Phreaking : comment protéger son installation téléphonique ?

Phreaking : comment protéger son installation téléphonique ?Virginie Bensoussan-Brulé précise pour IT-expert Magazine, les enjeux en matière de phreaking en entreprise.

Comment protéger son installation téléphonique contre le phreaking ? Une fois que le mal est fait, quels sont les moyens mis à disposition des victimes pour identifier les auteurs et obtenir réparation du préjudice subi ?

En s’attaquant à leurs infrastructures téléphoniques et en exploitant ainsi de manière malveillante leurs commutateurs privés (PABX ou IPBX), les pirates utilisent l’abonnement téléphonique des entreprises, générant pour leurs victimes des surfacturations importantes, pouvant aller, suivant les hypothèses, jusqu’à menacer l’existence de la société elle-même.

Les PABX ou IPBX sont des dispositifs chargés d’assurer la commutation d’un réseau téléphonique privé. Ils permettent d’offrir un grand nombre de fonctionnalités comme une messagerie vocale, un standard téléphonique intégré, une redirection d’appels, ou un accès distant au poste.

Le développement technologique de la téléphonie s’appuie sur le développement et l’implémentation de composants identiques aux systèmes informatiques. Ainsi les équipements téléphoniques deviennent des systèmes informatiques à part entière, ce qui explique que les attaques perpétrées par les pirates se soient multipliées.

Les actes malveillants poursuivent des objectifs distincts selon les types d’attaques perpétrées : blocage des systèmes, écoute des conversations téléphoniques, destruction de données ou encore détournement de la ligne pour passer des appels téléphoniques à l’international.

Comme pour les systèmes informatiques, la téléphonie permet aujourd’hui aux pirates de commettre des attaques par déni de service et des usurpations d’identité. L’explosion des smartphones sur le marché a entrainé de nouveaux types de fraudes, comme le Telephony Denial of Service (TDos) qui permet l’envoi massif d’appels sur un téléphone pour en bloquer l’accès.

Les fraudes à la téléphonie représentent des pertes considérables pour les entreprises, qui victimes du détournement de leur ligne téléphonique se voient facturer des appels surtaxés ou internationaux. En outre, les conséquences occasionnées par la destruction de données peuvent s’avérer considérables.

Il est pourtant possible d’agir de manière préventive pour empêcher ces attaques en mettant en pratiques certaines mesures. Lorsque le mal est fait, l’entreprise victime de la fraude doit réagir et mettre en œuvre un plan d’action pour lutter contre la fraude.

Virginie Bensoussan-Brulé pour IT-expert Magazine, « Phreaking quand les pirates s’attaquent aux lignes téléphoniques », le 10 décembre 2015.




A quand une législation protégeant le secret des affaires ?

A quand une législation protégeant le secret des affaires ?Le projet de loi pour la croissance, porté par Emmanuel Macron, ne comportera pas de volet sur le secret des affaires. 

La législation sur le secret des affaires a en effet été retirée du projet de loi Macron actuellement en discussion à l’Assemblée nationale car jugée attentatoire à la liberté de la presse et aux lanceurs d’alerte.

La France ne disposera pas d’une législation nationale protégeant le secret des affaires, contrairement aux préconisations de l’article 39 du traité ADPIC issu la convention de Marrakech de 1994 qui a institué l’Organisation mondiale du commerce (OMC).

Cette législation prévoyait de punir quiconque prend connaissance, révèle sans autorisation ou détourne toute information protégée à ce titre d’une peine de trois ans d’emprisonnement et de 375 000 euros d’amende.

D’autres pays disposent déjà d’un dispositif juridique comparable. Il en est ainsi aux Etats-Unis où le « Economic Espionage Act » de 1996, plus connu sous le nom de Cohen Act de 1996, répond à ces exigences, tandis que pour l’Union européenne, une proposition de directive sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites, devrait être examinée au Parlement européen.

Le volet sur le secret des affaires qui figurait dans le projet de loi pour la croissance, porté par Emmanuel Macron, avait pourtant été amendé lors de la discussion parlementaire pour apporter des garanties aux journalistes craignant pour la liberté de la presse.

Un amendement précisait en effet que le secret des affaires ne s’appliquait pas à la révélation d’une information « strictement nécessaire à la sauvegarde d’un intérêt supérieur, tel que l’exercice légitime de la liberté d’expression ou d’information ou la révélation d’un acte illégal ».

De plus, un autre amendement prévoyait d’insérer la notion de secret des affaires dans la loi sur la presse de 1881, la plaçant au même niveau que celle de « secret professionnel ». Ainsi, les lanceurs d’alerte auraient été protégés.

Mais ces amendements n’ont pas calmé les craintes des journalistes et des lanceurs d’alerte, qui critiquent une définition trop large du secret des affaires et des garde-fous insuffisants.

