La neutralité du web menacée par le futur traité de l’ONU

neutralité du web Alain Bensoussan interviewé par 20 Minutes aborde les menaces qui pèsent sur la neutralité du web (1) à l’heure où l’ONU donne son feu vert à un projet de traité international de lutte contre la cybercriminalité.

La neutralité du web menacée par la lutte contre la cybercriminalité

L’Assemblée générale de l’ONU a adopté une résolution controversée prévoyant la rédaction d’un traité international sur la « Lutte contre l’utilisation des technologies de l’information et des communications à des fins criminelles » à l’horizon 2020 (2).

Un bon moyen, s’il est correctement appliqué, de réguler Internet face à la cybercriminalité et par exemple, les outils de manipulation de masse », explique à 20 Minutes l’avocat Alain Bensoussan.

La résolution rédigée par la Russie a été approuvée par l’organe mondial de 193 membres par 79 voix contre 60 et 33 abstentions pourrait restreindre l’utilisation d’internet et la liberté d’expression sur les réseaux sociaux.

Lutter contre les outils de manipulation de masse sans censurer

Le futur traité international de l’ONU risque de facilité la censure sur Internet par certains gouvernements.

Cette convention est une expérience qui marche bien à son échelle puisqu’elle permet de réguler un Internet libre. Cela ne paraît pas idiot de s’en servir comme base et de l’étendre à l’international en incluant d’autres infractions », souligne Alain Bensoussan.

En disant cela, il pense tout particulièrement à la lutte contre les outils de manipulation de masse tels les fakes news (3) :

Aujourd’hui, ils se multiplient et peuvent influer sur l’opinion. Ils sont de plus en plus faciles à utiliser et ont de plus en plus de portée ». 

Mais les dérives ne sont pas loin. Ce futur traité international de l’ONU risque de faciliter la censure sur Internet par certains gouvernements :

Il ne faut pas un système de censure, mais de régulation qui défende les valeurs de la France et l’Europe, avertit Alain Bensoussan. Les grands principes de notre siècle sont la liberté, la sécurité et la dignité. Je ne pense pas qu’il faille les opposer, mais plutôt trouver un centre de gravité entre les trois. » Selon lui, ce n’est pas tant le traité qui risque d’être problématique, mais surtout son application.

et de souligner qu’un texte n’a pas la même portée ou la même interprétation selon les institutions.

Selon Alain Bensoussan, « Il faudra des régulateurs et même un tribunal international de l’Internet pour surveiller et condamner les pays qui détourneraient le texte pour censurer ou entraver la liberté d’expression d’opposants ».

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

(1) Interview réalisée par Marie De Fournas, publiée sur 20minutes.fr le 30 décembre 2019.
(2) Résolution A/C.3/74/L.11/Rev.1, adoptée le 27 décembre 2019.
(3) Voir le post du 19 décembre 2019.




Formation au droit de la cybercriminalité

droit de la cybercriminalitéVirginie Brulé-Bensoussan et Marion Catier animent une formation pour Lamy Formation (Wolters Kluwer) sur le droit de la cybercriminalité le 17 juin 2019.

Elles dresseront un panorama des atteintes aux systèmes de traitement automatisés de données (STAD) et du vol d’informations avant d’évaluer quel plan d’actions mettre en oeuvre pour renforcer son dispositif de sécurité.

Panorama des infractions pénales

  • La notion de STAD
  • La notion de maître du système
  • La question de la protection du STAD
  • L’accès frauduleux
  • Le maintien frauduleux
  • L’atteinte à l’intégrité du système
  • L’atteinte à l’intégrité des données
  • L’association de malfaiteurs informatiques
  • La détention d’un programme informatique conçu pour commettre une atteinte à un STAD
  • La tentative
  • le vol d’information

Les actions à mettre en oeuvre suite à une attaque informatique

  • Dépôt de plainte
  • Déclaration de sinistre
  • Plan de communication interne et externe
  • Mise en situation : rédaction d’un plan média

Les mesures à mettre en place pour prévenir les attaques informatiques

Les principales mesures consistent à sécuriser le SI contre les risques externes mais également contre les risques internes à l’aide d’outils adaptés :

  • Charte des moyens informatiques et des outils numériques
  • Charte des administrateurs
  • Charte des tiers

La notification de violations de données

En cas de violation de données, il existe deux types de notification à faire : à la Cnil et à l’Anssi.

Devant la Cnil, il s’agit de faire des notifications initiale et complémentaire et d’informer les personnes concernées par les violations de données.

Devant l’Anssi (Agence nationale de la sécurité des systèmes d’information), les notifications devront être faites par :

  • les organismes d’importance vitale (OIV)
  • les organismes de service essentiel (OSE)
  • les fournisseurs de service numérique (FSN)

Télécharger la fiche thématique : Droit de la cybercriminalité

Pour la formation « Droit de la cybercriminalité », s’inscrire auprès des éditions Wolter Kluwer




Phishing : la négligence grave de la victime révélant ses données

négligence graveLa Cour de cassation se prononce sur la négligence grave du client d’une banque dans la garde de ses données bancaires (1).

Le client d’une banque a été victime d’une opération de phishing (hameçonnage) et a dévoilé, à cette occasion, l’ensemble de ses coordonnées bancaires. Le logo, utilisé pour induire en erreur la victime, était parfaitement imité. En revanche, il existait des indices susceptibles de créer un doute sur l’origine des courriels, notamment des fautes d’orthographe et des changements d’adresse internet. Suite à cette opération de phishing, 7.000 euros ont été débités des comptes de la victime.

Invoquant le caractère frauduleux des paiements et virements effectués, celle-ci a demandé à sa banque de lui rembourser les sommes correspondantes. Cette dernière a refusé, arguant de la négligence grave de son client dans la garde et la conservation de ses données bancaires.

Par un arrêt rendu le 19 avril 2016, la Cour d’appel d’Amiens a jugé que le fait, pour un client normalement attentif, de n’avoir pas perçu les indices propres à faire douter de la provenance des messages reçus lors de l’opération de phishing, n’était pas constitutif d’une négligence grave. La banque en cause s’est pourvue en cassation contre cet arrêt.

La charge de la preuve de la négligence grave repose sur le prestataire

Par un arrêt du 28 mars 2018 (1), la chambre commerciale de la Cour de cassation a tout d’abord jugé que, s’il appartenait à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, sur le fondement des articles L. 133-16 et L. 133-17 du Code monétaire et financier, la charge de la preuve de la méconnaissance, intentionnelle ou résultant d’une négligence grave, de cette obligation reposait sur le prestataire de services de paiement, sur le fondement des articles L. 133-19 et L. 133-23 du code précité.

La négligence grave caractérisable par la provenance douteuse du courrier électronique

La chambre commerciale a ensuite jugé, dans un attendu de principe, que manquait, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communiquait les données personnelles de ce dispositif en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance. Elle a ajouté que peu importait que cet utilisateur ait été ou non avisé des risques de phishing.

Dès lors, la cour a annulé l’arrêt frappé de pourvoi et a renvoyé l’affaire devant la cour d’appel de Rouen.

Cet arrêt s’inscrit dans la droite lignée de la jurisprudence de la Cour de cassation qui tend à renforcer l’obligation incombant aux utilisateurs de préserver la sécurité de leurs données de sécurité personnalisées (2), dans un contexte d’augmentation croissante des opérations de phishing.

Chloé Legris
Raphaël Liotier
Lexing Contentieux numérique – Presse et pénal

(1) Cass. com. 28-03-2018 n° 16-20.018
(2) Cass. com. 25-10-2017 n° 16-11.644




Livre blanc Cyberdéfense 2018

Dans le prolongement de la résolution du Parlement européen du 13 juin 2018 sur la cyberdéfense, le Livre blanc réalisé par le cabinet Lexing Alain Bensoussan Avocats présente une analyse des réponses en matière de réglementation sur la cybercriminalité sur un échantillon de 30 pays répartis sur 5 continents.

RGPD : Livre blanc 2018 Cybersécurité, cyberdéfense et cybercriminalité




Europe : une nouvelle résolution sur la cyberdéfense a été adoptée

résolution sur la cyberdéfense

La résolution sur la cyberdéfense met en avant la nécessité pour les pays de l’UE de coopérer face aux cyberattaques (1).

Une cyberdéfense et cyberdissuasion crédibles garantissant une cybersécurité effective dans l’UE.

Le parlement européen dresse le constat que l’Union et les États membres sont confrontés à une menace sans précédent prenant la forme de cyberattaques politiques d’État ainsi que de cybercriminalité et de terrorisme. Il en résulte que les défis, les attaques informatiques et hybrides constituent une menace importante pour la sécurité, la défense, la stabilité et la compétitivité de l’Union, de ses État membres et de ses citoyens.

Le parlement européen rappelle que si la cyberdéfense demeure une compétence clé des États membres, l’Union européenne a néanmoins un rôle vital à jouer pour veiller à ce que les nouveaux efforts soient étroitement coordonnés au niveau international et dans le cadre de l’architecture de sécurité transatlantique et ce dès le début afin d’éviter les faiblesses et l’inefficacité qui caractérisent les projets de défense classiques.

Le parlement rappelle que les vulnérabilités actuelles s’expliquent principalement par la fragmentation des stratégies et des capacités de défense au niveau européen qui ouvre une brèche et permet aux agences de renseignement étrangères d’exploiter régulièrement les failles de sécurité des systèmes et réseaux informatiques essentiels à la sécurité.

L’un des principaux rôles de l’Union européenne est d’offrir une plateforme de coopération européenne aux pays de l’UE pour que les efforts en matière de cyberdéfense puissent être coordonnés.

Le parlement européen considère que de nombreux cyberincidents sont imputables à un défaut de résistance et de robustesse des infrastructures de réseau privées et publiques, comme, par exemple, des bases de données mal protégées ou mal sécurisées.

La complémentarité de la clause de défense mutuelle du traité sur l’UE et de la clause de solidarité du traité sur le fonctionnement de l’UE

La clause de défense mutuelle de l’article 42, paragraphe 7, du Traité sur l’Union européenne prévoit que les États membres se doivent mutuellement aide et assistance par tous les moyens en leur pouvoir en cas d’agression armée sur le territoire d’un État membre.

La clause de l’article 222 du Traité sur le fonctionnement de l’Union européenne complète la clause de défense mutuelle en prévoyant que les États membres de l’Union sont tenus d’agir conjointement lorsque l’un d’eux est victime d’une attaque terroriste ou d’une catastrophe naturelle ou d’origine humaine.

