Le petit juriste Site de la revue d'actualité juridique
Pourquoi les cybercriminels sont-ils toujours en avance sur le droit ?
Depuis quelques temps, nous recevons les échos de plus en plus réguliers de cas de cyberattaques de grande ampleur à travers le monde. Ces attaques sont dues à la propagation de logiciels malveillants[1] sur internet ou encore la mise en place de réseaux zombies[2]. Mais l’ensemble des faits recensés sont loin de constituer une catégorie d’infractions uniformes. Les mobiles, les moyens utilisés et l’origine des attaques sont souvent très différents et orientés vers des cibles fort diverses.
Sans entrer dans le détail des modus operandi des criminels, très éloignés des considérations juridiques, il conviendrait cependant d’observer ces différentes catégories de cyberattaques et de rechercher les solutions juridiques qui sont ou peuvent être mises en place. C’est l’occasion de faire un point sur les contours du droit dans le cyberespace.
Vous avez dit cybercriminalité ?
Commençons par une définition : la cybercriminalité est un mot fourre-tout qui permet de désigner tout acte illégal accompli dans ce que l’on pourrait appeler le cyberespace[3]. Elle concerne tout aussi bien les logiciels espions, comme ayant récemment ciblé l’entreprise Sony[4], que les virus quelconques face auxquels une armada d’antivirus est chaque jour proposée aux consommateurs. Il peut également s’agir d’activités de cyber-terrorisme, de vente de produits illégaux ou encore de la transmission de fichiers pédopornographiques[5].
Le cyberespace serait donc un nouveau Far-West pour des internautes aux intentions multiples et dans lequel, paradoxalement, les Etats tentent de légiférer tout en étant aussi parfois à l’origine de nombreuses infractions[6].
Ce nouveau monde est-il correctement régulé ?
Tout d’abord, il n’existe pas en droit français de catégorie particulière regroupant l’ensemble des actes cybercriminels. Ceux-ci relèvent d’infractions très disparates et très différemment qualifiables pénalement. Il arrive aussi que l’utilisation d’un moyen de télécommunication puisse aggraver la sanction qui pèse sur le criminel.
Par exemple en matière de terrorisme l’article 322-6 du code pénal, introduit par la loi du 9 mars 2004 et visé par l’article 421-1 du même code définissant les infractions de terrorisme, incrimine la diffusion de moyens techniques permettant de fabriquer des engins de destruction[7]. La peine encourue est alors d‘un an d’emprisonnement et de 15000 euros d’amende, mais ces peines sont portées à trois ans et 45000 euros « lorsqu’il a été utilisé pour la diffusion des procédés, un réseau de télécommunication à destination d’un public non déterminé »[8].
Au-delà des activités terroristes, l’action des cybercriminels peut aussi se porter sur un service étatique, une entreprise ou des consommateurs. Loin d’être uniformes, leurs objectifs peuvent être politiques[9], ou financiers notamment par le vol de données.
Ainsi, de façon générale, l’article 323-1 du code pénal prévoit que les atteintes aux systèmes de traitement automatisé de données[10] (STAD) sont punissables de deux ans d’emprisonnement et de 30 000 euros d’amende[11]. Dans le même sens, l’article 323-2 du même code réprime les entraves au fonctionnement des systèmes informatiques et l’article 323-3 interdit l’introduction frauduleuse de données[12] dans un STAD. Il est prévu des peines de 5 ans d’emprisonnement et de 75 000 euros d’amende, que l’atteinte porte sur les biens ou sur des personnes. Le régime sur ce point semble donc unifié autour d’infractions propres. Enfin l’article 323-3-1 prévoit le régime de sanction en cas de mise à disposition d’équipements, instruments et programmes sans motif légitimes en vue de commettre les infractions prévues dans les articles précédents et les articles 323-4 et 323-4-1 prévoient les cas de participation en groupe et de criminalité organisée pour ces mêmes infractions avec un doublement des peines.
Est-ce suffisant ?
