Cybersécurité et RGPD : deux amendes record au Royaume-Uni

amendes recordsDeux sociétés condamnées par l’ICO à des amendes record pour n’avoir pas su assurer la cybersécurité de leurs systèmes en violation du RGPD.

Ces amendes record doivent faire prendre conscience aux entreprises françaises de l’importance de bien protéger leurs données.

Ces décisions donnent des pistes pour bénéficier de circonstances atténuantes et réduire les amendes en cas de faille de sécurité. Elles illustrent aussi la coopération nécessaire entre autorités de protection européennes en cas de traitements transfrontaliers.

Deux amendes record pour sanctionner de graves violations de données

En octobre 2020, l’Information Commissioner’s Office (ICO), l’équivalent de la Cnil au Royaume-Uni, a épinglé la compagnie aérienne British Airways (1) et le groupe hôtelier Marriott International Inc (2) pour ne pas avoir suffisamment protégé les données de leurs clients, en violation de leur obligation de sécurité au titre du Règlement général sur la protection des données (RGPD).

Les deux amendes record, de 20 millions de livres sterling (environ 22 millions d’euros) pour British Airways et 18,4 millions de livres sterling (environ 20 millions d’euros) pour Marriott, prononcées par l’ICO rappellent le rôle clé du RGPD dans le domaine de la cybersécurité.

Rendues à quelques jours d’intervalle, ces décisions concernent deux affaires qui présentent des similitudes.

Des cyberattaques à l’origine des violations de données

Les deux sociétés disposent des moyens financiers et d’un personnel fortement qualifié pour assurer un haut niveau de sécurité. Cela n’a pas empêché les cyberattaques par des pirates toujours pas identifiés à ce jour. Ces derniers ont réussi à exploiter des failles de leurs systèmes :

  • Dans le cas de British Airways, tout a commencé en 2018 par une attaque de la chaîne d’approvisionnement (3) : un pirate s’est introduit dans le réseau informatique de la compagnie aérienne par le compte non sécurisé d’un employé d’un de ses fournisseurs. Ce faisant, en tirant avantage d’autres défaillances, le pirate a redirigé les données de paiement saisies par les clients sur le site officiel de British Airways vers un autre site web contrôlé par le pirate (technique dite de « web skimming ») (4) Le pirate a ainsi dérobé les informations, telles que le nom, l’adresse, mais surtout les données bancaires (numéro et cryptogramme) de 429.612 clients de British Airways.
  • Pour Marriott, le piratage a touché sa filiale Starwood (5) dès 2014. A l’aide un morceau de code malveillant appelé « web shell » (6) et de différentes techniques (chevaux de troie et Mimikatz (7)), l’attaquant est parvenu à se connecter à des comptes utilisateurs non sécurisés. Le pirate a alors pu pénétrer dans la base de données de Starwood stockant les données de réservations des clients. Il en a exfiltré les éléments, tels que noms, date de naissance, adresses mél, mais surtout numéros de passeport et numéros de carte bancaire. Près de 339 millions de fichiers clients ont ainsi été compromis.

Pour l’ICO, force est de constater que dans les deux cas, des mesures de sécurité adéquates sont disponibles sur le marché ; une authentification multifacteur (8) des comptes compromis auraient permis de détecter, voire de neutraliser, les attaques sans coût excessif (9).

L’identification des violations commises

Dans les deux cas, au terme d’une enquête, l’ICO a conclu à la violation des obligations de sécurité au titre de deux articles du RGPD, à savoir les articles 5.1.f (confidentialité et intégrité) et 32 (sécurité du traitement), qui imposent aux responsables du traitement de « mett[re] en œuvre les mesures techniques et organisationnelles appropriées » pour protéger les données à caractère personnel qu’ils traitent « y compris (…) contre le traitement non autorisé ou illicite » (10).

A cet égard, balayant les arguments soulevés par les deux sociétés, selon lesquelles l’article 5 ne serait qu’une synthèse de l’article 32, l’ICO a confirmé au contraire qu’en dépit de leur chevauchement, ces deux articles étaient bien distincts.

L’enjeu était important car ces articles appellent chacun des amendes de montant différent (11). Or, conformément à l’article 83.3 du RGPD et aux lignes directrices du CEPD, en cas de violation de plusieurs articles du règlement, l’autorité peut appliquer une amende correspondant à la violation la plus grave (sous réserve que le montant total de l’amende administrative n’excède pas le montant fixé pour la violation la plus grave) (12). Les entreprises risquaient donc d’écoper de la plus lourde sanction prévue par le RGPD, soit 4% de leur chiffre d’affaires. En 2017, le CA s’élevait à 12,226 milliards de livres sterling pour British Airways et 4,997 milliards de dollars pour Marriott.

Les éléments pris en compte dans le calcul de ces amendes record 

L’ICO a appliqué les critères visés à l’article 83.2, du RGPD pour apprécier le montant à infliger. Elle a estimé l’amende justifiée (13) au vu notamment :

  • de la nature des données compromises : même si elles ne relèvent pas de catégories sensibles », elles exposaient les victimes à une usurpation d’identité ;
  • de la durée significative des violations ;
  • du nombre de personnes concernées.

En outre, pour l’ICO, même si British Airways et Marriott n’ont pas délibérément commis les violations ; elles ont toutes deux fait preuve de négligence (14). Leurs systèmes informatiques souffraient de vulnérabilités importantes.

L’ICO souligne que des sociétés de cette taille et importance auraient dû savoir qu’elles étaient potentiellement des cibles. Elles auraient du prendre les mesures appropriées pour protéger les quantités considérables de données traitées (15). Les deux sociétés, en leur qualité de responsables du traitement, ont été reconnues « pleinement responsables » (10) ; le recours à un prestataire chargé de la cybersécurité ne réduisant pas le degré de responsabilité (16).

A cette étape, les montants de départ de l’amende fixés par l’ICO sont respectivement de 30 millions de livres sterling pour British Airways, et de 28 millions de livres sterling pour Marriott (17).

Eléments ayant permis de réduire le montant de l’amende

Le gendarme britannique des données personnelles pointe du doigt les « multiples » manquements « graves » des deux sociétés dans la gestion de leur cybersécurité. Les amendes sont toutefois moins sévères que prévu  ; non seulement en raison des circonstances atténuantes retenues, mais aussi de l’impact économique de la crise sanitaire actuelle.

Circonstances atténuantes

L’IOC a en effet reconnu plusieurs circonstances atténuantes (18) à la décharge des deux sociétés piratées telles que :

  • les mesures immédiates prises pour atténuer le dommage subi par les personnes concernées (désactivation des comptes compromis, réinitialisation des mots de passe, etc.) ;
  • l’information rapide des personnes concernées et des autorités, ainsi que la divulgation dans les médias de l’incident. Les autres entreprises ont ainsi été sensibilisées aux risques et ont pu prendre des mesures de cybersécurité appropriées ;
  • la coopération totale avec les autorités lors de la procédure ;
  • les investissements importants engagés en termes de sécurité informatique, et le maintien de cet effort budgétaire en dépit des contraintes financières créées par l’épidémie de coronavirus ;
  • la création d’un site web et d’un centre d’appel multilingues dédiés pour informer les personnes touchées par l’incident et recueillir leurs demandes ;
  • le remboursement des pertes financières directes subies par les personnes concernées ;
  • l’effet négatif des cyberattaques sur la réputation des sociétés, cette atteinte à leur image de marque ayant un effet dissuasif sur d’autres sociétés ;
  • l’absence d’avantages financiers obtenus ou de pertes évitées du fait de la violation.

En l’espèce, ces circonstances atténuantes leur ont permis de bénéficier d’une réduction de 20% du montant de l’amende envisagée.

L’effet Covid

Avant de prononcer une amende, l’ICO tient compte de son impact sur le contrevenant et sur l’économie en général. Conformément aux lignes directrices de l’ICO sur le coronavirus, la Covid-19 justifie une réduction du montant de l’amende.

En l’espèce, chacune des deux sociétés a bénéficié d’une réduction de 4 millions de livres sterling.

Des amendes moins élevées que prévu

Au final, ces amendes record sont moins sévères qu’initialement prévu, bien loin des 183 et des 99 millions de livres sterling annoncés. Elles sont également très éloignées du montant maximum théorique encouru ; celui-ci est de 20 000 000 EUR ou 4% du chiffre d’affaires.

Les deux sociétés auraient indiqué ne pas vouloir faire appel des décisions de l’ICO, sans toutefois reconnaitre de responsabilité.

Commentant la décision de son homologue britannique, la Cnil a estimé que ces amendes record étaient « proportionné[e]s au regard de la gravité des manquements constatés ».

Par ailleurs, si ces amendes record infligées par l’ICO sont les plus importantes imposées en matière de sécurité, l’amende la plus élevée sous l’empire du RGPD reste à ce jour celle prononcée par la Cnil contre Google (50 millions d’euros) en janvier 2019. Les sanctions prises contre H&M par l’autorité allemande (35 millions d’euros) et contre l’opérateur de télécoms TIM par l’autorité italienne (27 millions d’‘euros) occupent les 2e et 3e marches du podium.

Enfin, il convient de noter que la procédure de sanction actuelle de l’ICO (19), sur la base de laquelle ont été prises ces deux décisions, est en cours de modification. Selon le document soumis à consultation publique, la future procédure comprendra 9 étapes (5 actuellement) et précisera, dans un tableau détaillé, le montant des amendes sous forme de pourcentage du chiffre d’affaires (20).

Caractère transfrontalier nécessitant une coopération des Cnils européennes 

Dans ces deux affaires, les violations de données présentent une dimension transfrontalière. Les victimes se trouvaient non seulement au Royaume-Uni, mais également dans plusieurs pays européens.

Afin d’harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers (21) le RGPD a mis en place :

  • un mécanisme de « guichet unique» (art. 56) qui a vocation à éviter ainsi des démarches lourdes et chronophages aux entreprises concernées (22) ;
  • un mécanisme de coopération (art. 60) entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées.

En application de ces mécanismes :

  • les responsables de ces traitements désignent un interlocuteur unique : il s’agit de l’autorité chef de file 1. Cette autorité est l’autorité de protection des données du pays où se trouve l’établissement principal de l’entreprise. En l’occurrence, l’ICO pour le Royaume-Uni (23).
  • la validité d’une seule décision dans toute l’UE : la décision de l’autorité chef de file étant prise en concertation avec l’ensemble des autorités de contrôle concernées. L’ICO a donc enquêté au nom de toutes les autorités de l’UE (la violation s’est produite avant que le Royaume-Uni ne quitte l’UE) et ses projets d’amendes record ont été approuvés par les autres autorités de l’UE. Ils ont notamment été minutieusement examinés par la formation restreinte de la Cnil.

Ces décisions montrent que le guichet unique permet d’aboutir à des décisions majeures à l’égard de traitements mis en œuvre à l’échelle européenne.

Cybersécurité et RGPD : conseils et bonnes pratiques

L’ICO le martèle tout au long de ses décisions. Un responsable du traitement doit appliquer, en permanence, des mesures appropriées pour assurer la sécurité des données traitées. A défaut, il s’expose à de très lourdes sanctions ; non seulement au titre du RGPD, mais aussi dans le cadre d’actions civiles (24) engagées par les victimes (25).

