INFRACTIONS ET SITE
/ Mars 2023 /
Depuis ces trente dernières années, l’utilisation
d’internet dans nos sociétés s’est démocratisée, si bien que son usage et les
services que les plateformes proposent constituent une prolongation de nos vies
en société. L’arrivée d’internet a cependant vu apparaître dans son sillage, une
nouvelle criminalité qui cause aujourd’hui, de nombreux préjudices à l’Etat, aux
entreprises, mais également aux particuliers. L’ampleur de cette nouvelle
criminalité en ligne est marquée par la diversité des attaques (virus, attaque
par déni de service, défacement des sites internet) et des motivations des
attaquants (politiques, Ă©conomiques, religieuses,
espionnage).
Il n’échappe à personne qu’avec internet, il est beaucoup
plus facile de prendre part Ă des infractions. MĂŞme si
l’anonymat en ligne n’est pas
une garantie absolue, il représente une des raisons pour lesquelles les
cyberattaquants passent plus facilement à l’acte.
Les attaques par déni de
service qui visent les services en ligne de l’Etat, les violations de données
qui visent les entreprises et les hĂ´pitaux ou encore les fraudes envers les
particuliers (hameçonnage) se démultiplient.
La criminalité s’est adaptée et
a pris ses quartiers dans le monde virtuel. En outre, la cybercriminalité est
aujourd’hui une activitĂ© rentable, ce qui conduit de plus en plus d’attaquants Ă
se professionnaliser. Face à ce phénomène en forte expansion, il a fallu adapter
la législation.
Besoin de l'aide d'un avocat pour un problème de piratage informatique ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
Dans le même temps, il est apparu nécessaire d’imposer des
règles qui visent à garantir la
sécurité des utilisateurs en ligne et
de se doter de moyens de défense. En effet, même si aucune société ne peut se
prémunir à 100 % d’une cyberattaque, elles ont une part de responsabilité dans
la maîtrise et la sécurisation de leurs outils numériques. Les entreprises se
préparent à cette éventualité en instaurant des mesures de sécurité techniques
et organisationnelles adaptées aux risques informatiques inscrits dans leurs
plans de continuité.
Parmi les nombreux supports de communication
accessibles aux pirates informatiques, les
sites internet constituent une cible
particulièrement propice aux cyberattaques. Les
sites recouvrent différentes facettes,
ils constituent la vitrine des entreprises, mais incarnent aussi la continuité
et la résilience étatique que les cyberattaquants tentent de déstabiliser. Le
cyberespace devient à cet effet un véritable champ de bataille au milieu duquel
s’affrontent perpétuellement cyber-pirates et responsables de sécurité
informatique.
Ces attaques envers ces sites internet représentent non
seulement des risques pour les utilisateurs (divulgation de coordonnées
bancaires, de données sensibles), mais également pour les entreprises (impact
sur la
réputation et sur la confiance
accordée par les utilisateurs, pertes financières). Il faut également permettre
aux victimes de pouvoir agir contre ces préjudices résultant des infractions
commises Ă leur encontre.
La sécurité informatique fait désormais partie des
précautions que tout utilisateur d’ordinateurs ou de tout autre dispositif
connectĂ© Ă Internet (Smartphones, tablettes, objets connectĂ©s) doit songer Ă
prendre afin de protéger son système informatique. La lutte contre toute forme
de
cyber intrusion et les violations de
données font aujourd’hui l’objet de mesures de sensibilisation afin d’éveiller
toutes les strates de la société à ces dangers. Pour se faire, des
sites internet, des dispositifs d’aide
ainsi que des guides ont été mis en place par différentes autorités chargées de
la protection des systèmes d’information et des données à caractère personnel.
Dès lors qu’une personne réussit à obtenir un accès non
autorisé sur un système d’information, on considère qu’il y a intrusion sur ce
système. Les cas d’intrusion concernent des personnes n’ayant en principe pas le
droit d’accès au système d’information, il peut s’agir d’une personne
travaillant dans l’entreprise comme d’attaquants extérieurs.