Le député Richard Ferrand suggère que « ce qui doit être protégé dans la vie des entreprises » soit rediscuté dans le cadre du projet de loi dont il est le rapporteur sur la protection des sources des journalistes et qui doit être débattu cette année à l’Assemblée nationale (1).

Rien n’est moins sûr car le projet de texte n’a pas bougé depuis plus d’un an. En outre, le texte a pour ambition de conférer un niveau élevé de protection du secret des sources, ce qui n’est pas facilement conciliable avec le secret des affaires….

Pour l’heure, il n’y a pas en France de secret des affaires faute d’une législation protégeant les entreprises de l’espionnage industriel.

Didier Gazagne
Lexing Droit Intelligence économique
Isabelle Pottier
Lexing Droit informatique

(1) Projet de loi 1127, déposé le 12 juin 2013.




Fraude informatique : décryptage de l’affaire Bluetouff

Fraude informatique : décryptage de l'affaire BluetouffFraude informatique – Le délit d’accès frauduleux dans un système de traitement automatisé de données est prévu et réprimé par l’article 323-1 du Code pénal aux termes duquel « le fait d’accéder (…), frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende » (ancienne loi Godfrain sur la fraude informatique).

L’auteur doit avoir eu conscience d’accéder anormalement dans le système de traitement automatisée de données. Pour que ce délit de fraude informatique soit constitué, il n’est en revanche pas nécessaire qu’il ait eu l’intention de nuire.

Le délit de maintien frauduleux dans un système de traitement automatisé de données est prévu et réprimé par l’article 323-1 du Code pénal aux termes duquel « le fait (…) de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende ». Comme pour le délit d’accès frauduleux, le maintien doit être volontaire et l’auteur doit avoir eu conscience qu’il se maintenait anormalement dans le système.

La protection du système par un dispositif de sécurité n’est pas une condition des incriminations d’accès et de maintien frauduleux dans un système de traitement automatisé de données. Il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées pour que les dispositions pénales relatives à la fraude informatique s’appliquent.

Ayant constaté un accès frauduleux sur son serveur extranet, et la diffusion sur internet d’information confidentielles provenant de fichiers disponibles sur ce seul extranet, l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses), opérateur d’importance vitale (OIV), a déposé plainte devant le procureur de la République de Créteil.

Les services enquêteurs ont constaté que certains des contenus avaient été publiés sous le pseudonyme « Bluetouff », identifié comme étant Monsieur Olivier L., ce dernier était renvoyé devant le tribunal correctionnel des chefs d’accès et de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques.

Dans son jugement du 23 avril 2013, la 11e chambre correctionnelle du Tribunal de grande instance de Créteil a jugé qu’aucune des trois infractions poursuivies n’étaient constituées en l’espèce et a, en conséquence, relaxé le prévenu des fins de la poursuite. Le tribunal a en effet considéré que dès lors que l’Anses n’avait pas pris de mesure pour sécuriser son système informatique et n’avait pas « manifesté clairement l’intention de restreindre l’accès aux données (…) aux seules personnes autorisées », l’accès et le maintien frauduleux dans un système de traitement automatisé de données ne pouvaient être caractérisés.

Hormis la fraude informatique, le tribunal a également jugé le vol de fichiers informatiques. Il a considéré qu’« en l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose ». Le parquet a fait appel du jugement.

Si, dans son arrêt du 5 février 2014, la Cour d’appel de Paris a confirmé le jugement du Tribunal de grande instance de Créteil du 23 avril 2013 en ce qu’il a jugé que le délit d’accès frauduleux dans un système de traitement automatisé de données n’était pas constitué en l’espèce, aux motifs que « l’accès (…) a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail », elle a, en revanche, infirmé le jugement en ce qu’il a jugé que les délits de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques n’étaient pas constitués en l’espèce.

La Cour a en effet considéré que « pour ce qui concerne les faits commis de maintien frauduleux dans un système de traitement automatisé de données et de vol, (…) il est constant que le système extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail n’est normalement accessible qu’avec un mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé “par erreur” au cœur de l’extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données informatiques à l’évidence protégées ; que les investigations ont démontré que ces données informatiques avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers ; qu’il est, en tout état de cause, établi qu’Olivier L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; que la culpabilité d’Olivier L. sera donc retenue des chefs de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques au préjudice de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail ».

L’incrimination de vol de fichiers informatiques a donc été reconnue par la Cour d’appel de Paris même en l’absence de « dépossession » du propriétaire des fichiers. Le vol de fichiers informatiques, longtemps rejeté par les juridictions françaises, est une infraction aujourd’hui reconnue sur le fondement de l’article 311-1 du Code pénal disposant que le vol constitue la soustraction frauduleuse de la chose d’autrui.

Le prévenu s’est pourvu en cassation.