Le fait que la Cnil ait approuvé les décisions de l’ICO (manquements et amendes record) invite les responsables du traitement français à en tirer des enseignements et notamment à :

  • assurer une bonne gestion de leur patrimoine informationnel en mettant en place des mesures de sécurité adaptées et en veillant à documenter ces mesures ;
  • savoir comment réagir en cas de cyberattaques afin de pouvoir bénéficier de circonstances atténuantes qui serviront à réduire, parfois substantiellement, le montant de l’amende qui pourra le cas échéant être imposée ;

se prémunir contre le risque cyber en adaptant leur police d’assurance pour couvrir ces nouveaux risques informatiques.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

Notes :

(1) ICO Penalty Notice, British Airways plc, case ref: COM0783542, 16 octobre 2020.
(2) ICO Penalty Notice, Marriott International Inc, case ref: COM0804337, 30 octobre 2020.
(3) Plus de 80 % des organisations ont subi une violation de données en raison de vulnérabilités de sécurité dans leurs chaînes d’approvisionnement. « Cybersécurité : votre chaine d’approvisionnement est désormais votre maillon faible», zdnet.fr, 29-9-2020.
(4) Le « web skimming » (« Magecart ») est un type d’attaque visant à accéder au système de paiement d’un site marchand et à y implanter un malware. Le pirate dérobe les données des cartes, dont le code CVV, au moment où elles sont données en clair et avant qu’elles ne soient chiffrées par le vendeur. Ni l’utilisateur, ni le vendeur ne sauront rien du vol jusqu’à la découverte du malware. Le piratage a commencé chez Starwood en 2014, soit avant son acquisition par Marriott en 2016.
(5) Pour Elizabeth Denham, commissaire à l’information, lors de l’acquisition d’une entreprise il convient de mettre en place des mesures appropriées pour évaluer « non seulement les données personnelles acquises, mais aussi la manière dont elles sont protégées ».
(6) Un « web shell » est un morceau de code malveillant qui permet à des pirates d’accéder à distance aux serveurs.
(7) Mimikatz est un voleur d’identifiants.
(8) La combinaison d’au moins deux facteurs d’authentification assure une authentification forte. Guide Cnil « La sécurité des données personnelles», édition 2018, p. 9.
(9) Décision British Airways points 6.29, 6.72 et 6.96 et décision Marriott point 7.9.
(10) Décision British Airways point 1.6 et 6.1 et décision Marriott point 1.6 et 6.1.
(11) Pour les violations de l’article 5.1.f : 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (article 83.4.a), et pour l’article 32 : 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent (article 83.5.a).
(12) Décision Marriott, point 7.83, Décision British Airways point 7.81.
(13) Décision British Airways section 7, p.60 et suiv., décision Marriott, section 7, p. 50 et suiv.
(14) Décision British Airways point 7.19, Décision Marriott point 7.16.
(15) Décision British Airways point 7.20, Décision Marriott point 7.17.
(16) Décision Marriott, point 7.28.
(17) Les décisions de l’ICO ne contiennent pas d’explications sur le calcul des montants initiaux des amendes proposées (183 et 99 millions de livres sterling annoncées).
(18) Décision British Airways point 7.41, Décision Marriott point 7.41.
(19) Définie dans sa « Regulatory Action Policy » ou « RAP » p.27 et expliqué par ex. dans décision Marriott point 2.38.
(20) Un des grands arguments des deux sociétés étaient que : dans ses projets de décision, l’ICO s’était appuyée sur un document interne (Draft internal procedure for setting and issuing monetary penalty) qui contenait un tableau avec des fourchettes de chiffres d’affaire. Devant ses contestations, l’ICO a indiqué dans ses décisions finales n’avoir pas pris en compte ce document interne. Cette « Draft internal procedure » semble proche de sa future procédure de sanction soumise à consultation publique.
(21) Selon l’article 4.23) du RGPD, un traitement de données est transfrontalier lorsqu’il est mis en œuvre par une entreprise établie dans plusieurs États européens, ou par une entreprise établie dans un seul État, mais qui affectent sensiblement des personnes d’au moins un autre État membre.
(22) Le mécanisme du guichet unique n’est pas ouvert aux entreprises établies en-dehors de l’Union européenne ; même si leurs traitements de données concernent des personnes résidant dans plusieurs États membres.
(23) Le siège de la compagnie aérienne British Airways, filiale par la holding de droit espagnol International Consolidated Airlines (IAG), est au Royaume-Uni (point 1.3 de la décision). L’établissement principal du groupe américain de l’hôtellerie (Marriott Hotels Limited) est établi au Royaume-Uni (point 1.3 de la décision).
(24) Des actions de groupe sont en cours contre Marriott et British Airways. « European Consumer Groups Begin Suing Over Data Breaches», The Wall Street Journal, 6-11-2020.
(25) Les deux sociétés n’ont pas reconnu leur responsabilité devant l’ICO (points 1.6 décision British Airways et Marriott). Elles auraient annoncé leur intention de ne pas faire appel de la décision de l’ICO.




Les cyberattaques ne connaissent pas de frontières : Le réseau Lexing® vous informe

cyberattaques Comment lutter contre les cyberattaques ? est le thème du dernier numéro de « Lexing Insights » réalisé par les membres du réseau Lexing® (1).

Face aux cyberattaques de plus en plus nombreuses et massives, les failles de sécurité sont devenues une préoccupation majeure et incontournable des entreprises en France et dans tous les pays du monde. La société Google a annoncé intercepter chaque jour plus de 18 millions de courriers électroniques malveillants ou d’hameçonnage liés à la Covid-19.

  • Quel est l’arsenal juridique dont dispose les pays dans le monde pour lutter contre les cyberattaques ?
  • Quels sont les principaux vecteurs de la cybercriminalité ?
  • Comment réagir en cas de failles de sécurité ?
  • Le piratage éthique est-il légal ?

Par conséquent, il est vivement recommandé de se prémunir contre le risque cyber, aussi bien en se dotant d’outils informatiques performants qu’en étant très réactif en cas de failles de sécurité.

Pour Virginie Bensoussan-Brulé c’est donc : « dès la découverte d’une faille de sécurité, et préalablement à toute action contentieuse, que plusieurs actions doivent rapidement être mises en œuvre ».

La stratégie contre les cyberattaques

L’occasion selon Virginie Bensoussan-Brulé de lister et de commenter les actions à mener :

  • Identification et correction de la faille
  • Constitution d’un dossier de preuve technique.
  • Qualification juridique des faits
  • Dépôt de plainte
  • Plan média

Sans oublier surtout de vérifier sa police d’assurance pour s’assurer qu’elle couvre les risques informatiques.

Les membres du réseau Lexing® dressent un tableau de la situation actuelle en Afrique du Sud, Espagne, France, Grèce et Royaume-Uni.

Isabelle Pottier
Lexing Département Etudes et publications

(1) Lettre Juristendances Internationales Informatique et Télécoms n°26, Sept-Oct. 2020.




Impact de la directive et du règlement e-evidence sur les avocats

e-evidence sur les avocats

Virginie Bensoussan-Brulé et Cyrielle Girard-Berthet nous expliquent l’« Impact de la directive et du règlement e-evidence sur les avocats », un article paru dans le numéro 121 de juin 2020 de l’Observateur de Bruxelles (1), consacré au Droit pénal européen.

Le passage à l’ère du numérique a incontestablement entraîné une évolution de la criminalité et des moyens de lutte contre celle-ci.

Les délinquants ont rapidement perçu tout le potentiel des outils numériques. Les nouvelles technologies leur offrent de nouveaux moyens pour commettre des infractions et leur permettent de développer de nouvelles formes de fraudes, notamment informatiques.

Face à ce constat, les services d’enquête, les juridictions pénales, les législateurs français et européens ont dû rapidement mettre en place des contre-mesures efficaces et adaptées. Aujourd’hui près de 85 % des enquêtes pénales font intervenir des données numériques.

Impact de la règlementation e-evidence sur les avocats

Le Conseil européen a souligné la nécessité d’accélérer et de rendre plus efficaces les moyens permettant d’obtenir des preuves numériques (2) et préconise un meilleur accès aux preuves électroniques pour lutter contre la criminalité.

De leur côté, les Etats-Unis ont déjà adopté le « Cloud Act » (3) qui permet aux autorités américaines de requérir des fournisseurs de services ou des hébergeurs les données numériques qu’ils détiennent, même si celles-ci sont stockées à l’étranger, afin de les utiliser dans le cadre d’une procédure pénale.

La règlementation « e-evidence » va établir un cadre juridique stable et uniforme pour la gestion des preuves électroniques au niveau européen, permettant d’aboutir à une harmonisation globale des règles en la matière.

Le règlement e-evidence (4) s’appliquera directement dans tous les États membres, la directive e-evidence (5) nécessitera une transposition en droit interne afin d’harmoniser les règles relatives à la collecte des preuves électroniques en matière pénale dans les différents Etats membres.

Les avocats devront vérifier que les garanties légales dont bénéficient leurs clients ont bien été respectées au cours de la procédure. Mais avec la nouvelle réglementation e-evidence qui posera les bases d’une législation globale en matière de preuves numériques dans les procédures pénales, la procédure pour obtenir des preuves numériques sera considérablement simplifiée et raccourcie.

Virginie Bensoussan-Brulé
Avocat, Lexing Alain Bensoussan Avocats
Lexing Contentieux du numérique
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
Ecole Nationale de la Magistrature

(1) L’Observateur de Bruxelles, revue éditée par la Délégation des Barreaux de France, est une revue trimestrielle adressée aux avocats français ainsi qu’à un certain nombre d’institutions françaises et européennes.
(2) Conclusions sur l’amélioration de la justice pénale dans le cyberespace du 9-6-2016.
(3) « Vers l’adoption prochaine d’un Cloud act européen ? », par Éric Le Quellenec, site Alain-Bensoussan.com, 23-08-2018.
(4) Le projet de règlement e-evidence : Proposition de Règlement du Parlement européen et du Conseil relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, COM(2018) 225 final – 2018/0108(COD) du 17-4-2018.
(5) Le projet de directive e-evidence : Proposition de Directive du Parlement européen et du Conseil, établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale, COM/2018/226 final – 2018/0107 (COD) du 17-4-2018.




La neutralité du web menacée par le futur traité de l’ONU

neutralité du web Alain Bensoussan interviewé par 20 Minutes aborde les menaces qui pèsent sur la neutralité du web (1) à l’heure où l’ONU donne son feu vert à un projet de traité international de lutte contre la cybercriminalité.

La neutralité du web menacée par la lutte contre la cybercriminalité

L’Assemblée générale de l’ONU a adopté une résolution controversée prévoyant la rédaction d’un traité international sur la « Lutte contre l’utilisation des technologies de l’information et des communications à des fins criminelles » à l’horizon 2020 (2).

Un bon moyen, s’il est correctement appliqué, de réguler Internet face à la cybercriminalité et par exemple, les outils de manipulation de masse », explique à 20 Minutes l’avocat Alain Bensoussan.

La résolution rédigée par la Russie a été approuvée par l’organe mondial de 193 membres par 79 voix contre 60 et 33 abstentions pourrait restreindre l’utilisation d’internet et la liberté d’expression sur les réseaux sociaux.

Lutter contre les outils de manipulation de masse sans censurer

Le futur traité international de l’ONU risque de facilité la censure sur Internet par certains gouvernements.

Cette convention est une expérience qui marche bien à son échelle puisqu’elle permet de réguler un Internet libre. Cela ne paraît pas idiot de s’en servir comme base et de l’étendre à l’international en incluant d’autres infractions », souligne Alain Bensoussan.

En disant cela, il pense tout particulièrement à la lutte contre les outils de manipulation de masse tels les fakes news (3) :

Aujourd’hui, ils se multiplient et peuvent influer sur l’opinion. Ils sont de plus en plus faciles à utiliser et ont de plus en plus de portée ». 

Mais les dérives ne sont pas loin. Ce futur traité international de l’ONU risque de faciliter la censure sur Internet par certains gouvernements :

Il ne faut pas un système de censure, mais de régulation qui défende les valeurs de la France et l’Europe, avertit Alain Bensoussan. Les grands principes de notre siècle sont la liberté, la sécurité et la dignité. Je ne pense pas qu’il faille les opposer, mais plutôt trouver un centre de gravité entre les trois. » Selon lui, ce n’est pas tant le traité qui risque d’être problématique, mais surtout son application.

et de souligner qu’un texte n’a pas la même portée ou la même interprétation selon les institutions.