Le parlement précise que la clause de défense mutuelle et la clause de solidarité se complètent et que la clause de solidarité implique le recours à des structures civiles et militaires.

Le développement de cybertechnologies et les conséquences sur d’autres domaines

Dans sa résolution sur la cyberdéfense, le Parlement européen souligne le développement de cybertechnologies et les conséquences de ce développement dans des domaines tels que l’intelligence artificielle, l’internet des objets, la robotique ou les appareils mobiles et par extension sur le plan de la sécurité pour la défense.

Plusieurs axes relatifs à la cyberdéfense sont présentés par le Parlement européen. Il pourra être retenu les axes suivants :

  • une coopération renforcée ;
  • une meilleur prévention et réaction aux cyberattaques ;
  • la création d’une équipe européenne d’intervention rapide ;
  • l’application de normes internationale en matière de cyberdéfense.

Coopération renforcée en matière de cyberdéfense

Le parlement rappelle qu’une coopération entre les parties prenantes militaires et civiles est capitale en matière de cyberdéfense.

Il est également convaincu par l’importance de renforcer la coopération entre l’Union européenne et l’Otan en matière de cyberdéfense afin de prévenir, de détecter et de dissuader les cyberattaques.

Meilleur prévention et réaction aux cyberattaques

Le parlement précise que les Etats membres de l’UE devraient informer, sensibiliser et conseiller d’une manière adéquate et proactive les entreprises, les écoles et les citoyens au sujet de la cybersécurité et des principales menaces numériques.

La résolution sur la cyberdéfense indique également qu’il est recommandé par le parlement l’intensification des échanges dans les domaines de la sensibilisation aux cyberincidents grâce à des exercices de simulation informatique.

Création d’une équipe européenne d’intervention rapide

Deux cyberprojets ont été retenus dans cette résolution sur la cyberdéfense :

  • une plateforme d’échange d’information sur les cyberincidents ;
  • la création d’équipes d’intervention rapide en matière de cybersécurité et la mise en place d’une assistance mutuelle en matière de cybersécurité.

L’équipe d’intervention rapide serait chargée de coordonner, de détecter et de contrer les cybermenaces collectives.

Application de normes internationale en matière de cyberdéfense

Le parlement fait observer que pour obtenir des modalités d’application du droit international en vigueur dans le cyberespace, il serait pertinent de se baser sur le manuel de Tallinn 2.0. Ces modalités pourraient, toujours selon le parlement, s’étendre à de futures normes internationales.

Le parlement soutient la mise en œuvre de normes volontaires non contraignantes de comportement responsable des Etats membres de l’UE dans le cyberespace.

Enfin la résolution sur la cyberdéfense présente une recommandation relative à l’obligation d’assistance entre Etats membres de l’UE dans le cadre d’une cyberattaque afin d’assurer une cyber-responsabilité nationale en étroite coopération avec l’Otan.

Livre blanc cybersécurité, cyberdéfense & cybercriminalité

Dans le prolongement de cette récente résolution sur la cyberdéfense du parlement européen, le Livre blanc réalisé par le cabinet Lexing Alain Bensoussan Avocats présente une analyse des réponses en matière de réglementation sur la cybercriminalité sur un échantillon de 30 pays répartis sur 5 continents.

Ce livre blanc est disponible en version numérique pour téléchargement sur notre site ici.

Didier Gazagne
Audrey Jouhanet
Lexing Défense et sécurité

(1) Résolution du Parlement européen du 13 juin 2018 sur la cyberdéfense.
(2) Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations
(3) Livre blanc cybersécurité, cyberdéfense & cybercriminalité – Alain Bensoussan Avocats




Adoption du projet de loi contre le cyber-harcèlement de groupe

cyber-harcèlement de groupeL’Assemblée nationale adopte, au sein du projet de loi contre les violences sexistes, le cyber-harcèlement de groupe. Le projet prévoit de modifier les conditions de constitution de l’infraction de harcèlement afin de permettre la répression d’actes uniques, exercés par plusieurs personnes.

La condition de répétition des actes de harcèlement

Actuellement, le harcèlement moral ou sexuel ne peut être réprimé que s’il est constitué de plusieurs actes répétés par un seul individu. Le texte d’incrimination ne permet donc pas de saisir les comportements exercés par un groupe de personnes si chacune des personnes ne commet pas des actes répétés de harcèlement.

La possibilité de réprimer le cyber-harcèlement lorsqu’un acte unique est exercé par plusieurs personnes

Dans la nuit du 9 au 10 mai 2018, les députés de la Commission des lois ont adopté un projet de loi contre les violences sexistes. Dans ce projet, il est prévu de modifier les conditions d’incrimination du harcèlement, tant sexuel que moral, permettant alors de réprimer les cas de cyber-harcèlement de groupe. Aux termes du projet, le harcèlement pourrait alors être constitué lorsqu’un groupe d’individus agit de façon concertée, même si chaque membre du groupe n’accomplit qu’un seul acte. La condition de répétition n’est donc plus prise en compte par rapport à l’auteur des faits, mais par rapport à la victime du harcèlement.

Le harcèlement de groupe non cantonné à internet

Ce projet de modification des conditions de l’incrimination du harcèlement vise à encadrer le phénomène qualifié par le gouvernement de «raids numériques». Il s’agit de réprimer les auteurs de messages sexistes ou haineux sur internet, messages qui, en s’accumulant, peuvent constituer un véritable cyber-harcèlement pour la personne qui en est destinataire.

Cependant, l’élargissement des conditions du harcèlement ne se limite pas à une application sur internet. En effet, le texte tel qu’il a été rédigé a également pour ambition de saisir les comportements de harcèlement hors internet, et notamment au travail, lorsque plusieurs individus agissent de façon concertée contre une seule personne, quand bien même certains d’entre eux ne commettent qu’un unique acte.

Le gouvernement espère par ce biais faciliter les plaintes pour harcèlement afin que ce type de comportement ne puisse pas rester impuni en France.

Chloé Legris
Lexing Pénal numérique
(1) Projet de loi renforçant la lutte contre les violences sexuelles et sexistes, Dossier légilsatif à l’Assemblée nationale.




Fake or not fake : la lutte contre les fausses informations

fausses informationsL’actualité récente pendant les périodes électorales révèle la nécessité de légiférer contre les fausses informations.

Un Tweet, un reTweet, ça y est la rumeur est lancée… La diffusion massive des fausses informations représente un enjeu sociétal majeur. La proposition de loi relative à la lutte contre les fausses informations du 21 mars 2018 [1] prévoit de nouvelles obligations à la charge des plateformes et une nouvelle action en référé.

L’arsenal juridique existant

Pour lutter contre les fausses informations, plusieurs textes spéciaux existent déjà, notamment :

De nouveaux outils contre les fausses informations pendant la période électorale

L’objectif de la proposition de loi relative à la lutte contre les fausses informations est clair : fournir des outils efficaces pour lutter contre d’éventuelles opérations de déstabilisation par la diffusion massive de fausses nouvelles qui pourraient survenir lors d’échéances électorales.

En amont : des nouvelles obligations pour les plateformes en ligne

La proposition de loi relative à la lutte contre les fausses informations prévoit d’imposer aux plateformes des obligations de transparence renforcées.

Une nouvelle infraction est ainsi prévue par l’article L. 163-1 du Code électoral et incriminée par l’article L. 112 dudit Code.

Pendant la période de convocation des électeurs et jusqu’à la fin des opérations de vote, « les opérateurs de plateforme en ligne au sens de l’article L. 111-7 du code de la consommation dont l’activité dépasse un seuil de nombre de connexions sur le territoire français », seront tenus à de nouvelles obligations. Au nombre de ces obligations figurent les obligations de :

  • donner à l’utilisateur une information loyale, claire et transparente sur l’identité et la qualité de le personne qui verse à la plateforme des rémunérations en contrepartie de la promotion de contenus d’information ;
  • rendre public le montant des rémunérations reçues en contrepartie de la promotion de contenus d’information et l’identité des personnes desquelles elles les ont reçues dépassant un montant dont le seuil est fixé par décret.

Ces nouvelles obligations spécifiques à la lutte contre les fausses informations en période électorale, viendraient ainsi compléter les dispositions de droit commun de l’article L. 111-7 du Code de la consommation imposant aux opérateurs de plateformes en ligne une obligation de loyauté à destination des consommateurs.

En aval : une nouvelle action en référé

Une fois les fausses informations propagées, la seule option reste la saisine d’un juge. A cet égard, l’article 1er de la proposition de loi relative à la lutte contre les fausses informations prévoit d’introduire une nouvelle action en référé.

Limitée aux périodes pré-électorale et électorale, cette action introduite à l’article L. 163-2 du Code électoral ne pourra être engagée que devant le Tribunal de grande instance de Paris. En effet, au regard du caractère national de l’influence d’une diffusion massive de fausses informations, ce dernier aura une compétence exclusive.

L’objet de cette action se restreindrait aux faits constituant des fausses informations de nature à altérer la sincérité du scrutin à venir, diffusées en ligne de manière à la fois massive et artificielle. Il a été précisé qu’« artificielle » devait notamment s’entendre comme signifiant « par le biais de contenus sponsorisés ou promus au moyen d’outils automatisés autrement appelés bots ».

Le juge saisi en référé devra se prononcer dans un délai de 48 heures et pourra ordonner toutes les mesures aux fins de faire cesser cette diffusion, telles que :

  • le déréférencement du site ;
  • le retrait du contenu en cause ;
  • l’interdiction de sa remise en ligne ;
  • la fermeture du compte d’un utilisateur ayant contribué de manière répétée à la diffusion de ce contenu ;
  • ou encore, le blocage d’accès au site internet.

Des obligations renforcées pour les plateformes en ligne hors période électorale

Hors période électorale, la proposition de loi relative à la lutte contre les fausses informations prévoit une modification de la loi pour la confiance dans l’économie numérique du 21 juin 2004 pour étendre le devoir de coopération des plateformes.

En effet, les plateformes numériques auront pour obligation de :

  • mettre en place « un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance ce type d’informations » s’ajoutant à leur obligation existante de « notice and take down » ;
  • informer « promptement les autorités publiques compétentes de toute activité de diffusion de ces fausses informations » et « de rendre publics les moyens qu’elles consacrent à la lutte contre les diffusions de fausses informations ».