En l’absence de définition en droit interne et européen,
les Nations unies ont tenté de dessiner les contours de la cybercriminalité en
déclarant qu’il s’agit de « toute infraction susceptible d’être commise à l’aide
d’un système ou d’un réseau informatique, dans un système ou un réseau
informatique ou contre un système ou un réseau informatique ».
Selon le Rapport Robert, la
cybercriminalité regroupe « l’ensemble
des infractions pénales tentées ou commises à l’encontre ou au moyen d’un
système et de communication, principalement internet ».
Dans un de ses rapports, l’Observatoire national de la
délinquance et des réponses pénales (ONDRP) effectue une distinction entre deux
catégories d’infractions.
D’une part, il est possible de retenir les infractions où
l’informatique est le moyen du délit. Sont alors visées toutes les formes
d’infractions classiques facilitées par l’informatique. Il s’agit par exemple de
l’escroquerie, de la pédopornographie, des atteintes à la vie privée, ou encore
de la diffusion de propagande terroriste, etc. On parle alors des infractions de
moyen.
D’autre part, on identifie également les infractions où
l’informatique est l’objet du délit. Il s’agit des infractions tentées ou
commises à l’encontre de la sécurité des systèmes et des réseaux ou des données
informatiques (piratage, intrusion sur les sites, vols de données, etc.). On
nomme ces dernières les infractions de contenu. Internet sert de plus en plus au
détournement d’argent et de fichiers.
Cette utilisation de l’informatique peut donc être menacée
et l’est encore plus aujourd’hui, avec le développement des nouvelles
technologies, tel que peuvent l’attester mes nombreuses procédures judiciaires
dans lesquelles le cabinet d'avocats Murielle Cahen ntervient et a eu l’occasion
d’intervenir en matière particulièrement de piratage informatique et
d’infractions et
sites internet.
I. Quelles sont les réponses légales en matière d’infractions (intrusions, défacement, contaminations virales) de sites Internet ?
La plupart des infractions informatiques sont sanctionnées au niveau pénal :
La loi Godfrain du 5 janvier 1988
relative à la fraude informatique est la première loi française qui réprime les
actes de criminalité informatique et de piratage. Elle a par la suite été
complétée par la loi pour la confiance dans l’économie numérique du 21 juin 2004
puis par la
loi
LOPPSI II du 14 mars
2011. Ces différentes lois sanctionnent les atteintes aux systèmes de traitement
automatisé de données (STAD) prévu aux articles 323-1 à 323-7 du Code pénal.
Parmi elles on
retrouve l’accès
frauduleux dans tout
ou partie d’un système de traitement automatisé de données, puni de deux ans de
prison et de 60 000 € d’amende. Dans le cas où il en résulte une altération,
soit des données contenues (suppression ou modification), soit du fonctionnement
même du système, les peines prévues sont de trois ans de prison et de 100 000 €
(article 323-1 du Code pénal).
Il est Ă©galement
possible de citer le maintien
frauduleux dans un
système informatique. Les causes d’aggravation retenues (altération des données)
sont identiques à celles prévues pour l’accès frauduleux. En effet, bien que le
maintien dans un système suppose un préalable accès, celui-ci peut-être autorisé
tandis que le maintien, ne l’est pas selon un arrêt de la Cour d’appel de Paris
11° chambre, section. A du 14 janv. 1997.
Par ailleurs, les
juges prennent en compte le degré de négligence dans la sécurisation du système.
En effet, afin de caractériser un accès ou un maintien frauduleux il semble
nécessaire d’établir l’existence d’une faute.
L’intrusion consiste
en l’utilisation sans droit et contre la volonté du propriétaire du système
informatique. Pour ce faire, « le propriétaire doit avoir manifesté son
intention de restreindre l’accès aux données aux seules personnes autorisées ».
(CA de Paris, 1994)
Est Ă©galement
sanctionnée toute atteinte volontaire au fonctionnement d’un système de
traitement automatisé de données, autrement dit le fait de le fausser ou
l’entraver est puni de cinq ans de prison et de 150 000 € d’amende
(Article 323-2 du Code pénal).