Selon Alain Bensoussan, « Il faudra des régulateurs et même un tribunal international de l’Internet pour surveiller et condamner les pays qui détourneraient le texte pour censurer ou entraver la liberté d’expression d’opposants ».

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

(1) Interview réalisée par Marie De Fournas, publiée sur 20minutes.fr le 30 décembre 2019.
(2) Résolution A/C.3/74/L.11/Rev.1, adoptée le 27 décembre 2019.
(3) Voir le post du 19 décembre 2019.




Formation au droit de la cybercriminalité

droit de la cybercriminalitéVirginie Brulé-Bensoussan et Marion Catier animent une formation pour Lamy Formation (Wolters Kluwer) sur le droit de la cybercriminalité le 17 juin 2019.

Elles dresseront un panorama des atteintes aux systèmes de traitement automatisés de données (STAD) et du vol d’informations avant d’évaluer quel plan d’actions mettre en oeuvre pour renforcer son dispositif de sécurité.

Panorama des infractions pénales

  • La notion de STAD
  • La notion de maître du système
  • La question de la protection du STAD
  • L’accès frauduleux
  • Le maintien frauduleux
  • L’atteinte à l’intégrité du système
  • L’atteinte à l’intégrité des données
  • L’association de malfaiteurs informatiques
  • La détention d’un programme informatique conçu pour commettre une atteinte à un STAD
  • La tentative
  • le vol d’information

Les actions à mettre en oeuvre suite à une attaque informatique

  • Dépôt de plainte
  • Déclaration de sinistre
  • Plan de communication interne et externe
  • Mise en situation : rédaction d’un plan média

Les mesures à mettre en place pour prévenir les attaques informatiques

Les principales mesures consistent à sécuriser le SI contre les risques externes mais également contre les risques internes à l’aide d’outils adaptés :

  • Charte des moyens informatiques et des outils numériques
  • Charte des administrateurs
  • Charte des tiers

La notification de violations de données

En cas de violation de données, il existe deux types de notification à faire : à la Cnil et à l’Anssi.

Devant la Cnil, il s’agit de faire des notifications initiale et complémentaire et d’informer les personnes concernées par les violations de données.

Devant l’Anssi (Agence nationale de la sécurité des systèmes d’information), les notifications devront être faites par :

  • les organismes d’importance vitale (OIV)
  • les organismes de service essentiel (OSE)
  • les fournisseurs de service numérique (FSN)

Télécharger la fiche thématique : Droit de la cybercriminalité

Pour la formation « Droit de la cybercriminalité », s’inscrire auprès des éditions Wolter Kluwer




Phishing : la négligence grave de la victime révélant ses données

négligence graveLa Cour de cassation se prononce sur la négligence grave du client d’une banque dans la garde de ses données bancaires (1).

Le client d’une banque a été victime d’une opération de phishing (hameçonnage) et a dévoilé, à cette occasion, l’ensemble de ses coordonnées bancaires. Le logo, utilisé pour induire en erreur la victime, était parfaitement imité. En revanche, il existait des indices susceptibles de créer un doute sur l’origine des courriels, notamment des fautes d’orthographe et des changements d’adresse internet. Suite à cette opération de phishing, 7.000 euros ont été débités des comptes de la victime.

Invoquant le caractère frauduleux des paiements et virements effectués, celle-ci a demandé à sa banque de lui rembourser les sommes correspondantes. Cette dernière a refusé, arguant de la négligence grave de son client dans la garde et la conservation de ses données bancaires.

Par un arrêt rendu le 19 avril 2016, la Cour d’appel d’Amiens a jugé que le fait, pour un client normalement attentif, de n’avoir pas perçu les indices propres à faire douter de la provenance des messages reçus lors de l’opération de phishing, n’était pas constitutif d’une négligence grave. La banque en cause s’est pourvue en cassation contre cet arrêt.

La charge de la preuve de la négligence grave repose sur le prestataire

Par un arrêt du 28 mars 2018 (1), la chambre commerciale de la Cour de cassation a tout d’abord jugé que, s’il appartenait à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, sur le fondement des articles L. 133-16 et L. 133-17 du Code monétaire et financier, la charge de la preuve de la méconnaissance, intentionnelle ou résultant d’une négligence grave, de cette obligation reposait sur le prestataire de services de paiement, sur le fondement des articles L. 133-19 et L. 133-23 du code précité.

La négligence grave caractérisable par la provenance douteuse du courrier électronique

La chambre commerciale a ensuite jugé, dans un attendu de principe, que manquait, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communiquait les données personnelles de ce dispositif en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance. Elle a ajouté que peu importait que cet utilisateur ait été ou non avisé des risques de phishing.

Dès lors, la cour a annulé l’arrêt frappé de pourvoi et a renvoyé l’affaire devant la cour d’appel de Rouen.

Cet arrêt s’inscrit dans la droite lignée de la jurisprudence de la Cour de cassation qui tend à renforcer l’obligation incombant aux utilisateurs de préserver la sécurité de leurs données de sécurité personnalisées (2), dans un contexte d’augmentation croissante des opérations de phishing.

Raphaël Liotier
Lexing Contentieux numérique – Presse et pénal

(1) Cass. com. 28-03-2018 n° 16-20.018
(2) Cass. com. 25-10-2017 n° 16-11.644




Livre blanc Cyberdéfense 2018

Dans le prolongement de la résolution du Parlement européen du 13 juin 2018 sur la cyberdéfense, le Livre blanc réalisé par le cabinet Lexing Alain Bensoussan Avocats présente une analyse des réponses en matière de réglementation sur la cybercriminalité sur un échantillon de 30 pays répartis sur 5 continents.

RGPD : Livre blanc 2018 Cybersécurité, cyberdéfense et cybercriminalité




Europe : une nouvelle résolution sur la cyberdéfense a été adoptée

résolution sur la cyberdéfense

La résolution sur la cyberdéfense met en avant la nécessité pour les pays de l’UE de coopérer face aux cyberattaques (1).

Une cyberdéfense et cyberdissuasion crédibles garantissant une cybersécurité effective dans l’UE.

Le parlement européen dresse le constat que l’Union et les États membres sont confrontés à une menace sans précédent prenant la forme de cyberattaques politiques d’État ainsi que de cybercriminalité et de terrorisme. Il en résulte que les défis, les attaques informatiques et hybrides constituent une menace importante pour la sécurité, la défense, la stabilité et la compétitivité de l’Union, de ses État membres et de ses citoyens.

Le parlement européen rappelle que si la cyberdéfense demeure une compétence clé des États membres, l’Union européenne a néanmoins un rôle vital à jouer pour veiller à ce que les nouveaux efforts soient étroitement coordonnés au niveau international et dans le cadre de l’architecture de sécurité transatlantique et ce dès le début afin d’éviter les faiblesses et l’inefficacité qui caractérisent les projets de défense classiques.

Le parlement rappelle que les vulnérabilités actuelles s’expliquent principalement par la fragmentation des stratégies et des capacités de défense au niveau européen qui ouvre une brèche et permet aux agences de renseignement étrangères d’exploiter régulièrement les failles de sécurité des systèmes et réseaux informatiques essentiels à la sécurité.

L’un des principaux rôles de l’Union européenne est d’offrir une plateforme de coopération européenne aux pays de l’UE pour que les efforts en matière de cyberdéfense puissent être coordonnés.

Le parlement européen considère que de nombreux cyberincidents sont imputables à un défaut de résistance et de robustesse des infrastructures de réseau privées et publiques, comme, par exemple, des bases de données mal protégées ou mal sécurisées.

La complémentarité de la clause de défense mutuelle du traité sur l’UE et de la clause de solidarité du traité sur le fonctionnement de l’UE

La clause de défense mutuelle de l’article 42, paragraphe 7, du Traité sur l’Union européenne prévoit que les États membres se doivent mutuellement aide et assistance par tous les moyens en leur pouvoir en cas d’agression armée sur le territoire d’un État membre.

La clause de l’article 222 du Traité sur le fonctionnement de l’Union européenne complète la clause de défense mutuelle en prévoyant que les États membres de l’Union sont tenus d’agir conjointement lorsque l’un d’eux est victime d’une attaque terroriste ou d’une catastrophe naturelle ou d’origine humaine.

Le parlement précise que la clause de défense mutuelle et la clause de solidarité se complètent et que la clause de solidarité implique le recours à des structures civiles et militaires.

Le développement de cybertechnologies et les conséquences sur d’autres domaines

Dans sa résolution sur la cyberdéfense, le Parlement européen souligne le développement de cybertechnologies et les conséquences de ce développement dans des domaines tels que l’intelligence artificielle, l’internet des objets, la robotique ou les appareils mobiles et par extension sur le plan de la sécurité pour la défense.

Plusieurs axes relatifs à la cyberdéfense sont présentés par le Parlement européen. Il pourra être retenu les axes suivants :

  • une coopération renforcée ;
  • une meilleur prévention et réaction aux cyberattaques ;
  • la création d’une équipe européenne d’intervention rapide ;
  • l’application de normes internationale en matière de cyberdéfense.

Coopération renforcée en matière de cyberdéfense

Le parlement rappelle qu’une coopération entre les parties prenantes militaires et civiles est capitale en matière de cyberdéfense.

Il est également convaincu par l’importance de renforcer la coopération entre l’Union européenne et l’Otan en matière de cyberdéfense afin de prévenir, de détecter et de dissuader les cyberattaques.

Meilleur prévention et réaction aux cyberattaques

Le parlement précise que les Etats membres de l’UE devraient informer, sensibiliser et conseiller d’une manière adéquate et proactive les entreprises, les écoles et les citoyens au sujet de la cybersécurité et des principales menaces numériques.

La résolution sur la cyberdéfense indique également qu’il est recommandé par le parlement l’intensification des échanges dans les domaines de la sensibilisation aux cyberincidents grâce à des exercices de simulation informatique.

Création d’une équipe européenne d’intervention rapide

Deux cyberprojets ont été retenus dans cette résolution sur la cyberdéfense :

  • une plateforme d’échange d’information sur les cyberincidents ;
  • la création d’équipes d’intervention rapide en matière de cybersécurité et la mise en place d’une assistance mutuelle en matière de cybersécurité.

L’équipe d’intervention rapide serait chargée de coordonner, de détecter et de contrer les cybermenaces collectives.

Application de normes internationale en matière de cyberdéfense

Le parlement fait observer que pour obtenir des modalités d’application du droit international en vigueur dans le cyberespace, il serait pertinent de se baser sur le manuel de Tallinn 2.0. Ces modalités pourraient, toujours selon le parlement, s’étendre à de futures normes internationales.

Le parlement soutient la mise en œuvre de normes volontaires non contraignantes de comportement responsable des Etats membres de l’UE dans le cyberespace.

Enfin la résolution sur la cyberdéfense présente une recommandation relative à l’obligation d’assistance entre Etats membres de l’UE dans le cadre d’une cyberattaque afin d’assurer une cyber-responsabilité nationale en étroite coopération avec l’Otan.

Livre blanc cybersécurité, cyberdéfense & cybercriminalité

Dans le prolongement de cette récente résolution sur la cyberdéfense du parlement européen, le Livre blanc réalisé par le cabinet Lexing Alain Bensoussan Avocats présente une analyse des réponses en matière de réglementation sur la cybercriminalité sur un échantillon de 30 pays répartis sur 5 continents.

Ce livre blanc est disponible en version numérique pour téléchargement sur notre site ici.

Didier Gazagne
Audrey Jouhanet
Lexing Défense et sécurité

(1) Résolution du Parlement européen du 13 juin 2018 sur la cyberdéfense.
(2) Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations
(3) Livre blanc cybersécurité, cyberdéfense & cybercriminalité – Alain Bensoussan Avocats




Adoption du projet de loi contre le cyber-harcèlement de groupe

cyber-harcèlement de groupeL’Assemblée nationale adopte, au sein du projet de loi contre les violences sexistes, le cyber-harcèlement de groupe. Le projet prévoit de modifier les conditions de constitution de l’infraction de harcèlement afin de permettre la répression d’actes uniques, exercés par plusieurs personnes.