Conclusion

La problématique des fausses informations pendant et hors périodes électorales conduit à une nécessaire conciliation entre liberté d’expression, liberté du commerce et de l’industrie, droit à l’information et préservation de la sincérité du scrutin. Reste à voir comment le texte évoluera au fil de la procédure parlementaire…

Lexing Alain Bensoussan Avocats
Lexing Contentieux numérique

(1) Proposition relative à la lutte contre les fausses informations enregistrée à l’Assemblée nationale le 21 mars 2018.




Un plan contre le racisme qui cible en priorité les contenus haineux

plan contre le racismeVirginie Bensoussan-Brulé était l’invitée de Europe1 le 19 mars 2018 pour évoquer le nouveau plan contre le racisme sur internet.

Le gouvernement a annoncé de nouvelles mesures pour permettre des enquêtes plus rapides et plus efficaces notamment le renforcement des compétences et des effectifs de la plateforme de signalement en ligne Pharos et la possibilité de « permettre l’enquête sous pseudonyme ».

Il explore également d’autres pistes… Interviewée par , Virginie Bensoussan-Brulé commente quelques unes de ces pistes (1).

Des moyens d’investigation plus importants ?

Pour Pharos, « effectifs », c’est effectivement le mot-clé, selon Virginie Bensoussan-Brulé, avocate spécialisée en droit pénal numérique et droit de la presse électronique et qui dirige le département Contentieux numérique du cabinet Lexing Alain Bensoussan Avocats.

Début 2016, cette cellule était composée de 25 agents, chargés de traiter près de 200 000 signalements, couvrant aussi bien l’incitation à la haine raciale que la pédopornographie, l’escroquerie ou l’apologie du terrorisme. Renforcer Pharos est donc indispensable.

Alourdir les amendes comme en Allemagne ?

« Une amende à l’allemande, ça oblige effectivement à changer les textes », précise Virginie Bensoussan-Brulé. Actuellement, les hébergeurs deviennent responsables d’un contenu dès lors qu’il leur a été signalé et n’a pas été « promptement » supprimé. Ils endossent alors la responsabilité en lieu et place de l’auteur du contenu.

« En l’espèce, on passerait du délit d’incitation à la haine raciale, à une peine pour ne pas avoir supprimé un contenu, qui n’existe pas dans la loi », explique l’avocate. Qui plaide, elle, pour un montant suffisamment « dissuasif ».

Un statut spécifique pour les réseaux sociaux ?

Aujourd’hui, les sociétés comme Facebook ou Twitter ont la double casquette « hébergeur-éditeur », confirme Virginie Bensoussan-Brulé. Et l’avocate de préciser qu’« Elles sont hébergeurs, mais dès lors qu’elles ont eu connaissance de contenus manifestement illicites et qu’elles ne l’ont pas supprimé suffisamment rapidement, leur responsabilité devient celle d’un éditeur. Le cadre juridique actuel permet donc déjà d’obtenir dans les plus brefs délais la suppression de contenus illicites, et à sa connaissance, les sociétés coopèrent. Mais il reste des failles, notamment en raison du nombre de contenus ».

Selon l’avocate, il faudra d’avantage renforcer les moyens, notamment le développement de filtres plus efficaces car « l’objectif, c’est que les contenus illicites ne soient jamais publiés ».

Une représentation juridique en France ?

« Pratiquement toutes les sociétés concernées ont des filiales  en France, mais juridiquement, elles ne s’occupent pas des contenus, seulement du marketing », explique Virginie Bensoussan-Brulé. Conséquence : pour signaler un contenu, au-delà du simple bouton présent sur les sites, dans le cadre d’une décision de justice par exemple, inutile de se tourner ces structures. Il faut solliciter l’un des sièges, qui se trouvent le plus souvent Etats-Unis ou en Irlande. « Cette mesure serait donc une bonne chose », estime l’avocate qui tempère : « Mais je ne sais pas si on peut les obliger ».

Isabelle Pottier
Directeur Études et Publications

(1) « Contre la « cyberhaine », le gouvernement a-t-il les moyens de ses ambitions ? », Virginie Bensoussan-Brulé interviewée par Rémi Duchemin, Europe1, le 19 mars 2018.




Cyberattaques : s’assurer est-elle la meilleure solution ?

Cyberattaques : s'assurer est-elle la meilleure solution ?Alain Bensoussan est interrogé par Challenges sur l’opportunité de s’assurer contre les cyberattaques.

« Cyberattaques : pourquoi s’assurer n’est pas la meilleure solution », c’est un titre assez provocateur qu’a choisi le site d’information Challenges.fr pour traiter des risques de cybercriminalité. Alain Bensoussan répond aux questions d’Astrid Landon sur la problématique assurantielle face au caractère exponentiel des cyberattaques.

Les questions que se posent les entreprises sont tout-à-fait légitimes. Va-t-on se diriger vers des assurances qui ne couvriraient que la moitié du risque ? Les risques devenant plus coûteux, cela entraînera-t-il une hausse des prix telle que les entreprises ne pourront plus s’assurer contre les cyberattaques ? L’assurance est-elle vraiment nécessaire lorsqu’une cyberprotection solide est installée en amont ? Plus simplement, la cyberassurance est-elle la meilleure solution à la cyberattaque ?

Les coûts assurantiels sont tels que bon nombre d’entreprises en arrivent à la conclusion que s’assurer n’est pas forcément la meilleure solution.

Sur ces questions, l’Europe accuse un sérieux retard par rapport aux Etats-Unis où la cyber-assurance a vu le jour dès 1998.

Un retard qu’il va bien falloir combler avec l’entrée en application le 25 mai 2018 du règlement européen sur la protection des données personnelles (RGPD). Cette réforme du cadre européen de la protection des données va obliger les professionnels à augmenter leur niveau de cybersécurité.

Alain Bensoussan rappelle qu’en France, la cyberdélinquance est de plus en plus présente.

Les technologies d’attaques sont disponibles en ligne ou sur le dark web. L’article 32 du RGPD oblige à mettre en place des systèmes de sécurité pour protéger les données personnelles. Quant à l’article 33, il contraint dorénavant à notifier à la Cnil les failles de sécurité , précise Alain Bensoussan.

S’ils ne suivent pas les nouvelles directives, les grands groupes pourront être condamnés à une amende représentant jusqu’à 4 % de leur chiffre d’affaires ou 20 millions d’euros.
(…)

Isabelle Pottier
Directrice Études et Publications

Interview de Alain Bensoussan par Astrid Landon, « Cyberattaques: pourquoi s’assurer n’est pas la meilleure solution », parue dans Challenges.fr le 23 juillet 2017.




La cyberattaque sans précédent par le ransomware Wannacry

ransomware WannacryLe ransomware Wannacry s’est répandu dans le monde entier le 12 mai 2017 donnant lieu à une cyberattaque massive. Le ransomware Wannacry exploite une faille dans les systèmes Windows apparue en mars dernier. Cette faille avait été identifiée par la NSA et réparée par Microsoft quelques jours plus tard, le 14 mars 2017.

Utilisateurs concernés par la cyberattaque

Cependant, ce correctif n’a été fourni que pour les versions les plus récentes de Windows. Ainsi, le ransomware a principalement infecté les PC tournant sur d’anciennes versions de Windows, notamment Windows XP, qui n’est plus mis à jour par Microsoft.

De même, il a touché les personnes et entreprises ayant des versions plus récentes de Windows mais qui n’ont pas installé le correctif mis à leur disposition par Microsoft en mars.

Dans ce cas, ce sont donc notamment les personnes et entreprises qui ont été négligentes qui ont été touchées par la cyberattaque. En conséquence, il y a un risque que leur assurance ne couvre pas le dommage subi.

Mode d’infiltration du ransomware Wannacry

C’est par une vaste campagne de phishing par e-mail que le ransomware s’est retrouvé dans de nombreux PC. Les victimes ont en effet reçu un e-mail accompagné d’un fichier PDF et c’est en téléchargeant cette pièce jointe que le ransomware Wannacry a pu s’installer dans leur PC.

Une fois installé, le ransomware a bloqué l’accès aux fichiers et exigé une rançon d’une centaine de dollars pour rendre sa liberté au système. Il s’est rapidement propagé et en quelques jours a touché plus de 300 000 ordinateurs (1) dans 150 pays différents (2).

Recommandations

La première mesure préventive contre les cyberattaques, conseillée par l’Agence nationale de la sécurité des systèmes d’information (Anssi), c’est « de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l’ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d’apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d’exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle » (3).

De plus, l’Anssi recommande d’effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs).

Il convient également d’installer une passerelle antivirus de nouvelle génération qui puisse détecter les ransomwares et de la mettre à jour. En effet, les anciennes générations d’antivirus ne sont plus assez protectrices.

En outre, il est nécessaire d’avoir à disposition une solution de protection contre les menaces avancées, appelées APT ou « zero day », capables d’identifier les malwares temporairement non détectables par les passerelles antivirus.

Enifn, la mise en place de politiques de sécurité strictement mises à jour sur tout le périmètre des réseaux d’entreprise – un seul poste vulnérable suffit pour diffuser un malware tel que WannaCry – est devenue indispensable.

Attaque liée au ransomware Wannacry

Si la propagation du ransomware Wannacry a été maîtrisée grâce à un jeune chercheur, il est indispensable de rester vigilant. En effet, selon certains journalistes (4), une nouvelle attaque appelée Adylkuzz, liée à Wannacry, serait en train d’avoir lieu et serait de bien plus grande envergure dans le but de créer et récupérer de la monnaie virtuelle à l’insu des utilisateurs.

Virginie Bensoussan Brûlé
Lexing Contentieux numérique

(1) « Ransomware : le nettoyage se poursuit après le chaos WannaCry », ZDNet France, ‎ 18-5-2017.
(2) « WannaCry : Le ransomware planétaire encore prêt à frapper », Le Monde Informatique, 15-5-2017.
(3) Bulletin d’alerte du Cert-fr du 14-5-2017.
(4) Site Harmonie technologie,  « WannaCry, Adylkuzz – Décryptage de ces cyber attaques », Harmonie technologie, 17-5-2017.

 




FOVI et fraude au Président : conseils et mises en garde

fraude au PrésidentDepuis 2010, la fraude au Président a fait de nombreuses victimes, notamment parmi les entreprises françaises. Réalisée par téléphone et par courrier électronique, la fraude au Président, également appelée escroquerie aux faux ordres de virement international (FOVI), concerne les entreprises de toute taille et de tous les secteurs.