Les lacunes sont peu à peu comblées mais demeurent. Un exemple criant peut être fourni par le vol de données qui ne correspond pas exactement à la définition du vol prévue dans l’article 311-1 du code pénal. En effet, le vol nécessite la soustraction frauduleuse de la chose d’autrui. Or dans le cas de la cybercriminalité, les données ne sont pas soustraites mais copiées. Pour y remédier, la Cour de cassation a dû trouver des artifices comme la requalification du vol de données par un salarié en abus de confiance[13]. Notons cependant que la loi antiterroriste du 13 novembre 2014 complétant la loi Godrfain de 1988 est probablement venue mettre un terme à cette difficulté en modifiant l’article 323-3 du Code de pénal et en interdisant, au-delà du fait de s’introduire dans un STAD, celui «d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende». Cette disposition devrait être une nouvelle protection légale contre le vol de données numériques. Les sanctions de 5 ans de prison et de 75 0000 euros d’amende ont d’ailleurs été portées à 7 ans et 100 000 euros en cas de récupération de données personnelles dans un système d’information de l’Etat.
Peu à peu l’arsenal juridique se complète donc et se complexifie. Le droit et les administrations étatiques doivent en effet s’adapter constamment aux innovations technologiques.
Dans un rapport de février 2014[14] le député Marc Robert s’est également attardé sur un certain nombre de lacunes légales en proposant de nombreuses mesures. Ce rapport envisage notamment la création de nouvelles infractions spécifiques (par exemple contre les spams qui sont difficilement rattachables aux infractions légales actuelles) mais aussi l’aggravation des peines en cas d’atteinte aux STAD et en cas d’usurpation d’identité numérique. Le rapport demande en outre la réintroduction de la suspension d’accès dans le cas d’infractions concernant les mineurs. En matière de compétence juridictionnelle, il propose que celle-ci soit étendue à tout litige dont la victime serait de nationalité française même lorsque l’infraction est constituée hors du territoire.
Enfin, le rapport propose la création d’un centre d’urgence cyber dit Computer Emergency Response Team[15] (CERT) généralisé à l’échelle française ayant pour vocation d’épauler les CERT professionnels.
Les contours flous entre cybercriminalité, cyberespionnage et cyberdéfense.
Au-delà de la cybercriminalité, il faut aborder les cas du cyberespionnage et de la cyberdéfense, dont les actes, relèvent certes du droit commun, mais se situent à une échelle plus étendue en ce qu’ils ne visent pas seulement les particuliers et les entreprises mais peuvent aussi avoir attrait à la sécurité de l’Etat.
Ainsi, la Loi de Programmation Militaire de 2013 (LPM) oblige désormais les Opérateurs d’Importance Vitale (OIV)[16] à protéger intégralement leurs systèmes d’information et à se conformer aux règles fixées par décret du Premier Ministre en la matière[17]. Ils ont également l’obligation de notifier à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI[18]) toute forme d’agression dont ils pourraient être victimes. Notons enfin qu’en cas de guerre, les cyberattaques peuvent également dans certains cas relever du droit international humanitaire[19].
Quelles extensions à venir dans le cas d’hypothétiques cyberconflits ?
La nécessité de légiférer et d’adapter les structures en vue d’atteindre une cyber-résilience se fait également pressante à l’échelle internationale et régionale. Nombre d’Etats mènent des agressions et sont agressés par d’autres ou par des groupes internationaux[20]. Aussi, l’Union européenne tente de préparer et de sensibiliser l’ensemble des Etats membres à ces menaces par la création d’autorités en charge de la coordination de la lutte[21][22]. L’union souhaite également harmoniser la cybersécurité européenne par l’intermédiaire d’un nouveau projet de directive (NIS) toujours en discussion entre la Commission, le Parlement, et le Conseil[23]. Certains Etats et un intense lobby des grands groupes de l’internet ne souhaitent cependant pas être contraints ou soumis à des procédures particulières en cas de cyberattaques[24].
Ces initiatives sont pourtant nécessaires car le problème central de la règlementation sur internet tient au fait que le cyberespace est déterritorialisé. Il n’existe pas de législation propre à ce milieu, ni de droit international codifié de l’internet[25]. Sans être une zone de non droit, le cyberespace voit donc se superposer nombre de droits nationaux, dont les tentatives d’harmonisation régulière n’ont pas donné de résultats probants à l’heure actuelle.