Virginie Bensoussan-Brulé
Lexing Droit pénal numérique




Vol de codes sources de logiciel : quelle infraction ?

vol de codes sourcesSur les marchés boursiers, la course aux profits est précédée d’une course technique et informatique, dont les enjeux financiers sont colossaux.

Les logiciels de trading à haute fréquence, développés par les banques d’affaires et les hedge funds, outils décisifs dans la réalisation d’achats et de ventes ultrarapides sur les marchés boursiers, sont devenus des secrets industriels précieux. Basés sur des algorithmes complexes et utilisés sur des machines surpuissantes, ils permettent de spéculer et de réaliser des profits importants, à des vitesses record.

Le vol de codes sources

Dans cette course à « l’armement informatique », les programmeurs de logiciels financiers sont des cartouches fondamentales des banques d’affaires. Un programmeur de la banque Goldman Sachs a été au cœur de cette guerre informatique. En quittant cette célèbre banque d’affaires pour une société financière concurrente, il a emporté avec lui des codes sources de logiciels stratégiques. Pour ce vol de codes sources, le programmeur a été poursuivi sur le fondement de « vol de secret industriel » et « espionnage industriel » (1).

Condamné en première instance à une peine de 97 mois de prison pour vol de secret industriel, le programmeur a interjeté appel de cette décision. Les juges l’ont relaxé en appel des deux chefs d’accusation. Ils ont considéré qu’il ne pouvait y avoir « vol de secret industriel », le vol supposant la soustraction de la chose d’autrui tout en privant la victime de son utilisation. Or, le programmeur avait réalisé une simple copie des codes sources, ceux-ci étant toujours en la possession de Goldman Sachs.

De même, la loi de 1996 sur l’espionnage industriel ne réprime que les faits portant sur des produits destinés à être commercialisés. Or, le logiciel de Goldman Sachs était un produit interne.

Les lois américaines

Les lois américaines régissant l’espionnage industriel et la violation des secrets industriels ne semblent plus adaptées aux exigences modernes et devraient être aménagées au regard de l’évolution des techniques et notamment de l’informatique.

Comment une telle affaire aurait été jugée en France ? Il n’existe aucun texte pénal qui sanctionne précisément l’appropriation de biens immatériels ou informationnels (à moins que la victime ne soit l’Etat). Toutefois, sur le fondement du vol de droit commun, les cours et tribunaux tendent à reconnaître le vol d’informations en tant que tel, indépendamment du support matériel (2). En tout état de cause, une telle copie des codes sources pourrait être réprimée sur le fondement de la contrefaçon et sur le terrain de la concurrence déloyale permettant au moins une indemnisation financière du préjudice subi.

Une proposition de loi

Une proposition de loi n°3985 visant à sanctionner la violation du secret des affaires a été déposée le 22 novembre 2011, adoptée en première lecture par l’assemblée nationale et transmise au Sénat. Elle vise à définir la notion de « secret des affaires » et crée un nouveau délit d’atteinte au secret des affaires. Un des objectifs de ce texte est de pallier à une protection insuffisante des informations économiques, techniques ou encore stratégiques des entreprises françaises.

(1) PLO AN n° 826 du 23-1-2012 (Petite Loi) ; Le Monde.fr, rubrique Technologies, article du 12-4-2012
(2) Cass, crim. 19-1-1994 n° 93-80633, Cass. crim. 9-9-2003 n° 02-87098, Cass. crim. 4-3-2008 n° 07-84002




Bientôt un nouveau délit de violation du secret des affaires

délit de violation du secret des affairesIl y aura bientôt un nouveau délit de violation du secret des affaires. Les entreprises pourraient bientôt mieux protéger certains secrets, comme des projets stratégiques, des procédés de fabrication ou des technologies non brevetés, des procédés de gestion ou leur fichier clients.

Une proposition de loi relative à la protection des informations économiques du 13 janvier 2011 définit en effet l’information à caractère économique protégée et détermine les infractions s’y reportant.

En ce sens, les députés ont voté en première lecture, le 23 janvier 2012, la création d’un nouveau délit de « violation du secret des affaires », inspiré de législations existantes aux Etats-Unis, au Royaume-Uni et en Allemagne, passible d’une sanction de trois ans d’emprisonnement et de 375.000 euros d’amende.

Jusqu’à présent, dans le cas d’un espionnage économique, les incriminations utilisées étaient celles de vol, d’abus de confiance ou encore de violation de la propriété intellectuelle. Ces incriminations étant jugées inadaptées ou leurs sanctions trop faibles par les acteurs économiques, il convenait de créer un délit spécifique.

Il reviendra donc aux entreprises de déterminer les informations de nature « commerciale, industrielle, financière, scientifique, technique ou stratégique » dont la divulgation pourrait « compromettre gravement [leurs] intérêts », et de les protéger par des mesures de protection spécifiques, afin de garantir leur caractère confidentiel. Une personne qui divulguerait ces informations pourrait être poursuivie sur le fondement de ce nouveau délit.

