général. Ce dernier a fait appel de la décision le 3 avril . Dans ses réquisitions, le Procureur justifie l'absence de caractère frauduleux de l'accès et du maintien par le fait que Kitetoa n'a utilisé que les fonctionnalités habituelles d'un navigateur, qu'il n'a employé aucune méthode de piratage et qu'il n'a pas agit dans l'intention de nuire à la renommée ou aux clients de Tati, reprenant à son compte les arguments du prévenu en dépit des conclusions de l'enquête préliminaire menée par la BEFTI. (Brigade d'Enquêtes sur les Fraudes aux Technologies de l'Information)

La Cour d’Appel a considéré dans son arrêt du 30 octobre 2002 qu’on ne pouvait pas reprocher à un internaute d’accéder ou de se maintenir dans les parties d’un site accessible par la simple utilisation d’un logiciel de navigation, et que « ces parties de site, qui ne font par définition l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès (...). La détermination du caractère confidentiel et des mesures nécessaires à l’indication et à la protection de cette confidentialité relevant de l’initiative de l’exploitant du site ou de son mandataire Elle a relaxé le journaliste sous prétexte qu’ « ’il ne peut être reproché à un internaute d’accéder aux, ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font par définition l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès ; que dès lors les accès et maintien d’Antoine CHAMPAGNE dans des parties nominatives du site TATI ne peuvent être qualifiés de frauduleux, et qu’il convient de déclarer le prévenu non coupable des faits qui lui sont reprochés et de le renvoyer des fins de la poursuite.. ».

Une fois l’élément moral démontré, il vient s’ajouter à l’élément matériel pour constituer l’infraction et rendre dès lors possible l’application des peines prévues.

Sanction (les peines prévues) :

La « Loi pour la confiance dans l’économie numérique du 21 Juin 2004 » sans rien changer aux modalités de constitution du délit a très sensiblement augmenté les peines encourues par les responsables de tels délits.

Ainsi l'accès ou le maintien frauduleux sont punis de deux ans d'emprisonnement et de 30000 euros d'amende (anciennement 1 an de prison et 100.000 F d’amende).

(6)

Et l’alinéa 2 du même article va encore plus loin en retenant que « Lorsqu'il en est résulté (de l’accès ou du maintien frauduleux) soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende (anciennement deux ans de prison et 200.000 F d’amende).

2 – entraver ou fausser le fonctionnement d’un STAD Art 323-2

L'élément matériel : u fausser le

Exemples : Attaques directes sur la machine ou par l’Intranet de l’entreprise ou par l’Internet.

- destruction de fichiers, de programmes, de sauvegardes Dysfonctionnements (ralentissement ou paralysie) Encombrement de la capacité mémoire

Attaques « refus de service » (RDS) ou denial of service (DOS)

- saturation du site le rendant inaccessible en submergeant de connexions le serveur qui l’héberge (Yahoo!, eBay, Amazon.com, Buy.com ou encore CNN.com) –7 fév. 2000 L'entrave au système

L'entrave peut découler de l'insertion d'une bombe logique, de la destruction de fichiers; de programmes, de sauvegardes, d'un encombrement important de la capacité mémoire (cas du spamming) qui provoquent une perturbation dans le fonctionnement du système (ralentissement ou paralysie). La cour d'appel de Paris a ainsi retenu le délit d'entrave au fonctionnement d'un système de traitement automatisé de données au sens de l'article 323-2 du Code pénal dans les deux cas suivants I er cas

Considérant que [...] les fonctionnaires de police ont constaté, dans les locaux de la société Passage Trois, qu'un ordinateur Atari 1040 ST était sous tension, et qu'un programme de « racolage » était lancé, G.G. et BC. ont admis avoir utilisé des automates pour leurs opérations de « racolage » et avoir réussi à saturer les accès à des centres serveurs, grâce à des manœuvres effectuées sur les codes [...] Considérant qu'en toute hypothèse de tels faits, sous l'une ou l'autre forme (programmes totalement automatisés ou programmes automatisés pour l'envoi des messages seulement), sont constitutifs du délit d'entrave au fonctionnement d'un système de traitement automatisé de données [...]. » (CA Paris l le ch. corr. sect. A., 5 avril 1994, Assistance Génie Logiciel et Geste c/Niel et autres)

2e cas

« [...] Considérant [...] que C.C. a [...] mis au point un système dit de sécurité... qui n'avait d'autre finalité que de