D’après le site internet de la Police nationale, la fraude au Président « consiste pour des escrocs à convaincre le collaborateur d’une entreprise d’effectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre du dirigeant, sous prétexte d’une dette à régler, de provision de contrat ou autre. (…) Souvent situés à l’étranger, les escrocs collectent en amont un maximum de renseignements sur l’entreprise. Cette connaissance de l’entreprise associée à un ton persuasif et convaincant est la clé de réussite de l’arnaque. L’opération est alors lancée sur les personnes capables d’opérer les virements (services comptables, trésorerie, secrétariat…) ».

Il est précisé sur le site internet de la Police nationale que « depuis l’apparition de ce nouveau type d’escroquerie en 2010, plusieurs centaines de faits ou de tentatives ont été recensées pour un préjudice global de 485 millions d’euros ». De plus, « en 5 ans, 2.300 plaintes ont été déposées, même si beaucoup d’entreprises n’osent pas par peur de mauvaise publicité ».

Les mesures de prévention contre la fraude au Président

Afin de se protéger contre la fraude au Président, il est conseillé de rappeler aux employés d’être prudents sur les réseaux sociaux et, en particulier, de ne pas y divulguer d’informations concernant le fonctionnement de l’entreprise. En outre, il convient de les sensibiliser, ainsi que leurs remplaçants, à l’existence de la fraude au Président, notamment pendant les périodes de congés scolaires, les jours fériés et les jours de paiement des loyers.

Par ailleurs, pour les paiements internationaux, il est recommandé de mettre en place des procédures de vérifications et de signatures multiples mais également de saisir soi-même l’adresse du demandeur d’ordre afin de rompre la chaîne des méls.

Enfin, il est indispensable de maintenir à jour le système de sécurité informatique.

L’identification de la fraude au Président

Il existe plusieurs signes qui peuvent révéler l’existence d’une attaque. Par exemple, une demande de virement à l’international, non planifiée, au caractère urgent et confidentiel, peut être suspecte. De même, une personne prétendant être un membre de la société ou un responsable et faisant usage de flatterie ou de menace pourrait en réalité être un escroc et se servir de cette ruse pour manipuler son interlocuteur. Il faut également se méfier de tout changement de coordonnées téléphoniques ou d’adresse de messagerie.

Les démarches à suivre en cas de fraude au Président

Dans un premier temps, il est nécessaire de constituer un dossier de preuve en conservant tous les messages qui ont été envoyés par l’escroc. Sur la base de ces éléments, il sera possible de qualifier juridiquement les faits et de les rattacher, soit au délit d’usurpation d’identité en ligne (Code pénal, art. 226-4-1), soit au délit d’escroquerie (Code pénal, art. 313-1).

Ensuite, si les fonds ont été versés, il convient de demander immédiatement à la banque le retour des fonds et de déposer plainte auprès du procureur de la République. Celui-ci diligentera une enquête préliminaire confiée aux services de police ou de gendarmerie spécialisés, c’est-à-dire à la Brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti), service de la Police Judiciaire dévolu aux infractions informatiques sur la région parisienne, ou à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), compétente sur tout le territoire français.

Ce dépôt de plainte doit avoir lieu rapidement : si le dépôt de plainte ne se fait pas dans les 24 heures du virement, les chances de récupérer les fonds diminuent considérablement.

Si les fonds n’ont pas été versés, il est essentiel de garder contact avec l’escroc et de rassembler un maximum d’informations sur son identité afin de permettre aux services d’enquête de le retrouver et d’éviter qu’il fasse d’autres victimes.

Chloé Legris
Lexing e-réputation




Faux comptes twitter, usurpation d’identité: les règles du jeu

Faux comptes twitter, usurpation d’identité: les règles du jeuInterrogée par Info Normandie, Marion Catier rappelle les règles applicables aux commentaires négatifs publiés par des étudiants via de faux comptes twitter.

Dans un article intitulé « Insultes, dérapages… À Rouen, ces faux comptes Twitter de lycées qui gênent l’Éducation nationale », le site d’information Info Normandie a relayé, le 10 mars 2017, dans ces termes, une information selon laquelle plusieurs proviseurs de l’agglomération Rouennaise avaient signalé la présence de faux comptes Twitter, reprenant l’identité de leurs établissements scolaires : « Plusieurs comptes reprenant l’identité des lycées de l’agglomération de Rouen fleurissent sur Twitter. Des dérapages racistes ont souvent lieu. Les auteurs risquent gros ».

L’occasion, pour Marion Catier, responsable d’activité au sein du Pôle Contentieux numérique au sein du cabinet Alain Bensoussan Avocats Lexing, de rappeler les limites à la liberté d’expression et surtout les règles applicables à de tels comportements délictuels : « Sur Internet, les règles de droit commun s’appliquent, mais «d’autres outils juridiques permettent d’adapter ces lois à Internet », précise Marion Catier. Et de poursuivre : « La loi de 2004 pour la confiance dans l’économie numérique permet de demander à Facebook et Twitter d’obtenir l’adresse IP de connexion et ensuite d’exiger du fournisseur les coordonnées de l’utilisateur du compte ». Sous couvert de l’anonymat, les internautes se sentent protégés, mais ce n’est pas le cas. Marion Catier affirme utiliser régulièrement cette procédure « très efficace ».

En droit pénal, les auteurs d’injures ou insultes risquent jusqu’à un an d’emprisonnement et 45 000 euros d’amende, avec circonstances aggravantes. Pour usurpation d’identité en ligne, les administrateurs encourent jusqu’à un an de prison et 15 000 euros d’amende.

Interview de Marion Catier par Raphaël Tual pour Normandie-actu, « Insultes, dérapages…A Rouen, ces faux comptes Twitter de lycées qui gênent l’Education nationale », 10 mars 2017

Eric Bonnet
Directeur du Département Communication juridique




Non-assistance à personne en danger sur les réseaux sociaux

Non-assistance à personne en danger sur les réseaux sociaux

Que risquent les internautes en cas de non-assistance à personne en danger et omission de porter secours à la victime ?

A l’occasion d’un fait divers sordide qui a défrayé la chronique le week-end dernier aux Etats Unis, Chloé Legris, Directeur d’activité du département e-réputation et diffamation, rappelle pour L’Obs ce que risquent les internautes qui assistent à un crime ou un délit sans tenter de porter secours à la victime.

Comme le relate dans son article la journaliste Barbara Krief, la vidéo du viol collectif, filmé et diffusé en direct sur Facebook Live, d’une jeune Américaine de 15 ans vivant à Chicago, avait attiré jusqu’à 40 internautes en même temps, sans qu’aucun n’alerte ni la police ni le réseau social. La vidéo a finalement été supprimée à la demande de la police locale qui a arrêté un adolescent de 14 ans dans le cadre de son enquête, le dimanche 2 avril.

« Un délit » selon la loi, rappelle Chloé Legris : en effet, l’article 223-6 du Code pénal prévoit cinq ans d’emprisonnement et 75.000 euros d’amende pour « quiconque pouvant empêcher par son action immédiate, sans risque pour lui ou pour les tiers, soit un crime, soit un délit contre l’intégrité corporelle de la personne s’abstient volontairement de le faire ».

« Sur internet, il peut être difficile de différencier le vrai du faux. Certains ont donc parfois une hésitation avant d’appeler la police, de peur d’être pris pour des personnes qui confondent une vidéo de fiction avec la réalité. Dans certains cas, le doute n’est cependant pas permis, si la vidéo est explicite et que la victime se situe en France, comme le prévoit l’article 113-2-1 du Code pénal, l’assistance doit être portée », analyse Chloé Legris. « Même s’il y a un risque d’erreur, mieux vaut alerter. C’est une question de temps, mais les réseaux ne refusent jamais de supprimer une vidéo de ce type. D’où l’importance du signalement ».

Interview de Chloé Legris par Barbara Krief pour L’Obs, « Viol collectif sur Facebook Live : ce que risquent les internautes », 3 avril 2017

Eric Bonnet
Directeur du Département Communication juridique




Cyberpiratage : les obligations juridiques de l’entreprise

Cyberpiratage : les obligations juridiques de l’entrepriseCyberpiratage et obligations de l’entreprise piratée, thème présenté par Alain Bensoussan sur MyD-Business TV.

La guerre, au sens militaire du terme, atteint maintenant les grands médias. En prenant le contrôle d’une télévision et en communiquant à travers elle, nous avons la démonstration que la guerre en matière de cyberdéfense est nécessaire.

Toutefois, l’entreprise ne peut s’en sortir seule. Si demain cette cyberattaque est suivie par un détournement de fichier, par exemple les comptes clients, l’entreprise visée passerai de victime à accusée.

En effet, selon les lois « Informatique, fichiers et libertés » de par le monde, l’entreprise est considérée comme responsable de la sécurité de ses systèmes d’information et de ses fichiers : elle doit « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». L’entreprise doit tout mettre en oeuvre pour éviter la fraude informatique et le détournement de données à caractère personnel. Si le cyberpiratage a pu avoir lieu à cause d’une faille de sécurité, celle-ci doit être notifiée, pour l’heure, à l’autorité de régulation s’il s’agit d’un opérateur mais bientôt quelque soit l’entreprise en cause, et prévenir les personnes concernées surtout si la divulgation de mots de passe est en jeu.

Dans ce cas, le risque juridique à ne pas le faire est une condamnation civile mais aussi peut-être une condamnation pénale.

Cyberpiratage : les obligations juridiques de l’entreprise (MyD-Business TV d’Accenture)




Usurpation d’identité : défense et protection des entreprises

Usurpation d'identité : défense et protection des entreprisesAlain Bensoussan expose pour MyD-Business TV les moyens de défense des entreprises contre l’usurpation d’identité.

Quelles sont les voies de recours à disposition des entreprises victimes d’atteintes à leur identité ou leur réputation ? Quels sont les outils d’alerte et de surveillance à mettre en oeuvre en interne ?

L’usurpation d’identité se conjugue très souvent avec les problématiques d’e-réputation. Elle relève d’un texte particulier du Code pénal, l’article 226-4-1. Toute personnes, physique ou morale, qui voit son identité détournée peut agir en justice en vertu du préjudice subi.

L’entreprise victime d’une usurpation d’identité voit très souvent sont image, ses produits, son honneur, sa réputation mises en cause. L’atteinte à l’honneur ou à la considération ouvre à la victime l’action en diffamation ou injure, sous réserve de disposer de la preuve dans le délai requis.