La condition de répétition des actes de harcèlement

Actuellement, le harcèlement moral ou sexuel ne peut être réprimé que s’il est constitué de plusieurs actes répétés par un seul individu. Le texte d’incrimination ne permet donc pas de saisir les comportements exercés par un groupe de personnes si chacune des personnes ne commet pas des actes répétés de harcèlement.

La possibilité de réprimer le cyber-harcèlement lorsqu’un acte unique est exercé par plusieurs personnes

Dans la nuit du 9 au 10 mai 2018, les députés de la Commission des lois ont adopté un projet de loi contre les violences sexistes. Dans ce projet, il est prévu de modifier les conditions d’incrimination du harcèlement, tant sexuel que moral, permettant alors de réprimer les cas de cyber-harcèlement de groupe. Aux termes du projet, le harcèlement pourrait alors être constitué lorsqu’un groupe d’individus agit de façon concertée, même si chaque membre du groupe n’accomplit qu’un seul acte. La condition de répétition n’est donc plus prise en compte par rapport à l’auteur des faits, mais par rapport à la victime du harcèlement.

Le harcèlement de groupe non cantonné à internet

Ce projet de modification des conditions de l’incrimination du harcèlement vise à encadrer le phénomène qualifié par le gouvernement de «raids numériques». Il s’agit de réprimer les auteurs de messages sexistes ou haineux sur internet, messages qui, en s’accumulant, peuvent constituer un véritable cyber-harcèlement pour la personne qui en est destinataire.

Cependant, l’élargissement des conditions du harcèlement ne se limite pas à une application sur internet. En effet, le texte tel qu’il a été rédigé a également pour ambition de saisir les comportements de harcèlement hors internet, et notamment au travail, lorsque plusieurs individus agissent de façon concertée contre une seule personne, quand bien même certains d’entre eux ne commettent qu’un unique acte.

Le gouvernement espère par ce biais faciliter les plaintes pour harcèlement afin que ce type de comportement ne puisse pas rester impuni en France.

Chloé Legris
Lexing Pénal numérique
(1) Projet de loi renforçant la lutte contre les violences sexuelles et sexistes, Dossier légilsatif à l’Assemblée nationale.




Fake or not fake : la lutte contre les fausses informations

fausses informationsL’actualité récente pendant les périodes électorales révèle la nécessité de légiférer contre les fausses informations.

Un Tweet, un reTweet, ça y est la rumeur est lancée… La diffusion massive des fausses informations représente un enjeu sociétal majeur. La proposition de loi relative à la lutte contre les fausses informations du 21 mars 2018 [1] prévoit de nouvelles obligations à la charge des plateformes et une nouvelle action en référé.

L’arsenal juridique existant

Pour lutter contre les fausses informations, plusieurs textes spéciaux existent déjà, notamment :

De nouveaux outils contre les fausses informations pendant la période électorale

L’objectif de la proposition de loi relative à la lutte contre les fausses informations est clair : fournir des outils efficaces pour lutter contre d’éventuelles opérations de déstabilisation par la diffusion massive de fausses nouvelles qui pourraient survenir lors d’échéances électorales.

En amont : des nouvelles obligations pour les plateformes en ligne

La proposition de loi relative à la lutte contre les fausses informations prévoit d’imposer aux plateformes des obligations de transparence renforcées.

Une nouvelle infraction est ainsi prévue par l’article L. 163-1 du Code électoral et incriminée par l’article L. 112 dudit Code.

Pendant la période de convocation des électeurs et jusqu’à la fin des opérations de vote, « les opérateurs de plateforme en ligne au sens de l’article L. 111-7 du code de la consommation dont l’activité dépasse un seuil de nombre de connexions sur le territoire français », seront tenus à de nouvelles obligations. Au nombre de ces obligations figurent les obligations de :

  • donner à l’utilisateur une information loyale, claire et transparente sur l’identité et la qualité de le personne qui verse à la plateforme des rémunérations en contrepartie de la promotion de contenus d’information ;
  • rendre public le montant des rémunérations reçues en contrepartie de la promotion de contenus d’information et l’identité des personnes desquelles elles les ont reçues dépassant un montant dont le seuil est fixé par décret.

Ces nouvelles obligations spécifiques à la lutte contre les fausses informations en période électorale, viendraient ainsi compléter les dispositions de droit commun de l’article L. 111-7 du Code de la consommation imposant aux opérateurs de plateformes en ligne une obligation de loyauté à destination des consommateurs.

En aval : une nouvelle action en référé

Une fois les fausses informations propagées, la seule option reste la saisine d’un juge. A cet égard, l’article 1er de la proposition de loi relative à la lutte contre les fausses informations prévoit d’introduire une nouvelle action en référé.

Limitée aux périodes pré-électorale et électorale, cette action introduite à l’article L. 163-2 du Code électoral ne pourra être engagée que devant le Tribunal de grande instance de Paris. En effet, au regard du caractère national de l’influence d’une diffusion massive de fausses informations, ce dernier aura une compétence exclusive.

L’objet de cette action se restreindrait aux faits constituant des fausses informations de nature à altérer la sincérité du scrutin à venir, diffusées en ligne de manière à la fois massive et artificielle. Il a été précisé qu’« artificielle » devait notamment s’entendre comme signifiant « par le biais de contenus sponsorisés ou promus au moyen d’outils automatisés autrement appelés bots ».

Le juge saisi en référé devra se prononcer dans un délai de 48 heures et pourra ordonner toutes les mesures aux fins de faire cesser cette diffusion, telles que :

  • le déréférencement du site ;
  • le retrait du contenu en cause ;
  • l’interdiction de sa remise en ligne ;
  • la fermeture du compte d’un utilisateur ayant contribué de manière répétée à la diffusion de ce contenu ;
  • ou encore, le blocage d’accès au site internet.

Des obligations renforcées pour les plateformes en ligne hors période électorale

Hors période électorale, la proposition de loi relative à la lutte contre les fausses informations prévoit une modification de la loi pour la confiance dans l’économie numérique du 21 juin 2004 pour étendre le devoir de coopération des plateformes.

En effet, les plateformes numériques auront pour obligation de :

  • mettre en place « un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance ce type d’informations » s’ajoutant à leur obligation existante de « notice and take down » ;
  • informer « promptement les autorités publiques compétentes de toute activité de diffusion de ces fausses informations » et « de rendre publics les moyens qu’elles consacrent à la lutte contre les diffusions de fausses informations ».

Conclusion

La problématique des fausses informations pendant et hors périodes électorales conduit à une nécessaire conciliation entre liberté d’expression, liberté du commerce et de l’industrie, droit à l’information et préservation de la sincérité du scrutin. Reste à voir comment le texte évoluera au fil de la procédure parlementaire…

Lexing Alain Bensoussan Avocats
Lexing Contentieux numérique

(1) Proposition relative à la lutte contre les fausses informations enregistrée à l’Assemblée nationale le 21 mars 2018.




Un plan contre le racisme qui cible en priorité les contenus haineux

plan contre le racismeVirginie Bensoussan-Brulé était l’invitée de Europe1 le 19 mars 2018 pour évoquer le nouveau plan contre le racisme sur internet.

Le gouvernement a annoncé de nouvelles mesures pour permettre des enquêtes plus rapides et plus efficaces notamment le renforcement des compétences et des effectifs de la plateforme de signalement en ligne Pharos et la possibilité de « permettre l’enquête sous pseudonyme ».

Il explore également d’autres pistes… Interviewée par , Virginie Bensoussan-Brulé commente quelques unes de ces pistes (1).

Des moyens d’investigation plus importants ?

Pour Pharos, « effectifs », c’est effectivement le mot-clé, selon Virginie Bensoussan-Brulé, avocate spécialisée en droit pénal numérique et droit de la presse électronique et qui dirige le département Contentieux numérique du cabinet Lexing Alain Bensoussan Avocats.

Début 2016, cette cellule était composée de 25 agents, chargés de traiter près de 200 000 signalements, couvrant aussi bien l’incitation à la haine raciale que la pédopornographie, l’escroquerie ou l’apologie du terrorisme. Renforcer Pharos est donc indispensable.

Alourdir les amendes comme en Allemagne ?

« Une amende à l’allemande, ça oblige effectivement à changer les textes », précise Virginie Bensoussan-Brulé. Actuellement, les hébergeurs deviennent responsables d’un contenu dès lors qu’il leur a été signalé et n’a pas été « promptement » supprimé. Ils endossent alors la responsabilité en lieu et place de l’auteur du contenu.

« En l’espèce, on passerait du délit d’incitation à la haine raciale, à une peine pour ne pas avoir supprimé un contenu, qui n’existe pas dans la loi », explique l’avocate. Qui plaide, elle, pour un montant suffisamment « dissuasif ».

Un statut spécifique pour les réseaux sociaux ?

Aujourd’hui, les sociétés comme Facebook ou Twitter ont la double casquette « hébergeur-éditeur », confirme Virginie Bensoussan-Brulé. Et l’avocate de préciser qu’« Elles sont hébergeurs, mais dès lors qu’elles ont eu connaissance de contenus manifestement illicites et qu’elles ne l’ont pas supprimé suffisamment rapidement, leur responsabilité devient celle d’un éditeur. Le cadre juridique actuel permet donc déjà d’obtenir dans les plus brefs délais la suppression de contenus illicites, et à sa connaissance, les sociétés coopèrent. Mais il reste des failles, notamment en raison du nombre de contenus ».

Selon l’avocate, il faudra d’avantage renforcer les moyens, notamment le développement de filtres plus efficaces car « l’objectif, c’est que les contenus illicites ne soient jamais publiés ».

Une représentation juridique en France ?

« Pratiquement toutes les sociétés concernées ont des filiales  en France, mais juridiquement, elles ne s’occupent pas des contenus, seulement du marketing », explique Virginie Bensoussan-Brulé. Conséquence : pour signaler un contenu, au-delà du simple bouton présent sur les sites, dans le cadre d’une décision de justice par exemple, inutile de se tourner ces structures. Il faut solliciter l’un des sièges, qui se trouvent le plus souvent Etats-Unis ou en Irlande. « Cette mesure serait donc une bonne chose », estime l’avocate qui tempère : « Mais je ne sais pas si on peut les obliger ».

Isabelle Pottier
Directeur Études et Publications

(1) « Contre la « cyberhaine », le gouvernement a-t-il les moyens de ses ambitions ? », Virginie Bensoussan-Brulé interviewée par Rémi Duchemin, Europe1, le 19 mars 2018.




Cyberattaques : s’assurer est-elle la meilleure solution ?

Cyberattaques : s'assurer est-elle la meilleure solution ?Alain Bensoussan est interrogé par Challenges sur l’opportunité de s’assurer contre les cyberattaques.

« Cyberattaques : pourquoi s’assurer n’est pas la meilleure solution »

C’est un titre assez provocateur qu’a choisi le site d’information Challenges.fr pour traiter des risques de cybercriminalité. Alain Bensoussan répond aux questions d’Astrid Landon sur la problématique assurantielle face au caractère exponentiel des cyberattaques.

Les questions que se posent les entreprises sont tout-à-fait légitimes. Ainsi, va-t-on se diriger vers des assurances qui ne couvriraient que la moitié du risque ? Les risques devenant plus coûteux, cela entraînera-t-il une hausse des prix telle que les entreprises ne pourront plus s’assurer contre les cyberattaques ? De même, l’assurance est-elle vraiment nécessaire lorsqu’une cyberprotection solide est installée en amont ? Plus simplement, la cyberassurance est-elle la meilleure solution à la cyberattaque ?

Les coûts assurantiels sont tels que bon nombre d’entreprises en arrivent à la conclusion que s’assurer n’est pas forcément la meilleure solution.

La problématique assurantielle

Sur ces questions, l’Europe accuse un sérieux retard par rapport aux Etats-Unis où la cyber-assurance a vu le jour dès 1998.

