Le titre de ce billet peut paraître surprenant, mais il répond en fait à un titre d’article qu’un journal en ligne de la presse spécialisée, au demeurant excellent sur son secteur, a employé pour relater la présente affaire. Comme quoi la communauté geek sait avoir les mêmes réflexes corporatistes que n’importe quel autre groupe social ayant des intérêts communs assez forts. Heureusement, outre son goût pour les pizzas froides et la Guinness, ce qui la caractérise avant tout est le goût de comprendre, et je l’entends qui piaffe aux portes de ce blog. Faites entrer les fauves, on va faire du droit.
Au-delà des aspects techniques de cette affaire, que nous allons aborder, on se retrouve dans une problématique récurrente lorsqu’on doit juger des délits commis dans un contexte technique complexe : que ce soit la finance, la médecine, la pharmacologie, ou la technologie : les prévenus regardent les juges comme des ignares car ils n’ont pas leurs connaissances, ni même parfois les bases. Ça n’a pas manqué ici puisque des journalistes ayant assisté à l’audience ont raillé la façon de tel juge de prononcer Google “gogleu”, ou un log-in “lojin” au lieu du loguine canon.
C’est regrettable bien sûr car ce genre de détail, qui peut faire sourire, sape l’autorité morale qui doit s’attacher à une décision de justice. Comment un juge qui ne sait pas prononcer Google avec l’accent de Mountain View pourrait-il être apte à juger un dossier où les thèses en présence soulèvent des points techniques, notamment en terme de sécurité informatique, domaine où le prévenu est un spécialiste reconnu ? Mais alors, faut-il refuser de juger les dossiers trop techniques faute de juge diplômé dans la matière ? Car soyons clairs : il n’y a pas de magistrat ayant l’ancienneté requise pour siéger en cour d’appel qui ait un diplôme d’ingénieur en informatique. C’est naturellement impossible. La solution est assez simple: une audience est un moment de débat qui impose aux parties de la pédagogie. Faire comprendre aux juges ces aspects techniques est une partie essentielle de la fonction de défendre. Avant d’exposer sa thèse, il faut d’assurer que le juge la comprenne. Et vous allez voir qu’ici, les conseillers de la cour d’appel de Paris ont plutôt bien compris la problématique informatique. Paradoxalement, c’est en droit pénal que leur décision est la plus critiquable.
I am da hakerz
À titre de prolégomènes, voyons un peu les délits informatiques. Ils ont été créés par une loi de 1985 qui est objectivement plutôt une réussite, car nonobstant les progrès et les évolutions de l’informatique, il n’y a pas eu besoin de les modifier, ils tiennent bon et sont toujours adaptés. Peu de lois peuvent en dire autant.
Les délits en question sont aux articles 323-1 et suivants du code pénal.
Le premier est l’accès frauduleux à un système de traitement automatisé de données (ou STAD, le terme légal pour un système informatique, qui recouvre aussi bien feu le minitel que des ordinateurs, serveurs, tablettes ou smartphone). Il est caractérisé dès lors que l’on a conscience d’accéder à un STAD alors qu’on n’a pas le droit de le faire (l’accès doit être frauduleux). Que ce soit par une attaque par dictionnaire ou force brute pour un accès protégé par mot de passe, ou en ayant obtenu le mot de passe en lisant le post-it accolé sur le moniteur, ou en exploitant une faille ou une backdoor. C’est en quelque sorte la violation de domicile informatique. Notons que la loi n’exige pas un niveau minimum de sécurité. Accéder à un STAD non protégé peut constituer le délit, mais il sera plus difficile d’établir que vous aviez conscience de pénétrer un système sans en avoir l’autorisation. Cet accès est puni (au maximum) de deux ans de prison et 30 000 € d’amende, peine portée à 3 ans et 45 000 € si cet accès a eu pour conséquence l’altération ou la suppression de données, ou si le fonctionnement du système a été altéré, que ce soit volontairement ou non. Si votre attaque par force brute a provoqué un DDoS que vous n’escomptiez pas, le délit est aggravé. Si le système concerné traite des données personnelles pour le compte de l’État, c’est 5 ans et 75 000 € encourus.
Le deuxième est le fait de se maintenir frauduleusement dans un STAD. C’est l’hypothèse où on arrive par erreur, ou en cliquant sur un lien mal paramétré, dans l’interface admin du site ou dans l’arborescence des répertoires, des bases de données MySQL, ou que sais-je encore. À l’instant où on réalise qu’on n’a rien à faire là, il convient de mettre fin à cette connexion. Ne pas le faire, fut-ce pour jeter un coup d’œil, constitue le délit. Les mêmes aggravations s’appliquent, les peines sont les mêmes.