Preuve. Une copie imprimée d’un écran n’est pas opérationnelle. Pour prétendre qu’il y a eu diffamation, injure ou atteinte à la réputation, l’entreprise doit obligatoirement faire dresser un constat par un huissier de justice, dans des formes particulières et un délai déterminé.

Délai. Le délai pour agir en diffamation et injure est de trois mois à compter de la première publication et non de la date de prise de connaissance des faits litigieux. Il s’agit d’un délai impératif.

Système d’alerte et de surveillance. Sans outils d’alerte et de surveillance internes à l’entreprise, il sera impossible à cette dernière d’agir dans le délai imparti, les informations diffamatoires  ou injurieuses restant alors en ligne. Il est de l’intérêt de l’entreprise de surveiller le net : les sites web, Facebook, Twitter, mais aussi les réseaux sociaux. Gouverner dans le monde numérique, c’est contrôler son image et , consécutivement, surveiller l’ensemble des atteintes à son identité et à sa réputation.

Alain Bensoussan, MyD-Business TV, « L’usurpation d’identité nécessite un système d’alerte », janvier 2015




L’indispensable régulation du risque de pédopornographie virtuelle

L’indispensable régulation du risque de pédopornographie virtuelleLa pédopornographie virtuelle est nouvelle forme de pédopornographie qui se développe avec l’accès au monde virtuel. Après le développement de la cassette vidéo, du DVD, du streaming, de la 2D et de la 3D, la réalité virtuelle offre aujourd’hui un nouvel avenir à la pornographie avec tous les risques que cela comporte.L’industrie de la pornographie, aujourd’hui vieillissante, s’intéresse à cette technologie qui va lui permettre d’opérer une mutation technologique clé en offrant au spectateur la possibilité de s’intégrer dans un environnement et de s’immerger dans une scène de vie. Pour ce faire, les sociétés de production vont modifier leurs plans de cadrage et se positionner selon le point de vue de l’acteur. L’utilisateur du casque bénéficiera ainsi de la sensation du réel et sera au cœur de l’action du film ; il s’agit des vidéo POV (Point of View) et de la FOV (Field of View). La transposition du monde réel rend l’immersion plus intense que dans les jeux vidéo. Il s’agit de porno VR (virtual reality).

Sans qu’il soit encore question de participer au scénario via un avatar et des capteurs corporels comme dans les films futuristes, les entreprises spécialisées dans la pornographie virtuelle envisagent d’ajouter au casque de réalité virtuelle des sextoys connectés. Dans le même temps, se sont développés, notamment au Japon, des jeux pornographiques où le joueur doit customiser son ou sa futur(e) partenaire pour assouvir ses fantasmes et choisir un avatar le représentant. Le réalisme est assuré par la motion capture sur des personnes en chair et en os, permettant de faire des animations ultra-réalistes. A titre d’illustration, l’Oculus VR veut faire de son casque de réalité virtuelle une plateforme ouverte permettant le développement d’une multitude d’applications pornographiques (jeux et films). Aucun contrôle ne sera fait sur les logiciels mis sur cette plateforme.

Si le renouvellement de l’industrie pornographique est ainsi assuré, il emporte avec lui l’émergence de nouveaux risques. Ces avatars de type Second life et les acteurs réels de pornographie dans les applications et films ont parfois l’apparence de mineur. Une telle mise en scène des mineurs est-elle légale ? Quelle est la réglementation applicable en matière de pédopornographie virtuelle ? Les casques autorisant la pornographie sur leur plateforme, permettront-ils la diffusion de la pédopornographie virtuelle ? Au niveau international, il existe plusieurs instruments juridiques destinés à lutter contre la pornographie et la prostitution enfantine.

La Convention européenne sur la Cybercriminalité du 23 novembre 2001 signée à Budapest a été le premier texte à traiter en particulier des infractions liées à la criminalité informatique et notamment sur la pornographie enfantine et vise expressément les cas de pornographie apparente et virtuelle (§2 al b et c). Peu importe que le comportement soit réel ou simulé, ce critère n’est pas pris en considération dès lors que la représentation est celle d’un mineur.

Egalement, le Conseil de l’Europe dans sa décision-cadre 2004/68/JAI du Conseil du 22 décembre 2003 relative à la lutte contre l’exploitation sexuelle des enfants et la pédopornographie (1) s’alarme sur l’utilisation des technologies à des fins de pédopornographie : « la pédopornographie, forme particulièrement grave d’exploitation sexuelle des enfants, prend de l’ampleur et se propage par le biais de l’utilisation des nouvelles technologies et d’Internet ».

Pourtant, cette décision cadre met en place des cas d’exonération (1) permettant aux Etats membres de ne pas incriminer certaines formes de pédopornographie, comme c’était déjà le cas dans la Convention sur la cybercriminalité du Conseil de l’Europe, excluant une responsabilité pénale pour les faits suivants :

  • lorsqu’il s’agit d’une pornographie apparente, la personne en question a plus de 18 ans ;
  • lorsque des faits de production et de détention de matériel pornographique impliquent des enfants réels ou des personnes réelles paraissant être des enfants, ayant atteint l’âge de la majorité sexuelle lorsque ce matériel est produit et détenu avec leur accord et réservé à un usage privé ;
  • lorsqu’il s’agit de pornographie virtuelle, le matériel pornographique impliquant des enfants fictifs, est produit et détenu par le producteur uniquement pour son usage privé, dans la mesure où aucun matériel pornographique impliquant un enfant réel ou une personne réelle qui paraît être un enfant n’a été utilisé aux fins de la production, et à condition que cette action ne comporte aucun risque de diffusion du matériel.

La France n’a pas repris ces cas d’exclusion de responsabilité pénale et sanctionne au titre de la pédopornographie virtuelle l’« image virtuelle du mineur ou du mineur qui en a l’apparence » dans sa loi du 17 juin 1998 relative à la prévention et à la répression des infractions sexuelles ainsi qu’à la protection des mineurs (2). Le droit français renforce depuis son cadre répressif, faisant preuve de fermeté et de rigueur en matière d’infraction sexuelle à l’encontre des mineurs :

  • la loi du 4 mars 2002 relative à l’autorité parentale a renforcé dans le Code pénal les articles Art. 227-23 et 227-4 relatifs à la lutte contre la pornographie enfantine (3) ;
  • la loi du 5 mars 2007 relative à la prévention de la délinquance a renforcé les incriminations en matière de cybercriminalité (4) ;
  • la loi n° 2013-711 du 5 août 2013 (5) a transposé encore des dispositions portant transposition de la directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (6).

Depuis cette transposition, l’article 227-23 du Code pénal incrimine, notamment, « le fait, en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur lorsque cette image ou cette représentation présente un caractère pornographique est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende ».

En France, la représentation à caractère pédophile inclut ainsi les images, montages faits à partir de photographies d’enfants, mais aussi les images totalement virtuelles et les personnes aux allures de mineur.

Ce n’est pas la position adoptée aux Etats-Unis. En effet, le 16 avril 2002, la Cour suprême des Etats-Unis a déclaré inconstitutionnel le Child Pornography Prevention Act de 1996 qui prévoyait des peines de prison de 5 à 15 ans pour les possesseurs et les diffuseurs d’images d’enfants ayant des relations sexuelles, réalisées avec des mineurs réels ou virtuels, c’est à dire à partir d’images de synthèse créées par ordinateur, ou même avec des adultes ayant l’air d’enfants.

Cette inconstitutionnalité a été déclarée sur le fondement du principe de la liberté d’expression qui est défendue dans la Constitution américaine par le Premier amendement. De plus, cette loi faisant référence à la notion de « pornographie enfantine virtuelle » a été considérée « trop vague » et «inadaptée à l’évolution de la technologie ». Les juges de la Cour suprême ont précisé que la production d’images virtuelles n’implique pas directement les enfants quand elles sont réalisées grâce à un ordinateur. Selon eux, il n’y a aucun préjudice puisqu’aucun réel enfant n’est abusé.

Se posera dès lors une problématique de filtrage des applications de réalité virtuelle proposant des contenus qui, au regard de la législation française, seront considérées comme relevant de la pédopornographie. Les éditeurs d’applications pornographiques qui proviendront principalement des Etats-Unis devront prendre toutes les mesures techniques nécessaires pour interdire leur diffusion et leur exploitation sur le territoire français. Puisque les plateformes de réalité virtuelle sont ouvertes et que cette technologie est utilisée notamment par l’industrie du X, il serait nécessaire de rédiger une charte éthique ou un code de bonnes pratiques pour encadrer l’utilisation de ses applications à destination uniquement d’un public adulte afin de protéger l’enfant et d’interdire les contenus pédophiles et la pornographie mettant en scène des mineurs.

L’Association Droit des Robots (ADDR) a, pour ce faire ouvert, constitué un groupe de travail spécifique au sein de la Commission Réalité Virtuelle, œuvrant à l’élaboration de cette charte.

Marie Soulez
Lexing Contentieux Propriété intellectuelle

(1) Décision-cadre 2004/68/JAI du 22-12-2003.
(2) Loi n°98-468 du 17-6-1998.
(3) Loi n°2002-305 du 4-3-2002.
(4) Loi n°2007-297 du 5-3-2007.
(5) Loi n°2013-711 du 5-8-2013.
(6) Directive 2011/93/UE du 13-12-2011.




Comment réagir en cas de failles de sécurité ?

faillesQu’elles proviennent d’une erreur, d’une négligence ou de procédés illicites, les failles de sécurité représentent aujourd’hui l’une des préoccupations majeures des entreprises.

Les enjeux sont importants : piratage des systèmes de traitement automatisé de données (STAD), perte d’informations confidentielles et stratégiques, vol de données personnelles et lourds de conséquences sur le plan financier. A cet égard, l’entreprise victime devra vérifier sa police d’assurance pour vérifier si elle est couverte pour les risques informatiques.

Aussi, dès la découverte d’une faille de sécurité, et préalablement à toute action contentieuse, plusieurs actions doivent rapidement être mises en œuvre.

Identification et correction de la faille. En interne d’abord, il est recommandé au RSSI, au DSI, ou, le cas échéant, à la société d’expertise informatique, d’identifier la faille, de la corriger avant de mettre en place un audit de sécurité et de procéder aux mises à jour des procédures internes.

