Les atteintes au STAD par l’exploitation de failles de sécurité

L’exploitation de failles de sécurité fait partie des atteintes au STAD par l’introduction frauduleuse de données dans le système. Un internaute qui souhaitait plaisanter l’a appris à ses dépends. Humour ou infraction ? Telle est, en substance, la question que le Tribunal correctionnel de Paris a eu à trancher dans sa décision du 18 décembre 2014. Tout est parti d’une mauvaise blague.

Ayant constaté que le site internet officiel de la députée-maire Rachida Dati comportait une faille informatique, un internaute quelque peu connaisseur s’est aperçu, non sans amusement, que celle-ci lui permettait d’injecter directement du contenu dans les différentes pages du site. Il pouvait ainsi modifier directement les dires de la députée-maire et lui prêter de faux communiqués de presse, fort parodiques.

Si l’internaute prenait plaisir à la plaisanterie, il en était toutefois le seul public, la manipulation n’emportant nullement modification ou suppression de données du site officiel de Rachida Dati. Son résultat consistait uniquement en la création d’un lien internet pouvant être diffusé : quiconque accédait donc au lien pouvait voir apparaître le contenu ainsi modifié.

Notre internaute l’avait compris, plus on est de fous, plus on rit. Décidant qu’il était temps de donner à sa blague une audience élargie, il fait alors appel à un second internaute qui lui fournit un nom de domaine (www.tweetpop.fr/le-cadeau-de-rachida), hébergeant un site internet dédié à la farce. Le site offre la possibilité à tout internaute, fût-il même novice en informatique, d’exploiter la faille de sécurité constatée et d’afficher sur son navigateur un communiqué de presse formellement semblable en tous points à ceux publiés sur le site officiel de la députée maire (identité de la mise en page générale, présence d’une photographie de Rachida Dati, similitude des couleurs utilisées, respect de la charte graphique, etc.), à l’exception, bien sûr, du contenu du communiqué, librement modifiable par quiconque a actionné le lien.

Avec la rediffusion de ce même lien sur le compte Twitter de notre premier internaute (qui ne possédait pas moins de 4 000 contacts), les faux communiqués de presse, prêtant à Rachida Dati des propos injurieux ou diffamatoires tant sur elle-même que sur d’autres, font alors légion. De nombreux internautes s’en donnent à cœur joie et la rare finesse de l’humour déployé peut, d’ailleurs être saluée, comme en atteste, par exemple, le remplacement de la mention officielle « Groupe PPE » (Parti Populaire Européen) par la mention « Groupe PIPE ».

Seulement, la blague n’est pas du goût de tout le monde. Apprenant la nouvelle, la députée-maire, quant à elle, rit jaune et dépose immédiatement plainte contre X auprès des services de police pour atteintes aux systèmes de traitement automatisé de données (STAD) et usurpation d’identité sur support numérique. Nos deux internautes ne tardent pas alors à être identifiés et la blague tourne court.

Le premier internaute (qui avait constaté la faille et l’avait rendue publique) écope, en effet, d’une amende de 3000 euros pour les chefs d’usurpation de l’identité d’un tiers et d’introduction frauduleuse de données dans un système de traitement automatisé (STAD).

Le second (qui avait fourni le nom de domaine permettant de rendre publique l’existence de la faille informatique) est, quant à lui, condamné au paiement d’une amende de 500 euros du chef de complicité d’usurpation de l’identité d’un tiers.

La relative sévérité de ces peines semble être nettement fonction de la piètre qualité de leur humour, comme le révèlent les sermons, presque paternalistes, adressés lors de l’audience par le président de la 13e chambre correctionnelle. Tant et si bien, d’ailleurs, que certains se demandent si ce niveau de qualité n’a pas été jusqu’à guider la caractérisation de l’une des infractions.

Le jugement du 18 décembre 2014 présente, en effet, un intérêt particulier au regard du droit pénal.

L’application de la loi Godfrain (loi n°88-19 du 5 janvier 1988), qui avait inséré dans le Code pénal un article 323-3 venant réprimer l’introduction frauduleuse de données dans un système de traitement automatisé (STAD), ne coulait pas de source, en l’espèce. Un doute existait, à dire vrai, sur l’application de cette infraction à notre premier internaute, dans la mesure où la faille informatique ainsi reprochée n’intervenait, comme dit plus haut, que pour lui seul, sans que le site officiel de la députée-maire n’en soit nullement altéré. Notre internaute introduisait-il alors véritablement des données dans le STAD en cause, dans la mesure où ces données n’avaient ni pour vocation ni pour effet d’y demeurer ? A tout le moins, la question méritait d’être posée.

Or, l’argumentation du parquet la laisse en suspens, affirmant en guise de réponse que le prévenu « avait manifestement cherché à tromper le serveur et faire du champ rechercher  un usage contraire à sa vocation initiale et non-souhaité par le « maître du système », ce dont il avait connaissance ». Autrement dit, à démultiplier les failles, il avait fait en sorte que le site officiel paraisse incohérent et, dès lors, s’était rendu coupable d’une introduction frauduleuse de données. Ce raisonnement, qui ne justifie nullement en quoi l’introduction de données était réellement caractérisée, a donc attisé quelques critiques, notamment celles du quotidien Le Monde, qui y voit un élargissement de l’infraction d’introduction frauduleuse dans un STAD jusqu’à en faire un « délit technique subjectif », en ce qu’il tient compte des intentions de l’auteur du site.

Le second enjeu majeur de la décision a, bien évidemment, trait à la liberté d’expression, thème brûlant de notre actualité politique. A son sujet, le tribunal affirme que « Si la liberté d’expression est une notion fondamentale de toute démocratie, celle-ci doit naturellement trouver ses limites et il est de jurisprudence constante que cette liberté ne doit en aucune mesure viser à porter atteinte à l’honneur ou à la considération d’une personne, même si celle-ci est publique ».

Derrière la reprise de cette formule classique, se devine pourtant aisément la difficulté de mise en œuvre de cette liberté et de ses limites. La solution eut-elle été la même si l’humour avait été plus fin ? Le doute demeure.

Eu égard tant à l’application contestable de la loi Godfrain au cas de l’espèce qu’à la délicate appréhension de l’humour, forme très complexe de liberté d’expression, la solution retenue le 18 décembre 2014 ne semble pas pérenne et la prudence est donc de mise.

Virginie Bensoussan-Brulé
Annabelle Divoy
Lexing Droit pénal numérique