Les députés ont rappelé qu’il reviendra au juge pénal d’estimer si la mesure protégeant l’information est justifiée ou non, et si la divulgation de cette dernière compromet « gravement » les intérêts de l’entreprise.

Contrairement au secret de la défense nationale, le secret des affaires serait inopposable à la justice, de même qu’aux autorités administratives, dans l’exercice de leur mission de surveillance, de contrôle ou de sanction, ce qui inclut notamment les services de police, des douanes, de renseignement, et les autorités administratives indépendantes, telles que l’Autorité de la concurrence, l’Autorité des marchés financiers ou encore la Cnil, y compris dans l’exercice de leurs pouvoirs d’enquête.

PLO AN n° 826 du 23-1-2012
Assemblée nationale, Dossier législatif




La production en justice par un salarié de documents internes à l’entreprise

Par un arrêt rendu le 16 juin 2011, la Chambre criminelle de la Cour de cassation a jugé que le transfert sur sa messagerie personnelle de documents professionnels par un salarié n’est pas constitutif des délits de vol et d’abus de confiance, dès lors que cette copie est strictement nécessaire à l’exercice des droits de la défense, dans le cadre de la procédure prud’homale qu’il allait engager contre son employeur. Avisé du projet de son employeur de rompre le contrat de travail, le salarié avait appréhendé des documents dont il avait eu connaissance à l’occasion de ses fonctions et les avait transférés sur son adresse électronique personnelle.

Une information avait alors été ouverte des chefs de vol et d’abus de confiance, qui avait été close par ordonnance de non-lieu, confirmée par la chambre de l’instruction. L’employeur a formé un pourvoi en cassation, aux motifs que la Chambre de l’instruction n’avait pas constaté que l’appropriation des documents par le salarié avait pour objectif de transmettre ces documents à un concurrent, et non pour préparer sa défense. La Chambre criminelle a cependant rejeté le pourvoi, au motif que la chambre de l’instruction avait bien justifié que le transfert des documents litigieux était strictement nécessaire à l’exercice des droits de la défense du salarié devant le Conseil des prud’hommes.

La possibilité pour un salarié de produire en justice des documents internes à l’entreprise, pour l’exercice strictement nécessaire des droits de sa défense, était admise par la Chambre sociale et la Chambre criminelle de la Cour de cassation depuis 2004. Toutefois, c’est la première fois que la Cour de cassation adopte cette solution pour l’appropriation de documents électroniques.

Cass. crim. 16-6-2011 n° 10-85079 Centre spécialités pharmaceutiques
Cass.soc. 30-6-2004 n° 02-41720 et 02-41771.
Cass. crim. 11-5-2004 n° 03-85521.




Le vol de documents de l’entreprise par un salarié

La question de la qualification de la production en justice par un salarié de documents appartenant à l’employeur se pose dans le présent arrêt. Dans cette affaire, un salarié était poursuivi du chef de vol à la suite de la remise, lors de son audition par les services de la gendarmerie, dans le cadre d’une plainte en diffamation déposée à son encontre par son employeur, de documents de l’entreprise destinés à établir la vérité des faits qu’il imputait à son employeur. Par arrêt infirmatif du 1er juillet 2008, la Cour d’appel d’Angers a déclaré le salarié coupable de vol aux motifs que :

  • « l’appropriation d’un document dans le but de le photocopier constitue un vol » ;
  • « ces faits ne constitueraient pas un vol si la production des documents en cause était strictement nécessaire à l’exercice des droits de sa défense dans le cadre d’un litige opposant un salarié à son employeur » ;
  • « or (…) la finalité n’était pas d’assurer sa défense dans le cadre d’un litige prud’homal, mais de tenter de prouver que les faits qu’il imputait à son employeur sur l’absence de sécurité des transports qu’il a dénoncés auprès des clients et de l’assureur de l’entreprise, étaient réels » ;
  • « dans ces conditions, le vol par appropriation frauduleuse est constitué ».

Le salarié a formé un pourvoi en cassation. Il soutenait qu’« aucune distinction ne devait être faite selon que le litige en cause avait ou non un caractère prud’homal ».

Par arrêt du 9 juin 2009, la Chambre criminelle de la Cour de cassation n’a pas fait droit à sa demande en considérant qu’ « en l’état de tels motifs (…), la cour d’appel a caractérisé en tous ces éléments, tant matériels qu’intentionnels, les délits dont elle a déclaré le prévenu coupable ».

Il ressort de cette décision que la production en justice, par un salarié, de documents appartenant à son employeur, est qualifiée de vol, si cette production n’avait pas pour finalité d’assurer sa défense dans le cadre d’un litige prud’homal.

Cass. crim. 9-6-2009 n° 08-86843