Constitution d’un dossier de preuve technique. Parallèlement, il est vivement conseillé au RSSI, au DSI ou à la société d’expertise informatique de réaliser un dossier de preuve technique, comprenant a minima un rapport d’incident et les logs de connexion aux serveurs.

Qualification juridique des faits. A l’appui de ces éléments, il sera ensuite possible de qualifier juridiquement les faits et de les rattacher notamment à l’une ou plusieurs des infractions suivantes :

  • accès frauduleux dans un STAD (art. 321-1 du Code pénal) ;
  • maintien frauduleux dans un STAD (art. 321-1 du Code pénal) ;
  • introduction frauduleuse de données dans un STAD (art. 323-3 du Code pénal) ;
  • extraction, détention, reproduction ou transmission de données dans un STAD (art. 323-3 du Code pénal, modifié par la loi n°2014-1353 du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme) ;
  • détention de programmes informatiques conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions (art. 323-3-1 du Code pénal) ;
  • association de malfaiteurs informatiques (art. 323-4 du Code pénal) ;
  • usurpation d’identité numérique (art. 226-4-1 du Code pénal) ;
  • escroquerie (art. 313-1 et 313-3 du Code pénal) ;
  • vol d’informations (art. 311-1 du Code pénal).

Dépôt de plainte. Une plainte devra être déposée auprès du procureur de la République territorialement compétent, qui diligentera une enquête préliminaire confiée aux services de police ou de gendarmerie spécialisés que sont :

  • la brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti), service de la Police Judiciaire dévolu aux infractions informatiques sur la région parisienne ;
  • la sous-direction de lutte contre la cybercriminalité relève de la Direction centrale de la police judiciaire (SDLC), compétente pour les attaques à l’encontre d’un système d’information situé à l’extérieur du périmètre d’intervention de la Befti ;
  • l’Office Central de Lutte Contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC), compétente sur tout le territoire français.

Notification à la Cnil. Si l’atteinte porte sur des traitements de données à caractère personnel mis en œuvre par une entreprise fournissant un service de communications électroniques (opérateurs de télécommunications, fournisseurs d’accès à internet), le responsable de traitement devra la notifier à la Cnil en application de l’article 34 bis de la loi Informatique et libertés, et ce sans délai à compter de la constatation de la violation. A la suite de cette notification, la Cnil pourra décider de procéder à une mission de contrôle, à l’issue de laquelle des recommandations (modification des durées de conservation, des mesures de sécurité, etc.) ou des sanctions pourront être prononcées (avertissement, sanction pécuniaire, etc.). Pour les autres organismes, privés ou publics, la notification de la violation des données personnelles n’est pas, à l’heure actuelle, obligatoire.

La Cnil pourra également, en cas de non-respect de l’obligation de sécurité de l’article 34 de la loi Informatique et libertés, dénoncer au procureur de la République les infractions à la loi Informatique et libertés, prévues aux articles 226-16 à 226-24 du Code pénal.

Plan médias. L’entreprise confrontée à une atteinte à son système informatique ayant conduit à une violation des données personnelles devra communiquer sur cet incident en interne et auprès de toutes personnes susceptibles de la solliciter (journalistes ou clients) et réagir très rapidement pour éviter toute diffusion d’information erronée ou inexacte, toute atteinte à sa réputation, ou encore mauvaise appréciation de l’impact de l’évènement sur son activité économique.

Si la répression des atteintes au système d’information a été largement renforcée par la loi 2014-1353 du 13 novembre 2014 introduisant le délit d’extraction de données dans un STAD et par l’arrêt « Bluetouff » de la Cour de cassation du 20 mai 2015 qui consacre le vol de données, la sécurisation du système d’information reste encore le meilleur moyen de lutter contre les failles de sécurité.

Lexing Alain Bensoussan Avocats
Lexing Droit pénal numérique




Cyberattaques : l’assurance Cyber Risques

Cyberattaques : l’assurance Cyber RisquesFace aux cyberattaques de plus en plus nombreuses et massives, la sécurité des réseaux et de l’information est devenue l’une des préoccupations majeures des entreprises en France et dans tous les pays du monde.

Les enjeux sont importants : piratage des systèmes de traitement automatisé de données (STAD), usurpation d’identité, perte d’informations confidentielles et stratégiques, pertes de marchés, vol de données personnelles, e-réputation etc. et lourds de conséquences sur le plan financier.

En 2014, selon une étude menée par le groupe PwC, le nombre de cyber-attaques recensées a augmenté de « 48 % dans le monde pour atteindre un nombre total de 42,8 millions, soit l’équivalent de 117 339 attaques par jour. Depuis 2009, les incidents détectés ont progressé de 66 % en moyenne par an ».

Paradoxalement, malgré l’augmentation des cyberattaques et du coût annuel moyen attribué aux incidents de cybersécurité, qui a atteint 2,7 millions de dollars en 2014, les budgets de cybersécurité sont en baisse avec un budget moyen de 4,1 millions de dollars, soit 4% de moins par rapport à 2013.

Les acteurs du secteur des assurances le constatent : les assurances de dommage spécialisées dans la couverture de risques informatiques, bien que très variées et très attractives, ne rencontrent encore que peu de succès et leur souscription reste marginale en partie du fait d’une prise de conscience encore insuffisante des risques, et des difficultés pour les entreprises de définir leur besoin face aux risques cyber.

A ce jour, les assureurs proposent majoritairement des polices « tous risques informatiques » énumérant les risques garantis ou prévoyant une formule « tous risques sauf » couvrant tous les événements non expressément exclus. Adaptées aux évolutions des risques informatiques, ces assurances garantissent aujourd’hui les atteintes aux informations en proposant la couverture de l’information elle-même et celle des pertes résultant de la cyberattaque.

A titre d’exemple, le Syntec informatique (chambre syndicale des sociétés d’études et de conseils) propose une assurance « tous risques sauf » qui assure « les biens informatiques, électroniques, électriques » et « les frais de reconstitution des informations » sauf « les pertes pécuniaires résultant : de disparition inexpliquée de données, de toute utilisation de logiciels acquis illégalement, sauf si son utilisation l’est à l’insu de l’assuré (…) ».

Outre les assurances « tout risque sauf », les assureurs offrent également de nombreuses possibilités d’extensions de garantie spécifiques aux risques cyber. Il en est ainsi, lorsque le contrat d’assurance ne garantit pas les cybers risques et en contrepartie du versement d’une prime complémentaire, des dommages concernant les frais de reconstitution des informations dans l’état antérieur au sinistre, les frais supplémentaires d’exploitation et les pertes d’exploitation.

Face à l’augmentation des cyberattaques qui touchent toutes les entreprises, de toute taille et de tout secteur, il est plus que vivement recommandé de se prémunir contre le risque cyber, aussi bien en se dotant d’outils informatiques performants qu’en adaptant sa police d’assurance pour couvrir ces nouveaux risques informatiques.

Lexing Alain Bensoussan Avocats
Lexing Droit pénal numérique




Les atteintes au STAD par l’exploitation de failles de sécurité

Les atteintes au STAD par l'exploitation de failles de sécurité L’exploitation de failles de sécurité fait partie des atteintes au STAD par l’introduction frauduleuse de données dans le système. Un internaute qui souhaitait plaisanter l’a appris à ses dépends. Humour ou infraction ? Telle est, en substance, la question que le Tribunal correctionnel de Paris a eu à trancher dans sa décision du 18 décembre 2014. Tout est parti d’une mauvaise blague.

Ayant constaté que le site internet officiel de la députée-maire Rachida Dati comportait une faille informatique, un internaute quelque peu connaisseur s’est aperçu, non sans amusement, que celle-ci lui permettait d’injecter directement du contenu dans les différentes pages du site. Il pouvait ainsi modifier directement les dires de la députée-maire et lui prêter de faux communiqués de presse, fort parodiques.

Si l’internaute prenait plaisir à la plaisanterie, il en était toutefois le seul public, la manipulation n’emportant nullement modification ou suppression de données du site officiel de Rachida Dati. Son résultat consistait uniquement en la création d’un lien internet pouvant être diffusé : quiconque accédait donc au lien pouvait voir apparaître le contenu ainsi modifié.

Notre internaute l’avait compris, plus on est de fous, plus on rit. Décidant qu’il était temps de donner à sa blague une audience élargie, il fait alors appel à un second internaute qui lui fournit un nom de domaine (www.tweetpop.fr/le-cadeau-de-rachida), hébergeant un site internet dédié à la farce. Le site offre la possibilité à tout internaute, fût-il même novice en informatique, d’exploiter la faille de sécurité constatée et d’afficher sur son navigateur un communiqué de presse formellement semblable en tous points à ceux publiés sur le site officiel de la députée maire (identité de la mise en page générale, présence d’une photographie de Rachida Dati, similitude des couleurs utilisées, respect de la charte graphique, etc.), à l’exception, bien sûr, du contenu du communiqué, librement modifiable par quiconque a actionné le lien.

Avec la rediffusion de ce même lien sur le compte Twitter de notre premier internaute (qui ne possédait pas moins de 4 000 contacts), les faux communiqués de presse, prêtant à Rachida Dati des propos injurieux ou diffamatoires tant sur elle-même que sur d’autres, font alors légion. De nombreux internautes s’en donnent à cœur joie et la rare finesse de l’humour déployé peut, d’ailleurs être saluée, comme en atteste, par exemple, le remplacement de la mention officielle « Groupe PPE » (Parti Populaire Européen) par la mention « Groupe PIPE ».

Seulement, la blague n’est pas du goût de tout le monde. Apprenant la nouvelle, la députée-maire, quant à elle, rit jaune et dépose immédiatement plainte contre X auprès des services de police pour atteintes aux systèmes de traitement automatisé de données (STAD) et usurpation d’identité sur support numérique. Nos deux internautes ne tardent pas alors à être identifiés et la blague tourne court.

Le premier internaute (qui avait constaté la faille et l’avait rendue publique) écope, en effet, d’une amende de 3000 euros pour les chefs d’usurpation de l’identité d’un tiers et d’introduction frauduleuse de données dans un système de traitement automatisé (STAD).

Le second (qui avait fourni le nom de domaine permettant de rendre publique l’existence de la faille informatique) est, quant à lui, condamné au paiement d’une amende de 500 euros du chef de complicité d’usurpation de l’identité d’un tiers.

