Un « honeypot » créé par des agents du FBI validé en France
Honeypot (piège à pirates) – La chambre criminelle de la cour de cassation valide un procédé utilisé par le FBI afin de pouvoir identifier les cybercriminels, enquêter sur leurs crimes et prévenir les dommages aux victimes éventuelles en créant un site « Carderprofit » (1).
Les prévenus invoquaient l’article 6§1 de la Convention européenne de sauvegarde des droits de l’Homme ainsi que le principe de loyauté de la preuve. Ils estimaient que le fait d’ouvrir un tel site visant à piéger des pirates (Honeypot) (2) où les utilisateurs étaient invités à exposer leurs connaissances et leur intérêt pour les techniques de « carding », technique destinée à détourner les identifiants d’une carte bancaire, constituait une provocation à la commission d’une infraction par un agent de l’autorité publique.
Cinq années auparavant la Cour de Cassation s’était prononcée dans une affaire semblable où le FBI avait créé un Honeypot sous la forme d’une plateforme gratuite et accessible par tous à partir de laquelle des utilisateurs pouvaient échanger et télécharger des images à caractère pédopornographique (Cass Crim 4 juin 2008, n°08-81045). Elle avait jugé que, dans un tel cas, la découverte de la détention de ces images n’avait été permise que par la provocation à la commission d’une infraction organisée par un agent de l’autorité publique.
Or dans l’affaire présentement commentée, la Cour n’opte pas pour la même analyse : elle rejette le pourvoi en estimant que le site de surveillance et d’enregistrement mis en place par le FBI a seulement permis de rassembler des preuves de la commission des fraudes à la carte bancaire et d’en identifier les auteurs. Elle confirme la position de la chambre de l’instruction de la Cour d’appel de Paris selon laquelle aucun élément ne démontrait qu’il ait eu pour objet d’inciter les personnes qui l’ont consulté à passer à l’acte.
Pour parvenir à cette solution la Cour de cassation procède à un examen « in concreto » des éléments en sa possession afin de déterminer si la manœuvre des agents étatsuniens constitue ou non une provocation déloyale à la commission d’une infraction.
En relevant que les prévenus avait déjà manifesté sur d’autres sites leur intérêt pour les techniques de fraude à la carte bancaire, la Cour ne valide pas aveuglément le procédé de Honeypot mais se fonde sur des éléments concrets pour déterminer l’objectif poursuivi par les autorités américaines et en conclure qu’aucun acte de d’incitation n’a été démontré.
Bien qu’offrant une solution opposée, cet arrêt s’inscrit dans la continuité de celui du 4 juin 2008. Dans ce dernier cas le site litigieux offrait à quiconque de recevoir et d’adresser gratuitement et anonymement des images interdites, incitant ainsi chaque internaute à commettre un délit non détachable de la connexion elle-même et qui n’existerait pas sans elle alors que dans le cas de l’affaire de 2014 l’infraction n’a été révélée que par la communication des informations par les prévenus eux-mêmes.
Dans l’arrêt du 30 avril 2014, la cour considère donc que le Honeypot créée par le FBI ne constitue pas une provocation à la commission d’une infraction, dès lors que » le site de surveillance et d’enregistrement des messages échangés a seulement permis de rassembler les preuves de la commission de fraudes à la carte bancaire et d’en identifier les auteurs, aucun élément ne démontrant qu’il ait eu pour objet d’inciter les personnes qui l’ont consulté à passer à l’acte ».
Virginie Bensoussan-Brulé
Lexing Droit pénal numérique
(1) Cass crim 30 04 2014, n°13-88162.