Plan du site | Mentions légales | Crédits | Espace rédacteur

Chargé de mission Direction Centrale de la Sécurité des Systèmes d’Information, Service du Premier Ministre

Nos mots-clefs

Conférences et colloques   Vie privée   Régulation   Bases de données   Noms de domaine   Professions   Au jour le jour   Contenu illicite   Contrats   Droit d’auteur   Marques   Brevet   Lettre du Cejem   Signes distinctifs   Consommateurs  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

De la recherche non autorisée de vulnérabilités informatiques (et des suites pénales qui lui sont données...)

Commentaire d’arrêt du T.G.I. de Paris, 12e chambre corr., 2 juin 2006

Mots-clefs : Professions |

par Thiebaut Devergranne , le mardi 4 septembre 2007

Un professionnel de la sécurité informatique peut-il attaquer les systèmes de tiers pour mettre en exergue leurs vulnérabilités ? Telle était la question à laquelle, le 2 juin dernier, le Tribunal de Grande Instance de Paris en formation correctionnelle, était invité à répondre.

1. L’affaire jugée par la 12e chambre Tribunal de Grande Instance de Paris le 2 juin 2006 illustre une fois de plus la tentation que subissent certains professionnels de la sécurité informatique de tirer parti des vulnérabilités présentes sur des systèmes appartenant à des tiers.

Les faits d’espèce sont révélateurs : courant 2002, M. B., gérant d’une société de sécurité informatique, s’introduit sur un serveur appartenant à la société Colt Telecommunication qui présentait certaines faiblesses de sécurité. A partir de cet ordinateur, et grâce à un outil permettant de rechercher des vulnérabilités informatiques, il lançait des attaques sur près de 400 autres serveurs, dont une partie de serveurs gouvernementaux. La pêche aux systèmes vulnérables fût relativement fructueuse puisque près de 70 systèmes présentaient des vulnérabilités avérées. Tirant parti de certaines failles de sécurité, l’auteur en profitait pour laisser des messages sur les serveurs à l’attention de leurs administrateurs : « bonjour, je viens de découvrir une faille dangereuse sur les serveurs suivants... Vous devez appliquer les services Packs de Microsoft et mettre à jour le serveur en urgence... Si vous avez besoin d’autres informations contactez-moi, et si vous n’avez pas besoin d’autres info n’oubliez pas de dire merci ». La recherche de vulnérabilités, réalisée le 18 septembre 2002 sur le serveur du Casier judiciaire national ainsi que sur des systèmes du Centre d’Expertises Gouvernemental de Réponse et de Traitement des Attaques informatiques (Certa), mettra un terme à l’entreprise de prospection et marquera le début des poursuites. Les investigations menées par des services spécialisés permettront alors rapidement de localiser et d’identifier M. B. ; celui-ci reconnaissait l’ensemble des faits.

2. Il était donc reproché à M. B. des atteintes très diverses aux systèmes ayant été visités : accès et maintien frauduleux (art. 323-1 c. pen.), entrave et faussement au système (art. 323-2 c. pen.), et introductions, modifications et suppressions frauduleuses de données (art. 323-3 c. pen.), ainsi que tentative de réalisation de ces infractions (art. 323-7 c. pen.). Seules manquaient l’incrimination de la personne morale, en l’espèce la SARL dont M. B. était gérant, pour laquelle une responsabilité pénale aurait peut-être pu être recherchée (art. 323-6 c. pen.), ainsi que certaines peines complémentaires qui auraient pu être demandées (art. 323-5 c. pen., comme l’interdiction de répondre à un marché public, par exemple). Etaient visés les actes d’intrusion réalisés sur le serveur de la société Colt, 394 attaques réalisées sur des serveurs gouvernementaux, ainsi que 63 autres serveurs publics ou privés (dont ceux des parties civiles constituées dans l’affaire).

Si l’auteur reconnaissait les faits, il invoquait toutefois pour sa défense des actes réalisés « dans un esprit de sécurisation des systèmes ». Selon lui, seul le premier serveur ayant servi de relai pour réaliser ces attaques aurait subi de réels inconvénients, mais « ce serveur n’était pas sécurisé ».

La question posée était donc de savoir si un professionnel de la sécurité informatique pouvait légalement attaquer des systèmes potentiellement vulnérables afin de mettre en exergue des défauts réels, ou supposés, de sécurité. Dans la présente affaire, les juges apportent à la question une réponse négative, condamnant M. B. à une peine de 4 mois d’emprisonnement avec sursis ainsi qu’à indemniser le préjudice des victimes constituées partie civile. Si la vulnérabilité d’un système est fréquemment invoquée pour tenter de justifier des accès frauduleux, le moyen de défense n’est que rarement retenu par la jurisprudence. En 1994, la Cour d’appel de Paris avait déjà eu l’occasion de le rappeler : « il n’est pas nécessaire pour que l’infraction existe, que l’accès soit limité par un dispositif de protection » (C.A. Paris 11è ch., sect. A., 5 avr. 1994). Plusieurs décisions avaient par la suite rappelé ce principe (voir C.A. Toulouse, 3è ch., 21 janv. 1999, jugeant que l’accès frauduleux tombe sous le coup de la loi dès lors qu’il est le fait d’une personne qui n’a pas été autorisée).

3. La présente décision n’est pas sans rappeler le jugement rendu le 25 février 2000 par le Tribunal de Grande Instance de Paris dans une affaire largement médiatisée de fraude à la carte bancaire, dans laquelle un informaticien avait été condamné pour avoir réalisé un accès frauduleux. Les arguments présentés en défense étaient assez similaires, puisque l’auteur présentait la recherche de failles de sécurité qu’il avait effectuée sur le terminal de paiement et sur certaines cartes à puce, comme une démarche purement scientifique, animée d’un esprit de sécurisation des systèmes. Le Tribunal n’avait, à l’époque, pas suivi le raisonnement de l’auteur, considérant l’accès au système carte bancaire comme un accès frauduleux, car réalisé « contre le gré du maître du système ».

La décision du 12 juin dernier s’inscrit donc dans un courant jurisprudentiel classique, qui trace une limite stricte dans la recherche de vulnérabilités sur des systèmes informatiques : sauf à avoir expressément été autorisée par le maître du système, celle-ci est par principe illicite.

T. Devergranne Chargé de mission Direction Centrale de la Sécurité des Systèmes d’Information, Service du Premier Ministre