Tom's Hardware > Tous les dossiers > Internet > Juridique > Droit des nouvelles technologies

Le droit applicable aux pirates : la cybercriminalité

00:00 - mardi 20 juillet 2004 par Philippe Rocheteau

On entend beaucoup parler des « hackers » ou « crashers », ces personnes qui s’introduisent dans des serveurs par défi ou par volonté de lui porter atteinte. On a pu voir récemment que la cybercriminalité se professionnalise, des pirates russes proposant leurs services moyennant finances afin de bloquer des sites internet durant des heures. Il est même possible de payer pour récupérer les données d’un concurrent par exemple sur son serveur. Le droit français sanctionne évidemment ces agissements. Toutefois il faut savoir que la notion de vol de l’information n’est pas applicable en matière de nouvelles technologies. Des infractions spécifiques ont donc été crées :

C’est dès 1988 que le législateur a introduit dans le Code pénal les articles 323-1 à 323-7 sous le titre « Des atteintes aux systèmes de traitement automatisé de données ». Cette notion est assez floue, le législateur ayant voulu donner une notion large pouvant englober différents systèmes. On s’est donc rapidement demandé ce qui pouvait rentrer sous la notion de « système de traitement automatisé de données ». Il s’agit d’un réseau, matériel ou logiciel, accessible sur internet ou non. Ainsi une carte bancaire rentre dans cette définition, Serge Humpich, l’homme qui avait réussi à casser le cryptage des cartes de crédit, a pu en faire l’amère expérience.

Dans le Code pénal, les 3 premiers articles sont relatifs aux infractions, les 4 autres à la manière de les commettre :

Article 323-1 : « le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15000 euros d’amende.» Cet article pose clairement le principe qu’il doit y avoir une intention de pirater le système, une personne rentrant fortuitement dans le réseau ne pourrait être poursuivie. Les juges se sont demandés s’il était possible de poursuivre un pirate alors même que le système n’était pas du tout protégé. S’il n’y a pas d’obligation de sécurité pour le propriétaire du système, il s’agit toutefois d’un élément qui sera pris en compte par les juges. Par exemple, le site Kitetoa avait dénoncé les failles d’un site en montrant comment l’on pouvait facilement à partir de Netscape rentrer sur le serveur. Le propriétaire du site avait poursuivi le webmaster qui fut relaxé car il avait utilisé des fonctions d’un navigateur accessible à tous.

Article 323-2 : « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de 3 ans d’emprisonnement et de 45000 euros d’amende. » Cet article concerne évidemment les pirates qui attaquent des serveurs, via des attaques DDOS par exemple, mais aussi les spammeurs. L’accès n’est pas forcément frauduleux, ce qui pose pas mal de problèmes d’interprétation. Ainsi un employé d’une société qui télécharge des fichiers pourrait être sanctionné car il altère le fonctionnement du système.

Article 323-3 : « le fait frauduleusement d’introduire des données dans un système de traitement automatisé de données ou de supprimer ou de modifier les données qu’il contient est puni de 3 ans d’emprisonnement et de 45000 euros d’amende. » On sanctionne ici le pirate qui va venir modifier ou supprimer les données d’un serveur. Mais on sanctionne également une personne important dans le système une bombe logique ou un virus.

Les articles suivant prévoient que la tentative de ces délits est punie des mêmes peines, que des peines complémentaires peuvent être ajoutées (interdiction des droits civiques…). Il faut toutefois relativiser la portée de ces articles : dans le secteur des nouvelles technologies, il n’est jamais très bon au niveau de l’image pour une société de poursuivre en justice un pirate, les affaire s’ébruitant très vite. Les infractions sont pourtant très nombreuses, le plus souvent commises par un employé de l’entreprise.