Contexte

Dans un jugement du 2 juin 2006, le tribunal de grande instance de Paris a condamne & quatre mois de prison avec sursis et 6000 euros d'amende un consultant en securit informatique qui avait cru bon de tester la vulnérabilité d'une centaine de serveurs et de sites Web pour ensuite alerter leurs administrateurs sur les failles de sécurité découvertes et leur recommander de procéder à certaines mise à jour.

Ce consultant avait à partir d’un serveur d'un operateur, lancé plusieurs milliers d'attaques vers des centaines de serveurs et de sites Web pour trouver leurs failles. Pour ce faire, il avait introduit sur ce serveur un outil d'administration à distance lui permettant d'en prendre le contrôle, de lancer des attaques et des tests de vulnérabilité. II a même attaqué les serveurs du casier judiciaire national et du Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (Certa).

Une fois établie la liste des failles de sécurité, le consultant s'était directement adressé aux webmasters ou aux administrateurs des serveurs et des sites Web concernés pour les en avertir et leur recommander l'application des services packs de Microsoft et la mise à jour de leurs serveurs.

Pour tenter de limiter sa responsabilité, le consultant a mis en avant sa volonté d'assouvir sa passion personnelle et a déclaré avoir agi dans un esprit de sécurisation des serveurs et d'alerte des administrateurs desdits serveurs et sites Web, précisant que certains d'entre eux n'étaient pas sécurises.

Toutefois, le tribunal n'a pas retenu ses déclarations et a considéré que sa réelle motivation et donc son intention (élément essentiel à la qualification d'une infraction pénale) étaient liées sa frustration pas être reconnu pour la valeur de ses compétences en matière de sécurité informatique et au fait qu’il ne trouvait pas de missions de sécurité.

En outre, les investigations techniques ont confirmé l’importance du nombre des attaques lancées par ce consultant à destination de centaines de serveurs et de sites Web, ainsi que le fait que le consultant avait utilisé des outils logiciels pour prendre le contrôle à distance d’un serveur à partir duquel il avait lancé ses attaques et ses tests de vulnérabilités.

il convient de souligner que les infractions ayant été commises avant l'entrée en vigueur de la loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004, ni le juge d'instruction ni le parquet n'ont pu retenir la nouvelle qualification pénale issue de cette loi, concernant notamment l'interdiction de détenir un programme informatique conçu ou spécialement adapté pour commettre une ou plusieurs des infractions informatiques prévues par les articles 323-1 & 323-3.

References

Tribunal de grande instance de Paris, 12è chambre, jugement du 2 juin 2006 - ministères de l'Ecologie et de l’Agriculture, Association française contre les myopathies, MSFT Software, Microsoft, Assurances Ginet Chomel, Air Ambiance Assistance, Reuters France, EMI Music contre Monsieur B.

Textes et sanctions

  • Article 323-I du code pénal : "Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d’amende.

  • Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende ".

  • Article 323,2 du code pénal : "Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende ".

  • Article 323-3 du code pénal : "Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende "

  • Article 323-3-1 du code pénal : "Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée "

Publication / Source: CSO – Entreprise & Sécurité de l'information