La criminalité informatique : comment la réprimer ?

Publié le par e-commerce

 

Thème(s) : Criminalité et droit pénal

Article paru le 18 novembre 1999 dans L'Echo (chronique "droit & multimédia") 

Lorsqu'il est question de criminalité informatique, il convient de ne pas confondre les situations dans lesquelles l'informatique est utilisée comme moyen de commettre des délits classiques et les cas où l'informatique est le but même de la criminalité. Ce n'est que dans cette dernière hypothèse que l'on parlera de criminalité informatique. 

La criminalité en tant qu'instrument de la commission de délits classiques 

L'application des textes pénaux "classiques" à l'informatique et aux réseaux ne pose généralement pas de problème, sous réserve bien sûr des difficulés d'identification des auteurs et de poursuites des infractions commises depuis des serveurs étrangers, difficultés inhérentes à un réseau international et décentralisé tel qu'Internet.  

A titre illustratif, en France, par un jugement du 16 février 1998, le Tribunal correctionnel du Mans a condamné l'ancien directeur de cabinet du Président du Conseil général de la Sarthe à trois mois de prison ferme pour recel d'images pornographiques de mineurs, stockées sur le disque dur de son ordinateur après téléchargement depuis des sites web.  

Dans une autre affaire française, par décision du 27 août 1999, une personne a été condamnée par le tribunal correctionnel de Strasbourg pour avoir exprimé des propos racistes dans un forum de discussion (décision citée dans notre article "La presse électronique : quel cadre juridique ?", L'Echo du 16 septembre dernier, également disponible sur Juriscom). 

Toutefois, dans des cas exceptionnels, en raison des termes légaux utilisés, l'application au cyberespace de certains textes pénaux anciens peut s'avérer problématique. Tel est le cas du vol de données informatiques, dans la mesure où le fait de "subtiliser" des fichiers informatiques en les copiant n'implique en principe pas, selon le langage commun, de soustraction frauduleuse (élément constitutif du vol).

C'est ainsi que la jurisprudence, pour conclure au vol, a dû élaborer une construction juridique pour le moins audacieuse, en décidant qu'il pouvait y avoir soustraction frauduleuse par le simple fait de priver autrui de l'exclusivité de la possession juridique d'un bien (par l'effet de la copie).  

En matière de jeux de hasard sur Internet, communément appelés "casinos virtuels", un épineux problème d'interprétation de la loi pénale se pose également dans la mesure où le Code pénal vise le délit de tenue de "maison de jeu" de hasard,.  

La référence à un "édifice" se conjugue évidemment mal avec un site web, qui n'est jamais qu'un ensemble de textes, de logiciels et d'applications stockés sur le disque dur d'un serveur. 

Dans de telles situations, exceptionnelles, seul le recours aux règles d'interprétation évolutive de la loi pénale définies de manière stricte par la Cour de cassation pourrait permettre d'étendre la prohibition de tenue de maison de jeu aux casinos virtuels. La question demeure posée (voir à ce sujet notre article sur legalis.net). 

L'informatique comme cible de la criminalité  

En 1984 déjà, "Le Canard Enchaîné" démontrait qu'avec un simple Minitel et quelques connaissances techniques, il était possible d'obtenir des informations sur les projets nucléaires français, en pénétrant les réseaux d'administrations et d'entreprises du secteur. 

Depuis l'émergence d'Internet, la criminalité informatique et des réseaux a connu un essor foudroyant, et l'actualité belge la plus récente n'a pas manqué de confirmer cet inquiétant phénomène.  

En France, selon les dernières statistiques nationales, 161 enquêtes pénales ont été ouvertes en 1996, 424 en 1997, et 564 en 1998… Et il ne s'agit probablement que de la partie visible de l'iceberg, tant les victimes de fraudes informatiques préfèrent souvent garder le silence sur leurs mésaventures.  

Aujourd'hui, certains logiciels, en accès libre sur Internet, et à peine plus complexes à utiliser qu'un traitement de texte, permettent de générer de faux numéros de cartes bancaires ou encore de modifier en trois clics de souris la page d'accueil d'un site Web mal protégé. 

Conscient de l'enjeu, le Conseil de l'Europe a élaboré en 1989 une recommandation en matière de criminalité informatique, dans le but d'inciter les Etats membres à adopter des textes répressifs spécifiques, dans une matière récente où l'arsenal pénal existant est souvent déficient ou difficile à appliquer.  

En 1995, le Conseil de l'Europe émit une seconde recommandation relative aux problèmes de droit de la procédure pénale liés aux technologies de l'information. 