(7)

paralyser à échéance régulière le fonctionnement du réseau informatique de la société OIE, et ce aux fins de s'assurer le paiement de ses factures de maintenance aux échéances convenues; Considérant qu'il est ainsi acquis que l'équipement informatique dont s'était dotée la société OIP et dont le bon fonctionnement était essentiel à la vie de l'entreprise [...] a donc été entravé [...] à l'insu de celle-ci;

qu'une telle manipulation clandestine du système informatique caractérise, en dépit des dénégations réitérées de C.C. l'intention délibérée de celui-ci, en l'occurrence, en introduisant au complet insu de l'utilisateur un verrouillage différé du logiciel, d'entraver le fonctionnement d'un système automatisé de données de la société OIP par l'introduction d'une bombe logique temporisée ayant eu pour effet de bloquer l'exploitation du système informatique de ladite entreprise, et ce sans que le prévenu puisse trouver un fait justificatif dans sa volonté de se garantir ainsi le paiement régulier des prestations par lui fournies. » (CA Paris 15 mars 1994, ministère public, Société OIP c/Christian C. et Jean- Charles B.)

L'incrimination d'entrave est très large du fait des termes employés. Toutefois, certains agissements doivent être écartés, notamment les entraves pouvant résulter d'une grève, de la suspension ou de la rupture d'un contrat de prestations de services informatiques. La finalité du texte n'est pas de sanctionner de tels agissements, même si, dans l'absolu, ils correspondent aux termes employés.

Fausser le fonctionnement du système

Alors que l'entrave a pour finalité de perturber le fonctionnement du système, « fausser » consiste à faire produire au système un résultat différent de celui qui était attendu. Il peut suffire de bloquer l'appel d'un programme, d'un fichier ou encore d'altérer l'un des éléments du système, comme par exemple le système d'exploitation d'un réseau de télécommunications :

« Pour obtenir un nombre de points importants à un jeu télématique, un employé utilisait les lignes de son employeur par le biais de radiotéléphones. II a faussé le fonctionnement du système d'exploitation informatique du réseau « Radiocom 2000 » en utilisant un radiotéléphone dont les paramètres d'identification avaient été modifiés afin que soient transmises de fausses informations de façon à empêcher le déclenchement de la procédure de sécurité. Le prévenu et ses complices ont été condamnés à 4 et 18 mois d'emprisonnement avec sursis et à une peine d'amende de 2 000 à 10 000 F et à 1 900 000 F de dommages intérêts, pour avoir accédé, s'être maintenus dans un système dont ils ont modifié les données après avoir faussé son fonctionnement.

» (CA Paris, 9e ch., 18 novembre 1992, France Télécom et Matra Communication/S.R., ép. S., A.S., L.D., ép. C., Ph. C., G.R. et VC.)

L'élément moral (intentionnel): Il résulte ici de façon évidente l'intention délibérée du délinquant.

Sanction : 5 ans de prison + 75.000 euros d’amende

(8)

1.3 -Introduction frauduleuse de données dans un STAD art. 323-3

L'élément matériel. Exemples : - Introduction de :

virus : occupe une partie de la mémoire et ralentit le fonctionnement du STAD = risque important

de contamination des systèmes par la connexion à l’internet : virus « I love you » devenu célèbre à l’échelle internationale, Cheval de Troie Zippo : rançon pour obtention du code des textes zippés

textes ou images : paroles d’une chanson d’un rocker américain dans le serveur de l’OMPI ou substitution de certaines pages web, Programmation de fausses cartes bancaires (S. Humpich) -T. Corr. Paris, 25 février 2000 - Déréférencer l’adresse d’un serveur web dans les moteurs de recherche

1.4 – une incrimination

L'élément moral (intentionnel): Il résulte de l'intention délibérée du délinquant.

Sanction : 5 ans de prison + 75.000 euros d’amende

4 – fournir le moyen technologique de l’infraction

«Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à323- 3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée»(CP., art. 323-3-1)

1-6 : peines complémentaires, bandes organisée, tentative

Toutes ces peines peuvent être accompagnées pour les personnes physiques d’une large variété de peines complémentaires prévues par l’article 323-5 et parmi lesquelles on peut notamment citer la confiscation du matériel ayant servi à commettre les infractions ou encore l’interdiction d’exercer pendant un temps l’activité dans le cadre de laquelle ont été commis ces délits.

Signalons pour terminer que le législateur a souhaité être le plus large possible en ce qui concerne les personnes qui peuvent être condamnées pour ces délits, c’est ainsi que :

• L’article 323-4 prévoit le cas de la commission de ces infractions en bande organisée

(9)

et condamne tous les membres aux « peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée ».

• L’article 323-6 prévoit que les personnes morales peuvent être déclarées responsables pénalement, auquel cas les peines sont converties en amende.

• Enfin, en ce qui concerne la tentative de commission de ces infractions, elle est aussi envisagée, par l’article 323-7 qui dispose « La tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines ».