Ainsi une attaque
par déni de service peut constituer une entrave au fonctionnement d’un STAD (T.
Correctionnel de Nancy, 23 novembre 2015). Il s’agit d’une atteinte au système
par saturation. Les entraves au système sont également retenues lorsqu’est
déposé un virus ou une bombe logique.
Dans une autre
affaire du 15 décembre 2015, les juges ont qualifié d’entrave au fonctionnement
d’un STAD, le fait pour un associé de faire cesser le développement du site
internet de la société. Pour ce faire, les juges relèvent que « B, qui était le
responsable du bureau mauricien où était développé le contenu du site
Uptoten.com, licenciait l’ensemble du personnel de ce bureau, faisant de facto
cesser le développement du site, et remisait le matériel de la société Uptoten.
» (TGI de Paris, 13e chambre correctionnelle, 15 décembre 2015,
Uptoten et autres c.J.B).
Est aussi
incriminé par l’article 323-3 du Code pénal, le fait d’introduire
frauduleusement des données dans un système de traitement automatisé,
d’extraire, de détenir, de reproduire,
de transmettre, de supprimer ou de modifier frauduleusement les données qu’il
contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende (T.
Correctionnel de Paris, 25 février 2000).
De plus le droit
civil s’applique, ce qui permettra de rechercher la responsabilité de l’individu
à l’origine de l’infraction pour qu’il puisse être condamné à des dommages et
intérêts pour le préjudice subi par la victime (perte de clients, de commandes,
de notoriété, etc.)
II. Sont-elles suffisantes ?
Le système est assez complet, il serait éventuellement
possible d’ajouter des infractions pénales plus spécifiques. De plus les
cybercriminels innovent constamment ce qui demande un effort constant de la part
du législateur. Mais les différentes
actions contre les sites Internet peuvent être sanctionnées par les articles du
Code pénal cités.
Les peines semblent assez dissuasives. En effet, les peines
vont de 1 an à 5 ans d’emprisonnement et entre 60 000 € et 150 000 € d’amende.
Cependant, elles sont aggravées lorsque les infractions visent un STAD mis en
œuvre par l’Etat et peuvent aller de 5 ans à 7 ans d’emprisonnement. Elles le
sont également lorsqu’elles sont commises en bande organisée.
En outre, comme le précise l’article 323-7 du Code pénal,
la tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des
mĂŞmes peines.
De plus, des peines complémentaires accompagnent
régulièrement ces condamnations. Il peut s’agir d’une confiscation de matériel,
ou d’une interdiction d’exercer une fonction publique ou d’exercer
l’activitĂ© professionnelle ou sociale dans l’exercice de laquelle ou Ă
l’occasion de laquelle l’infraction a été commise, etc. (Article 323-5 du Code
pénal).
Enfin, la récente adoption de la loi LOPMI prévoit
d’aggraver les peines encourues en cas de cyberattaques contre un réseau
informatique ou bancaire, les hôpitaux et les services de numéros d’urgence.
Cela dit, il semble que les entreprises hésitent à engager
des poursuites pénales contre les pirates.
III. Les moyens mis en œuvre pour poursuivre et découvrir les auteurs de ces infractions sont-ils aujourd’hui pertinents ? Je fais notamment référence à l’OCLCTIC.
Des organismes chargés de la recherche et la sanction des
infractions informatiques existent : OCLCTIV, BEFTI, SEFTI, BCRCI notamment,
mais ce ne sont pas les seuls, on peut aussi noter que la DST (service de
renseignement national) s’occupe des affaires de piratages importantes.
Ils sont compétents techniquement pour effectuer la
recherche des infractions et des responsables des différents délits
informatiques.
On peut éventuellement noter un manque de moyens matériels
et financiers pour contrer des pirates qui ont souvent des moyens puissants.
