Dans un arrêt du 20 mai 2015 (publié au bulletin), la Cour de cassation vient de préciser la définition de la fraude informatique en retenant qu’il suffit que le pirate ait eu connaissance de la présence d’un système de protection (par identifiant et mot de passe) pour que soit retenu le délit de piratage informatique… même si ledit système de protection a été « contourné » par la simple utilisation d’un moteur de recherche internet. Etrange.
On est bien loin du hacking / piratage informatique tel qu’on l’entend classiquement, et dont le jeu consiste à casser ou à contourner un système de protection informatique en passant par une faille (un port ouvert, une backdoor ou encore un outil spécialisé).
Décryptage.
Le piratage informatique / hacking est retenu dès que l’auteur des faits sait qu’il existe un système de protection des données informatiques et qu’il persiste quand même dans son action
C’est aussi simple que cela : l’internaute qui s’introduit sur le site extranet d’une personne physique ou morale, même à la suite d’une défaillance technique du système de protection, et sans être à l’origine de cette défaillance, et qui se maintient dans ce système pour y dérober des fichiers alors qu’il a préalablement constaté l’existence d’un contrôle d’accès est auteur d’actes de maintien frauduleux sur un système automatisé de données.
Cela peut paraitre injuste au yeux de certains, puisque c’est l’absence de sécurité informatique (en panne) qui rend les informations, prétendument « volées », en réalité disponibles au public par l’utilisation d’un simple moteur de recherches internet.
Pourtant, il faut distinguer l’accès frauduleux et le maintien frauduleux.
L’accès étant facilité par une panne du système informatique, le délit d’accès frauduleux ne peut pas être retenu, certes… Mais cela ne signifie pas qu’on ne peut pas reprocher à l’auteur des faits un maintien frauduleux s’il sait qu’en principe il faut un identifiant et un mot de passe pour accéder à ces informations. C’est le raisonnement suivi par la Cour de cassation.
Pourtant cette analyse ne résiste pas à la décortication de la fraude informatique, laquelle est nécessaire à la matérialisation du délit, qui à mon sens très mal définie dans cet arrêt, je pense à dessein, pour des raisons politiques : c’est ANSES la victime.
Un internaute complètement noob (newbie) peut donc parfaitement être reconu fraudeur et être condamné pour piratage informatique en utilisant Google
Pas besoin d’être un geek ou un hacker, donc, pour être condamné. C’est la leçon à tirer de cet arrêt de la Cour de cassation qui met fin à un mouvement oscillant de la jurisprudence de certaines Cour d’appel et de précédentes positions de la Cour de cassation qui tantôt acceptaient de manière variable la notion d’introduction frauduleuse dans un système de traitement automatisé de données (STAD). Depuis 2004, la loi s’est élargi aux notions d’accès et de maintien dans un STAD, certes, mais la Cour de cassation s’engouffre dans une appréciation laconique de la fraude informatique qui permet un tel accès et/ou maintien.
En effet, il convient de rappeler que le texte de l’article 323-1 du Code pénal, mis à jour par la loi 2004-575 du 21 juin 2004 pour la confiance dans l’économique numérique dispose que : « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende« .
Or, l’arrêt retient que l’auteur des faits déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google et qu’il affirmait être arrivé par erreur au coeur de l’extranet de l’ANSES. Ce n’est donc pas par une manoeuvre frauduleuse qu’il s’est retrouvé dans l’arborescence de l’intranet de l’ANSES… mais par inadvertance.
Il s’en suit que la notion de « fraude » est au coeur de l’appréciation et que la qualification juridique des faits : l’auteur des faits fraude-t-il lorsqu’il n’utilise aucun outil de piratage, ni aucun savoir-faire illicite de hacking, ni aucune manoeuvre particulière ? Autrement dit, l’auteur des faits fraude-t-il lorsqu’il utilise un moteur de recherche internet avec un navigateur pour récupérer une information (un fichier informatique) rendu disponible publiquement en raison d’un défaillance du système de sécurité ?
La Cour de cassation répond par l’affirmative en se bornant à souligner que l’auteur s’est maintenu sur l’extranet litigieux « alors qu’il avait constaté l’existence d’un contrôle d’accès« . Il a constaté l’existence d’un contrôle d’accès ne signifie pas qu’il avait conscience que ce contrôle d’accès régissait forcément l’accès aux données litigieuses. Comment le savoir de toute façon, si par définition, ce contrôle d’accès ne fonctionne pas.
C’est critiquable : si je suis mené par Google sur un site extranet non sécurisé (qui lorsqu’il est ouvert a toutes les apparences d’un site internet), comment faire la différence entre ce que j’ai le droit d’y faire ou pas ? La réponse est simple : certains extranets ont des zones d’informations publiques (généralement en lien avec un site internet mais pas obligatoirement) et des zones d’informations privées, protégées par mot de passe. Si la sécurité ne fonctionne pas, je ne ferai donc pas nécessairement la différence.