Le troisième est l’entrave au fonctionnement d’un STAD. Typiquement, c’est l’attaque par DDos (Distributed Denial of Service)pour faire tomber un site en le submergeant de requêtes inutiles et consommatrices de bande passante. Mais de manière générale, toute mesure, toute action, informatique ou extérieure, visant à empêcher un STAD de fonctionner normalement constitue le délit. Et ce même s’agissant de Drupal, qui pourtant ne fonctionne jamais normalement. (Hein ? Où ça un troll ?)
Peine encourue : 5 ans, portées à 10 si le STAD attaqué traite des données personnelles pour l’Etat.
Le quatrième est l’introduction, la modification ou la suppression de données dans un STAD. On est là au cœur de ce qui constitue le piratage informatique. Porter atteinte à l’intégrité des données est puni de 5 ans de prison et 75 000 € d’amende, porté à 7 ans et 100 000 € si la cible est un système traitant des données personnelles pour l’État (par exemple, accéder au fichier national des permis de conduire et se rajouter des points).
Enfin, le fait, sans motif légitime (comme le serait la recherche en sécurité informatique) de détenir ou faire circuler un moyen (que ce soit un appareillage ou un programme) de commettre l’une de ces infractions est un délit puni des peines prévues pour le délit principal. C’est une sorte de délit de complicité, délit autonome car il n’exige pas la conscience de fournir une aide pour la commission d’une infraction : la simple détention constitue déjà le délit.
Voilà, chers hackers, vous savez à quelle sauce vous pouvez être mangés.
À présent, voyons l’affaire qui nous préoccupe.
Accusé Bluetouff, levez-vous
La mésaventure qui nous intéresse aujourd’hui concerne Bluetouff, oui c’est un pseudonyme, professionnel de la sécurité informatique et full disclosure, mon fournisseur de VPN, même s’il ne m’a jamais sollicité pour que j’écrive sur son affaire.
Particulièrement sensibilisé à ce qui se passe en Syrie depuis le début de la révolte contre le régime d’El Assad, un jour qu’il cherchait via Google des informations sur la situation sur place et l’assistance apportée par des sociétés française à la surveillance électronique de la population, il tombe sur un lien vers des documents de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES). En cliquant sur le lien généré par Google, il réalise très vite qu’il est dans l’extranet de l’Agence, et peut accéder sans problème à des quantités de documents internes portant sur la santé publique. Il télécharge près de 8 Go de données et après les avoir en vain proposé à des journalistes spécialisés, prend l’initiative de publier des articles se reposant sur ces données. C’est un de ces articles qui va attirer l’attention de l’ANSES qui va réaliser qu’il s’agit là de documents internes censés être confidentiels. Pensant avoir été victime d’un piratage, l’agence va porter plainte, et l’affaire va être prise très au sérieux, puisque c’est la DCRI qui va être chargée de l’enquête, comme tout ce qui concerne les affaires ou les intérêts nationaux sont en cause : en effet, l’ANSES a le statut d’Opérateur d’Importance Vitale prévu par le Code de la Défense. Bluetouff explique l’affaire en détail dans ce billet, auquel je vous renvoie pour plus de détails.
L’enquête établit assez rapidement (mais pas assez pour que Bluetouff échappe à 30 heures de garde à vue) que l’accès s’est fait sans difficulté, du fait d’une incroyable faille de sécurité du serveur de l’ANSES qui permettait à Google d’indexer des liens directs vers l’extranet de l’Agence. Le parquet renvoie tout cela devant le tribunal correctionnel de Créteil, compétent car l’ANSES se situe à Maisons-Alfort, dans le Val de Marne, pour 3 délits : introduction frauduleuse dans un STAD, maintien frauduleux dans un STAD et vol des 8 Go de documents.
Le 23 avril 2013, le tribunal correctionnel de Créteil relaxe Bluetouff de l’intégralité des préventions retenues contre lui. L’ANSES s’était constituée partie civile, mais réalisant sans doute qu’elle ne peut décemment s’en prendre qu’à elle même, ne fait pas appel. Le parquet, lui, si.
L’affaire revient donc devant la cour d’appel le 18 décembre, audience dont la presse s’est faite écho en soulignant à quel point les magistrats avaient l’air dépassés, l’avocat général admettant ne pas avoir compris la moitié des termes employés lors de l’audience. On sait pourtant à quel point en pénal, l’honnêteté ne paye pas. L’arrêt a été rendu le 5 février et peut être lu intégralement ici.