Un retard qu’il va bien falloir combler avec l’entrée en application le 25 mai 2018 du règlement européen sur la protection des données personnelles (RGPD). Cette réforme du cadre européen de la protection des données va obliger les professionnels à augmenter leur niveau de cybersécurité.

En conclusion, Alain Bensoussan rappelle qu’en France, la cyberdélinquance est de plus en plus présente.

« Les technologies d’attaques sont disponibles en ligne ou sur le dark web. L’article 32 du RGPD oblige à mettre en place des systèmes de sécurité pour protéger les données personnelles. Quant à l’article 33, il contraint dorénavant à notifier à la Cnil les failles de sécurité », précise Alain Bensoussan.

En effet, s’ils ne suivent pas les nouvelles directives, les grands groupes pourront être lourdement condamnés. Les amendes représentent jusqu’à 4 % de leur chiffre d’affaires ou 20 millions d’euros.
(…)

Isabelle Pottier
Directrice Études et Publications

Interview de Alain Bensoussan par Astrid Landon, « Cyberattaques: pourquoi s’assurer n’est pas la meilleure solution », parue dans Challenges.fr le 23 juillet 2017.




La cyberattaque sans précédent par le ransomware Wannacry

ransomware WannacryLe ransomware Wannacry s’est répandu dans le monde entier le 12 mai 2017 donnant lieu à une cyberattaque massive. Le ransomware Wannacry exploite une faille dans les systèmes Windows apparue en mars dernier. Cette faille avait été identifiée par la NSA et réparée par Microsoft quelques jours plus tard, le 14 mars 2017.

Utilisateurs concernés par la cyberattaque

Cependant, ce correctif n’a été fourni que pour les versions les plus récentes de Windows. Ainsi, le ransomware a principalement infecté les PC tournant sur d’anciennes versions de Windows, notamment Windows XP, qui n’est plus mis à jour par Microsoft.

De même, il a touché les personnes et entreprises ayant des versions plus récentes de Windows mais qui n’ont pas installé le correctif mis à leur disposition par Microsoft en mars.

Dans ce cas, ce sont donc notamment les personnes et entreprises qui ont été négligentes qui ont été touchées par la cyberattaque. En conséquence, il y a un risque que leur assurance ne couvre pas le dommage subi.

Mode d’infiltration du ransomware Wannacry

C’est par une vaste campagne de phishing par e-mail que le ransomware s’est retrouvé dans de nombreux PC. Les victimes ont en effet reçu un e-mail accompagné d’un fichier PDF et c’est en téléchargeant cette pièce jointe que le ransomware Wannacry a pu s’installer dans leur PC.

Une fois installé, le ransomware a bloqué l’accès aux fichiers et exigé une rançon d’une centaine de dollars pour rendre sa liberté au système. Il s’est rapidement propagé et en quelques jours a touché plus de 300 000 ordinateurs (1) dans 150 pays différents (2).

Recommandations

La première mesure préventive contre les cyberattaques, conseillée par l’Agence nationale de la sécurité des systèmes d’information (Anssi), c’est « de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l’ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d’apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d’exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle » (3).

De plus, l’Anssi recommande d’effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs).

Il convient également d’installer une passerelle antivirus de nouvelle génération qui puisse détecter les ransomwares et de la mettre à jour. En effet, les anciennes générations d’antivirus ne sont plus assez protectrices.

En outre, il est nécessaire d’avoir à disposition une solution de protection contre les menaces avancées, appelées APT ou « zero day », capables d’identifier les malwares temporairement non détectables par les passerelles antivirus.

Enifn, la mise en place de politiques de sécurité strictement mises à jour sur tout le périmètre des réseaux d’entreprise – un seul poste vulnérable suffit pour diffuser un malware tel que WannaCry – est devenue indispensable.

Attaque liée au ransomware Wannacry

Si la propagation du ransomware Wannacry a été maîtrisée grâce à un jeune chercheur, il est indispensable de rester vigilant. En effet, selon certains journalistes (4), une nouvelle attaque appelée Adylkuzz, liée à Wannacry, serait en train d’avoir lieu et serait de bien plus grande envergure dans le but de créer et récupérer de la monnaie virtuelle à l’insu des utilisateurs.

Virginie Bensoussan Brûlé
Lexing Contentieux numérique

(1) « Ransomware : le nettoyage se poursuit après le chaos WannaCry », ZDNet France, ‎ 18-5-2017.
(2) « WannaCry : Le ransomware planétaire encore prêt à frapper », Le Monde Informatique, 15-5-2017.
(3) Bulletin d’alerte du Cert-fr du 14-5-2017.
(4) Site Harmonie technologie,  « WannaCry, Adylkuzz – Décryptage de ces cyber attaques », Harmonie technologie, 17-5-2017.

 




FOVI et fraude au Président : conseils et mises en garde

fraude au PrésidentDepuis 2010, la fraude au Président a fait de nombreuses victimes, notamment parmi les entreprises françaises. Réalisée par téléphone et par courrier électronique, la fraude au Président, également appelée escroquerie aux faux ordres de virement international (FOVI), concerne les entreprises de toute taille et de tous les secteurs.

D’après le site internet de la Police nationale, la fraude au Président « consiste pour des escrocs à convaincre le collaborateur d’une entreprise d’effectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre du dirigeant, sous prétexte d’une dette à régler, de provision de contrat ou autre. (…) Souvent situés à l’étranger, les escrocs collectent en amont un maximum de renseignements sur l’entreprise. Cette connaissance de l’entreprise associée à un ton persuasif et convaincant est la clé de réussite de l’arnaque. L’opération est alors lancée sur les personnes capables d’opérer les virements (services comptables, trésorerie, secrétariat…) ».

Il est précisé sur le site internet de la Police nationale que « depuis l’apparition de ce nouveau type d’escroquerie en 2010, plusieurs centaines de faits ou de tentatives ont été recensées pour un préjudice global de 485 millions d’euros ». De plus, « en 5 ans, 2.300 plaintes ont été déposées, même si beaucoup d’entreprises n’osent pas par peur de mauvaise publicité ».

Les mesures de prévention contre la fraude au Président

Afin de se protéger contre la fraude au Président, il est conseillé de rappeler aux employés d’être prudents sur les réseaux sociaux et, en particulier, de ne pas y divulguer d’informations concernant le fonctionnement de l’entreprise. En outre, il convient de les sensibiliser, ainsi que leurs remplaçants, à l’existence de la fraude au Président, notamment pendant les périodes de congés scolaires, les jours fériés et les jours de paiement des loyers.

Par ailleurs, pour les paiements internationaux, il est recommandé de mettre en place des procédures de vérifications et de signatures multiples mais également de saisir soi-même l’adresse du demandeur d’ordre afin de rompre la chaîne des méls.

Enfin, il est indispensable de maintenir à jour le système de sécurité informatique.

L’identification de la fraude au Président

Il existe plusieurs signes qui peuvent révéler l’existence d’une attaque. Par exemple, une demande de virement à l’international, non planifiée, au caractère urgent et confidentiel, peut être suspecte. De même, une personne prétendant être un membre de la société ou un responsable et faisant usage de flatterie ou de menace pourrait en réalité être un escroc et se servir de cette ruse pour manipuler son interlocuteur. Il faut également se méfier de tout changement de coordonnées téléphoniques ou d’adresse de messagerie.

Les démarches à suivre en cas de fraude au Président

Dans un premier temps, il est nécessaire de constituer un dossier de preuve en conservant tous les messages qui ont été envoyés par l’escroc. Sur la base de ces éléments, il sera possible de qualifier juridiquement les faits et de les rattacher, soit au délit d’usurpation d’identité en ligne (Code pénal, art. 226-4-1), soit au délit d’escroquerie (Code pénal, art. 313-1).

Ensuite, si les fonds ont été versés, il convient de demander immédiatement à la banque le retour des fonds et de déposer plainte auprès du procureur de la République. Celui-ci diligentera une enquête préliminaire confiée aux services de police ou de gendarmerie spécialisés, c’est-à-dire à la Brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti), service de la Police Judiciaire dévolu aux infractions informatiques sur la région parisienne, ou à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), compétente sur tout le territoire français.

Ce dépôt de plainte doit avoir lieu rapidement : si le dépôt de plainte ne se fait pas dans les 24 heures du virement, les chances de récupérer les fonds diminuent considérablement.

Si les fonds n’ont pas été versés, il est essentiel de garder contact avec l’escroc et de rassembler un maximum d’informations sur son identité afin de permettre aux services d’enquête de le retrouver et d’éviter qu’il fasse d’autres victimes.

Chloé Legris
Lexing e-réputation




Faux comptes twitter, usurpation d’identité: les règles du jeu

Faux comptes twitter, usurpation d’identité: les règles du jeuInterrogée par Info Normandie, Marion Catier rappelle les règles applicables aux commentaires négatifs publiés par des étudiants via de faux comptes twitter.

Dans un article intitulé « Insultes, dérapages… À Rouen, ces faux comptes Twitter de lycées qui gênent l’Éducation nationale », le site d’information Info Normandie a relayé, le 10 mars 2017, dans ces termes, une information selon laquelle plusieurs proviseurs de l’agglomération Rouennaise avaient signalé la présence de faux comptes Twitter, reprenant l’identité de leurs établissements scolaires : « Plusieurs comptes reprenant l’identité des lycées de l’agglomération de Rouen fleurissent sur Twitter. Des dérapages racistes ont souvent lieu. Les auteurs risquent gros ».

L’occasion, pour Marion Catier, responsable d’activité au sein du Pôle Contentieux numérique au sein du cabinet Alain Bensoussan Avocats Lexing, de rappeler les limites à la liberté d’expression et surtout les règles applicables à de tels comportements délictuels : « Sur Internet, les règles de droit commun s’appliquent, mais «d’autres outils juridiques permettent d’adapter ces lois à Internet », précise Marion Catier. Et de poursuivre : « La loi de 2004 pour la confiance dans l’économie numérique permet de demander à Facebook et Twitter d’obtenir l’adresse IP de connexion et ensuite d’exiger du fournisseur les coordonnées de l’utilisateur du compte ». Sous couvert de l’anonymat, les internautes se sentent protégés, mais ce n’est pas le cas. Marion Catier affirme utiliser régulièrement cette procédure « très efficace ».

En droit pénal, les auteurs d’injures ou insultes risquent jusqu’à un an d’emprisonnement et 45 000 euros d’amende, avec circonstances aggravantes. Pour usurpation d’identité en ligne, les administrateurs encourent jusqu’à un an de prison et 15 000 euros d’amende.

Interview de Marion Catier par Raphaël Tual pour Normandie-actu, « Insultes, dérapages…A Rouen, ces faux comptes Twitter de lycées qui gênent l’Education nationale », 10 mars 2017

Eric Bonnet
Directeur du Département Communication juridique




Non-assistance à personne en danger sur les réseaux sociaux

Non-assistance à personne en danger sur les réseaux sociaux

Que risquent les internautes en cas de non-assistance à personne en danger et omission de porter secours à la victime ?

A l’occasion d’un fait divers sordide qui a défrayé la chronique le week-end dernier aux Etats Unis, Chloé Legris, Directeur d’activité du département e-réputation et diffamation, rappelle pour L’Obs ce que risquent les internautes qui assistent à un crime ou un délit sans tenter de porter secours à la victime.

Comme le relate dans son article la journaliste Barbara Krief, la vidéo du viol collectif, filmé et diffusé en direct sur Facebook Live, d’une jeune Américaine de 15 ans vivant à Chicago, avait attiré jusqu’à 40 internautes en même temps, sans qu’aucun n’alerte ni la police ni le réseau social. La vidéo a finalement été supprimée à la demande de la police locale qui a arrêté un adolescent de 14 ans dans le cadre de son enquête, le dimanche 2 avril.

« Un délit » selon la loi, rappelle Chloé Legris : en effet, l’article 223-6 du Code pénal prévoit cinq ans d’emprisonnement et 75.000 euros d’amende pour « quiconque pouvant empêcher par son action immédiate, sans risque pour lui ou pour les tiers, soit un crime, soit un délit contre l’intégrité corporelle de la personne s’abstient volontairement de le faire ».