Notons ainsi qu’à défaut de véritable cyberguerre nous sommes aux prémices des immenses conflits juridiques qui se jouent dans le cyberespace. Conflits dont l’ampleur ira croissante tant les possibilités d’infraction sont nombreuses et les moyens mis en œuvre par les différents acteurs importants[26]. Comme toujours, face à la nécessité de nouvelles règlementations, il faudra bien évidemment veiller au respect les droits fondamentaux des délinquants et des tiers. Un impératif bien difficile à tenir, dans un espace dématérialisé et souvent lointain pour la plupart des citoyens.
Charles Ohglusser
[1] Le terme « logiciels malveillants » est une appellation générique qui regrouper les virus et les vers, les bombes logiques (simple code informatique), les chevaux de Troie (porte dérobées mis en place par un virus ou une bombe logique, permettant d’entrer dans un ordinateur pour y déposer un virus, ou le transformer en « zombie »), d’un key-logger (dont le but est de contrôler et d’enregistrer les caractères tapés sur ordinateur), ou encore d’un logiciel malveillant intégré (logiciel qui accepte des commandes clandestines dans un système d’exploitation).
[2] Un réseau zombie est un réseau d’ordinateurs infectés par un logiciel malveillant dont le contrôle est partiellement prit par un hacker pendant une certaine période. L’utilisateur ne se rend pas compte de l’infection, mais son ordinateur va être activé en même temps que plusieurs autres (parfois des centaines de milliers) en vue de diriger une attaque sur une cible déterminée, ce qui en augmente l’intensité.
[3] Il s’agirait selon Richard A. Clarke et Robert K.Knake de « l’ensemble des réseaux informatiques mondiaux et tout ce qu’ils connectent et permettent de contrôler. Il ne s’agit pas seulement d’internet. Internet est un réseau ouvert de réseaux. De n’importe quel réseau relié à Internet, vous devriez être capable de communiquer avec n’importe quel ordinateur connecté à l’un des réseaux de l’Internet. Le cyberespace comprend donc l’Internet mais également une foule d’autres réseaux informatiques qui ne sont pas censés être directement accessibles depuis l’Internet » source : Richard A. Clarke et Robert K.Knake, Cyber war, Harper Collins publishers, 2010. Traduction Bertrant Boyer Cyberstratégie l’art de la guerre numérique, p 54, Nuvis, 2012.
[4] Voir en ce sens l’article de Paul Grisot : Piratage de Sony : le cybercrime a-t-il franchi une étape ? publié le 10 décembre 2014 dans le Courrier International.
Lien vers l’article : http://www.courrierinternational.com/article/2014/12/08/piratage-de-sony-le-cybercrime-a-t-il-franchi-une-etape
[5] Bien sur la cybercriminalité sur Internet est la plupart du temps cachée. Une bonne partie du web n’est pas référencée dans les moteurs de recherche classiques. C’est ce que l’on appelle le Dark Web ; par l’intermédiaire d’un serveur VPN permettant à l’utilisateur de se cacher derrière d’autres ordinateurs connectés en cascade, celui-ci est intraçable. En connaissant les adresses des sites utilisés, il est alors possible de trouver toutes sortes de produits parfaitement interdits sans passer par un moteur de recherche classique. Certains réseaux informatiques superposés comme TOR permettent de surfer sur le Dark Web de manière anonyme en paralysant les analyses du trafic et de fournir ou acheter des produits illicites en demeurant difficilement identifiable.
[6] Les Etats sont souvent suspectés eux-mêmes d’être à l’origine de certains virus. L’un des exemples les plus criants du potentiel des cyberarmes serait le virus Stuxnet ayant mis hors circuit des centaines de centrifugeuses servant à l’enrichissement d’uranium en Iran en 2010. Le ver était si complexe que seul un Etat (et très probablement les Etats-Unis) aurait eu les moyens de créer un tel programme. Voir en ce sens de Martin Untersinger Stuxnet : comment les Etats-Unis et Israël ont piraté le nucléaire iranien, publié par rue 89 le 4 juin 2012.
