Projet de loi relatif à la communication audiovisuelle

communication audiovisuelleLe projet de loi sur la communication audiovisuelle dynamise la création audiovisuelle et renforce la protection du public contre les excès du numérique.

Le projet de loi relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique (1) vient renouveler le cadre légal du secteur de la communication audiovisuelle, confronté aux enjeux du numérique.

Le projet de loi modifie la loi relative à la liberté de communication du 30 septembre 1986, afin de s’adapter aux différentes mutations engendrées par le numérique.

Ces mutations sont nombreuses et ont des répercussions juridiques importantes. Les acteurs et les supports se sont multipliés et diversifiés, de même que les dangers (contenus haineux ou illicites, caractère viral de leur transmission). Cela nécessite que la protection de la création française, ainsi que des médias historiques, soit renforcée pour maintenir la communication audiovisuelle. Le cadre juridique actuel doit donc être repensé pour faire face à ces évolutions.

Le projet de loi relatif à la communication audiovisuelle affiche en ce sens un double objectif. D’une part un dynamisme culturel affiché, afin de favoriser le rayonnement, la diversité et la créativité de l’audiovisuel et du cinéma français. D’autre part, une démarche démocratique destinée à protéger les citoyens de certains excès du numérique et à leur offrir un service plus proche et efficace.

Le soutien au développement et à la création de la communication audiovisuelle

Le projet de loi relatif à la communication audiovisuelle assure une place primordiale à la création.

Le projet vise à renforcer la protection de tous les acteurs de la création, en particulier des auteurs et des artistes. Outre l’assurance d’obtenir une juste rémunération ainsi que le respect de leur droit moral, l’ensemble des diffuseurs agissant en France seront associés au système de financement de la création. Dans le même ordre d’idée, le projet entend assouplir les règles issues de la loi du 30 septembre 1986, afin de permettre aux plateformes de pouvoir également financer la création audiovisuelle.

L’adaptation de la régulation de la communication audiovisuelle

Le projet de loi relatif à la communication audiovisuelle procède à un renouvellement de la régulation afin de protéger les citoyens contre certains contenus.

Le projet s’inscrit ainsi dans le prolongement d’initiatives législatives récentes renforçant la responsabilité des plateformes ainsi que la lutte contre le piratage.

Le projet apporte une véritable innovation en termes de régulation en opérant une fusion du Conseil supérieur de l’audiovisuel (CSA) et de la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (HADOPI) en une nouvelle entité intitulée l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM). Cette autorité devra travailler en collaboration avec l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) afin de protéger le public de la désinformation, des contenus haineux, de la glorification du terrorisme, et des contenus pornographiques accessibles aux mineurs (2).

La transformation de l’audiovisuel public à l’ère du numérique

Enfin le projet de loi relatif à la communication audiovisuelle redéfinit le rôle du service public de l’audiovisuel à l’ère du numérique.

Les différentes missions du service public de l’audiovisuel sont ainsi réaffirmées : information, éducation, ambition culturelle, cohésion sociale, rayonnement international et proximité.

La gouvernance du secteur audiovisuel public se trouve également rénovée par la création d’un groupe, avec à sa tête une entité unique, la société France Médias, à même d’impulser une politique globale à l’ensemble du secteur.

Le projet de loi a été présenté au Conseil des ministres le 5 décembre 2019 par Franck Riester, ministre de la Culture, et doit être adopté selon la procédure accélérée.

Marie Soulez
Lexing Département Propriété intellectuelle contentieux
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
Ecole Nationale de la Magistrature

(1) Projet de loi n°2488 relatif à la communication audiovisuelle et la souveraineté culturelle à l’ère numérique.
(2) Article vie publique sur le projet de loi relatif à la communication audiovisuelle et la souveraineté culturelle à l’ère numérique, 6 décembre 2019.




