Les dérives illicites de l’intelligence économique

• Thiébaut Devergranne

Aussi foudroyante soit-elle, l’affaire EDF – qui a révélé le piratage par EDF des systèmes informatiques de Greenpeace – est pétrie de vertus. D’abord, il y a le versant « pédagogique » : 1.5 million d’euros d’amende pour EDF pour avoir été défaillante dans la gestion de ses contrats sensibles et laissé son responsable sécurité mettre en place une écoute illicite des systèmes informatiques de Greenpeace. Un an de prison ferme pour le responsable sécurité d’EDF qui a orchestré les opérations. Un an de prison ferme pour le consultant de la société qui a commandité et organisé l’attaque. Un an de prison ferme pour le pirate qui a attaqué les systèmes de Greenpeace et mis en place la surveillance sauvage ; 2.200.000 € d’amende et de dommages et intérêts cumulés pour les protagonistes ! Voilà, qui devrait convaincre de la nécessité d’encadrer les opérations d’intelligence économique…

Ensuite, il y a le versant « nouveautés » : la mise en cause d’EDF, en tant que personne morale pour accès frauduleux et recel. C’est la première fois qu’une entreprise écope d’une sanction aussi importante pour complicité d’accès et maintien frauduleux.

EDF a été condamnée à 1.5 million d’euros pour piratage informatique

C’est également la première fois, à notre connaissance, que la possession de biens issus d’un accès frauduleux (un CDROM contenant les données de Greenpeace) a été sanctionnée pour recel.

Derrière ce jugement se dresse le spectre d’une véritable mise sous tutelle de l’activité des responsables sécurité, car il ressort de cette décision que si l’organisation n’est pas en mesure d’assurer un contrôle efficace de la légalité des opérations mises en œuvre, sa responsabilité pourra alors se voir engagée. Au-delà d’un rappel des faits, cette affaire exceptionnelle appelle à s’interroger sur les facteurs qui ont permis un tel écueil.

1. Un contrat de veille sauvage

Le premier point frappant de cette affaire est qu’elle est découverte totalement par hasard. En effet, l’OCLCTIC enquêtait sur une intrusion informatique dont avait été victime le laboratoire national de dépistage contre le dopage. Les services de police sont allés chercher l’auteur des accès frauduleux au Maroc, sur commission rogatoire internationale. Voilà déjà qui sort de l’ordinaire. Mais c’est l’analyse détaillée des disques durs saisis, et déchiffrés par le CTA, qui révèle l’existence d’une diversité d’intrusions informatiques, dont celle des systèmes de Greenpeace.

L’interrogation du pirate en question révèlera les détails du piratage de Greenpeace, réalisé afin de permettre à EDF d’être informé régulièrement sur les actions de l’association. L’opération avait été mise au point sous couvert d’un contrat de veille stratégique (~4.600€ par mois) signé par le responsables de la mission de sécurité d’EDF et exécuté par l’intermédiaire d’une société d’intelligence économique, alors gérée par un ancien de la DGSE.

2. La condamnation d’EDF à 1.5 million d’euros d’amende

Une fois passé le détail des faits totalement abracadabrant, le point le plus original de la décision tient sans aucun doute à la reconnaissance de la culpabilité d’EDF en tant que personne morale. D’un point de vue juridique, ici, deux infractions lui étaient reprochées : la complicité d’accès et de maintien frauduleux, et le recel de biens provenant de cette infraction ; en substance voici les dispositions en question :

Article 323-1 : Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.

Article 321-1 : Le recel est le fait de dissimuler, de détenir ou de transmettre une chose, ou de faire office d’intermédiaire afin de la transmettre, en sachant que cette chose provient d’un crime ou d’un délit.

Constitue également un recel le fait, en connaissance de cause, de bénéficier, par tout moyen, du produit d’un crime ou d’un délit.

Le recel est puni de cinq ans d’emprisonnement et de 375000 euros d’amende.

