… ou la notion de « piratage informatique » au sens du droit pénal français.
Edit (16:00): Mme Dati a porté plainte dès le 3 janvier. Après explication technique, le site n’a pas été directement touché mais a seulement été utilisé pour produire des communiqués de presse bidon en ajoutant du texte dans l’URL (v. l’explication de la technique du cross site scripting). La qualification d’accès frauduleux et de modification des données va sans doute prêter à discussion juridique (personnellement, je pense qu’il y a un risque juridique. Cependant, on peut se demander s’il est bien utile pour la société de diligenter des enquêtes pour ce qui relève davantage de la blague de potache assimilable au griffonnage de moustache sur une affiche électorale alors que le problème de base est l’absence de respect des impératifs de sécurité de base des sites internet de certains politiques.).
Edit bis: (8 janvier) Le site Zataz.com révèle que la faille du site de Mme Dati avait été signalée voilà plusieurs mois et l’attention de l’administrateur du site attirée sur le risque de fuite de données personnelles et de piratage, sans aucune réaction ni réponse d’aucune sorte. Cette affaire repose la question de l’absence de réaction des commanditaires des sites internet à l’encontre des administrateurs négligents. Il semble d’ailleurs que le site de Mme Boutin fasse également l’objet de cyberfarces du même type que celui de Mme Dati à l’heure actuelle.
Le Monde et avant lui, le site 93-infos.fr rapportent qu’une faille du site internet de Mme Dati a permis sa modification par des tiers, donnant lui à de faux communiqués de presse. Selon Le Monde, l’opportunité a été relevée « par un internaute se faisant connaître sous le nom de @Jeunespopkemon sur Twitter ». Ce dernier aurait indiqué que « La magie, c’est que tout cela est réalisable sans aucune action pénalement répréhensible ».
Si la chose peut être amusante en ces temps de campagne électorale, elle est cependant juridiquement répréhensible. Le fait qu’un webmestre ou un particulier imprudent (com)mette sur internet un site non sécurisé ne justifie pas que tout internaute passant par là le modifie, a fortiori, lorsqu’il endosse ainsi l’identité du titulaire du site et lui fait tenir des propos ridicules.
Le Monde rapporte qu’une fois la faille dévoilée, en 2 heures de temps, 300 communiqués de presse ont été publiés par des internautes facétieux.
Le premier délit pénal commis par les internautes relèvent à l’évidence de l’usurpation d’identité au sens des articles 434-23( 1) et 226-4-1 du Code pénal( 2).
En outre, sans le savoir, les internautes ont commis un piratage, ou plutôt, selon le terme juridique employé par le Code pénal, un accès et un maintien frauduleux dans un système de traitement automatisé de données, ainsi qu’une modification des données, fait réprimé par l’article 323-1 et s. du Code pénal (3) En d’autres termes, tout internaute ayant participé à cette farce risque de 2 ans à 3 ans de prison et de 30.000 à 45.000 euros d’amende.
L’ignorance des internautes sur ce point s’explique par la conception du grand public de la notion de piratage, qui magnifie des Hackers dont les actions nécessitent des connaissances informatiques poussées leur permettant de rendre visite au Pentagone ou à la NSA. Le droit pénal français n’exige pas que l’accès frauduleux soit le résultat d’une puissante maîtrise de l’informatique: s’introduire dans un système en utilisant les mots de passe laissés sur le post-it collé à côté de l’écran fait encourir la même peine que s’y introduire en utilisant des procédés informatiques de haut vol. Or il semble que le public n’ait globalement pas conscience que ces deux types de comportement constituent la même infraction pénale au regard de la loi. Par ailleurs, le simple accès est pénalement punissable, même si aucune altération des données n’en a résulté dès lors qu’il était frauduleux.
La notion d’accès frauduleux n’a sens doute pas fini d’émerveiller le cyber bon sens. La notion d’accès frauduleux n’implique pas le recours à des moyens sophistiqués de piratage, l’idée de frauduleux renvoie plutôt à la notion de « sans droit« . Il n’est pas nécessaire que la victime ait interdit l’accès au STAD par un dispositif de sécurité( 4 ). En revanche, lorsqu’aucune manipulation n’a été nécessaire pour accéder au STAD et que l’internaute ne pouvait pas se douter de ce que le maître du système avait entendu en interdire l’accès, l’infraction d’accès frauduleux n’est pas constituée( 5 ). En l’espèce, nul ne peut sérieusement soutenir que Mme Dati ait souhaité ce moment de célébrité involontaire en offrant généreusement cette occasion de rire aux internautes.
Par conséquent, espérons que l’élue réagira avec humour et plutôt que de chasser le cybermoineau au canon judiciaire, préfèrera se retourner contre responsable premier de ce fiasco, à savoir celui qui a réalisé le site et a laissé perdurer la faille de sécurité( 6 ), plutôt que contre des internautes, certes farceurs, éventuellement de mauvais goût, mais certainement par criminels.
- L’article 434-23 du Code pénal dispose que « Le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75000 euros d’amende.
Nonobstant les dispositions des articles 132-2 à 132-5, les peines prononcées pour ce délit se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l’infraction à l’occasion de laquelle l’usurpation a été commise ». En l’espèce, le faux communiqué de presse contient des propos qui pourraient s’analyser comme une diffamation à l’encontre d’un élu local. ↩ - L’article 226-4-1 dispose désormais « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne ». ↩
- L’article 323-1 du Code pénal indique que « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende. ». ↩
- V. par ex. CA Montpellier, 12 janvier 2010, commenté ici : « Les infractions d’accès frauduleux et de maintien dans un système de traitement automatisé de données sont constituées dès lors qu’une personne non habilitée pénètre et se maintient volontairement et en connaissance du caractère frauduleux, dans ce système tout en sachant être dépourvue d’autorisation, que celui-ci soit ou non protégé, le mobile étant sans importance.
L’accès et le maintien doivent être faits sans droit et en connaissance de cause ce qui suppose que leur auteur n’a pas respecté la règle du jeu posée par le maître du système et qu’il ait conscience de ce qu’il ne possède pas l’autorisation de ce dernier.
Les délits d’accès et de maintien ne sont frauduleux que si le prévenu fait usage d’une manipulation ou de tout autre moyen illicite pour pénétrer dans le système« . ↩ - V. sur ce point CA Paris, 30 octobre 2002, Tati contre Kitetoa.com. ↩
- Le gag ayant été signalé le 3 janvier, la faille a été comblée dans la journée, mais ZATAZ.COM l’avait signalé voilà quelques mois sans réaction de la part de l’administrateur sur site : http://suaudeau.fr/dati-candidate-dans-notre-circonscription.html. ↩
RSS