Cybersécurité, télémaintenance et risques de fraude : c’est le thème du nouveau podcast d’Alain Bensoussan coproduit par Agora Médias en partenariat avec Siemens et diffusé par la web TV ANews Sécurité.
La Cour de cassation a condamné un étudiant pour accès frauduleux au STAD de l’université.
Le phreaking, piratage PABX ou IPBX, répandu dans les entreprises, peut avoir des conséquences financières
Virginie Bensoussan-Brulé précise pour IT-expert Magazine, les enjeux en matière de phreaking en entreprise.
La loi n°2014-1353 du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme opère, par son article 16, un changement de rédaction de l’article 323-3 du Code pénal, permettant de réprimer le vol de données, sans toutefois recourir à la qualification de vol. Institués par la loi dite « Godfrain », les articles 323-1 à 323-4 du Code pénal (1) prévoyaient cinq atteintes aux systèmes de traitement automatisé de données (bien connus sous l’appellation « STAD »), lesquelles sont : l’accès ou le maintien frauduleux dans le STAD ; l’action d’entraver ou de fausser le fonctionnement du STAD ; l’introduction frauduleuse de données dans un STAD ou la modification des données qu’il contient ; l’importation, la détention, l’offre, la cession ou la mise à disposition d’un équipement, d’un instrument, d’un programme informatique ou de toute donnée conçus ou spécialement adaptés pour commettre des infractions au STAD ; enfin, la participation à un groupement de pirates informatiques. Cette troisième atteinte a été modifiée en novembre dernier afin d’intégrer dans son champ de répression l’inquiétant et récurrent vol de données, qui y échappait jusqu’alors. L’ancien texte permettait, en effet, uniquement de condamner l’introduction, la suppression ou la modification frauduleuse de données dans un STAD… mais nullement leur copie. Pour combler ce vide juridique, plusieurs voies avaient été envisagées, parmi lesquelles la contrefaçon ou l’abus de confiance. La qualification de vol qui semblait correspondre au mieux à la copie de données avait été, quant à elle, écartée, tant il était considéré (sans doute à juste titre) qu’il n’y avait pas soustraction frauduleuse d’une chose appartenant à autrui (2) : absence de soustraction, d’une part, puisque le légitime propriétaire des données les conserve et n’en est à aucun moment dépossédé (sauf hypothèse du vol de disque dur) ; absence de chose à proprement parler, d’autre part, puisque la soustraction vise un bien matériel pouvant être saisi physiquement (là où les données sont des biens immatériels). Or, la loi pénale est d’interprétation stricte et la règle est d’or. Malgré les tentatives de la jurisprudence (3), la répression du « vol » de données se fait donc au détour de la qualification de vol (et de celle de recel), par l’ajout de quatre mots au texte de l’article 323-3 du Code pénal, en vigueur depuis le 15 novembre 2014, lequel réprime désormais, outre le fait d’introduire, de modifier et de supprimer, le fait « d’extraire, de détenir, de reproduire, de transmettre » frauduleusement des données dans un STAD. La loi du 13 novembre 2014 vient ainsi sanctionner la copie frauduleuse de données, dans une optique de protection accrue de « l’économie de la connaissance ». Virginie Bensoussan-Brulé Annabelle Divoy Lexing Droit pénal numérique (1) L. n°88-19 du 5-1-1988 relative à la fraude informatique, insérant les articles 323-1 à 323-4 dans le Code pénal, en son Livre II « Des crimes et des délits contre les biens », Titre II « Des autres atteintes aux biens ». (2) Comme l’exige l’article 311-1 du Code pénal, définissant l’infraction de vol. (3) Cass. crim. 4-3-2008 n°07-84.002 Jean-Paul X Sté Graphibus.
Alain Bensoussan a été interviewé sur l’offre d’emploi antisémite qui a fait scandale sur la Toile. «Si possible pas juif», c’est en effet la mention incroyable figurant sur une offre d’emploi diffusée sur internet.
Fichiers informatiques. Le chargé de clientèle d’un cabinet de courtage a fait part à son employeur de son intention de démissionner, afin d’occuper le même poste dans un cabinet concurrent.
Fraude informatique – Le délit d’accès frauduleux dans un système de traitement automatisé de données est prévu et réprimé par l’article 323-1 du Code pénal aux termes duquel « le fait d’accéder (…), frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende » (ancienne loi Godfrain sur la fraude informatique).
L’ ex-trader de la Société générale convaincu de fraude informatique. La Cour d’appel de Paris a rendu un verdict
Un ancien salarié, qui avait piraté le système informatique de son entreprise afin de modifier les mots de passe et les codes accès d’un logiciel commercialisé par l’entreprise, a fait l’objet de mesures provisoires ordonnées par une Cour de justice de Floride.
