Qu’entend t-on par intrusion dans un système d’information (ou STAD)

La loi Godfrain de 1988 a instauré des sanctions pénales pour les intrusions dans un système de traitement automatisé de données (ou STAD)…

Mais que couvre le mot “intrusion” ? Vous allez me dire : “facile, c’est ce que font les hackers ! !” Pas si sûr…

Chapitre 1. Les dispositions légales

Aujourd’hui, le code pénal dispose d’un chapitre intitulé “Des atteintes aux systèmes de traitement automatisé de données” dérivé de la loi Godfrain de 1988.

Ainsi, l’article 323-1 du code pénal dispose :

Le fait d’accéder [… ], frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.

(cc CyberHades)

Cet article impose donc deux conditions :

  • Il est nécessaire qu’il y ait un accès à un STAD (accès qui peut permettre plusieurs autres actions : modification de données, maintien sur le système, perturbation du fonctionnement du STAD, etc.) ;
  • Il faut que cet accès soit frauduleux (la charge de la preuve est bien entendu pour celui qui soutient qu’il existe une intrusion).

Et c’est TOUT ! il n’y a pas d’autres conditions.

Petit mémo sur la “fraude” : Pour qu’une action soit frauduleuse, le “fraudeur” doit avoir connaissance que ce qu’il est en train de faire n’est pas normal ou est illégal (bien entendu, la non-connaissance de la loi n’est pas une excuse 🙂 ). La connaissance doit s’analyser au cas par cas (in concreto pour les juristes).

Chapitre 2. Les enjeux de bien cerner le concept “d’intrusion informatique”

Il est très important de bien définir ce que couvre “l’accès frauduleux” de l’article 323-1 du code pénal.

En effet, les actions suivantes sont-elles punissables ?

  • naviguer sur le site web d’une grande entreprise ;
  • naviguer sur le site intranet d’une grande entreprise :
  • si l’accès n’est pas protégé par mot de passe,
  • si l’accès est protégé par le mot de passe “1234” ,
  • si l’accès étant protégé par le mot de passe “Rg7#66§°-vkQp” .

Vous avez une petite idée ?

Section 2.1. Pour mieux comprendre : l’affaire Tati/Kitetoa

Cette affaire est une des affaires les plus emblématique de “l’intrusion des STAD” car elle avait fait grand bruit dans les milieux spécialisés dans les années 2000.

2.1.1. Les faits

En l’espèce, Kitetoa.com (site internet traitant principalement de sécurité informatique) avait publié durant l’année 2000 un article décrivant un problème de sécurité sur le site internet http://www.tati.fr : en effet, des milliers de données clients pouvaient être récupérées en un clic à l’aide de la version grand publique du navigateur Netscape (à l’époque il était très populaire 🙂 si, si !).

Évolution des parts de marché des navigateurs Internet (cc wikimedia)

2.1.2. La décision de justice

Après une première condamnation en première instance (condamnation de Kitetoa à 1000€ avec sursis le 13 février 2002), la cour d’appel a finalement décidé (cour d’appel de Paris 12ème Chambre, Section A, 30 octobre 2002) que les manipulations effectuées par Kitetoa.com ne devaient pas être considérées comme une intrusion au sens de la loi Godfrain.

En effet, la cour considère :

[… qu’] il ne peut être reproché à un internaute d’accéder aux [… ] parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font par définition l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès ;

que même s’agissant de données nominatives, l’internaute y accédant dans de telles conditions ne peut inférer de leur seule nature qu’elles ne sont pas publiées avec l’accord des intéressés, et ne peut dès lors être considéré comme ayant accédé [… ] frauduleusement dans cette partie du système automatisé de traitement de données, la détermination du caractère confidentiel (en l’espèce non discuté mais qui n’a donné lieu à aucune utilisation en pratique préjudiciable) et des mesures nécessaires à l’indication et à la protection de cette confidentialité relevant de l’initiative de l’exploitant du site ou de son mandataire ;

que dès lors les accès [… ] d’Antoine CHAMPAGNE dans des parties nominatives du site TATI ne peuvent être qualifiés de frauduleux

2.1.3. Une décision discutable légalement

L’arrêt Kitetoa est, en réalité, assez étrange quand on le regarde de plus près.

En effet, les juges considèrent :

  • que les données étaient accessibles sans connaissance technique particulière (i.e. simple utilisation d’un logiciel grand public de navigation) ;
  • que les données doivent être “être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès” ;
  • que, dès lors, il n’y a pas d’accès frauduleux puisque “l’internaute [… ] ne peut inférer” que ces données sont confidentielles.

Premièrement, je ne vois pas dans l’article 323-1 du code pénal ce qui justifierait des “connaissances techniques particulières” pour que l’intrusion soit constituée.

De plus, la cour semblent faire une analyse in abstracto, c’est-à-dire sans chercher à savoir si Kitetoa avait, en pratique, connaissance du caractère anormal de cet accès . Elle affirme simplement, de manière générale, que l’internaute lambda ne l’aurait peut être pas su.

Ici, il était évident que Kitetoa, au vu des articles publiés, était au courant : il n’y a donc aucune raison, selon moi, pour que l’article 323-1 du code pénal ne s’applique pas.

2.1.4. Une décision guidée par le pragmatisme et l’équité

Je suis assez certain que les juges ont rédigé leurs jugements en sachant pertinemment que celui-ci n’était pas “juridiquement” parfait.

Mais comment condamner quelqu’un qui a trouvé une faille de sécurité sur un site (si débile soit-elle) et qui a averti les administrateurs de ce site sans chercher à tirer avantage de cette découverte (sinon un peu de pub) ?

La lettre de la loi leur demandait de sanctionner ce “white hat” (ou gentil hacker)… mais ils n’ont pas pu s’y résigner, voilà tout !