La relative sévérité de ces peines semble être nettement fonction de la piètre qualité de leur humour, comme le révèlent les sermons, presque paternalistes, adressés lors de l’audience par le président de la 13e chambre correctionnelle. Tant et si bien, d’ailleurs, que certains se demandent si ce niveau de qualité n’a pas été jusqu’à guider la caractérisation de l’une des infractions.

Le jugement du 18 décembre 2014 présente, en effet, un intérêt particulier au regard du droit pénal.

L’application de la loi Godfrain (loi n°88-19 du 5 janvier 1988), qui avait inséré dans le Code pénal un article 323-3 venant réprimer l’introduction frauduleuse de données dans un système de traitement automatisé (STAD), ne coulait pas de source, en l’espèce. Un doute existait, à dire vrai, sur l’application de cette infraction à notre premier internaute, dans la mesure où la faille informatique ainsi reprochée n’intervenait, comme dit plus haut, que pour lui seul, sans que le site officiel de la députée-maire n’en soit nullement altéré. Notre internaute introduisait-il alors véritablement des données dans le STAD en cause, dans la mesure où ces données n’avaient ni pour vocation ni pour effet d’y demeurer ? A tout le moins, la question méritait d’être posée.

Or, l’argumentation du parquet la laisse en suspens, affirmant en guise de réponse que le prévenu « avait manifestement cherché à tromper le serveur et faire du champ rechercher  un usage contraire à sa vocation initiale et non-souhaité par le « maître du système », ce dont il avait connaissance ». Autrement dit, à démultiplier les failles, il avait fait en sorte que le site officiel paraisse incohérent et, dès lors, s’était rendu coupable d’une introduction frauduleuse de données. Ce raisonnement, qui ne justifie nullement en quoi l’introduction de données était réellement caractérisée, a donc attisé quelques critiques, notamment celles du quotidien Le Monde, qui y voit un élargissement de l’infraction d’introduction frauduleuse dans un STAD jusqu’à en faire un « délit technique subjectif », en ce qu’il tient compte des intentions de l’auteur du site.

Le second enjeu majeur de la décision a, bien évidemment, trait à la liberté d’expression, thème brûlant de notre actualité politique. A son sujet, le tribunal affirme que « Si la liberté d’expression est une notion fondamentale de toute démocratie, celle-ci doit naturellement trouver ses limites et il est de jurisprudence constante que cette liberté ne doit en aucune mesure viser à porter atteinte à l’honneur ou à la considération d’une personne, même si celle-ci est publique ».

Derrière la reprise de cette formule classique, se devine pourtant aisément la difficulté de mise en œuvre de cette liberté et de ses limites. La solution eut-elle été la même si l’humour avait été plus fin ? Le doute demeure.

Eu égard tant à l’application contestable de la loi Godfrain au cas de l’espèce qu’à la délicate appréhension de l’humour, forme très complexe de liberté d’expression, la solution retenue le 18 décembre 2014 ne semble pas pérenne et la prudence est donc de mise.

Virginie Bensoussan-Brulé
Annabelle Divoy
Lexing Droit pénal numérique




Piratage des serveurs de Sony Pictures aux Etats-Unis

Piratage des serveurs de Sony Pictures aux Etats-UnisPiratage des serveurs de Sony Pictures aux Etats-Unis. Alain Bensoussan, avocat spécialisé en sécurité informatique et en intelligence économique répondait aux questions de Wendy Bouchard et des auditeurs sur Europe1.

La Maison Blanche parle d’une grave affaire de sécurité nationale. Sony a décidé de ne pas sortir son film « The interview », une comédie sur deux agents de la CIA qui ont pour mission d’assassiner le dictateur Nord Coréen après avoir reçu des menaces d’attentat via un message anonyme. C’est une première.

Europe Midi : Pourquoi La Maison Blanche est-elle si alarmiste alors qu’il ne s’agit pas à proprement parler de piratage de données gouvernementales ?

AB : « ce sont des données sensibles d’une entreprise à forte visibilité et avec cette affaire, on voit apparaître une nouvelle forme de guerre d’un Etat contre une entreprise privée mondialement connue. De telles entreprises orientées vers un marché de secteur privé ne sont pas capables de lutter contre des forces aussi importantes que sont des forces nationales numériques« .

Europe Midi : On parle de Sony, mais est-ce que toutes les entreprises y compris les entreprises françaises sont menacées et sont régulièrement soumises à ce type d’attaque informatique ?

AB : « Pour ce type d’attaque effectivement, il y a très peu d’entreprises françaises qui sont capables de résister d’abord parce-qu’elles ne disposent pas d’un niveau de protection du type de ceux mis en place pour les centrales nucléaires. Pourquoi des entreprises de marché qui ont des clients notamment dans les média, mettraient-elles un tel niveau de sécurité contre ce type d’attaque totalement disproportionné ? Elles ne sont pas du tout préparées à faire face à de tels risques« .

Europe Midi : Quels sont les secteurs d’activité en France le plus touchés par le piratage ?

AB : « Ce sont tous les secteurs où il a des possibilités d’obtenir de l’argent extrêmement rapidement, à travers des atteintes à la vie privée par le piratage des messageries, des détournements de fonds par le phishing. De manière générale, l’obtention de produits sans argent est une délinquance qui se généralise. Ce phénomène s’explique tout simplement parce qu’il est très facile aujourd’hui de se procurer sur le net des outils d’attaque, ces formes de virus sont autant de kalachnikov « binaires », très faciles à utiliser et à la portée de n’importe quel apprenti pirate digital qui peut se transformer en James bond de l’informatique« .

Europe Midi : On parle de délinquance d’Etat, mais ce ne sont pas les Etats qui s’espionnent. Ils recrutent des pirates informatiques (hackers) pour attaquer des entreprises à capital stratégique.

AB : « La plupart des Etats disposent d’une « cyberdéfense », c’est-à-dire d’armées numériques de très haut niveau. Personne ne peut ignorer les attaques par virus informatique et la menace s’aggrave chaque jour« .

Europe Midi : On a besoin de mieux comprendre comment s’armer. Sony a reculé face aux pirates informatique, est-ce la porte ouverte au chantage médiatique ?

AB : « Ce sont tous les actifs de Sony qui sont en jeu mais il y a aussi les dommages collatéraux et notamment tous les accords que Sony a pu signer avec d’autres entreprises qui sont susceptibles d’être mis à la disposition de tous. On peut comprendre que Sony ait préféré reculer dans un premier temps« .

Europe Midi : Faut-il abandonner nos ordinateurs et nos connexions à internet en dépit des antivirus ?

AB : « Les innovations technologiques ont toujours été accompagnées de délinquance. Cela doit entraîner une triple réponse, d’abord pédagogique pour que les utilisateurs cessent d’être négligents sur la sécurité (par exemple, avoir des mots de passe supérieur à 8 caractères avec de l’alpha numérique et des caractères spéciaux). Il faut aussi amener les entreprises à augmenter leur niveau de sécurité et enfin, changer l’arsenal répressif français. Les peines de prison sont de 3 ans et ont été pensées en 1988 sous la loi Godfrain. Aujourd’hui, compte-tenu de la généralisation de ce type de délinquance, il faut sans doute multiplier les peines par 3 ou par 4 afin que le seuil soit plus dissuasif« .

Europe Midi : Ce qui se passe avec Sony est très alarmant car cette attaque aurait passée 90% des défenses numériques du gouvernement. Ce qui veut dire que que l’on a beau avoir un système de sécurité en béton, il y aura toujours un pirate qui trouvera la faille. C’est à l’évidence ce qui s’est produit ici.

AB : « Ce qui compte c’est le degré de confiance d’une économie numérique comme la notre. Il faut certes augmenter le niveau de protection, mais contre une attaque de type « cyber guerre », la solution ne peut venir du marché. Dans l’affaire Sony, c’est à l’Etat américain d’apporter une réponse. Par contre, les entreprises doivent néanmoins augmenter leur niveau de sécurité parce que derrière les informations moins importantes que celles de Sony, il y a notre intimité et notre vie privée qui doit être assurée« . (…)

Le Journal de Wendy Bouchard sur Europe1, Europe Midi en duplex depuis La Roche sur Yon, le 19-12-2004 (Ecoutez l’émission à 38:00 > 45:30).




Un « honeypot » créé par des agents du FBI validé en France

Un « honeypot » créé par des agents du FBI validé en FranceHoneypot (piège à pirates) – La chambre criminelle de la cour de cassation valide un procédé utilisé par le FBI afin de pouvoir identifier les cybercriminels, enquêter sur leurs crimes et prévenir les dommages aux victimes éventuelles en créant un site « Carderprofit » (1).

Les prévenus invoquaient l’article 6§1 de la Convention européenne de sauvegarde des droits de l’Homme ainsi que le principe de loyauté de la preuve. Ils estimaient que le fait d’ouvrir un tel site visant à piéger des pirates (Honeypot) (2) où les utilisateurs étaient invités à exposer leurs connaissances et leur intérêt pour les techniques de « carding », technique destinée à détourner les identifiants d’une carte bancaire, constituait une provocation à la commission d’une infraction par un agent de l’autorité publique.

Cinq années auparavant la Cour de Cassation s’était prononcée dans une affaire semblable où le FBI avait créé un Honeypot sous la forme d’une plateforme gratuite et accessible par tous à partir de laquelle des utilisateurs pouvaient échanger et télécharger des images à caractère pédopornographique (Cass Crim 4  juin 2008, n°08-81045). Elle avait jugé que, dans un tel cas, la découverte de la détention de ces images n’avait été permise que par la provocation à la commission d’une infraction organisée par un agent de l’autorité publique.

Or dans l’affaire présentement commentée, la Cour n’opte pas pour la même analyse : elle rejette le pourvoi en estimant que le site de surveillance et d’enregistrement mis en place par le FBI a seulement permis de rassembler des preuves de la commission des fraudes à la carte bancaire et d’en identifier les auteurs. Elle confirme la position de la chambre de l’instruction de la Cour d’appel de Paris selon laquelle aucun élément ne démontrait qu’il ait eu pour objet d’inciter les personnes qui l’ont consulté à passer à l’acte.

Pour parvenir à cette solution la Cour de cassation procède à un examen « in concreto » des éléments en sa possession afin de déterminer si la manœuvre des agents étatsuniens constitue ou non une provocation déloyale à la commission d’une infraction.

En relevant que les prévenus avait déjà manifesté sur d’autres sites leur intérêt pour les techniques de fraude à la carte bancaire, la Cour ne valide pas aveuglément le procédé de Honeypot mais se fonde sur des éléments concrets pour déterminer l’objectif poursuivi par les autorités américaines et en conclure qu’aucun acte de d’incitation n’a été démontré.