La cyberattaque sans précédent par le ransomware Wannacry

ransomware WannacryLe ransomware Wannacry s’est répandu dans le monde entier le 12 mai 2017 donnant lieu à une cyberattaque massive. Le ransomware Wannacry exploite une faille dans les systèmes Windows apparue en mars dernier. Cette faille avait été identifiée par la NSA et réparée par Microsoft quelques jours plus tard, le 14 mars 2017.

Utilisateurs concernés par la cyberattaque

Cependant, ce correctif n’a été fourni que pour les versions les plus récentes de Windows. Ainsi, le ransomware a principalement infecté les PC tournant sur d’anciennes versions de Windows, notamment Windows XP, qui n’est plus mis à jour par Microsoft.

De même, il a touché les personnes et entreprises ayant des versions plus récentes de Windows mais qui n’ont pas installé le correctif mis à leur disposition par Microsoft en mars.

Dans ce cas, ce sont donc notamment les personnes et entreprises qui ont été négligentes qui ont été touchées par la cyberattaque. En conséquence, il y a un risque que leur assurance ne couvre pas le dommage subi.

Mode d’infiltration du ransomware Wannacry

C’est par une vaste campagne de phishing par e-mail que le ransomware s’est retrouvé dans de nombreux PC. Les victimes ont en effet reçu un e-mail accompagné d’un fichier PDF et c’est en téléchargeant cette pièce jointe que le ransomware Wannacry a pu s’installer dans leur PC.

Une fois installé, le ransomware a bloqué l’accès aux fichiers et exigé une rançon d’une centaine de dollars pour rendre sa liberté au système. Il s’est rapidement propagé et en quelques jours a touché plus de 300 000 ordinateurs (1) dans 150 pays différents (2).

Recommandations

La première mesure préventive contre les cyberattaques, conseillée par l’Agence nationale de la sécurité des systèmes d’information (Anssi), c’est « de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l’ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d’apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d’exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle » (3).

De plus, l’Anssi recommande d’effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs).

Il convient également d’installer une passerelle antivirus de nouvelle génération qui puisse détecter les ransomwares et de la mettre à jour. En effet, les anciennes générations d’antivirus ne sont plus assez protectrices.

En outre, il est nécessaire d’avoir à disposition une solution de protection contre les menaces avancées, appelées APT ou « zero day », capables d’identifier les malwares temporairement non détectables par les passerelles antivirus.

Enifn, la mise en place de politiques de sécurité strictement mises à jour sur tout le périmètre des réseaux d’entreprise – un seul poste vulnérable suffit pour diffuser un malware tel que WannaCry – est devenue indispensable.

Attaque liée au ransomware Wannacry

Si la propagation du ransomware Wannacry a été maîtrisée grâce à un jeune chercheur, il est indispensable de rester vigilant. En effet, selon certains journalistes (4), une nouvelle attaque appelée Adylkuzz, liée à Wannacry, serait en train d’avoir lieu et serait de bien plus grande envergure dans le but de créer et récupérer de la monnaie virtuelle à l’insu des utilisateurs.

Virginie Bensoussan Brûlé
Lexing Contentieux numérique

(1) « Ransomware : le nettoyage se poursuit après le chaos WannaCry », ZDNet France, ‎ 18-5-2017.
(2) « WannaCry : Le ransomware planétaire encore prêt à frapper », Le Monde Informatique, 15-5-2017.
(3) Bulletin d’alerte du Cert-fr du 14-5-2017.
(4) Site Harmonie technologie,  « WannaCry, Adylkuzz – Décryptage de ces cyber attaques », Harmonie technologie, 17-5-2017.

 




Installateurs de PABX : l’actualité jurisprudentielle

Installateurs de PABX : l’actualité jurisprudentielleSuite au piratage de PABX ou « phreaking », se pose souvent la question de la responsabilité de l’installateur.

La chaîne de responsabilité est en effet assez longue compte tenu du nombre d’acteurs potentiellement responsables (opérateur, installateur, constructeur, utilisateur etc.). La jurisprudence, même si elle reste encore peu abondante, tend à se préciser et ne sanctionne pas systématiquement l’installateur.