Un site de parapharmacie, filiale d’une importante société de vente en ligne se disant victime d’une attaque DoS par déni de services, avait déposé une plainte pour entrave à un système de traitement automatisé de données, délit prévu et réprimé par les articles 323-2 et 323-5 du Code pénal. L’attaque en cause menée par un concurrent constituait à récupérer des informations sur ce site, à l’aide d’un logiciel envoyant des requêtes en nombre de manière automatisée. La société de vente en ligne ayant par la suite renoncé à se constituer partie civile, elle n’a pas produit les éléments de preuve permettant d’établir si les requêtes automatisées avaient effectivement perturbé le site : élément matériel de l’infraction en l’espèce. La Cour d’appel de Bordeaux a confirmé la décision de la 4ème chambre du Tribunal de grande instance de Bordeaux qui avait, par jugement du 6 janvier 2011, renvoyé le prévenu des fins de la poursuite, estimant que l’utilisation par le prévenu d’un logiciel « pour récupérer des informations sur le site concurrent » dans le cadre d’une « veille concurrentielle », ne permettait pas d’établir l’élément matériel de l’infraction d’entrave au fonctionnement d’un système de traitement automatisé de données. La Cour d’appel de Bordeaux a estimé que l’élément intentionnel de l’infraction n’était pas davantage constitué, puisque le prévenu « avait certes les compétences pour commettre les faits et l’infraction reprochés, mais aussi celles lui permettant de savoir que les moyens utilisés en nombre d’ordinateurs et de connexions comme de logiciel limitant et espaçant les connexions étaient insuffisants au regard des capacités informatiques de la victime » et avait « aussi utilisé son adresse personnelle qu’il savait être un identifiant direct ». CA Bordeaux 15-11-2011 Ministère public c./ Cédric M.
Les juges ont eu à examiner la question du vol de fichiers confidentiels et de l’abus de confiance.
Les principaux fournisseurs d’accès à internet et ayants droit américains ont annoncé la mise en place d’un mécanisme de riposte graduée destiné à sanctionner le piratage.
Une proposition de loi visant à renforcer l’efficacité de la lutte contre les attaques informatiques est en cours de discussion au Parlement.
Piratage informatique : une proposition de loi qui va vers une nouvelle pénalisation des attaques contre des sites publics. La députée UMP Muriel Marland-Militello déclarait, quelques semaines après l’attaque de Bercy, qu’une proposition de loi allait être déposée prochainement « afin de mieux punir les atteintes portées aux sites internet et de renforcer les sanctions contre les attaques informatiques envers les institutions ». Piratage informatique Cette proposition de loi opère une redéfinition du champ d’application des dispositions du Code pénal relatives au système de traitement automatisé de données. Elle propose ainsi qu’une revue des peines encourues par les auteurs d’attaques informatiques contre des sites publics. Enfin, est prévue la suspension de l’abonnement internet, en sus des peines complémentaires de l’article 323-5 du Code pénal. En effet, la députée souhaite, tout d’abord, étendre le champ d’application des dispositions relatives au « système de traitement automatisé de données » à tous les services de communication au public en ligne et de communication audiovisuelle. Le fait d’entraver ou de fausser le fonctionnement d’un site internet serait alors passible de cinq ans d’emprisonnement et 75 000 euros d’amende. De plus, Muriel Marland-Militello entend doubler les peines encourues au titre des articles 323-1 à 323-3-1 du Code pénal, en cas d’attaque sur un site « officiel » détenu par une personne morale de droit public ou une personne morale de droit privé chargée d’une mission de service public. La députée justifie sa proposition par le fait que les auteurs de telles attaques entravent les usagers dans leur utilisation d’un service public auquel ils ont pourtant droit. Dernière proposition : La députée prône un durcissement des peines complémentaires encourues en s’inspirant du modèle Hadopi 2. A l’article 323-5 du Code pénal, qui prévoit déjà un large éventail de sanctions (privation des droits civiques, interdiction d’exercer une fonction publique, confiscation du ou des biens objets du délit, publication de la décision, etc), s’ajouterait la suspension de l’abonnement Internet « pour une durée de deux ans au plus assortie de l’impossibilité, pour l’abonné, de souscrire pendant la même durée un autre contrat portant sur l‘accès à un service de communication au public en ligne auprès de tout opérateur ». Cependant, dans la mesure où un arsenal juridique préexistant couvre déjà les différents scénarii d’attaque et d’intrusion informatiques, de vives contestations se sont élevées pour dénoncer