La Cour de cassation élude admirablement bien la question…. pourtant la réponse à cette question fournit un autre élément : l’élément moral / intentionnel de l’infraction de maintien frauduleux dans un système automatisé de données.
La conscience d’être dans un système informatique protégé : l’élément moral de l’infraction du maintien frauduleux
La Cour de cassation adopte un raisonnement confus dans un « attendu » fouilli mêlant deux délits différents (« maintien frauduleux » – art. 323-1 du Code pénal et « vol » – art. 311-1 du Code pénal).
Sur la question de maintien frauduleux, la seule conscience d’être dans un système informatique protégé suffit à caractériser l’élément matériel. Dont acte : le délit de maintien frauduleux est un délit matériel avec un élément matériel extrêmement fugace. Il fallait que ce soit dit. Je ne suis pas d’accord, mais on le saura pour la prochaine fois.
Sur l’autre incrimination retenue, on notera que ce n’est pas le délit « d’extraction, de détention, de reproduction, de transmission, de suppression ou de modification frauduleuse des données » de l’article 323-3 du Code pénal qui a été instruit et poursuivi dans cette affaire… mais le délit de « vol » de l’article 311-1 du Code pénal.
La Cour de cassation aurait donc dû écarter cette incrimination de vol comme n’étant pas applicable au délit informatique de téléchargement illicite de fichiers et données.
Cela semble ne choquer personne et pourtant cela devrait. En appliquant l’incrimination pénale de « vol » à un délit informatique « d’extraction et de reproduction de données informatique », la Cour de cassation méconnaît le principe d’interprétation stricte de la loi pénale.
Si le législateur a créé l’article 323-3 du Code pénal, ce n’est pas pour faire joli. C’est parce qu’il n’y a pas de vol – autrement dit pas de soustraction frauduleuse de la chose d’autrui – lorsqu’on télécharge un fichier informatique. Le délit n’est matériellement pas constitué, car il s’agit d’une simple reproduction, pas d’une soustraction de la chose d’autrui.
Pourtant c’est bien en s’appuyant sur le prétendu « vol » commis que la Cour de cassation va retenir la responsabilité du dangereux prévenu, comme signe de la volonté de nuire de l’auteur des faits. Etrange que de s’appuyer sur un délit de vol non constitué pour asseoir une décision de maintien frauduleux dans un système automatisé de données.
La préparation du délit motivé par un mobile dérisoire, gage de la volonté de nuire ?
Il est vrai cependant que l’auteur des faits était caché derrière un VPN panaméen lors de sa recherche internet complexe sur Google laquelle l’a mené à l’extranet litigieux et aux données informatiques litigieuses. Je reconnais volontiers que c’est suspect, comme attitude, et qu’on est peut être pas face à un internaute classique qui utilise son adresse IP française de son fournisseur d’accès français.
D’un autre côté l’utilisation de VPN se démocratise, car un VPN permet notamment de faire des recherches sans être identifié et « profilé » par Google dans les recherches opérées (pourvu qu’on ne se connecte pas à son compte Google évidemment). De là, à en déduire une intention criminelle, il ne faut pas aller trop vite.
Et c’est là que réside la plus surprenante tournure de cet arrêt : pour quel mobile l’auteur se voit-il reproché un maintien frauduleux dans un système automatisé de données et un vol de fichiers informatiques ? Réponse de la Cour de cassation : pour « avoir seulement fait une extraction de 250 mégaoctets qu’il avait utilisés pour argumenter son article sur la légionellose » et pour « avoir communiqué des documents à un autre rédacteur du site ».
Ah, oui ! Ca valait la peine de le condamner celui-là (ironie)… Et de tordre le bras à des incriminations pénales pour les appliquer à la va-vite ? Moins sûr.
Moralité, cet espiègle internaute a été condamné à 3.000,00 € d’amende. Vous me direz « c’est peu » ? Eh bien, non, c’est déjà trop dans un pays où le salaire moyen net mensuel, par ménage, est de 2 410 € nets / mois… surtout lorsque notre plus haute institution judiciaire jongle avec incriminations pénales pour asseoir une décision contestable.
C’est surtout trop au regard de ce que coûte l’ANSES dans les rapports de la Cour des comptes : l’ANSES a certainement les moyens de s’offrir un bon administrateur réseau et du matériel de qualité. Néanmoins, j’ai un peu l’impression que c’est le justiciable qui est placé au sens propre, sur le banc des accusés. Pas l’autorité publique qui a géré sa sécurité informatique de manière discutable.
On aura compris la leçon.