Chaîne de responsabilité

Les autocommutateurs privés (ou PABX) sont des dispositifs chargés principalement d’assurer la commutation téléphonique d’un réseau téléphonique privé. Ils permettent ainsi d’offrir un grand nombre de fonctionnalités inexistantes, ou peu répandues sur le réseau téléphonique commuté public : messagerie vocale, standard téléphonique intégré, redirection d’appels dynamique, accès distant au poste, etc. Le PABX s’analyse ainsi en un système d’information : tous les outils de configuration, les services proposés, ainsi que la commutation de communications, sont des applicatifs s’exécutant sur un système d’exploitation.

Aussi, différents acteurs interviennent à différents stades ou simultanément sur le système et la détermination du véritable responsable en cas de piratage n’est pas toujours évidente. Il peut s’agir : de l’installateur qui aurait été défaillant lors du paramétrage de l’équipement ou qui n’aurait pas informé son client des risques de piratage, de l’opérateur qui n’a pas pris toutes les précautions qui relèvent de sa responsabilité, du fabricant des équipements qui a laissé des failles dans ses logiciels ou encore de l’utilisateur qui a fait preuve de négligence.
Chacun sera dès lors tenté de rejeter sa propre responsabilité en imputant une faute à un autre acteur de la chaine.

Reconnaissance d’une obligation d’information renforcée pesant sur l’installateur

L’obligation d’information et de conseil, accessoire à l’obligation de délivrance, est un ensemble d’obligations, d’informations, de préconisations et de dissuasions qui s’inscrivent dans les phases précontractuelle et contractuelle. L’étendue du devoir de conseil dépend de la qualification des parties et plus le client de l’installateur sera néophyte, plus l’obligation de conseil sera renforcée.

Une jurisprudence défavorable aux installateurs s’est développée autour de cette obligation d’information, les installateurs en étant débiteurs pendant toute l’exécution du contrat et non uniquement lors de sa formation.

En particulier, il repose sur le prestataire une obligation de sensibiliser le client sur les changements de mots de passe des postes et de la messagerie, certains phreaking résultant de l’absence de mot de passe ou d’un mot de passe trop simpliste.

La Cour d’appel de Versailles, rendant l’un des premiers arrêts en la matière dont la solution a été reprise par la suite, a ainsi considéré qu’en cas de phreaking, la responsabilité du prestataire installateur de PABX doit être engagée s’il est établi un manquement de sa part à son obligation d’information caractérisé en l’espèce par le fait que « la cliente n’avait aucune conscience des risques qu’elle courait » (1).

En parallèle, la jurisprudence reconnait une obligation d’acheminer les appels incombant à l’opérateur, lequel, en l’absence de stipulation contractuelle particulière, demeure fondé à obtenir le paiement de la surconsommation engendrée par le piratage (2).

A la suite de ces décisions, les utilisateurs victimes d’un phreaking ont eu tendance à systématiquement mettre en cause la responsabilité de l’installateur.

La jurisprudence la plus récente a néanmoins refusé de condamner automatiquement l’installateur et s’est attachée à caractériser, au cas par cas, la part de responsabilité de chacun en fonction du type et des circonstances entourant le piratage.

Emergence d’une jurisprudence plus favorable aux installateurs

Quatre décisions rendues en 2016 et 2017 (3), trois par le Tribunal de commerce de Paris et une par le Tribunal d’instance de Bordeaux, ont rejeté la demande de clients visant à mettre en cause la responsabilité de l’installateur à la suite d’un piratage.

Dans l’arrêt du 18 janvier 2017 (4), la responsabilité de l’installateur a été écartée compte tenu de sa pleine satisfaction à son obligation de conseil et d’information vis-à-vis du client. Il était en l’occurrence démontré que le prestataire avait sensibilisé le client quant au changement de mots de passe de telle sorte que le Tribunal de commerce de Paris a considéré que le piratage avait été permis par la seule carence du client qui a délaissé la sécurisation de son installation.
La solution est similaire dans l’arrêt du 1er février 2017 (5).