l’inutilité juridique et technique de ce nouveau dispositif légal. Par exemple, le chapitre III du Code pénal relatif aux « atteintes aux systèmes de traitement automatisé de données », pris en son article 323-1, dispose déjà que tout accès non autorisé à un tel système de traitement est puni d’une peine de deux ans de prison et de 300 000 euros d’amende. Les articles 323-2 et 323-3 dudit Code sanctionnent, quant à eux, les faits d’entraver, de fausser ou d’introduire frauduleusement des données pour corrompre un tel système d’une peine de cinq ans et 75 000 euros d’amende. De plus, le contrôle de la confidentialité et de la sécurité des différents traitements de données à caractère personnel entre dans le cadre des missions de la Cnil en vertu de la loi n° 78-17 du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux libertés. (…) Enfin, concernant la suspension d’abonnement internet, force est de constater que la mesure proposée envisage, non seulement de doubler le quantum de la peine (deux ans au lieu d’une année prévue par la loi dite Hadopi 2), mais également d’en élargir le champ de recouvrement (tout acte de « piraterie » et non plus seulement les délits de contrefaçon). Des critiques techniques peuvent également être opposées à cette proposition de loi, dont la principale est que la plupart des attaques DDOS (distributed denial of service – attaques visant à saturer les serveurs pour rendre inaccessibles les données présentes sur un site) sont en pratique réalisées, à distance, par des hackeurs utilisant les ordinateurs « zombies » (ordinateur utilisé à l’insu de son utilisateur par un pirate informatique) d’internautes ignorant tout de ces pratiques. Cependant, malgré le débat en cours, la problématique reste d’actualité : en témoigne le piratage des services PlayStation Network et Qriocity appartenant à Sony Computer Entertainment. Plus d’une semaine après qu’une « personne non autorisée » se soit emparée des données personnelles des quelques 77 millions d’utilisateurs pour le seul service PlayStation Network (noms, prénoms, adresses physiques et électroniques, identifiants et mots de passe des services, coordonnées bancaires), la firme japonaise a admis une intrusion sur ses serveurs. Le Ponemon Institute a estimé le coût des pertes à 2 milliards de dollars pour Sony, en dédommagement des utilisateurs de PlayStation Network et pour les coûts de sécurisation du portail. Autre conséquence : un particulier a déposé plainte contre Sony auprès d’un tribunal californien, reprochant à l’entreprise nippone de ne pas avoir pris à temps les mesures nécessaires pour protéger, crypter et sécuriser les données privées et/ou sensibles, et critique le caractère tardif et lacunaire des communications de la firme. Cette action en justice a ensuite été relayée par les autorités européennes : le bureau de la Commission de l’information au Royaume Uni a ouvert une enquête, de même que le bureau irlandais de la Commission de protection des données a demandé des comptes à Sony. En conclusion, les considérations de la proposition de loi actuelle illustrent la prise en compte de la protection des données, y compris des données nominatives, qui constituent aujourd’hui un patrimoine immatériel de l’entreprise. Le sujet fait d’ailleurs l’objet d’autres projets législatifs, tels que la proposition de loi n° 3103 de Monsieur Carayon relative à la protection des informations économiques ou la proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, dont l’article 7 énonce « l’obligation de sécurisation des données incombe au responsable du traitement et crée une obligation de notification à la Cnil des failles de sécurité ». PLO AN n° 3412 du 11-5-2011
Les atteintes aux systèmes de traitements automatisés de données par intrusion non autorisée au système.
Le ministère de l’Économie, des Finances et de l’Industrie a été victime d’une attaque informatique sans précédent.
Le Tribunal de grande instance de Paris a, le 17 décembre 2010, rendu un jugement relatif aux atteintes aux systèmes de traitement automatisé de données. L’affaire concernait le site Deezer , ainsi que trois prévenus.
Le Tribunal correctionnel de Paris a rendu, mardi 5 octobre 2010, son jugement dans le procès concernant un trader de la Société Générale. Parmi les infractions retenues, le jugement apporte des précisions sur l’élément matériel du délit d’introduction frauduleuse de données dans un système de traitement automatisé de données (Stad) informatique, prévu par l’article 323-3 du Code pénal.
Dans son rendez-vous trimestriel accordé à la WebTV de SUPINFO, Maître Alain Bensoussan répond aux diverses questions d’ordre juridique posées par la lutte contre la fraude informatique dans le cadre du projet de loi LOPPSI 2, notamment en matière de captation des données informatiques.