Bien qu’offrant une solution opposée, cet arrêt s’inscrit dans la continuité de celui du 4 juin 2008. Dans ce dernier cas le site litigieux offrait à quiconque de recevoir et d’adresser gratuitement et anonymement des images interdites, incitant ainsi chaque internaute à commettre un délit non détachable de la connexion elle-même et qui n’existerait pas sans elle alors que dans le cas de l’affaire de 2014 l’infraction n’a été révélée que par la communication des informations par les prévenus eux-mêmes.

Dans l’arrêt du 30 avril 2014, la cour considère donc que le Honeypot créée par le FBI ne constitue pas une provocation à la commission d’une infraction, dès lors que  » le site de surveillance et d’enregistrement des messages échangés a seulement permis de rassembler les preuves de la commission de fraudes à la carte bancaire et d’en identifier les auteurs, aucun élément ne démontrant qu’il ait eu pour objet d’inciter les personnes qui l’ont consulté à passer à l’acte ».

Virginie Bensoussan-Brulé
Lexing Droit pénal numérique

(1) Cass crim 30 04 2014, n°13-88162.

(2) Les Honeypot, comment ça marche ?




Cybercriminalité : recommandations du rapport Marc Robert

Cybercriminalité : recommandations du rapport du procureur Marc Robert Cybercriminalité – Le 30 juin 2014, le procureur Marc Robert a remis au gouvernement un rapport confié en juin 2013 par les ministres de la Justice, de l’Intérieur, de l’Economie et du Numérique, lequel expose 55 recommandations destinées à lutter plus efficacement contre la cybercriminalité (1).


Animé d’une volonté pédagogique, le groupe de travail débute par une première recommandation établissant une définition de la cybercriminalité : « toutes les infractions pénales tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication, principalement Internet ». Il expose alors une stratégie globale non seulement répressive mais aussi préventive et de sensibilisation, en insistant sur la coordination entre les acteurs pénaux et administratifs ainsi que sur le renforcement des moyens de lutte contre la cybercriminalité.

A la recherche d’un équilibre entre la protection de la sécurité des usagers et celle des libertés publiques, au premier rang desquelles figure la liberté d’expression, les recommandations s’adressent à tous les acteurs aussi bien publics que privés susceptibles de jouer un rôle dans l’enrayement de la cybercriminalité. Dans un souci de cohérence entre ces acteurs et ces impératifs multiples, il faut noter en premier lieu que le rapport conseille la création d’une délégation interministérielle à la lutte contre la cybercriminalité, placée directement sous l’autorité du Premier ministre (recommandation n°7). Elle aurait pour mission de donner l’impulsion et d’assurer la lisibilité de toute la stratégie de lutte contre la cybercriminalité.

Parmi les propositions emblématiques de son rapport, Marc Robert suggère de réhabiliter la coupure d’accès à Internet comme peine complémentaire pour les infractions les plus graves, mettant en péril des mineurs notamment (recommandation n°19). La loi Hadopi du 12 juin 2009 avait déjà mis en place cette possibilité de sanction mais cette disposition très controversée, liberticide pour certains, avait été supprimée en juillet 2013.

Parallèlement à cette nouvelle sanction, le rapport suggère la création de nouvelles incriminations. Bien que la recommandation n°13 conseille de limiter le développement du droit pénal de la cybercriminalité aux hypothèses strictement nécessaires car échappant au droit pénal de fond existant, le groupe de travail formule plusieurs propositions.

La recommandation n°18 vise l’incrimination spécifique du « vol de biens immatériels » comme une solution adaptée pour contrer le risque d’espionnage industriel et sanctionner la violation du secret des affaires. Autre incrimination jugée utile, celle de la pratique spécifique d’envoi de spams massifs (recommandation n°16). La piste n°14 préconise quant à elle d’ériger l’utilisation d’un réseau de communication électronique en circonstance aggravante du délit d’usurpation d’identité, déjà puni par l’article 226-4-1 du Code pénal.

Afin de faciliter l’action des services de police, Marc Robert propose de généraliser la pratique de l’enquête sous pseudonyme (proposition n°47), et ce pour tous les crimes et délits punis d’une peine d’emprisonnement et commis à l’aide d’un réseau de communication électronique. Cet élargissement de la marge de manœuvre de la police se manifeste également par la volonté d’autoriser expressément la saisie de matériel électronique tel que les ordinateurs, tablettes numériques ou smartphones.

Le groupe de travail ne se limite toutefois pas à la sphère répressive, et s’interroge sur l’opportunité de renforcer la responsabilité de tous les acteurs techniques, tels que les fournisseurs d’accès à Internet, en matière de cybercriminalité. Si la proposition n°21 réaffirme l’irresponsabilité des prestataires techniques quant au contenu qu’ils hébergent, la suite du rapport suggère de leur imposer une surveillance préventive des contenus illicites ainsi que accroître leurs obligations en matière de communication de données de connexion de leurs usagers.

Le filtrage des sites Internet et le blocage des données devrait cependant demeurer une compétence exclusive du juge judiciaire, excepté en matière de pédopornographie. Les cyber-cafés ainsi que les hot-spots publics sont également concernés ; la recommandation n°28 suggère l’instauration des contrôles inopinés dans les premiers pour s’assurer du respect de la réglementation en vigueur.

Virginie Bensoussan-Brulé
Alix Dorion
Lexing Droit pénal numérique

(1) Rapport Robert 2014 Cybercriminalité Protéger les internautes




Cyberattaque : les parades légales des entreprises

Cyberattaque : les parades légales des entreprisesCyberattaque – Didier Gazagne expose, pour IT-expert magazine, le cadre juridique applicable au cyberespace en montrant la portée, mais aussi les limites et les incohérences du droit du cyberespace. Il précise les postures, ainsi que les tactiques et stratégies de cybersécurité et cyberdéfense pouvant être mises en œuvre par l’entreprise face à une cyberattaque.

Si aucun pays n’est aujourd’hui à l’abri du phénomène, il en est de même de l’entreprise qui, quel que soit son domaine d’activité, est une cible très convoitée dans le cyberespace. Face à la facilité de déclenchement et de réalisation d’une cyberattaque, l’entreprise qui n’est pas une victime consentante, choisit souvent de se taire pour préserver son image et sa réputation.

Selon le Forum Economique Mondial, la cybercriminalité pourrait engendrer une perte pour l’économie mondiale de 2 200 milliards d’euros d’ici 2020 (soit l’équivalent du PIB de la France en 2012). Trouver l’origine d’une attaque, utilisant des milliers ou des millions de machines réparties dans des dizaines de pays dans le monde, conduit souvent l’entité qui a été attaquée à renoncer à engager une action en justice. Pourtant, dans le même temps, en l’absence d’action en justice de l’entreprise, c’est la confiance des utilisateurs d’Internet qui est fortement atteinte et fragilisée surtout dans l’hypothèse d’une augmentation et d’une aggravation des cyberattaques.

Pour l’ANSSI, la majeure partie des attaques informatiques sur lesquelles elle est intervenue auraient pu être évitées si des règles d’hygiène en matière informatique avaient été appliquées par les entreprises. Il est donc en premier lieu de la responsabilité des équipes dirigeantes dans l’entreprise d’être sensibilisées aux risques que représentent les cybermenaces et aux conséquences extrêmement lourdes que pourraient avoir l’absence d’adoption d’une politique de sécurité pertinente et adaptée au système d’information de l’entreprise.

Le plus grand défi pour l’entreprise reste encore l’insuffisance de sensibilisation de l’ensemble des personnels face à l’ingéniosité des cyber-délinquants et au caractère protéiforme d’une cyberattaque. Notre principale recommandation à l’attention des DSI et des RSSI est de s’assurer qu’ils disposent bien d’une politique de sécurité connue de tous et dont l’application doit être régulièrement contrôlée et auditée.

Il est également recommandé aux DSI et aux RSSI de s’assurer qu’ils ont bien mis en œuvre les « 40 règles d’hygiène informatique » disponible sur le site de l’ANSSI. Il y est  également mis à la disposition des DSI et RSSI un ensemble d’autres guides et recommandations qui sont très accessibles y compris aux TPE permettant de sécuriser les postes de travail et les serveurs, mais également la messagerie ou encore les liaisons sans fil dans l’entreprise.

Didier Gazagne, IT-expert magazine, «L’entreprise victime d’une cyberattaque : quelles réponses juridiques ?» 12 juin 2014




Escroqueries sur internet : Quelles stratégies de lutte ?

Escroqueries sur internetPetit-déjeuner du 13 mars 2013 – Virginie Bensoussan-Brulé, directeur du département Presse et Pénal numérique a animé au côté de  Luc Alloin, fondateur et dirigeant de Securymind, cabinet de conseil expert en stratégies de protection, un petit-déjeuner débat consacré aux stratégies et plans de réduction du risque en matière d’ escroqueries sur internet.

Jusque-là relativement épargnées, les entreprises françaises sont la cible, depuis quelques mois, d’une recrudescence d’escroqueries à grande échelle sur internet utilisant leur dénomination sociale, leur logo, leur marque ou encore leur nom de domaine.

D’une infraction à l’autre, le mode opératoire est peu ou prou le même. Les internautes (particuliers, fournisseurs, etc.) sont destinataires d’un courrier électronique ou d’une annonce au nom de la société leur proposant matériels ou offres d’emploi en échange du paiement d’une certaine somme. La somme une fois acquittée, ils n’ont bien sûr, aucun retour sur investissement.

Tout est orchestré pour que l’internaute n’ait aucun doute sur la provenance de la proposition frauduleuse : utilisation du logo de la société, extension d’adresse de courrier électronique, utilisation de fausses identités présentées comme dirigeants ou salariés de l’entreprise et, parfois même, création d’un faux site internet.

Face à ces comportements malveillants, les sociétés ne sont pas pour autant démunies. De nombreuses mesures leur permettent de lutter efficacement contre ces atteintes à leur réputation et à leur droit de propriété intellectuelle.

Ces procédures de suppression, identification et répression ont été étudiées lors du petit-déjeuner débat.

Le petit-déjeuner débat a eu lieu le 13 mars 2013 de 9 heures à 11 heures (accueil à partir de 8 heures 30), dans les locaux du cabinet ALAIN BENSOUSSAN 29, rue du Colonel Avia 75015 Paris.