Dans les arrêts des 20 janvier et 9 novembre 2016 (6), la responsabilité du prestataire a été écartée car il n’était pas démontré de lien de causalité entre l’absence supposée de modification des mots de passe et le piratage allégué. Le Tribunal de commerce de Paris relève à ce titre que « les piratages ayant pour conséquence une augmentation des factures téléphoniques sont nombreux et variés » et, le Tribunal d’instance de Bordeaux rappelle quant à lui que l’installateur n’est pas tenu à « une obligation de résultat au titre de la sécurisation de l’équipement ».

Il résulte de ces décisions que, pour que la responsabilité du prestataire soit mise en cause, le client doit a minima démontrer non seulement, que le prestataire n’a pas satisfait à son obligation de conseil en omettant d’informer le client de la nécessité de changer régulièrement de mot de passe et de choisir un mot de passe non trivial, mais également que le mot de passe configuré était trivial et n’avait pas été changé et enfin que c’est en raison de l’existence de ce mot de passe trivial que le piratage a pu avoir lieu.

Virginie Bensoussan-Brulé
Marion Catier
Lexing Contentieux numérique

(1) CA Versailles, 25-3-2014 et TC Nanterre, 5-2-2015
(2) CA Versailles, 25-3-2014 et TC Nanterre, 5-2-2015
(3) TC Paris, 8e chambre, 18-01-2017, RG n°2016000686 ; TC Paris, 8e chambre, 01-02-2017, RG n°2015065343 ; TI Bordeaux, 20-1-2016, RG n°11-14-00406 ; TC Paris, 9-11-2016, RG n°2015023613
(4) TC Paris, 8e chambre, 18-01-2017, RG n°2016000686
(5) TC Paris, 8e chambre, 01-02-2017, RG n°2015065343
(6) TI Bordeaux, 20-1-2016, RG n°11-14-004062 ; TC Paris, 9-11-2016, RG n°2015023613

 

 




Phreaking : comment protéger son installation téléphonique ?

Phreaking : comment protéger son installation téléphonique ?Virginie Bensoussan-Brulé précise pour IT-expert Magazine, les enjeux en matière de phreaking en entreprise.

Comment protéger son installation téléphonique contre le phreaking ? Une fois que le mal est fait, quels sont les moyens mis à disposition des victimes pour identifier les auteurs et obtenir réparation du préjudice subi ?

En s’attaquant à leurs infrastructures téléphoniques et en exploitant ainsi de manière malveillante leurs commutateurs privés (PABX ou IPBX), les pirates utilisent l’abonnement téléphonique des entreprises, générant pour leurs victimes des surfacturations importantes, pouvant aller, suivant les hypothèses, jusqu’à menacer l’existence de la société elle-même.

Les PABX ou IPBX sont des dispositifs chargés d’assurer la commutation d’un réseau téléphonique privé. Ils permettent d’offrir un grand nombre de fonctionnalités comme une messagerie vocale, un standard téléphonique intégré, une redirection d’appels, ou un accès distant au poste.

Le développement technologique de la téléphonie s’appuie sur le développement et l’implémentation de composants identiques aux systèmes informatiques. Ainsi les équipements téléphoniques deviennent des systèmes informatiques à part entière, ce qui explique que les attaques perpétrées par les pirates se soient multipliées.

Les actes malveillants poursuivent des objectifs distincts selon les types d’attaques perpétrées : blocage des systèmes, écoute des conversations téléphoniques, destruction de données ou encore détournement de la ligne pour passer des appels téléphoniques à l’international.

Comme pour les systèmes informatiques, la téléphonie permet aujourd’hui aux pirates de commettre des attaques par déni de service et des usurpations d’identité. L’explosion des smartphones sur le marché a entrainé de nouveaux types de fraudes, comme le Telephony Denial of Service (TDos) qui permet l’envoi massif d’appels sur un téléphone pour en bloquer l’accès.