Ces documents ont en partie inspiré le gouvernement fédéral, qui, en octobre dernier, a adopté un projet de loi, en gestation depuis deux ans déjà, sur la criminalité informatique. 

Le projet de loi 

Quatre catégories d'infraction sont prévues par le projet de loi : le faux et usage de faux en informatique, la fraude informatique, le hacking et le sabotage.

En outre, le projet prévoit des mesures visant à renforcer les moyens d'investigation du parquet et du juge d'instruction.  

Le faux et usage de faux en informatique 

Le projet de loi vise le fait pour une personne de s'introduire dans un système informatique, de modifier ou effaçer des données, qui sont stockées, traitées ou transmises par un système informatique, ou en modifier par tout moyen technologique l'utilisation possible des données dans un système informatique, dans le but de modifier la portée juridique de telles données. 

Il existera donc, à côté du faux en écritures traditionnel, un faux spécifique pour les falisfications informatiques.  

Cette nouvelle incrimination était indispensable pour mettre un terme aux hésitations de la jurisprudence quant à l'application de la prévention de faux aux données informatiques. 

En effet, dans la célèbre affaire Bistel, le tribunal correctionnel de Bruxelles décida en 1990 que l'introduction frauduleuse d'un mot de passe constituait un écrit et donc un faux, mais le jugement fut ensuite réformé en degré d'appel. 

Ainsi, si le projet est voté par le Parlement, pourront à l'avenir être poursuivis notamment la fabrication de cartes de crédit falsifiées ou les faux en matière de contrats électroniques. 

La fraude informatique 

Il s'agit de la manipulation de données informatiques dans l'intention de se procurer pour son propre compte ou pour le compte d'autrui un avantage patrimonial frauduleux. 

Sous l'empire du régime actuel, ce type de manipulation échappe généralement aux poursuites dans la mesure où les seules incriminations possibles, à savoir le vol, l'escroquerie et l'abus de confiance sont inadaptées (ces délits exigeant la remise ou l'enlèvement matériel de l'objet visé). 

Seront donc punissables : l'utilisation d'une carte de crédit volée pour retirer de l'argent à un guichet automatique, le dépassement illicite du crédit par le biais de sa propre carte de crédit, l'introduction d'instructions informatiques pour modifier le résultat d'opérations en vue d'obtenir un avantage financier, ou le détournement de fichiers ou de programmes dans un but de lucre. 

En France, où une législation sur la criminalité informatique existe depuis 1988, le tribunal correctionnel de Paris a condamné, par décision du 13 février 1990, à 4 ans d'emprisonnement, le responsable d'une unité spécialisée de la Garantie médicale et chirurgicale pour avoir détourné frauduleusement des fonds en utilisant le système de traitement informatisé des remboursements et en modifiant les coordonnées bancaires.  

Le hacking 

Le hacking, est le fait d'accéder de manière illicite à un système informatique ou de s'y maintenir.  

Avec le développement des technologies à débits rapides, comme le câble ou l’ADSL (Asymetric Digital Subscriber Line), qui autorisent un accès permanent et forfaitaire à l’Internet, le piratage informatique risque d'encore s'amplifier.  

Lorsque l'internaute se connecte au réseau, le serveur du fournisseur d’accès à Internet (FAI) attribue un numéro baptisé IP (protocole Internet) à son ordinateur. Quand la connexion se fait par modem, l'internaute ne reste en ligne que le temps nécessaire pour consulter quelques sites Web, son courrier électronique, avant de se déconnecter. A chaque nouvelle connexion, le fournisseur attribue une nouvelle adresse IP. D'une session à l'autre, ce numéro change, ce qui laisse peu de temps au hacker, si bon soit-il, pour identifier l'adresse IP, qui comporte douze chiffres. En revanche, avec le câble ou l’ADSL, l’utilisateur peut rester en ligne pendant des heures, ce qui permet au pirate de trouver l’adresse IP et d'attaquer l’ordinateur connecté… 

Le texte du projet de loi distingue le hacking commis de l'extérieur de celui provenant d'une personne autorisée mais qui outrepasse ses pouvoirs (par exemple en s'introduisant dans des parties confidentielles du réseau de l'entreprise qui ne lui sont pas réservées).  

Ainsi, le hacker externe ne devra pas être animé d'une intention particulière tandis qu'une intention frauduleuse ou un but de nuire est nécessaire au hacker interne. Cette discrimination est curieuse et sa justification dans l'exposé des motifs du projet peu convaincante. 