Mais aussi un problème de temps, lorsqu’un groupe de pirates peut passer 24h sur
24 à agir, les différents organismes chargés de la répression sont limités par
leur nombre et leurs horaires.
C’est pourquoi les stratégies en la matière tentent de
s’axer sur la prévention et la sensibilisation des utilisateurs et des
entreprises. Aujourd’hui nombreux sont les sites dédiés à ce sujet et édités par
les autorités compétentes en la matière. Il est à ce titre possible de citer le
site internet de l’ANSSI ou encore de la
CNIL qui regorgent de recommandations et de guides.
Depuis mars 2017, le gouvernement a Ă©galement mis en place
la plateforme « cybermalveillance.gouv.fr ».
Cette plateforme est un dispositif national de sensibilisation, prévention et
d’assistance aux victimes d’actes de cybermalveillance pour les particuliers,
entreprises et collectivités territoriales. La récente loi LOPMI a donné
naissance à un numéro d’urgence, le « 17 cyber », qui sera destiné aux
particuliers, aux entreprises, mais aussi aux administrations victimes de
cyberattaques.
Des points de contact et la création de certifications
(SecNUM Cloud) permettent d’identifier les prestataires qualifiés afin de
répondre aux besoins des entreprises. Il est possible de trouver la liste des
prestataires qualifiés de réponses aux incidents de sécurité aussi appelés PRIS.
IV. Lorsqu¹une entreprise est victime de ce type de délit doit-elle déposer une plainte ? Si oui auprès de qui ? Est-ce que cette démarche ne l'expose pas plus encore ?
La plainte doit être déposée soit auprès d’un organisme de la police nationale ou de la gendarmerie nationale soit spécialisé, soit auprès du commissariat ou de la gendarmerie ou directement auprès du procureur de la république par le biais d'un avocat.
Je conseillerais dans un premier temps de saisir directement les services de police compétents.
C'est une démarche qui ne devrait pas exposer plus l'entreprise, sauf bien sur si le pirate retrouvé fait partie d'un groupe et donne des consignes d'attaques postérieures…..
Il est assez curieux de constater que paradoxalement il y a beaucoup plus de plaintes pour escroquerie à la carte bancaire que pour defacage de site Internet. Bien sur dans ces cas de figure, ce sont le plus souvent les banques qui portent plainte. En général si le pirate est en France, il est souvent retrouvé par les services de police compétent en une semaine….
V. Quelles autres mesures ou dispositifs sont Ă la disposition des
entreprises victimes de cyberattaques ?
En outre, l’outil « cybermalveillance.gouv.fr » a pour
missions d’assister les particuliers, les entreprises, les associations, les
collectivités et les administrations victimes de malveillance en ligne. Elle
pourra les orienter sur la marche à suivre en cas d’attaque et les informer sur
le dépôt de plainte.
De plus, au regard des obligations imposées par les
articles 33 et 34 du
RGPD, dès lors que les violations de données représentent un risque
pour les personnes concernées, celles-ci faire l’objet d’une notification auprès
l’autorité de contrôle compétente (en l’occurrence la CNIL) dans un délai de 72
heures. Lorsque cette violation présente un risque élevé pour les personnes
concernées, il sera nécessaire d’alerter les personnes concernées par cette
dernière.
Enfin, il vous sera également demandé d’indiquer cette violation
dans votre registre de violation des données.
VI. Lorsqu’elle est victime d’une infraction depuis un pays étranger,
quelle loi s’applique-t-elle. Existe-t-il d’ailleurs un dispositif légal au
niveau international ?
En revanche, il
est vrai que beaucoup de cyberattaquants se jouent des frontières et des accords
d’extradition conclus entre les différents pays, ce qui peut rendre leur
arrestation complexe. On dit qu’ils se domicilient dans des « cyber paradis ».
Le principe de la territorialité de la loi pénale fait parfois obstacle aux
poursuites en cas d’enquêtes transnationales. Il est à ce titre possible de
citer l’exemple de Gregory Chelli aussi connu sous le pseudonyme « Ulcan ».