Les fraudes à la téléphonie représentent des pertes considérables pour les entreprises, qui victimes du détournement de leur ligne téléphonique se voient facturer des appels surtaxés ou internationaux. En outre, les conséquences occasionnées par la destruction de données peuvent s’avérer considérables.

Il est pourtant possible d’agir de manière préventive pour empêcher ces attaques en mettant en pratiques certaines mesures. Lorsque le mal est fait, l’entreprise victime de la fraude doit réagir et mettre en œuvre un plan d’action pour lutter contre la fraude.

Virginie Bensoussan-Brulé pour IT-expert Magazine, « Phreaking quand les pirates s’attaquent aux lignes téléphoniques », le 10 décembre 2015.




Cyberpiratage : les obligations juridiques de l’entreprise

Cyberpiratage : les obligations juridiques de l’entrepriseCyberpiratage et obligations de l’entreprise piratée, thème présenté par Alain Bensoussan sur MyD-Business TV.

La guerre, au sens militaire du terme, atteint maintenant les grands médias. En prenant le contrôle d’une télévision et en communiquant à travers elle, nous avons la démonstration que la guerre en matière de cyberdéfense est nécessaire.

Toutefois, l’entreprise ne peut s’en sortir seule. Si demain cette cyberattaque est suivie par un détournement de fichier, par exemple les comptes clients, l’entreprise visée passerai de victime à accusée.

En effet, selon les lois « Informatique, fichiers et libertés » de par le monde, l’entreprise est considérée comme responsable de la sécurité de ses systèmes d’information et de ses fichiers : elle doit « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». L’entreprise doit tout mettre en oeuvre pour éviter la fraude informatique et le détournement de données à caractère personnel. Si le cyberpiratage a pu avoir lieu à cause d’une faille de sécurité, celle-ci doit être notifiée, pour l’heure, à l’autorité de régulation s’il s’agit d’un opérateur mais bientôt quelque soit l’entreprise en cause, et prévenir les personnes concernées surtout si la divulgation de mots de passe est en jeu.

Dans ce cas, le risque juridique à ne pas le faire est une condamnation civile mais aussi peut-être une condamnation pénale.

Cyberpiratage : les obligations juridiques de l’entreprise (MyD-Business TV d’Accenture)




Acte antisémite, volonté de nuire ou piratage informatique ?

Acte antisémite, volonté de nuire ou piratage informatiqueAlain Bensoussan a été interviewé sur l’offre d’emploi antisémite qui a fait scandale sur la Toile. «Si possible pas juif», c’est en effet la mention incroyable figurant sur une offre d’emploi diffusée sur internet.

La société de communication parisienne émettrice de l’annonce clame son incompréhension. Acte antisémite, volonté de nuire à l’entreprise ou piratage informatique, la gérante de l’entreprise ne l’explique toujours pas. L’annonce a bien été rédigé par un salarié de l’entreprise de communication.

S’il a bien rédigé et publié l’annonce sur différents sites, le salarié interrogé, affirme ne pas être à l’origine de cette mention.

Pour Alain Bensoussan, il est difficile de savoir quelle est l’origine de cette fraude. En tout état de cause, l’entreprise est confrontée à une véritable volonté de nuire et subit une atteinte du fait de cette mention. Une enquête a été ouverte.

Les salariés de l’entreprise de communication ont cessé leur travail à la mi-journée. Victimes de menaces et d’agressions téléphoniques, ils ont quitté l’entreprise sous escorte policière…

Interview diffusée sur FR3, le Grand Soir 3 région Paris Île de France du mardi 3 février 2015 (début à 1:26).




Piratage des serveurs de Sony Pictures aux Etats-Unis

Piratage des serveurs de Sony Pictures aux Etats-UnisPiratage des serveurs de Sony Pictures aux Etats-Unis. Alain Bensoussan, avocat spécialisé en sécurité informatique et en intelligence économique répondait aux questions de Wendy Bouchard et des auditeurs sur Europe1.