Lien vers l’article: http://rue89.nouvelobs.com/2012/06/04/stuxnet-comment-les-etats-unis-et-israel-ont-pirate-le-nucleaire-iranien-232728
[7] L’article réprime « le fait de diffuser par tout moyen, sauf à destination des professionnels, des procédés permettant la fabrication d’engins de destruction élaborés à partir de poudre ou de substances explosives, de matières nucléaires, biologiques ou chimiques, ou à partir de tout autre produit destiné à l’ usage domestique, industriel ou agricole »
[8] Par ailleurs, en matière d’apologie du terrorisme, l’article 24 de la loi du 29 juillet 1881, modifié par la loi anti-terroriste du 9 septembre 1986 punit de cinq ans d’emprisonnement et de 450 000 euros d’amende ceux qui auront directement provoqué, dans le cas où cette provocation n’aurait pas été suivie d’effets, à commettre des actes de terrorismes.
La loi du 21 juin 2004 a étendu cette disposition à la « communication au public par voie électronique ». Voir en ce sens le rapport du Comité d’expert sur le terrorisme du Conseil de l’Europe : Questionnaire sur le droit et la pratique au niveau national en matière d’utilisation du cyberespace à des fins terroristes, publié le 4 avril 2008.
Lien vers le rapport : http://www.coe.int/t/dlapil/codexter/Source/Working_Documents/2008/CODEXTER%20_2008_%2016%20-%20reponse%20de%20France%20-%20cyberterrorisme.pdf
[9] Pensons également que les cybercriminels peuvent s’opposer entre eux. Ce fut le cas notamment après les attentats contre Charlie Hebdo, lorsque les hackers d’Anonymous ont attaqué les sites de l’organisation terroriste Daech. Voir en ce sens l’article : Anonymous contre l’EI, du 26 septembre 2014, publié sur Lapresse.ca
Lien vers l’article : http://www.lapresse.ca/international/ailleurs-sur-le-web/201409/26/01-4803783-anonymous-contre-lei.php
[10] La notion de STAD a été introduite par la loi dite « Godfrain » du 5 Janvier 1988 (n° 88-19). Un système de traitement automatisé des données peut consister en un réseau (comme un réseau de cartes bancaires), un ordinateur ou un téléphone ou de tout équipement permettant la transmission ou le stockage de données.
[11] L’article 323-1 du code pénal, le texte précise en outre que « lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende. »
[12] Article 323-2 : « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75000 euros d’amende ».
A l’origine l’article 323-3 précise que : « le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. »
Pour d’avantage de détails sur les infractions pénales complémentaires en matière de Système de Traitement Automatique des Données (STAD), voir le billet de Maître Anthony Bem l’intrusion et les atteintes aux systèmes informatiques sanctionnées par le droit pénal, en date du 10 septembre 2010, sur Legavox.fr :
Lien vers le billet : http://www.legavox.fr/blog/maitre-anthony-bem/intrusion-atteintes-systemes-informatiques-sanctionnees-3158.htm#.VQwKldKG9in
[13] Cass, crim, 22 oct. 2014, n°13-82630,
Arrêt fondé sur l’article 314-1 du Code pénal qui précise que « L’abus de confiance est le fait par une personne de détourner, au préjudice d’autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de les représenter ou d’en faire un usage déterminé.
L’abus de confiance est puni de trois ans d’emprisonnement et de 375 000 euros d’amende. »
Voir pour commentaire l’article de Anthony Bern : Délit de détournement de fichiers par un salarié en cas de charte informatique dans la société sur Legavox.fr, publié le 13 février 2015
Lien vers l’article : http://www.legavox.fr/blog/maitre-anthony-bem/delit-detournement-fichiers-salarie-charte-17009.htm#.VXGUH9LtlBc
[14] Lien vers le rapport Protéger les internautes présenté au Ministère de la justice:
http://www.justice.gouv.fr/include_htm/pub/rap_cybercriminalite.pdf
[15] Computer Emergency Response Team : Ce centre serait destiné à centraliser les informations en matière de cyber attaques, en vue de coordonner les réponses données par les opérateurs. Il existe à l’heure actuelle un CERT-FR, comme il en existe dans de nombreux autres pays et des CERT professionnels pour les grandes entreprises. Mais le rapport précise cependant qu’il « n’existe pas de CERT généraliste relatif aux besoins du grand public ou au secteur des petites et moyennes entreprises en général. Il est ainsi préconisé la création […] d’une structure (associative a priori) jouant ce rôle ».