L’accès ou le maintien frauduleux dans des systèmes de traitement automatisé de données ne représente qu’une partie des diverses atteintes à ces systèmes sanctionnées par la loi Godfrain qui envisage dans les articles suivants les atteintes volontaires au fonctionnement du système mais aussi toutes les formes de modification altération ou destruction volontaire de données sur un système.

1-7 responsabilité civile délictuelle et contractuelle 1. La responsabilité civile délictuelle

Le droit commun de la responsabilité civile délictuelle est fondé sur la nation de la faute au sens de l’article 1382 du Code civil. Elle nécessite une faute, un dommage et un lien de causalité entre les deux. La faute consiste ici en une intrusion dans un système informatique à l’insu de son utilisateur. Quant au dommage, il faut savoir s’il y a eu une perte et/ou une altération des informations contenues dans le site ou si le pirate a communiqué les données personnelles s’y trouvant à des tiers. Enfin, le lien de causalité entre la faute et le dommage doit être clairement établi.

2. La responsabilité civile contractuelle

Il est possible, en effet, d’engager la responsabilité civile contractuelle de l’hébergeur du site. Pour cela, il faudrait examiner les clauses contenues dans le contrat d’hébergement concernant notamment la sécurité du site et la mise en place de systèmes informatiques de protection contre toute forme d’intrusion. Il faudrait aussi qualifier cette obligation de l’héberger : s’agit-il d’une obligation de résultat ou de moyens ? Dans la plus part de cas, il ne pourra s’agir que d’une obligation de moyens qui aura pour effet de contraindre le prestataire d’apporter la preuve qu’il n’a pas manqué aux obligations normales qui lui incombaient, en cas d’intrusion informatique non autorisée.

(10)

Conclusion : toujours et encore de nouvelles fraudes - Usurpation d’identité numérique

- phishing :

« fishing » (pêcher)

« phreaking » (utilisation frauduleuse des lignes téléphoniques)

- Exemples : Modification des données du STAD en ajoutant certains relevés d’identité bancaire sur certains comptes et en modifiant le plafond de certains virements - TGI Paris, 2 sept. 2004

Chase : scam Enquête rémunérée pour les participants LCL : courrier électronique aux clients

Leur annonçant nouveau système de sécurité

Click sur lien hypertexte

Attention :

Certaines de ces fraudes relèvent des atteintes aux STAD, d’autres de textes différents (ex loi informatique et liberté pour la sécurité des données personnelles, LCEN pour le « Spam » code pénal pour l’escroquerie par exemple), ou de plusieurs de ces textes (ex :

« fishing + obtention de N° de carte bancaire, utilisation frauduleuse pour une escroquerie etc.…).

Références

Télécharger maintenant ( PDF - 10 Page - 53.88 KB )

Documents relatifs

Sur les trois derniers mois comparés aux trois mois correspondants de l’année précédente, ces autorisations baissent de 10,9 %.

Direction Régionale de l’Environnement, de l’Aménagement et du Logement Nord – Pas-de-Calais Répartition des logem ents.. com m encés sur 12 m

logements ordinaires

Les chiffres publiés dans ce document sont issus de la base de données Sit@del2 qui rassemble les informations relatives aux autorisations de construire (permis délivrés) et aux

Sur les trois derniers mois comparés aux trois mois correspondants de l’année précédente, ces autorisations baissent de 8 %.

Pour le Pas-de-Calais, le centre instructeur de Hulluch n’a rien remonté depuis août, celui de la Sallaumines rien depuis octobre, et celui de Wingles manque à l’appel ce mois

L’interdiction de retour ne peut pas à elle seule fonder une mesure de rétention - Administratif

[I] en contestation de la décision de placement en rétention, l'ordonnance retient que celui-ci a, le 27 octobre 2018, fait l'objet d'une obligation de quitter le territoire

Saisine d’office de l’Autorité de la concurrence relative à l’exploitation de données dans le secteur de la publicité sur internet

Veuillez présenter votre position sur la situation concurrentielle dans le secteur des serveurs publicitaires, ainsi que votre appréciation de la qualité et de la diversité de

Saisine d’office de l’Autorité de la concurrence relative à l’exploitation de données dans le secteur de la publicité sur internet

Veuillez présenter votre analyse de la situation concurrentielle des agences média dans le secteur de la publicité programmatique ainsi que votre appréciation de la qualité, de la

Saisine d’office de l’Autorité de la concurrence relative à l’exploitation de données dans le secteur de la publicité sur internet

42. Veuillez présenter votre appréciation de la qualité, de la diversité, et des modes de tarification des offres des agences média dans le secteur de la publicité

Saisine d’office de l’Autorité de la concurrence relative à l’exploitation de données dans le secteur de la publicité sur internet

Veuillez notamment présenter votre position au regard du service Facebook Topic Data, des données fournies par Facebook dans le cadre de son partenariat avec