La Maison Blanche parle d’une grave affaire de sécurité nationale. Sony a décidé de ne pas sortir son film « The interview », une comédie sur deux agents de la CIA qui ont pour mission d’assassiner le dictateur Nord Coréen après avoir reçu des menaces d’attentat via un message anonyme. C’est une première.

Europe Midi : Pourquoi La Maison Blanche est-elle si alarmiste alors qu’il ne s’agit pas à proprement parler de piratage de données gouvernementales ?

AB : « ce sont des données sensibles d’une entreprise à forte visibilité et avec cette affaire, on voit apparaître une nouvelle forme de guerre d’un Etat contre une entreprise privée mondialement connue. De telles entreprises orientées vers un marché de secteur privé ne sont pas capables de lutter contre des forces aussi importantes que sont des forces nationales numériques« .

Europe Midi : On parle de Sony, mais est-ce que toutes les entreprises y compris les entreprises françaises sont menacées et sont régulièrement soumises à ce type d’attaque informatique ?

AB : « Pour ce type d’attaque effectivement, il y a très peu d’entreprises françaises qui sont capables de résister d’abord parce-qu’elles ne disposent pas d’un niveau de protection du type de ceux mis en place pour les centrales nucléaires. Pourquoi des entreprises de marché qui ont des clients notamment dans les média, mettraient-elles un tel niveau de sécurité contre ce type d’attaque totalement disproportionné ? Elles ne sont pas du tout préparées à faire face à de tels risques« .

Europe Midi : Quels sont les secteurs d’activité en France le plus touchés par le piratage ?

AB : « Ce sont tous les secteurs où il a des possibilités d’obtenir de l’argent extrêmement rapidement, à travers des atteintes à la vie privée par le piratage des messageries, des détournements de fonds par le phishing. De manière générale, l’obtention de produits sans argent est une délinquance qui se généralise. Ce phénomène s’explique tout simplement parce qu’il est très facile aujourd’hui de se procurer sur le net des outils d’attaque, ces formes de virus sont autant de kalachnikov « binaires », très faciles à utiliser et à la portée de n’importe quel apprenti pirate digital qui peut se transformer en James bond de l’informatique« .

Europe Midi : On parle de délinquance d’Etat, mais ce ne sont pas les Etats qui s’espionnent. Ils recrutent des pirates informatiques (hackers) pour attaquer des entreprises à capital stratégique.

AB : « La plupart des Etats disposent d’une « cyberdéfense », c’est-à-dire d’armées numériques de très haut niveau. Personne ne peut ignorer les attaques par virus informatique et la menace s’aggrave chaque jour« .

Europe Midi : On a besoin de mieux comprendre comment s’armer. Sony a reculé face aux pirates informatique, est-ce la porte ouverte au chantage médiatique ?

AB : « Ce sont tous les actifs de Sony qui sont en jeu mais il y a aussi les dommages collatéraux et notamment tous les accords que Sony a pu signer avec d’autres entreprises qui sont susceptibles d’être mis à la disposition de tous. On peut comprendre que Sony ait préféré reculer dans un premier temps« .

Europe Midi : Faut-il abandonner nos ordinateurs et nos connexions à internet en dépit des antivirus ?

AB : « Les innovations technologiques ont toujours été accompagnées de délinquance. Cela doit entraîner une triple réponse, d’abord pédagogique pour que les utilisateurs cessent d’être négligents sur la sécurité (par exemple, avoir des mots de passe supérieur à 8 caractères avec de l’alpha numérique et des caractères spéciaux). Il faut aussi amener les entreprises à augmenter leur niveau de sécurité et enfin, changer l’arsenal répressif français. Les peines de prison sont de 3 ans et ont été pensées en 1988 sous la loi Godfrain. Aujourd’hui, compte-tenu de la généralisation de ce type de délinquance, il faut sans doute multiplier les peines par 3 ou par 4 afin que le seuil soit plus dissuasif« .