[16] Les Opérateurs d’Importance Vitale, OIV, sont désignés comme tels par l’administration. Il s’agit d’organisation, d’entreprises, ou d’administration revêtant d’une importance vitale pour le bon fonctionnement du pays (Entreprises de réseaux, ferrés, télécommunication, institutions gouvernementales, industries de pointe etc.). Ces Opérateurs sont soumis à des obligations particulières en matière d’information destinées à l’Etat.
[17] Article L 332-6-1 du Code de la défense nationale.
[18] L’Agence Nationale de la Sécurité des Systèmes d’Information est rattachée au secrétaire général de la défense et de la sécurité nationale et relève du Premier Ministre. La Loi de Programmation Militaire de 2014 a renforcé les pouvoirs de l’agence en vue de renforcer les systèmes informatiques. Les services de l’Etat peuvent désormais posséder des équipements ou programmes informatiques permettant de réaliser les infractions interdites aux article 323-1 à 323-3 du Code pénal (à savoir s’interdire dans des systèmes informatiques pour en modifier les données), dès lors que l’objectif poursuivi est conforme à la mission de l’ANSSI et que la victime d’une agression est un OIV.
[19] Voir en ce sens une communication du Comité International de la Croix Rouge du 23 juin 2013 : Quelles limites le droit de la guerre impose-t-il aux cyberattaques.
Lien vers le communiqué : https://www.icrc.org/fre/resources/documents/faq/130628-cyber-warfare-q-and-a-eng.htm
[20] Il peut s’agir de groupes terroristes comme DAESH ou Al Qaeda, mais également de « groupe d’hacktivistes », comme les Anonymous ou le Chaos Computer Club.
Pour les réponses apportées voir notamment le rapport de l’Assemblée parlementaire de l’OTAN 074 CDS 11 F – INFORMATION ET SECURITE NATIONALE.
Lien vers le rapport : http://www.nato-pa.int/default.asp?COM=2443&LNG=1
[21] C’est le cas de l’ENISA (Agence européenne en charge de la sécurité et des réseaux d’information) par le règlement 460/2004 du Parlement européen et du Conseil. http://www.enisa.europa.eu/
[22] A côté de l’harmonisation et de la mise en commun des informations, les réponses policières sont elles aussi coordonnées, notamment grâce au centre européen de lutte contre la cybercriminalité EC3 dépendant d’Europol. https://www.europol.europa.eu/ec3
[23] Pour suivre l’avancement du projet : http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?lang=fr&reference=2013/0027(COD)
Celui-ci a pour objectif principal d’harmoniser les standards minimums de lutte contre la cybercriminalité notamment au regard des « infrastructures critiques essentielles », qui seraient l’équivalent à quelques nuances près de nos OIV.
[24] Voir en ce sens l’article : Les États membres veulent garder dans leur giron la cybersécurité, daté du 1er juin 2015 sur le site Euractiv.fr
Lien vers l’article : http://www.euractiv.fr/sections/societe-de-linformation/les-etats-membres-veulent-garder-dans-leur-giron-la-cybersecurite
[25] Voir en ce sens l’analyse de Bertrant Boyer Cyberstratégie l’art de la guerre numérique, p 56, Nuvis, 2012.
[26] Notons à titre d’exemple que le budget de la cyberdéfense du gouvernement français et les effectifs du Ministère de la défense sont en constante augmentation. Voir en ce sens la brochure du Ministère de la défense sur le pacte défense cyber publié en 2014, ou encore l’article de Myriam Berber France: nouvelle donne pour la loi de programmation militaire publié sur le site RFI le 21 mai 2015.
Lien vers l’article : http://www.rfi.fr/economie/20150520-nouvelle-donne-loi-programmation-militaire-france-defense-armee/
