Tout commence en 1982 dans un lycée de Pennsylvanie, où le jeune Richard Skrenta dissimule dans une simple disquette le premier virus de l’histoire. Baptisé “Elk Cloner” il aura pour effet de contaminer l’ensemble des ordinateurs de l’école. Plus de trente ans plus tard les cyberattaques sont un véritable fléau. En effet la société américaine Symantec (spécialisée dans l’édition de logiciels liés à la sécurité et à la protection des données) dresse un bilan alarmiste dans son rapport annuel en septembre 2012. Selon cette enquête, chaque seconde 18 internautes dans le monde sont victimes d’actes malveillants en ligne, soit plus d’un million et demi de personnes chaque jour. Par ailleurs les coûts imputables à la cybercriminalité sont estimés à 87 milliards d’euros.

Petit tour d’horizon des attaques informatiques et des moyens juridiques mis en œuvre pour lutter contre ces cybermenaces.

Piratage, sabotage, espionnage, la France a rapidement pris conscience des dérives que pouvait entraîner le développement de l’informatique. C’est pour cette raison que fut promulguée la « loi Godfrain » du 5 janvier 1988 qui sanctionne les atteintes aux systèmes de traitement automatisé de données (STAD). Ainsi les articles 323-1 à 323-7 du Code pénal répriment :

L’accès illégal à des systèmes d’information

Détourner un système, recueillir des informations sensibles, nécessite de s’introduire et de se maintenir intentionnellement dans une zone d’un réseau sécurisé. La méthode la plus simple pour un programmeur malveillant est de « casser » un mot de passe. Ceci est d’autant plus aisé que l’identifiant (login) est souvent dépourvu d’une « authentification forte ». En effet les mots de passe choisis par les utilisateurs sont jugés trop simplistes. Il faut éviter les éternels 123456, le prénom de ses enfants, ou sa date de naissance, qui sont des « authentifications faibles ». Par ailleurs de nombreux logiciels appelés keyloggers permettent d’enregistrer les frappes du clavier. Les hackers peuvent ainsi récupérer les précieux sésames (mot de passe, coordonnées de cartes bancaires). Il va de même pour les logiciels espions (spyware) permettant d’activer à distance le micro et la webcam d’un ordinateur permettant aux hackers d’avoir des yeux et des oreilles à travers votre ordinateur. Le plus célèbre des logiciels espions se nomme Cydoor et fut installé sur plus de 20 millions d’ordinateurs par le biais de logiciel gratuit en 2002.

Les chevaux de Troie permettent quant à eux de prendre le contrôle total d’un ordinateur via Internet. Notons le jugement du tribunal correctionnel de Nanterre rendu le 10 novembre 2011 qui a retenu la culpabilité d’EDF ((T. corr. Nanterre, 15e ch., 10 nov. 2011, Greenpeace et a. c/ EDF et a.)) dans une affaire d’espionnage informatique. En l’espèce un cheval de Troie (Bifrost) avait pris le contrôle des ordinateurs de certains membres de Greenpeace, pour connaître à l’avance les actions du groupe écologiste contre EDF.

Au-delà de l’accès frauduleux, le maintien sans droit dans tout ou partie du système est également sanctionné. Au début des années 1990, la jurisprudence était assez sévère. En effet la Cour d’appel de Paris avait décidé que l’article 323-1 du code pénal incriminait le maintien irrégulier réalisé par erreur ou inadvertance dans un système ((CA Paris, 8 avril 1994.)). Cependant cette position des juges du fond évolua avec l’essor d’Internet. Ainsi par un arrêt du 30 octobre 2002 ((CA Paris, 30 octobre 2002, Kitetoa/ Tati.)), les magistrats parisiens ont décidé que l’internaute ayant accédé à une partie d’un site non sécurisé par erreur ne pouvait pas être incriminé.

La sanction de ce type de délit est lourde puisqu’il est punissable d’une amende de 30 000 euros et de deux années de prison.

L’atteinte illégale à l’intégrité d’un système

Apparus en 1988 avec notamment RTM (( Du nom de son créateur Robert Tappan Morris.)) qui infecte 5% des ordinateurs connectés à Internet, les vers font partie de l’arsenal favoris des hackers pour saturer les réseaux d’un système. Se propageant d’un ordinateur à l’autre le plus souvent via la messagerie électronique, ils vont par duplication saturer le système informatique.

Le virus quant à lui sert à parasiter les ressources d’un système. Il s’agit d’un programme se recopiant à l’identique sur un autre programme hôte chaque fois que celui-ci sera exécuté. La mémoire de l’ordinateur se remplit peu à peu d’un nombre toujours plus grand de copies qui ralentissent et finissent par planter le réseau. Le plus célèbre de ces virus est sans nul doute Melissa qui en 1999 infecta plus 100000 ordinateurs en deux jours en inondant de pièces jointes des messageries électroniques. Cette pratique du mailbombing fut déjà sanctionnée par les juges dans une affaire ((TGI Nanterre, 8 juin 2006, Sté Amen c/Michel M)) ou un internaute mécontent du service fourni par un hébergeur envoya à ce dernier 12 000 emails identiques. L’auteur de ce délit risque jusqu’à 75 000 euros d’amendes et 5 ans d’emprisonnement.

L’atteinte illégale à l’intégrité des données

Le Code pénal réprime la modification ou la suppression intentionnelle du contenu des données d’un système. Par exemple on peut trouver dans le panier d’un hacker une bombe logique servant à la destruction totale du système de l’ordinateur, qui se déclenchera à l’ouverture d’un document. Les données seront alors perdues à jamais. Ce délit est puni d’une amende de 75 000 euros et 5 ans d’emprisonnement.

La mise à disposition d’outils utilisés pour commettre les infractions

L’article 323-3-1 du code pénal, introduit par la loi du 21 juin 2004 (LCEN) ((La loi du 21 juin 2004 pour la confiance dans l’économie numérique.)), sanctionne la simple détention et la mise à disposition d’outils pouvant servir à commettre des actes de piratage. On considère ici tout programme s’apparentant à un vers, virus, cheval de Troie ou tout autre logiciel malveillant.

Délit d’association de malfaiteurs informatiques

L’hacktivisme numérique est en pleine expansion notamment avec des groupuscules comme Anonymous. Si ce collectif n’est pas le seul, il est certainement le plus célèbre. Pratiquant un militantisme social et politique par le biais d’attaques informatiques, Anonymous vise le plus souvent des institutions étatiques (le Sénat américain, le site de la République française) ainsi que des entreprises (Sony, Adidas). Cherchant à influencer ou à punir, ses membres n’hésitent pas à se poser comme justiciers des temps modernes. L’illustration la plus marquante est sans nul doute la diffusion de listes d’utilisateurs présumés de sites pédophiles, livrant leurs identités et adresses.

Le 12 août 2013, le Parlement européen et le Conseil de l’Union européenne ont adopté une directive en matière de cyberattaques afin de mieux prendre en compte la gravité des infractions et de prévoir des sanctions à leur mesure. Son principal apport consiste en ce qu’elle incrimine des nouvelles formes de cyberattaques et qu’elle lève des obstacles aux enquêtes et aux poursuites judiciaires. Les États membres de l’Union européenne ont jusqu’au 4 septembre 2015 pour transposer cette directive dans leurs systèmes juridiques nationaux.

 LW

Express Your Reaction

Share Tweet