« Sur internet, il peut être difficile de différencier le vrai du faux. Certains ont donc parfois une hésitation avant d’appeler la police, de peur d’être pris pour des personnes qui confondent une vidéo de fiction avec la réalité. Dans certains cas, le doute n’est cependant pas permis, si la vidéo est explicite et que la victime se situe en France, comme le prévoit l’article 113-2-1 du Code pénal, l’assistance doit être portée », analyse Chloé Legris. « Même s’il y a un risque d’erreur, mieux vaut alerter. C’est une question de temps, mais les réseaux ne refusent jamais de supprimer une vidéo de ce type. D’où l’importance du signalement ».

Interview de Chloé Legris par Barbara Krief pour L’Obs, « Viol collectif sur Facebook Live : ce que risquent les internautes », 3 avril 2017

Eric Bonnet
Directeur du Département Communication juridique




Cyberpiratage : les obligations juridiques de l’entreprise

Cyberpiratage : les obligations juridiques de l’entrepriseCyberpiratage et obligations de l’entreprise piratée, thème présenté par Alain Bensoussan sur MyD-Business TV.

La guerre, au sens militaire du terme, atteint maintenant les grands médias. En prenant le contrôle d’une télévision et en communiquant à travers elle, nous avons la démonstration que la guerre en matière de cyberdéfense est nécessaire.

Toutefois, l’entreprise ne peut s’en sortir seule. Si demain cette cyberattaque est suivie par un détournement de fichier, par exemple les comptes clients, l’entreprise visée passerai de victime à accusée.

En effet, selon les lois « Informatique, fichiers et libertés » de par le monde, l’entreprise est considérée comme responsable de la sécurité de ses systèmes d’information et de ses fichiers : elle doit « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». L’entreprise doit tout mettre en oeuvre pour éviter la fraude informatique et le détournement de données à caractère personnel. Si le cyberpiratage a pu avoir lieu à cause d’une faille de sécurité, celle-ci doit être notifiée, pour l’heure, à l’autorité de régulation s’il s’agit d’un opérateur mais bientôt quelque soit l’entreprise en cause, et prévenir les personnes concernées surtout si la divulgation de mots de passe est en jeu.

Dans ce cas, le risque juridique à ne pas le faire est une condamnation civile mais aussi peut-être une condamnation pénale.

Cyberpiratage : les obligations juridiques de l’entreprise (MyD-Business TV d’Accenture)




Usurpation d’identité : défense et protection des entreprises

Usurpation d'identité : défense et protection des entreprisesAlain Bensoussan expose pour MyD-Business TV les moyens de défense des entreprises contre l’usurpation d’identité.

Quelles sont les voies de recours à disposition des entreprises victimes d’atteintes à leur identité ou leur réputation ? Quels sont les outils d’alerte et de surveillance à mettre en oeuvre en interne ?

L’usurpation d’identité se conjugue très souvent avec les problématiques d’e-réputation. Elle relève d’un texte particulier du Code pénal, l’article 226-4-1. Toute personnes, physique ou morale, qui voit son identité détournée peut agir en justice en vertu du préjudice subi.

L’entreprise victime d’une usurpation d’identité voit très souvent sont image, ses produits, son honneur, sa réputation mises en cause. L’atteinte à l’honneur ou à la considération ouvre à la victime l’action en diffamation ou injure, sous réserve de disposer de la preuve dans le délai requis.

Preuve. Une copie imprimée d’un écran n’est pas opérationnelle. Pour prétendre qu’il y a eu diffamation, injure ou atteinte à la réputation, l’entreprise doit obligatoirement faire dresser un constat par un huissier de justice, dans des formes particulières et un délai déterminé.

Délai. Le délai pour agir en diffamation et injure est de trois mois à compter de la première publication et non de la date de prise de connaissance des faits litigieux. Il s’agit d’un délai impératif.

Système d’alerte et de surveillance. Sans outils d’alerte et de surveillance internes à l’entreprise, il sera impossible à cette dernière d’agir dans le délai imparti, les informations diffamatoires  ou injurieuses restant alors en ligne. Il est de l’intérêt de l’entreprise de surveiller le net : les sites web, Facebook, Twitter, mais aussi les réseaux sociaux. Gouverner dans le monde numérique, c’est contrôler son image et , consécutivement, surveiller l’ensemble des atteintes à son identité et à sa réputation.

Alain Bensoussan, MyD-Business TV, « L’usurpation d’identité nécessite un système d’alerte », janvier 2015




L’indispensable régulation du risque de pédopornographie virtuelle

L’indispensable régulation du risque de pédopornographie virtuelleLa pédopornographie virtuelle est nouvelle forme de pédopornographie qui se développe avec l’accès au monde virtuel. Après le développement de la cassette vidéo, du DVD, du streaming, de la 2D et de la 3D, la réalité virtuelle offre aujourd’hui un nouvel avenir à la pornographie avec tous les risques que cela comporte.L’industrie de la pornographie, aujourd’hui vieillissante, s’intéresse à cette technologie qui va lui permettre d’opérer une mutation technologique clé en offrant au spectateur la possibilité de s’intégrer dans un environnement et de s’immerger dans une scène de vie. Pour ce faire, les sociétés de production vont modifier leurs plans de cadrage et se positionner selon le point de vue de l’acteur. L’utilisateur du casque bénéficiera ainsi de la sensation du réel et sera au cœur de l’action du film ; il s’agit des vidéo POV (Point of View) et de la FOV (Field of View). La transposition du monde réel rend l’immersion plus intense que dans les jeux vidéo. Il s’agit de porno VR (virtual reality).

Sans qu’il soit encore question de participer au scénario via un avatar et des capteurs corporels comme dans les films futuristes, les entreprises spécialisées dans la pornographie virtuelle envisagent d’ajouter au casque de réalité virtuelle des sextoys connectés. Dans le même temps, se sont développés, notamment au Japon, des jeux pornographiques où le joueur doit customiser son ou sa futur(e) partenaire pour assouvir ses fantasmes et choisir un avatar le représentant. Le réalisme est assuré par la motion capture sur des personnes en chair et en os, permettant de faire des animations ultra-réalistes. A titre d’illustration, l’Oculus VR veut faire de son casque de réalité virtuelle une plateforme ouverte permettant le développement d’une multitude d’applications pornographiques (jeux et films). Aucun contrôle ne sera fait sur les logiciels mis sur cette plateforme.

Si le renouvellement de l’industrie pornographique est ainsi assuré, il emporte avec lui l’émergence de nouveaux risques. Ces avatars de type Second life et les acteurs réels de pornographie dans les applications et films ont parfois l’apparence de mineur. Une telle mise en scène des mineurs est-elle légale ? Quelle est la réglementation applicable en matière de pédopornographie virtuelle ? Les casques autorisant la pornographie sur leur plateforme, permettront-ils la diffusion de la pédopornographie virtuelle ? Au niveau international, il existe plusieurs instruments juridiques destinés à lutter contre la pornographie et la prostitution enfantine.

La Convention européenne sur la Cybercriminalité du 23 novembre 2001 signée à Budapest a été le premier texte à traiter en particulier des infractions liées à la criminalité informatique et notamment sur la pornographie enfantine et vise expressément les cas de pornographie apparente et virtuelle (§2 al b et c). Peu importe que le comportement soit réel ou simulé, ce critère n’est pas pris en considération dès lors que la représentation est celle d’un mineur.

Egalement, le Conseil de l’Europe dans sa décision-cadre 2004/68/JAI du Conseil du 22 décembre 2003 relative à la lutte contre l’exploitation sexuelle des enfants et la pédopornographie (1) s’alarme sur l’utilisation des technologies à des fins de pédopornographie : « la pédopornographie, forme particulièrement grave d’exploitation sexuelle des enfants, prend de l’ampleur et se propage par le biais de l’utilisation des nouvelles technologies et d’Internet ».

Pourtant, cette décision cadre met en place des cas d’exonération (1) permettant aux Etats membres de ne pas incriminer certaines formes de pédopornographie, comme c’était déjà le cas dans la Convention sur la cybercriminalité du Conseil de l’Europe, excluant une responsabilité pénale pour les faits suivants :

  • lorsqu’il s’agit d’une pornographie apparente, la personne en question a plus de 18 ans ;
  • lorsque des faits de production et de détention de matériel pornographique impliquent des enfants réels ou des personnes réelles paraissant être des enfants, ayant atteint l’âge de la majorité sexuelle lorsque ce matériel est produit et détenu avec leur accord et réservé à un usage privé ;
  • lorsqu’il s’agit de pornographie virtuelle, le matériel pornographique impliquant des enfants fictifs, est produit et détenu par le producteur uniquement pour son usage privé, dans la mesure où aucun matériel pornographique impliquant un enfant réel ou une personne réelle qui paraît être un enfant n’a été utilisé aux fins de la production, et à condition que cette action ne comporte aucun risque de diffusion du matériel.

La France n’a pas repris ces cas d’exclusion de responsabilité pénale et sanctionne au titre de la pédopornographie virtuelle l’« image virtuelle du mineur ou du mineur qui en a l’apparence » dans sa loi du 17 juin 1998 relative à la prévention et à la répression des infractions sexuelles ainsi qu’à la protection des mineurs (2). Le droit français renforce depuis son cadre répressif, faisant preuve de fermeté et de rigueur en matière d’infraction sexuelle à l’encontre des mineurs :

  • la loi du 4 mars 2002 relative à l’autorité parentale a renforcé dans le Code pénal les articles Art. 227-23 et 227-4 relatifs à la lutte contre la pornographie enfantine (3) ;
  • la loi du 5 mars 2007 relative à la prévention de la délinquance a renforcé les incriminations en matière de cybercriminalité (4) ;
  • la loi n° 2013-711 du 5 août 2013 (5) a transposé encore des dispositions portant transposition de la directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (6).

Depuis cette transposition, l’article 227-23 du Code pénal incrimine, notamment, « le fait, en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur lorsque cette image ou cette représentation présente un caractère pornographique est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende ».

En France, la représentation à caractère pédophile inclut ainsi les images, montages faits à partir de photographies d’enfants, mais aussi les images totalement virtuelles et les personnes aux allures de mineur.

Ce n’est pas la position adoptée aux Etats-Unis. En effet, le 16 avril 2002, la Cour suprême des Etats-Unis a déclaré inconstitutionnel le Child Pornography Prevention Act de 1996 qui prévoyait des peines de prison de 5 à 15 ans pour les possesseurs et les diffuseurs d’images d’enfants ayant des relations sexuelles, réalisées avec des mineurs réels ou virtuels, c’est à dire à partir d’images de synthèse créées par ordinateur, ou même avec des adultes ayant l’air d’enfants.

Cette inconstitutionnalité a été déclarée sur le fondement du principe de la liberté d’expression qui est défendue dans la Constitution américaine par le Premier amendement. De plus, cette loi faisant référence à la notion de « pornographie enfantine virtuelle » a été considérée « trop vague » et «inadaptée à l’évolution de la technologie ». Les juges de la Cour suprême ont précisé que la production d’images virtuelles n’implique pas directement les enfants quand elles sont réalisées grâce à un ordinateur. Selon eux, il n’y a aucun préjudice puisqu’aucun réel enfant n’est abusé.

Se posera dès lors une problématique de filtrage des applications de réalité virtuelle proposant des contenus qui, au regard de la législation française, seront considérées comme relevant de la pédopornographie. Les éditeurs d’applications pornographiques qui proviendront principalement des Etats-Unis devront prendre toutes les mesures techniques nécessaires pour interdire leur diffusion et leur exploitation sur le territoire français. Puisque les plateformes de réalité virtuelle sont ouvertes et que cette technologie est utilisée notamment par l’industrie du X, il serait nécessaire de rédiger une charte éthique ou un code de bonnes pratiques pour encadrer l’utilisation de ses applications à destination uniquement d’un public adulte afin de protéger l’enfant et d’interdire les contenus pédophiles et la pornographie mettant en scène des mineurs.