Malgré tout, on
trouve des dispositifs de coopération policière comme INTERPOL (qui délivre des
notices rouges) ou des conventions telles que la Convention internationale de
cybercriminalité Budapest. Ces dispositifs permettent d’harmoniser la lutte
contre la cybercriminalité à une échelle internationale et d’émettre des
définitions juridiques communes.
Au niveau européen
on retrouve les agences EUROPOL et EUROJUST qui facilitent la coopération entre
les services répressifs et judiciaires nationaux. On peut également évoquer
l’ENISA, qui vise à garantir un niveau commun en cybersécurité dans toute
l’Europe.
Cette coopération a encore été étendue à l’échelle européenne.
En effet, la révision de la directive « sécurité des réseaux et des systèmes
d’information » initiée en juillet 2020, a permis d’actualiser les notions et
les objectifs face à l’évolution du paysage des cybermenaces qui pèsent sur les
Ă©tats, les entreprises ou encore les particuliers. Puisque
la
cybercriminalité se
joue des frontières nationales, le déploiement d’une stratégie de coopération
entre les États membres a également été prévue à travers la désignation de
différentes autorités compétentes en la matière.
En France,
l’adoption de la loi d’orientation et de programmation du ministère de
l’Intérieur (LOPMI) le 24 janvier 2023 promet également le déploiement de 1 500
cyberpatrouilleurs.
VI. En cas de piratage d'un site, le tiers par exemple le client ayant subi un préjudice quelconque doit-il se retourner contre la société elle-même victime de l¹infraction ?
Le tiers peut se retourner contre la société à l’unique condition qu’elle soit responsable du préjudice par une faute de sa part par exemple, sinon il devra agir contre l’auteur de l’infraction
Il pourra se constituer partie civile par exemple dans un procès contre le pirate même s' il n’est pas à l’origine de ce procès, par exemple dans un procès engagé par d’autres victimes ou par l’entreprise victime.
VII. Si le prix d¹un produit a été modifié sur le site à l¹insu de l’entreprise, le client peut-il exiger de régler le prix affiché ? Comment l¹entreprise peut-elle prouver sa bonne foi ?
Cependant, il
existe une exception à cette règle lorsque le prix présenté est erroné et
dérisoire (article 1169 du Code civil). Autrement dit, lorsque le prix est
sous-estimé, on considère que le consommateur normalement avisé ne peut pas
avoir interprété le prix affiché comme étant la valeur réelle de l’article. Dans
cette hypothèse, le client ne peut réclamer le prix affiché et la vente peut
être annulée pour erreur. Si l’entreprise ne peut pas prouver sa bonne foi, elle
peut éventuellement prouver la mauvaise foi du client pour obtenir la nullité de
la vente ou le paiement des sommes non perçues.
Ce cas d’erreur de
prix sur Internet s’est produit il y a quelques années. Des internautes ont
profitĂ© d’un bug du prix sur le site Micromania pour acheter des consoles Ă
40 euros alors que le prix réel des consoles était compris entre 300 et
400 euros. Micromania a donc été en droit d’annuler la vente ou bien de réclamer
la différence de prix entre le prix affiché et le prix payé.
VIII. En matière d’infraction, l'employeur peut-il rechercher une responsabilité auprès d'un salarié (par exemple, son directeur informatique), de son hébergeur (lorsque son système est externalisé) ou de l'intégrateur pour manquement professionnel (par exemple, défaut de précaution quant à la protection du site ou manque d'information sur sa vulnérabilité ) ?
La société pourra agir en responsabilité civile contre tous
ces tiers si elle peut prouver une faute ayant entraîné pour elle un préjudice.
Ainsi, l’entreprise pourra intenter un procès contre un hébergeur qui devait
assurer la sécurité du site si celle-ci n’était pas assurée dans la réalité. En
revanche, l’entreprise devra s’être assurée que ce dernier présentait des
garanties suffisantes (article 34 de la loi informatique et liberté).