Section 2.2. L’absence de protection permet-elle toujours de se dédouaner de la sanction pénale ?

On peut lire à droite ou à gauche que s’il n’y a pas de protections (mots de passe, firewall… ), il n’y a pas d’intrusion et donc pas de sanctions (voir par exemple, les propos de Bluetouff ici)…

C’est un peu comme si vous me disiez “Une personne m’a piqué ma voiture car j’avais oublié de fermer la porte et les clefs étaient sur le contact… est-ce que c’est un vol pénalement ?” . La réponse est sans hésiter : “oui ! c’est un vol” (même s’il y aura des circonstances atténuantes, très certainement). De même, si une personne rentre chez vous car la porte d’entrée est n’est pas fermée, il n’en a clairement pas le droit et c’est une “intrusion” .

L’administrateur a oublié de sécuriser son site web ? Certes, mais cela n’empêche pas qu’une intrusion soit possible… Vous pouvez donc être sanctionné !

Bien entendu, cela n’exclut pas que l’entreprise auquel appartient le site pourra également être poursuivi pénalement si un niveau de protection particulière était requis par la loi (en particulier, pour les données à caractère personnel, voir article 34 de la loi du 6 janvier 1978).

Chapitre 3. En conclusion

Comme l’affaire Kitetoa le montre assez bien, la notion “d’intrusion” est complexe à manipuler.

En un mot, si un informaticien “white-hat” tombe par hasard sur une zone d’administration d’un site web non sécurisé, il n’aura pas commis d’intrusion… mais s’il se dit “chouette, je vais regarder ce que qu’il y a dessus” et qu’il continue de naviguer dans cette zone, alors là, il sera en plein dans l’intrusion au sens du code pénal.

Ainsi, il est compliqué d’expliquer à cet informaticien qu’il a réalisé une “intrusion informatique” , alors qu’aucun mécanisme de sécurité n’était en place : il vous dira “Ben non je n’ai pas hacké le site”… Rhaaaa… quand chacun à sa propre définition du mot “intrusion” ,… et bien, c’est tout de suite plus compliqué !

Ceci dit, il n’est pas certain que les juges condamnent ce “white-hat” , surtout si :

  • il ne modifie rien ;
  • il n’en tire pas profit ;
  • les manipulations techniques étaient triviales.

… mais il y a quand même un petit risque (risque à 2 ans de prison quand même) ! A lui de voir s’il assume ce risque 🙂

J’attends avec impatience que la Cour de cassation se prononce sur ce sujet et/ou que le législateur légalise enfin les “white-hat” (bon courage, car ça va pas être de la tarte) !

4 Comments:

  1. Bonjour.
    Je me prénomme Danielle.
    Je trouve votre article assez intéressant se faisant je m’en suis servi pour mon mémoire j’aimerai vous citer en bonne et dû forme histoire de respecter le droit d’auteur. Pouvez vous s’il vous plait me donner d’une manière précise votre nom ou votre pseudo ainsi que les détails de votre article merci.

  2. Bonjour, considérez vous que l\’accès à une boite mail via des identifiants communiqués par l\’ancien employeur soit reconnu comme une intrusion dans un système d’information ??En vous remerciant pour votre article bien complet,Bien cordialement,

    • Bonjour,
      Personne ne répond ?
      Considérez vous que l’accès à une boite mail, ou au serveur d’un ancien employeur avec des identifiants communiqués lors de nos fonctions dans l’entreprise est un délit, surtout que cet accès avait pour but de récolter des informations pour la défense d’un dossier aux prud’hommes après un licenciement abusif(Faute Grave non justifiée)
      Merci de votre Réponse

  3. Intéressant!

    Par contre, pour moi l’informaticien « white-hat » qui tombe par hasard sur une zone d’administration d’un site web non sécurisé, n’aura pas commis d’intrusion, car l’accès n’est pas frauduleux. Il y a eu accès sans réaliser une action de mauvaise foi visant à causer un préjudice à l’auteur du site non sécurisé, car ce dernier n’a justement pas sécurisé son site web.

    Pour mieux comprendre mon propos, on peut prendre l’exemple d’une personne A qui irait dans un cyber-café et qui se connecte à une machine qui a été utilisée préalablement par une autre personne B. On va dire que la personne B s’est connecté via une connexion web-SSL à son ordinateur professionnel afin de récupérer certains fichiers. En quittant le cyber-café, la personne B oublie de fermer son navigateur laissant ainsi accès à son ordinateur professionnel via la connexion web-SSL. Pour moi, la personne B qui ouvre le navigateur et découvre cette accès à une machine à laquelle elle n’a pas normalement accès, n’y a pas accédé de manière frauduleuse, car “il était dans la place, comme télé-transporté à l’insu de son plein gré”.

    Par contre, si la personne B commence à fouiller dans les fichiers de l’ordinateur professionnel de la personne A, pour moi ce caractérise un “maintien frauduleux” au sens de l’article 323-1 du code pénal. En effet, la personne B va très rapidement se rendre compte qu’elle peut avoir accès à des éléments qui n’est pas normalement censé pouvoir avoir accès. De ce fait, la personne B se maintient frauduleusement dans le STAD de la personne A.

    Par conséquent, dans ton exemple, l’informaticien « white-hat » qui se dit « chouette, je vais regarder ce que qu’il y a dessus » et qu’il continue de naviguer dans cette zone, alors là, il sera en plein dans le “maintien” au sens du code pénal et non l’intrusion.
    Je rappelle une partie de l’article: “Le fait d’accéder ou de se maintenir, frauduleusement, dans un STAD…”.

    Qu’en penses-tu?

    Merci pour les articles.

Leave a Reply

Your email address will not be published. Required fields are marked *