L’Association Droit des Robots (ADDR) a, pour ce faire ouvert, constitué un groupe de travail spécifique au sein de la Commission Réalité Virtuelle, œuvrant à l’élaboration de cette charte.

Marie Soulez
Lexing Contentieux Propriété intellectuelle

(1) Décision-cadre 2004/68/JAI du 22-12-2003.
(2) Loi n°98-468 du 17-6-1998.
(3) Loi n°2002-305 du 4-3-2002.
(4) Loi n°2007-297 du 5-3-2007.
(5) Loi n°2013-711 du 5-8-2013.
(6) Directive 2011/93/UE du 13-12-2011.




Comment réagir en cas de failles de sécurité ?

faillesQu’elles proviennent d’une erreur, d’une négligence ou de procédés illicites, les failles de sécurité représentent aujourd’hui l’une des préoccupations majeures des entreprises.

Les enjeux sont importants : piratage des systèmes de traitement automatisé de données (STAD), perte d’informations confidentielles et stratégiques, vol de données personnelles et lourds de conséquences sur le plan financier. A cet égard, l’entreprise victime devra vérifier sa police d’assurance pour vérifier si elle est couverte pour les risques informatiques.

Aussi, dès la découverte d’une faille de sécurité, et préalablement à toute action contentieuse, plusieurs actions doivent rapidement être mises en œuvre.

Identification et correction de la faille. En interne d’abord, il est recommandé au RSSI, au DSI, ou, le cas échéant, à la société d’expertise informatique, d’identifier la faille, de la corriger avant de mettre en place un audit de sécurité et de procéder aux mises à jour des procédures internes.

Constitution d’un dossier de preuve technique. Parallèlement, il est vivement conseillé au RSSI, au DSI ou à la société d’expertise informatique de réaliser un dossier de preuve technique, comprenant a minima un rapport d’incident et les logs de connexion aux serveurs.

Qualification juridique des faits. A l’appui de ces éléments, il sera ensuite possible de qualifier juridiquement les faits et de les rattacher notamment à l’une ou plusieurs des infractions suivantes :

  • accès frauduleux dans un STAD (art. 321-1 du Code pénal) ;
  • maintien frauduleux dans un STAD (art. 321-1 du Code pénal) ;
  • introduction frauduleuse de données dans un STAD (art. 323-3 du Code pénal) ;
  • extraction, détention, reproduction ou transmission de données dans un STAD (art. 323-3 du Code pénal, modifié par la loi n°2014-1353 du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme) ;
  • détention de programmes informatiques conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions (art. 323-3-1 du Code pénal) ;
  • association de malfaiteurs informatiques (art. 323-4 du Code pénal) ;
  • usurpation d’identité numérique (art. 226-4-1 du Code pénal) ;
  • escroquerie (art. 313-1 et 313-3 du Code pénal) ;
  • vol d’informations (art. 311-1 du Code pénal).

Dépôt de plainte. Une plainte devra être déposée auprès du procureur de la République territorialement compétent, qui diligentera une enquête préliminaire confiée aux services de police ou de gendarmerie spécialisés que sont :

  • la brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti), service de la Police Judiciaire dévolu aux infractions informatiques sur la région parisienne ;
  • la sous-direction de lutte contre la cybercriminalité relève de la Direction centrale de la police judiciaire (SDLC), compétente pour les attaques à l’encontre d’un système d’information situé à l’extérieur du périmètre d’intervention de la Befti ;
  • l’Office Central de Lutte Contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC), compétente sur tout le territoire français.

Notification à la Cnil. Si l’atteinte porte sur des traitements de données à caractère personnel mis en œuvre par une entreprise fournissant un service de communications électroniques (opérateurs de télécommunications, fournisseurs d’accès à internet), le responsable de traitement devra la notifier à la Cnil en application de l’article 34 bis de la loi Informatique et libertés, et ce sans délai à compter de la constatation de la violation. A la suite de cette notification, la Cnil pourra décider de procéder à une mission de contrôle, à l’issue de laquelle des recommandations (modification des durées de conservation, des mesures de sécurité, etc.) ou des sanctions pourront être prononcées (avertissement, sanction pécuniaire, etc.). Pour les autres organismes, privés ou publics, la notification de la violation des données personnelles n’est pas, à l’heure actuelle, obligatoire.

La Cnil pourra également, en cas de non-respect de l’obligation de sécurité de l’article 34 de la loi Informatique et libertés, dénoncer au procureur de la République les infractions à la loi Informatique et libertés, prévues aux articles 226-16 à 226-24 du Code pénal.

Plan médias. L’entreprise confrontée à une atteinte à son système informatique ayant conduit à une violation des données personnelles devra communiquer sur cet incident en interne et auprès de toutes personnes susceptibles de la solliciter (journalistes ou clients) et réagir très rapidement pour éviter toute diffusion d’information erronée ou inexacte, toute atteinte à sa réputation, ou encore mauvaise appréciation de l’impact de l’évènement sur son activité économique.

Si la répression des atteintes au système d’information a été largement renforcée par la loi 2014-1353 du 13 novembre 2014 introduisant le délit d’extraction de données dans un STAD et par l’arrêt « Bluetouff » de la Cour de cassation du 20 mai 2015 qui consacre le vol de données, la sécurisation du système d’information reste encore le meilleur moyen de lutter contre les failles de sécurité.

Lexing Alain Bensoussan Avocats
Lexing Droit pénal numérique




Cyberattaques : l’assurance Cyber Risques

Cyberattaques : l’assurance Cyber RisquesFace aux cyberattaques de plus en plus nombreuses et massives, la sécurité des réseaux et de l’information est devenue l’une des préoccupations majeures des entreprises en France et dans tous les pays du monde.

Les enjeux sont importants : piratage des systèmes de traitement automatisé de données (STAD), usurpation d’identité, perte d’informations confidentielles et stratégiques, pertes de marchés, vol de données personnelles, e-réputation etc. et lourds de conséquences sur le plan financier.

En 2014, selon une étude menée par le groupe PwC, le nombre de cyber-attaques recensées a augmenté de « 48 % dans le monde pour atteindre un nombre total de 42,8 millions, soit l’équivalent de 117 339 attaques par jour. Depuis 2009, les incidents détectés ont progressé de 66 % en moyenne par an ».

Paradoxalement, malgré l’augmentation des cyberattaques et du coût annuel moyen attribué aux incidents de cybersécurité, qui a atteint 2,7 millions de dollars en 2014, les budgets de cybersécurité sont en baisse avec un budget moyen de 4,1 millions de dollars, soit 4% de moins par rapport à 2013.

Les acteurs du secteur des assurances le constatent : les assurances de dommage spécialisées dans la couverture de risques informatiques, bien que très variées et très attractives, ne rencontrent encore que peu de succès et leur souscription reste marginale en partie du fait d’une prise de conscience encore insuffisante des risques, et des difficultés pour les entreprises de définir leur besoin face aux risques cyber.

A ce jour, les assureurs proposent majoritairement des polices « tous risques informatiques » énumérant les risques garantis ou prévoyant une formule « tous risques sauf » couvrant tous les événements non expressément exclus. Adaptées aux évolutions des risques informatiques, ces assurances garantissent aujourd’hui les atteintes aux informations en proposant la couverture de l’information elle-même et celle des pertes résultant de la cyberattaque.

A titre d’exemple, le Syntec informatique (chambre syndicale des sociétés d’études et de conseils) propose une assurance « tous risques sauf » qui assure « les biens informatiques, électroniques, électriques » et « les frais de reconstitution des informations » sauf « les pertes pécuniaires résultant : de disparition inexpliquée de données, de toute utilisation de logiciels acquis illégalement, sauf si son utilisation l’est à l’insu de l’assuré (…) ».

Outre les assurances « tout risque sauf », les assureurs offrent également de nombreuses possibilités d’extensions de garantie spécifiques aux risques cyber. Il en est ainsi, lorsque le contrat d’assurance ne garantit pas les cybers risques et en contrepartie du versement d’une prime complémentaire, des dommages concernant les frais de reconstitution des informations dans l’état antérieur au sinistre, les frais supplémentaires d’exploitation et les pertes d’exploitation.

Face à l’augmentation des cyberattaques qui touchent toutes les entreprises, de toute taille et de tout secteur, il est plus que vivement recommandé de se prémunir contre le risque cyber, aussi bien en se dotant d’outils informatiques performants qu’en adaptant sa police d’assurance pour couvrir ces nouveaux risques informatiques.

Lexing Alain Bensoussan Avocats
Lexing Droit pénal numérique




Les atteintes au STAD par l’exploitation de failles de sécurité

Les atteintes au STAD par l'exploitation de failles de sécurité L’exploitation de failles de sécurité fait partie des atteintes au STAD par l’introduction frauduleuse de données dans le système. Un internaute qui souhaitait plaisanter l’a appris à ses dépends. Humour ou infraction ? Telle est, en substance, la question que le Tribunal correctionnel de Paris a eu à trancher dans sa décision du 18 décembre 2014. Tout est parti d’une mauvaise blague.

Ayant constaté que le site internet officiel de la députée-maire Rachida Dati comportait une faille informatique, un internaute quelque peu connaisseur s’est aperçu, non sans amusement, que celle-ci lui permettait d’injecter directement du contenu dans les différentes pages du site. Il pouvait ainsi modifier directement les dires de la députée-maire et lui prêter de faux communiqués de presse, fort parodiques.

Si l’internaute prenait plaisir à la plaisanterie, il en était toutefois le seul public, la manipulation n’emportant nullement modification ou suppression de données du site officiel de Rachida Dati. Son résultat consistait uniquement en la création d’un lien internet pouvant être diffusé : quiconque accédait donc au lien pouvait voir apparaître le contenu ainsi modifié.

Notre internaute l’avait compris, plus on est de fous, plus on rit. Décidant qu’il était temps de donner à sa blague une audience élargie, il fait alors appel à un second internaute qui lui fournit un nom de domaine (www.tweetpop.fr/le-cadeau-de-rachida), hébergeant un site internet dédié à la farce. Le site offre la possibilité à tout internaute, fût-il même novice en informatique, d’exploiter la faille de sécurité constatée et d’afficher sur son navigateur un communiqué de presse formellement semblable en tous points à ceux publiés sur le site officiel de la députée maire (identité de la mise en page générale, présence d’une photographie de Rachida Dati, similitude des couleurs utilisées, respect de la charte graphique, etc.), à l’exception, bien sûr, du contenu du communiqué, librement modifiable par quiconque a actionné le lien.

Avec la rediffusion de ce même lien sur le compte Twitter de notre premier internaute (qui ne possédait pas moins de 4 000 contacts), les faux communiqués de presse, prêtant à Rachida Dati des propos injurieux ou diffamatoires tant sur elle-même que sur d’autres, font alors légion. De nombreux internautes s’en donnent à cœur joie et la rare finesse de l’humour déployé peut, d’ailleurs être saluée, comme en atteste, par exemple, le remplacement de la mention officielle « Groupe PPE » (Parti Populaire Européen) par la mention « Groupe PIPE ».

Seulement, la blague n’est pas du goût de tout le monde. Apprenant la nouvelle, la députée-maire, quant à elle, rit jaune et dépose immédiatement plainte contre X auprès des services de police pour atteintes aux systèmes de traitement automatisé de données (STAD) et usurpation d’identité sur support numérique. Nos deux internautes ne tardent pas alors à être identifiés et la blague tourne court.

Le premier internaute (qui avait constaté la faille et l’avait rendue publique) écope, en effet, d’une amende de 3000 euros pour les chefs d’usurpation de l’identité d’un tiers et d’introduction frauduleuse de données dans un système de traitement automatisé (STAD).

