Piratage informatique : une proposition de loi qui va vers une nouvelle pénalisation des attaques contre des sites publics.
La députée UMP Muriel Marland-Militello déclarait, quelques semaines après l’attaque de Bercy, qu’une proposition de loi allait être déposée prochainement « afin de mieux punir les atteintes portées aux sites internet et de renforcer les sanctions contre les attaques informatiques envers les institutions ».
Piratage informatique
Cette proposition de loi opère une redéfinition du champ d’application des dispositions du Code pénal relatives au système de traitement automatisé de données. Elle propose ainsi qu’une revue des peines encourues par les auteurs d’attaques informatiques contre des sites publics.
Enfin, est prévue la suspension de l’abonnement internet, en sus des peines complémentaires de l’article 323-5 du Code pénal.
En effet, la députée souhaite, tout d’abord, étendre le champ d’application des dispositions relatives au « système de traitement automatisé de données » à tous les services de communication au public en ligne et de communication audiovisuelle. Le fait d’entraver ou de fausser le fonctionnement d’un site internet serait alors passible de cinq ans d’emprisonnement et 75 000 euros d’amende.
De plus, Muriel Marland-Militello entend doubler les peines encourues au titre des articles 323-1 à 323-3-1 du Code pénal, en cas d’attaque sur un site « officiel » détenu par une personne morale de droit public ou une personne morale de droit privé chargée d’une mission de service public. La députée justifie sa proposition par le fait que les auteurs de telles attaques entravent les usagers dans leur utilisation d’un service public auquel ils ont pourtant droit.
Dernière proposition :
La députée prône un durcissement des peines complémentaires encourues en s’inspirant du modèle Hadopi 2. A l’article 323-5 du Code pénal, qui prévoit déjà un large éventail de sanctions (privation des droits civiques, interdiction d’exercer une fonction publique, confiscation du ou des biens objets du délit, publication de la décision, etc), s’ajouterait la suspension de l’abonnement Internet « pour une durée de deux ans au plus assortie de l’impossibilité, pour l’abonné, de souscrire pendant la même durée un autre contrat portant sur l‘accès à un service de communication au public en ligne auprès de tout opérateur ».
Cependant, dans la mesure où un arsenal juridique préexistant couvre déjà les différents scénarii d’attaque et d’intrusion informatiques, de vives contestations se sont élevées pour dénoncer l’inutilité juridique et technique de ce nouveau dispositif légal.
Par exemple, le chapitre III du Code pénal relatif aux « atteintes aux systèmes de traitement automatisé de données », pris en son article 323-1, dispose déjà que tout accès non autorisé à un tel système de traitement est puni d’une peine de deux ans de prison et de 300 000 euros d’amende. Les articles 323-2 et 323-3 dudit Code sanctionnent, quant à eux, les faits d’entraver, de fausser ou d’introduire frauduleusement des données pour corrompre un tel système d’une peine de cinq ans et 75 000 euros d’amende.
De plus, le contrôle de la confidentialité et de la sécurité des différents traitements de données à caractère personnel entre dans le cadre des missions de la Cnil en vertu de la loi n° 78-17 du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux libertés.
(…)
Enfin, concernant la suspension d’abonnement internet, force est de constater que la mesure proposée envisage, non seulement de doubler le quantum de la peine (deux ans au lieu d’une année prévue par la loi dite Hadopi 2), mais également d’en élargir le champ de recouvrement (tout acte de « piraterie » et non plus seulement les délits de contrefaçon).
Des critiques techniques peuvent également être opposées à cette proposition de loi, dont la principale est que la plupart des attaques DDOS (distributed denial of service – attaques visant à saturer les serveurs pour rendre inaccessibles les données présentes sur un site) sont en pratique réalisées, à distance, par des hackeurs utilisant les ordinateurs « zombies » (ordinateur utilisé à l’insu de son utilisateur par un pirate informatique) d’internautes ignorant tout de ces pratiques.
Cependant, malgré le débat en cours, la problématique reste d’actualité : en témoigne le piratage des services PlayStation Network et Qriocity appartenant à Sony Computer Entertainment. Plus d’une semaine après qu’une « personne non autorisée » se soit emparée des données personnelles des quelques 77 millions d’utilisateurs pour le seul service PlayStation Network (noms, prénoms, adresses physiques et électroniques, identifiants et mots de passe des services, coordonnées bancaires), la firme japonaise a admis une intrusion sur ses serveurs.
Le Ponemon Institute a estimé le coût des pertes à 2 milliards de dollars pour Sony, en dédommagement des utilisateurs de PlayStation Network et pour les coûts de sécurisation du portail. Autre conséquence : un particulier a déposé plainte contre Sony auprès d’un tribunal californien, reprochant à l’entreprise nippone de ne pas avoir pris à temps les mesures nécessaires pour protéger, crypter et sécuriser les données privées et/ou sensibles, et critique le caractère tardif et lacunaire des communications de la firme.
Cette action en justice a ensuite été relayée par les autorités européennes : le bureau de la Commission de l’information au Royaume Uni a ouvert une enquête, de même que le bureau irlandais de la Commission de protection des données a demandé des comptes à Sony.
En conclusion, les considérations de la proposition de loi actuelle illustrent la prise en compte de la protection des données, y compris des données nominatives, qui constituent aujourd’hui un patrimoine immatériel de l’entreprise. Le sujet fait d’ailleurs l’objet d’autres projets législatifs, tels que la proposition de loi n° 3103 de Monsieur Carayon relative à la protection des informations économiques ou la proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, dont l’article 7 énonce « l’obligation de sécurisation des données incombe au responsable du traitement et crée une obligation de notification à la Cnil des failles de sécurité ».