Elle pourra également intenter un procès contre toute
personne qui en dehors d’un contrat a commis une faute, par exemple, un membre
de la société ou un tiers qui aurait fourni des informations confidentielles
permettant d’accéder au système.
Le comportement fautif du
salarié entraîne également des
répercussions sur son contrat de travail. C’est ce que rappelle la Cour de
cassation dans un arrêt en date du 26 décembre 2006. Ainsi le fait pour un
salarié d’essayer de se connecter, sans motif légitime et par emprunt du mot de
passe d’un autre salarié, sur le poste informatique du directeur de la société
était un comportement qui violait la charte informatique de l’entreprise,
rendait impossible son maintien dans l’entreprise pendant la durée du préavis et
justifiait son licenciement pour faute grave.
Dans une affaire en date de 2015, le Tribunal correctionnel
de Nancy a condamné un administrateur réseau pour maintien frauduleux dans un
STAD et pour atteinte aux secrets des correspondances. Ce dernier avait copiĂ©, Ă
partir des serveurs informatiques de la société dont il était salarié, des mails
et des documents qui laissaient entendre que la société exerçait des pressions
sur une inspectrice du travail et les avait adressés à cette dernière. (T.
Correctionnel de Nancy, 4 décembre 2015).
Pour ce faire, le tribunal correctionnel retient qu’« il a
consulté les serveurs fichiers sans lien avec sa fonction et s’y est maintenu
dans une autre intention que celle d’exécuter son travail habituel de
développement du
wifi. […] »
IX. Préconisez-vous une assurance couvrant spécifiquement les risques liés à une présence sur le réseau (sous quelle forme et dans quelles conditions). À terme, pensez-vous qu'une protection de ce genre sera rendue obligatoire, et est-ce souhaitable ?
En matière de cyber attaque, l’entreprise victime peut
traditionnellement invoquer plusieurs chefs de préjudice. Il peut s’agir d’un
préjudice financier, d’un préjudice moral ou encore d’un préjudice matériel. En
principe l’entreprise obtiendra l’indemnisation totale du ou des préjudices
subis. Cependant, elle devra être en capacité d’apporter des éléments de preuve
qui corroborent l’existence d’un préjudice du fait de cette attaque.
L’indemnisation est limitée par la solvabilité du
responsable, or un bon nombre des pirates sont des particuliers.
Les préjudices pour une société commerciale d’une telle
action peuvent être très importants et risquent par conséquent de ne pas être
indemnisés totalement.
Il est dans ce cas intéressant pour l’entreprise de
souscrire une assurance à cet effet. Le niveau des dédommagements est fonction
du type d’assurance souscrite.
A ce propos, la loi Lopmi du 24 janvier 2023 fixe un nouveau cadre pour les clauses de remboursement des cyber-rançons par les assurances. Le remboursement sera désormais conditionné au dépôt d’une plainte de la victime dans les 72h après connaissance de l’infraction. Cette obligation est limitée aux professionnels et devrait s’appliquer 3 mois après la promulgation de la loi.
Pour lire une version plus adaptée aux mobiles de cet article sur le piratage de site internet, cliquez
ARTICLES QUI PEUVENT VOUS INTERESSER :
- Contenu d'un site web
- Aspiration d'un site web
- Cybercriminalité
- Défendre ses créations
- Influenceurs
SOURCES :
https://www.ihemi.fr/articles/organisation-france-europe-cybersecurite-cyberdefense-V2
https://www.ihemi.fr/sites/default/files/inline-files/Gestion%20de%20crise%20et%20cha%C3%AEnes%20cyber%20-%20INHESJ%20-%20juillet%202020%20-%20Martial%20Le%20Gu%C3%A9dard%20-%20MAJ15juil%281%29.pdf
http://www.senat.fr/rap/r19-613/r19-6131.pdf
Le développement de
l’assurance cyber risque :
https://www.vie-publique.fr/rapport/286216-developpement-de-l-assurance-du-risque-cyber
Rapport sur le développement de l’assurance cyber risque :
https://medias.vie-publique.fr/data_storage_s3/rapport/pdf/286216.pdf