Par ailleurs, trois comportements spécifiques sont incriminés : 

- le fait de prendre connaissance ou de s'emparer des données, (espionnage - vol de données),  

- le fait de faire usage du système informatique (vol en terme de temps - notamment "blanchiment" de son adresse dans un but d'anonymat ou d'utilisation de ressources), 

- le fait de causer un dommage par imprudence  

Il est à noter également que sont punissables l'élaboration et la diffusion frauduleuse des " hackertools ", à savoir les outils ou logiciels qui facilitent le hacking, ainsi que le commanditaire du hacking et le receleur des données obtenues par la commission du hacking. 

En ce concerne la jurisprudence étrangère, il est intéressant de relever deux affaires.  

La première est française et a donné lieu à une condamnation le 14 mars 1994 par le tribunal correctionnel de Limoges. Armés d'un ordinateur Atari et d'un minitel, deux pirates se sont servis d'une vingtaine d'entreprises comme passerelles pour atteindre une banque de données américaine de jeux. Ils ont été condamnés à 5.000 F et 15.000 F d'amende, et 10 et 15 mois de prison avec sursis, pour accès et maintien frauduleux dans un système de traitement automatisé. 

La seconde affaire s'est déroulée en Suisse. Il s'agissait de l'intrusion dans le réseau informatique d'une entreprise et d'une université zurichoises par un étudiant de l'EPFL.Par une décision du 31 mars 1999, le juge d'instruction du Canton de Vaud a condamné l'étudiant à 15 jours de prison avec sursis et à 1000 francs suisses 
d'amende. En outre, le juge a ordonné la publication électronique de la décision sur le site Web de l'État de Vaud, afin de montrer à la communauté "virtuelle" locale que le "hacking" peut conduire à des poursuites pénales concrètes. 

Le sabotage 

Le projet de loi vise toutre manipulation de données effectuées dans le but de nuire. Si des dommages aux données ou au système informatique en résultent, les peines sont aggravées. Comme en matière de hacking, les actes préparatoires ont été visés. Toutefois, oubli regrettable, le commanditaire du sabotage n'est pas punissable. 

La diffusion et l'introduction de virus seront bien entendu particulièrement visées par cette nouvelle incrimination. 

Renforcement des moyens d'investigation 

Le code d'instruction criminelle ne prévoit pas la saisie de données sans saisie simultanée du support matériel où les données sont enregistrées ou stockées. Le projet de loi instaure donc une "saisie informatique" des données.  

Dans le même esprit, il est prévu d'instituer une sorte de perquisition "virtuelle", incluant les systèmes informatiques liés, à savoir que le juge d'instruction pourra décider d'étendre la recherche dans un système informatique vers des systèmes situés ailleurs et liés au premier.  

Compte tenu du caractère international de nombreux réseaux informatiques, il existe un danger réel que la perquisition s'exerce sur des données qui sont en réalité situées à l'étranger. Le projet de loi se contente à cet égard de prévoir que, lorsqu'il s'avère que les données ne se trouvent pas sur le territoire belge, elles peuvent seulement être copiées.  

Dans ce cas, le juge d'instruction, par l'intermédiaire du ministère public, communique immédiatement cette information au ministère de la justice, qui en informe les autorités compétentes de l'Etat concerné, si celui-ci peut raisonnablement être déterminé.  

Dès lors, ainsi que relévé dans l'exposé des motifs du projet, en cas de perquisition "volontaire" de systèmes liés situés à l'étranger, une commission rogatoire internationale devrait être en principe requise, sous peine de porter atteinte à la souveraineté de l'Etat étranger concerné. 

La mise en pratique de cette nouvelle procédure s'annonce en tout cas délicate. 

Obligation de collaboration et obligation pour les fournisseurs de service d'identifier les utilisateurs  

Le projet crée de nouvelles obligations de collaboration, notamment dans le chef des responsables des systèmes informatiques qui font l'objet d'enquêtes ainsi que dans le chef des fournisseurs de services. 

En particulier, il est prévu qu'un arrêté royal pourra déterminer dans quels cas et pendant combien de temps les fournisseurs de services (comme les access providers) devront enregistrer et conserver les données d'appel (les connexions à Internet) et les données d'identification des internautes. 
 

Pour un commentaire de l'avant-projet de loi sur la criminalité informatique : le dossier de Bernard Magrez sur ce site.  

 

source : http://www.droit-technologie.org/actuality-235/la-criminalite-informatique-comment-la-reprimer.html

écrit par : hibault Verbiest
                Avocat aux barreaux de Paris et de Bruxelles (Ulys)

   

Publié dans droit du e-commerce

Commenter cet article