Europe Midi : Ce qui se passe avec Sony est très alarmant car cette attaque aurait passée 90% des défenses numériques du gouvernement. Ce qui veut dire que que l’on a beau avoir un système de sécurité en béton, il y aura toujours un pirate qui trouvera la faille. C’est à l’évidence ce qui s’est produit ici.

AB : « Ce qui compte c’est le degré de confiance d’une économie numérique comme la notre. Il faut certes augmenter le niveau de protection, mais contre une attaque de type « cyber guerre », la solution ne peut venir du marché. Dans l’affaire Sony, c’est à l’Etat américain d’apporter une réponse. Par contre, les entreprises doivent néanmoins augmenter leur niveau de sécurité parce que derrière les informations moins importantes que celles de Sony, il y a notre intimité et notre vie privée qui doit être assurée« . (…)

Le Journal de Wendy Bouchard sur Europe1, Europe Midi en duplex depuis La Roche sur Yon, le 19-12-2004 (Ecoutez l’émission à 38:00 > 45:30).




Piratage téléphonique et responsabilité du prestataire

Piratage téléphonique et responsabilité du prestatairePiratage téléphonique – Un prestataire de maintenance est condamné pour défaut d’information et d’alerte dans une affaire de piratage de ligne téléphonique.

En juin 2008, une société souscrit des contrats d’adhésion, de location et de maintenance pour la fourniture d’un accès au réseau téléphonique auprès d’un installateur et de sa filiale de maintenance pour une durée de 5 ans.

Informée en janvier 2012 du caractère anormalement élevé de ses consommations téléphoniques -notamment à destination du Timor Oriental- et d’un possible piratage de sa ligne, la société contacte son installateur privé pour faire changer les codes d’accès sur le matériel téléphonique afin de sécuriser l’installation et « d’enrayer le processus de piratage ».

Le piratage ayant été endigué, elle s’oppose au paiement des factures relatives aux appels passés au Timor Oriental, ce qui engendre une mise en demeure de payer la somme de 21 391, 78 euros.

En avril 2012, la société cliente assigne l’installateur afin d’annuler les factures contestées et d’ordonner la poursuite des contrats devant le Tribunal de commerce de Nanterre. Le tribunal l’a déboute de ses demandes et l’a condamne à payer la somme de 21 391,78 euros, en estimant que l’installateur n’est pas responsable de la maintenance de la ligne téléphonique mais uniquement de son installation et donc ne peut voir sa responsabilité engagée. La société fait appel devant la Cour d’appel de Versailles.

Cette dernière infirme le jugement tout en confirmant la non-responsabilité de l’installateur. En effet, bien que les appels litigieux ne lui sont pas imputables, aucune clause du contrat ne permet à la société cliente de se dégager de ses obligations de payer les factures sauf responsabilité du fournisseur d’accès. En effet, il n’a qu’une obligation de bon acheminement des appels et non une obligation de contrôle de la consommation téléphonique de son client.

En revanche, sur la responsabilité de la société de maintenance, la décision de la cour d’appel diffère de celle du tribunal de commerce. En effet, elle constate que seul le choix d’un mot de passe confidentiel et fréquemment changé est de nature à garantir la sécurisation de l’installation téléphonique de la société cliente. Or, il résulte des pièces du dossier que le mot de passe initial configuré par défaut (0000) n’a jamais été changé.

La cour d’appel en déduit que l’installation n’a jamais été valablement sécurisée, faute de mot de passe personnalisé et régulièrement modifié. Elle retient que la société de maintenance est tenue par les termes du contrat de maintenance : sa responsabilité peut donc être engagée si depuis la conclusion du contrat, elle a manqué à ses obligations d’information et de conseil.

Si elle a accompli la mission de réparation qui lui incombait, elle n’a en revanche pas accompli les missions d’information et de conseil quant aux évolutions techniques en matière de télécommunications pouvant intéresser l’exercice de son activité et de « visite préventive annuelle », comme il était prévu dans le contrat de maintenance.