Le second (qui avait fourni le nom de domaine permettant de rendre publique l’existence de la faille informatique) est, quant à lui, condamné au paiement d’une amende de 500 euros du chef de complicité d’usurpation de l’identité d’un tiers.

La relative sévérité de ces peines semble être nettement fonction de la piètre qualité de leur humour, comme le révèlent les sermons, presque paternalistes, adressés lors de l’audience par le président de la 13e chambre correctionnelle. Tant et si bien, d’ailleurs, que certains se demandent si ce niveau de qualité n’a pas été jusqu’à guider la caractérisation de l’une des infractions.

Le jugement du 18 décembre 2014 présente, en effet, un intérêt particulier au regard du droit pénal.

L’application de la loi Godfrain (loi n°88-19 du 5 janvier 1988), qui avait inséré dans le Code pénal un article 323-3 venant réprimer l’introduction frauduleuse de données dans un système de traitement automatisé (STAD), ne coulait pas de source, en l’espèce. Un doute existait, à dire vrai, sur l’application de cette infraction à notre premier internaute, dans la mesure où la faille informatique ainsi reprochée n’intervenait, comme dit plus haut, que pour lui seul, sans que le site officiel de la députée-maire n’en soit nullement altéré. Notre internaute introduisait-il alors véritablement des données dans le STAD en cause, dans la mesure où ces données n’avaient ni pour vocation ni pour effet d’y demeurer ? A tout le moins, la question méritait d’être posée.

Or, l’argumentation du parquet la laisse en suspens, affirmant en guise de réponse que le prévenu « avait manifestement cherché à tromper le serveur et faire du champ rechercher  un usage contraire à sa vocation initiale et non-souhaité par le « maître du système », ce dont il avait connaissance ». Autrement dit, à démultiplier les failles, il avait fait en sorte que le site officiel paraisse incohérent et, dès lors, s’était rendu coupable d’une introduction frauduleuse de données. Ce raisonnement, qui ne justifie nullement en quoi l’introduction de données était réellement caractérisée, a donc attisé quelques critiques, notamment celles du quotidien Le Monde, qui y voit un élargissement de l’infraction d’introduction frauduleuse dans un STAD jusqu’à en faire un « délit technique subjectif », en ce qu’il tient compte des intentions de l’auteur du site.

Le second enjeu majeur de la décision a, bien évidemment, trait à la liberté d’expression, thème brûlant de notre actualité politique. A son sujet, le tribunal affirme que « Si la liberté d’expression est une notion fondamentale de toute démocratie, celle-ci doit naturellement trouver ses limites et il est de jurisprudence constante que cette liberté ne doit en aucune mesure viser à porter atteinte à l’honneur ou à la considération d’une personne, même si celle-ci est publique ».

Derrière la reprise de cette formule classique, se devine pourtant aisément la difficulté de mise en œuvre de cette liberté et de ses limites. La solution eut-elle été la même si l’humour avait été plus fin ? Le doute demeure.

Eu égard tant à l’application contestable de la loi Godfrain au cas de l’espèce qu’à la délicate appréhension de l’humour, forme très complexe de liberté d’expression, la solution retenue le 18 décembre 2014 ne semble pas pérenne et la prudence est donc de mise.

Virginie Bensoussan-Brulé
Annabelle Divoy
Lexing Droit pénal numérique




Piratage des serveurs de Sony Pictures aux Etats-Unis

Piratage des serveurs de Sony Pictures aux Etats-UnisPiratage des serveurs de Sony Pictures aux Etats-Unis. Alain Bensoussan, avocat spécialisé en sécurité informatique et en intelligence économique répondait aux questions de Wendy Bouchard et des auditeurs sur Europe1.

La Maison Blanche parle d’une grave affaire de sécurité nationale. Sony a décidé de ne pas sortir son film « The interview », une comédie sur deux agents de la CIA qui ont pour mission d’assassiner le dictateur Nord Coréen après avoir reçu des menaces d’attentat via un message anonyme. C’est une première.

Europe Midi : Pourquoi La Maison Blanche est-elle si alarmiste alors qu’il ne s’agit pas à proprement parler de piratage de données gouvernementales ?

AB : « ce sont des données sensibles d’une entreprise à forte visibilité et avec cette affaire, on voit apparaître une nouvelle forme de guerre d’un Etat contre une entreprise privée mondialement connue. De telles entreprises orientées vers un marché de secteur privé ne sont pas capables de lutter contre des forces aussi importantes que sont des forces nationales numériques« .

Europe Midi : On parle de Sony, mais est-ce que toutes les entreprises y compris les entreprises françaises sont menacées et sont régulièrement soumises à ce type d’attaque informatique ?

AB : « Pour ce type d’attaque effectivement, il y a très peu d’entreprises françaises qui sont capables de résister d’abord parce-qu’elles ne disposent pas d’un niveau de protection du type de ceux mis en place pour les centrales nucléaires. Pourquoi des entreprises de marché qui ont des clients notamment dans les média, mettraient-elles un tel niveau de sécurité contre ce type d’attaque totalement disproportionné ? Elles ne sont pas du tout préparées à faire face à de tels risques« .

Europe Midi : Quels sont les secteurs d’activité en France le plus touchés par le piratage ?

AB : « Ce sont tous les secteurs où il a des possibilités d’obtenir de l’argent extrêmement rapidement, à travers des atteintes à la vie privée par le piratage des messageries, des détournements de fonds par le phishing. De manière générale, l’obtention de produits sans argent est une délinquance qui se généralise. Ce phénomène s’explique tout simplement parce qu’il est très facile aujourd’hui de se procurer sur le net des outils d’attaque, ces formes de virus sont autant de kalachnikov « binaires », très faciles à utiliser et à la portée de n’importe quel apprenti pirate digital qui peut se transformer en James bond de l’informatique« .

Europe Midi : On parle de délinquance d’Etat, mais ce ne sont pas les Etats qui s’espionnent. Ils recrutent des pirates informatiques (hackers) pour attaquer des entreprises à capital stratégique.

AB : « La plupart des Etats disposent d’une « cyberdéfense », c’est-à-dire d’armées numériques de très haut niveau. Personne ne peut ignorer les attaques par virus informatique et la menace s’aggrave chaque jour« .

Europe Midi : On a besoin de mieux comprendre comment s’armer. Sony a reculé face aux pirates informatique, est-ce la porte ouverte au chantage médiatique ?

AB : « Ce sont tous les actifs de Sony qui sont en jeu mais il y a aussi les dommages collatéraux et notamment tous les accords que Sony a pu signer avec d’autres entreprises qui sont susceptibles d’être mis à la disposition de tous. On peut comprendre que Sony ait préféré reculer dans un premier temps« .

Europe Midi : Faut-il abandonner nos ordinateurs et nos connexions à internet en dépit des antivirus ?

AB : « Les innovations technologiques ont toujours été accompagnées de délinquance. Cela doit entraîner une triple réponse, d’abord pédagogique pour que les utilisateurs cessent d’être négligents sur la sécurité (par exemple, avoir des mots de passe supérieur à 8 caractères avec de l’alpha numérique et des caractères spéciaux). Il faut aussi amener les entreprises à augmenter leur niveau de sécurité et enfin, changer l’arsenal répressif français. Les peines de prison sont de 3 ans et ont été pensées en 1988 sous la loi Godfrain. Aujourd’hui, compte-tenu de la généralisation de ce type de délinquance, il faut sans doute multiplier les peines par 3 ou par 4 afin que le seuil soit plus dissuasif« .

Europe Midi : Ce qui se passe avec Sony est très alarmant car cette attaque aurait passée 90% des défenses numériques du gouvernement. Ce qui veut dire que que l’on a beau avoir un système de sécurité en béton, il y aura toujours un pirate qui trouvera la faille. C’est à l’évidence ce qui s’est produit ici.

AB : « Ce qui compte c’est le degré de confiance d’une économie numérique comme la notre. Il faut certes augmenter le niveau de protection, mais contre une attaque de type « cyber guerre », la solution ne peut venir du marché. Dans l’affaire Sony, c’est à l’Etat américain d’apporter une réponse. Par contre, les entreprises doivent néanmoins augmenter leur niveau de sécurité parce que derrière les informations moins importantes que celles de Sony, il y a notre intimité et notre vie privée qui doit être assurée« . (…)

Le Journal de Wendy Bouchard sur Europe1, Europe Midi en duplex depuis La Roche sur Yon, le 19-12-2004 (Ecoutez l’émission à 38:00 > 45:30).




Un « honeypot » créé par des agents du FBI validé en France

Un « honeypot » créé par des agents du FBI validé en FranceHoneypot (piège à pirates) – La chambre criminelle de la cour de cassation valide un procédé utilisé par le FBI afin de pouvoir identifier les cybercriminels, enquêter sur leurs crimes et prévenir les dommages aux victimes éventuelles en créant un site « Carderprofit » (1).

Les prévenus invoquaient l’article 6§1 de la Convention européenne de sauvegarde des droits de l’Homme ainsi que le principe de loyauté de la preuve. Ils estimaient que le fait d’ouvrir un tel site visant à piéger des pirates (Honeypot) (2) où les utilisateurs étaient invités à exposer leurs connaissances et leur intérêt pour les techniques de « carding », technique destinée à détourner les identifiants d’une carte bancaire, constituait une provocation à la commission d’une infraction par un agent de l’autorité publique.

Cinq années auparavant la Cour de Cassation s’était prononcée dans une affaire semblable où le FBI avait créé un Honeypot sous la forme d’une plateforme gratuite et accessible par tous à partir de laquelle des utilisateurs pouvaient échanger et télécharger des images à caractère pédopornographique (Cass Crim 4  juin 2008, n°08-81045). Elle avait jugé que, dans un tel cas, la découverte de la détention de ces images n’avait été permise que par la provocation à la commission d’une infraction organisée par un agent de l’autorité publique.

Or dans l’affaire présentement commentée, la Cour n’opte pas pour la même analyse : elle rejette le pourvoi en estimant que le site de surveillance et d’enregistrement mis en place par le FBI a seulement permis de rassembler des preuves de la commission des fraudes à la carte bancaire et d’en identifier les auteurs. Elle confirme la position de la chambre de l’instruction de la Cour d’appel de Paris selon laquelle aucun élément ne démontrait qu’il ait eu pour objet d’inciter les personnes qui l’ont consulté à passer à l’acte.

Pour parvenir à cette solution la Cour de cassation procède à un examen « in concreto » des éléments en sa possession afin de déterminer si la manœuvre des agents étatsuniens constitue ou non une provocation déloyale à la commission d’une infraction.

En relevant que les prévenus avait déjà manifesté sur d’autres sites leur intérêt pour les techniques de fraude à la carte bancaire, la Cour ne valide pas aveuglément le procédé de Honeypot mais se fonde sur des éléments concrets pour déterminer l’objectif poursuivi par les autorités américaines et en conclure qu’aucun acte de d’incitation n’a été démontré.

Bien qu’offrant une solution opposée, cet arrêt s’inscrit dans la continuité de celui du 4 juin 2008. Dans ce dernier cas le site litigieux offrait à quiconque de recevoir et d’adresser gratuitement et anonymement des images interdites, incitant ainsi chaque internaute à commettre un délit non détachable de la connexion elle-même et qui n’existerait pas sans elle alors que dans le cas de l’affaire de 2014 l’infraction n’a été révélée que par la communication des informations par les prévenus eux-mêmes.

Dans l’arrêt du 30 avril 2014, la cour considère donc que le Honeypot créée par le FBI ne constitue pas une provocation à la commission d’une infraction, dès lors que  » le site de surveillance et d’enregistrement des messages échangés a seulement permis de rassembler les preuves de la commission de fraudes à la carte bancaire et d’en identifier les auteurs, aucun élément ne démontrant qu’il ait eu pour objet d’inciter les personnes qui l’ont consulté à passer à l’acte ».

Virginie Bensoussan-Brulé
Lexing Droit pénal numérique

(1) Cass crim 30 04 2014, n°13-88162.

(2) Les Honeypot, comment ça marche ?