Pénal numérique Fraude informatique Maintien frauduleux dans un système de traitement automatisé de données L’utilisation d’une base de données qui n’est accessible qu’aux personnes autorisées grâce à un code remis lors d’une période d’essai constitue une infraction de maintien frauduleux dans un système de traitement automatisé de données. En conséquence, doit être censuré l’arrêt qui relaxe un prévenu du chef de maintien frauduleux dans un système de traitement automatisé de données alors qu’il relève que celui-ci, quand bien même il y aurait accédé régulièrement, a utilisé pendant plus de deux ans et avec un code qui ne lui avait été remis que pour une période d’essai, une base de données qui n’était accessible qu’aux personnes autorisées. Cass. crim. 3 octobre 2007 n°07-81045 (Mise en ligne Octobre 2007) Autres brèves Voir également Droit de l’informatique L’atteinte aux systèmes d’information : une menace bien réelle (Mise en ligne Juin 2006)
Informatique Fraude informatique La protection d’un système informatique par un dispositif de sécurité n’est pas une condition d’application de la loi Godfrain Le délit d’accès frauduleux dans un système de traitement automatisé de données est prévu et réprimé par l’article 323-1 du Code pénal aux termes duquel « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende« . La protection d’un système de traitement automatisé de données par un dispositif de sécurité n’est pas une condition de l’incrimination. C’est ce que vient de rappeler la 31ème chambre correctionnelle du Tribunal de grande instance de Paris dans un jugement du 18 septembre 2008. Dans cette affaire, un internaute avait accédé sans autorisation à la partie confidentielle de la base de données d’un site d’annonces immobilières de particuliers. Le tribunal a jugé qu’ »il est de jurisprudence constante que le délit [d’accès frauduleux dans un système de traitement automatisé de données] est constitué dès lors qu’une personne non autorisée pénètre dans un système informatique que celui-ci soit ou non protégé« , il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées. Au cours des travaux préparatoires à la loi sur la fraude informatique du 5 janvier 1988, dite « loi Godfrain« , les parlementaires ont en effet refusé de retenir, comme condition de l’incrimination, la violation d’un dispositif de sécurité. En effet, la prise en compte d’un système de sécurité conduirait à apprécier la commission de l’élément matériel à partir des caractéristiques du système de traitement automatisé de données. Or, cette appréciation doit intervenir à partir du seul acte accompli par l’auteur, lequel peut être frauduleux alors même que le maître du système n’a pas prévu de dispositif de sécurité. La jurisprudence va très clairement en ce sens : la Cour d’appel de Paris, dans un arrêt du 5 avril 1994, a jugé qu’ »il n’est pas nécessaire, pour que l’infraction existe, que l’accès soit limité par un dispositif de protection » ; la Cour d’appel de Toulouse, dans un arrêt du 21 janvier 1999, a jugé que « l’accès à un système informatisé de données tombe sous le coup de la loi pénale dès lors qu’il est le fait d’une personne qui n’a pas le droit d’y accéder ; la présence d’un dispositif de sécurité n’est pas nécessaire » ; dans son arrêt du 30 octobre 2002 , infirmant le jugement du Tribunal de grande instance du 13 février 2002, la Cour d’appel de Paris a considéré qu’ »il ne peut être reproché à un internaute d’accéder (..) aux parties d’un site qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font (…) l’objet d’aucune protection de la part de l’exploitant du site (…), devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès« .L’accès dans un système de traitement automatisé de données est donc frauduleux lorsqu’il s’effectue contre la volonté du maître du système, c’est-à-dire sans son autorisation. Ainsi, la Cour d’appel de Paris, dans l’arrêt du 5 avril 1994, a jugé qu’ »il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées« . La Cour d’appel de Toulouse, dans l’arrêt du 21 janvier 1999, a également jugé que « l’accès à un système informatisé de données tombe sous le coup de la loi pénale dès lors qu’il est le fait d’une personne qui n’a pas le droit d’y accéder (…) l’absence de droit résulte de l’absence d’autorisation (…) du maître du système« . Dans son arrêt du 30 octobre 2002, la Cour d’appel de Paris a encore considéré l’absence « de toute indication contraire« . TGI Paris 18 septembre 2008 (Mise en ligne Novembre 2008) Autres brèves Voir également Pénal numérique Accès non autorisé à un système informatique dépourvu de dispositif de sécurité (Mise en ligne Octobre 2008) Aspects juridiques de la sécurité informatique : le rapport Clusif 2008 (Mise en ligne Septembre 2008) Les chartes d’entreprise : une protection efficace contre la fraude informatique ! (Mise en ligne Février 2008) La fraude informatique (Mise en ligne Juin 2006) Cybercriminalité (Mise en ligne Avril 2005) La cyberdélinquance en 2004 (Mise en ligne Janvier 2005) Les atteintes à système de traitement automatisé de données (Mise en ligne Décembre 1999) Le vol d’information (Mise en ligne Février 1995)
| Cookie | Durée | Description |
|---|---|---|
| cookielawinfo-checkbox-functional | 12 mois | Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels |
| cookielawinfo-checkbox-necessary | 12 mois | Gestion de l'affichage du bandeau d'information. |
| CookieLawInfoConsent | 12 mois | Enregistrement de l'absence d'affichage du bandeau. |
| viewed_cookie_policy | 12 mois | Enregistrement de l’ouverture de la politique cookies. |
| Cookie | Durée | Description |
|---|---|---|
| _GRECAPTCHA | 6 mois | Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot. |