C’est donc à bon droit que la société cliente se plaint de n’avoir pas été suffisamment informée pour lui permettre de mieux sécuriser sa ligne. Elle est donc fondée à rechercher la responsabilité de la société de maintenance qui a manqué à ses obligations contractuelles en ne lui donnant pas les moyens d’éviter le piratage dont elle a été victime. Le prestataire de maintenance est condamné à payer la somme de 18 000 euros à titre de dommages et intérêts et de 2 000 euros au titre de l’article 700 du CPC.

Virginie Bensoussan-Brulé
Lexing Droit pénal numérique

(1) CA Versailles 12e ch 25-03-2014,  n°1207079 SARL Les Films de la Croisade c SAS Nerim.




Les nouveaux risques TIC : quelle assurabilité ?

risques TICPetit-déjeuner nouveaux risques TIC et assurabilité, du 19 juin 2013 – Jean-François Forgeron, directeur du pôle Informatique & Droit et Nicolas Hélénon, Neotech Assurances (groupe LSN) ont animé un petit-déjeuner débat consacré aux nouveaux risques TIC : quelle assurabilité ?

Du piratage informatique, aux virus, en passant par la perte de données, quelles sont les menaces informatiques assurables ?

Le nombre d’attaques ciblées visant les entreprises a été multiplié par trois entre 2011 et 2012 (18e édition du rapport annuel de la société Symantec publié en avril 2013). Aucune taille d’organisation n’est épargnée, les sous-traitants offrant des portes d’entrées aisées vers de plus grosses entreprises.

Une politique de sécurité ne peut garantir contre toutes les menaces informatiques. Aucun réseau n’est à l’abri d’une faille sécuritaire. Or avec le futur règlement européen sur la protection des données, la notification des failles deviendra une obligation pour toute entreprise, à l’égard des clients en cas d’atteinte à leurs données informatiques.

L’assurance peut intervenir quand la sécurité n’a pas suffit.

  • Quelles sont les menaces informatiques assurables ?
  • Peut-on couvrir les frais de notification (Data Risks Protection) ? d’atteinte à la réputation ?
  • Comment estimer ce que vaut réellement une donnée ? (coût pour remédier à un data breach)
  • L’externalisation en mode cloud change-t-elle l’analyse du risque pour les entreprises clientes de ce type de services ?
  • Quels sont les audits de sécurité du SI à mener ? (tests d’intrusion, droits d’accès, etc.)

Telles ont été les questions qui ont été débattues lors de ce petit-déjeuner.

Le petit-déjeuner a eu lieu dans nos locaux, 29 rue du Colonel Pierre Avia, 75015 Paris.




Recommandations pour sécuriser la vidéoprotection sur le Wi-Fi

Connection wirelessL’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié un ensemble de mesures et de principes d’architecture, dont la mise en œuvre vise à contrer les vulnérabilités potentielles ou du moins, à en limiter l’impact, du fait de l’utilisation de technologies hertziennes et en particulier du Wi-Fi. Ces technologies séduisent de plus en plus de collectivités qui y voient un moyen de diminuer considérablement les coûts d’installation des dispositifs de vidéoprotection.

Or, selon l’ANSSI, « début 2013, près de la moitié des réseaux Wi-Fi n’utilisent aucun moyen de chiffrement ou utilisent un moyen de chiffrement obsolète ». C’est la raison pour laquelle elle recommande de recourir à des systèmes cryptographiques pour protéger les données transmises, d’avoir un réseau dédié, non relié au SI et de cloisonner le réseau pour éviter qu’une caméra piratée ne se transforme en cheval de Troie donnant accès à l’ensemble du système.

Isabelle Pottier
Lexing, Droit informatique

Recommandations de sécurité ANSSI du 14-2-2013 pour la mise en œuvre de dispositifs de vidéoprotection