Que dit au juste la cour ? Elle doit statuer dans les limites de sa saisine, fixée par le parquet quand il a saisi le tribunal. En l’espèce, il reproche 3 délits à Bluetouff : introduction frauduleuse dans un STAD, maintien frauduleux dans un STAD et vol des documents de l’ANSES.
Sur l’introduction frauduleuse dans un STAD, la cour reconnait que Bluetouff est bien arrivé sur l’extranet de l’Agence en raison d’une grave faille de sécurité, que l’Agence a reconnue et a depuis, je l’espère, comblé. Dans ce cas, l’élément moral de l’infraction, son caractère frauduleux, c’est à dire la conscience d’entrer là où on n’a pas le droit d’aller, informatiquement s’entend, n’est pas constitué. La relaxe s’impose et la cour confirme sur ce point le jugement de Créteil.
Sur le maintien frauduleux, la cour retient qu’entendu au cours de la garde à vue, Bluetouff a reconnu s’être baladé dans l’arborescence des répertoires en remontant jusqu’à la page d’accueil, où il a constaté la présence d’une authentification par login / mot de passe. Fatalitas. Dès lors, Bluetouff a creusé sa tombe. En admettant cela, il a reconnu ce que le parquet aurait été autrement incapable de démontrer : le caractère frauduleux de son maintien. À la seconde où Bluetouff a compris qu’il était dans un extranet dont la porte était fermée mais dont on avait juste oublié de monter les murs autour, il commettait le délit de maintien frauduleux dans un STAD. Or loin de se déconnecter immédiatement, il est resté et a téléchargé l’important volume de documentation, ce qui lui a pris plusieurs heures, caractérisant le maintien. Quand je vous dis que le droit au silence en garde à vue, ce n’est pas un gadget. Le délit est donc prouvé, et la cour infirme le jugement sur ce point et condamne Bluetouff.
Sur le vol, la cour est moins diserte, et c’est à mon humble avis le point sur lequel l’arrêt est juridiquement le plus critiquable, et justifie la décision du prévenu de se pourvoir en cassation. La cour estime le vol constitué par le fait d’avoir réalisé des copies des fichiers de l’ANSES à l’insu et contre le gré de l’agence. Sans vouloir souffler aux conseillers de la chambre criminelle, il y a à mon sens une insuffisance de motifs.
Le vol est la soustraction frauduleuse de la chose d’autrui. La loi pénale est d’interprétation stricte. On entend par soustraction une appréhension, une appropriation : il faut se comporter en propriétaire de la chose, dépossédant ainsi le véritable propriétaire. La soustraction doit être frauduleuse, c’est à dire en ayant conscience que l’on n’est pas propriétaire de la chose. Or s’agissant d’un fichier informatique, on peut le copier sans jamais déposséder le propriétaire. C’est même la règle et la base du téléchargement payant de fichier. C’est précisément pour cela qu’il a fallu créer un délit spécifique pour le vol de propriété intellectuelle (la contrefaçon) qui nuit à l’auteur de l’œuvre, mais en aucun cas le dépossède de celle-ci. Personne ne pourrait voler les Misérables à Victor Hugo. On peut voler un support informatique (disquette, clef USB, disque dur, CD-ROM…), mais en aucun cas le contenu de cette mémoire. Cette dernière condamnation ne tient pas à mon sens, et on peut espérer que la Cour de cassation y mette bon ordre (même si en cas de renvoi devant une autre cour d’appel, une requalification en contrefaçon n’est pas impossible, auquel cas une condamnation serait envisageable).
C’est là le paradoxe de cette décision : bien qu’ayant affiché une ignorance de l’informatique, la cour d’appel me semble avoir correctement apprécié les faits et en avoir tiré des conséquences juridiquement correctes (je ne discute pas son appréciation des preuves, ne connaissant pas le dossier) ; c’est sur le terrain du droit pénal on ne peut plus classique du vol, où on a 2000 ans de jurisprudence, que la cour s’est mélangée les pinceaux.
Sur la peine finalement prononcée (3000 € d’amende), je trouve simplement, mais c’est ma déformation de pénaliste sans doute, que la cour a laissé passer une excellente occasion de prononcer une dispense de peine. Le trouble à l’ordre public a cessé par la destruction des fichiers copiés et la mise hors ligne des articles les citant, la victime a reconnu sa faute et a renoncé à poursuivre ; quant à la réinsertion de Bluetouff dans la société, le fait d’être mon fournisseur de VPN est largement suffisant à l’établir.