Somme toute il faut dire que dans la décision, la reconnaissance de la culpabilité de la société est assez liminaire ; d’abord, le Tribunal constate que la société a bien conclu (et payé) un contrat avec un sous-traitant, tendant à réaliser un accès frauduleux dans les systèmes de Greenpeace ; celui-ci était bien passé pour la protection des intérêts d’EDF (et non les intérêts personnels des responsables sécurité). Il n’en faut guère plus pour démontrer la complicité d’accès frauduleux (« Est complice d’un crime ou d’un délit la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation. Est également complice la personne qui par don, promesse, menace, ordre, abus d’autorité ou de pouvoir aura provoqué à une infraction ou donné des instructions pour la commettre« , art. 121-7 c. pen. – il est néanmoins permis de s’interroger quant à la reconnaissance de la responsabilité pénale de la société en tant que complice et non comme auteur).

Il ne reste plus alors qu’à démontrer le recel. Pour ce faire, le Tribunal fera le simple constat qu’EDF a conservé volontairement dans ses locaux les biens produits par l’accès frauduleux ; en l’occurrence, un CDROM contenant des fichiers, emails et documents de Greenpeace. Légalement, il n’en faut pas plus pour caractériser l’infraction, puisque le recel est le fait de détenir volontairement une chose, sachant que celle-ci provient d’un crime ou d’un délit.

Il suffisait enfin de s’assurer que la personne morale agissait bien pour son compte et au travers de ses représentants, puisque ces deux conditions sont essentielles à la reconnaissance de la culpabilité d’une personne morale (art. 121-2 du Code pénal : « Les personnes morales, à l’exclusion de l’Etat, sont responsables pénalement, selon les distinctions des articles 121-4 à 121-7, des infractions commises, pour leur compte, par leurs organes ou représentants« ) ; c’est ce que note le Tribunal, constatant une absence de contrôle effectif et réel des contrats d’intelligence économique dans la pratique :

X et Y dans le cadre de leur mission, ont eu en quelque sorte carte blanche pour mettre en place les moyens d’assurer la sécurité du parc nucléaire dans le contexte sensible de la construction de l’EPR. Ils n’ont évidemment pas agi pour leur compte personnel mais dans l’intérêt exclusif d’EDF qui seule en a tiré bénéfice sous la forme concrète du CD Rom frauduleux détenu dans les locaux d’EDF.

La conclusion alors peut tenir en une phrase :  « [les responsables sécurité] ont agi pour le compte et dans l’intérêt de leur employeur ; la personne morale EDF qui est donc déclarée coupable des délits de recel et de complicité d’accès et maintien frauduleux aggravé dans un STAD au préjudice de X et de Greenpeace. En répression elle sera condamnée à une peine de 1 500 000 € d’amende« .

On passera sur les responsabilités des personnes physiques qui, sur le terrain juridique, n’appellent guère à commentaires.

3.  Le contexte de la fraude

Toutefois, si la décision est peu prolixe en matière de discussion juridique, le jugement révèle toutefois deux points de faits particulièrement saisissants. Ainsi, l’on peut lire dans le jugement que :

[X admettait que] le piratage pour le compte d’EDF était fait dans un intérêt supérieur même si les moyens utilisés étaient illégaux. [Lui-même] a été un exécutant efficace qui ne s’est pas posé la question du préjudice qu’il pouvait causer en s’attaquant ainsi par le biais du hacking aux ordinateurs et au système informatique de personnes privées (…). Il avait gardé par devers lui au Maroc toutes les copies de ses piratages comme, disait-il à l’audience sur question, une sorte de trophée. Ces trophées furent d’ailleurs fort utiles à la manifestation de la vérité.

Malgré l’intelligence technique dont fait preuve le pirate informatique, d’ailleurs remarquée lors de l’audience (les experts le qualifient de « bon »), celui-ci juge bon de conserver les traces de son infraction, comme une sorte de trophée. Cela peut paraître paradoxal en première approche, mais c’est assez courant dans la réalité. Dommageable pour lui, le sentiment qui lui aura dicté la conservation des preuves de  l’infraction sera salutaire pour les juges, car sans traces tangibles l’affaire aurait été plus difficile à démontrer.

Tout aussi édifiante est la manière dont le Tribunal juge l’ancien agent la DGSE, intervenu comme intermédiaire entre EDF et le pirate informatique :

La réalité est que Z n’a pas renoncé à utiliser les moyens et pouvoirs que la loi et sa hiérarchie lui conféraient dans le cadre des missions d’agent de la DGSE au service de l’Etat. Il a voulu, en les vendant au plus offrant sans curiosité ni interrogation sous couvert de missions prétendument conformes à l’intérêt général, utiliser ces prérogatives ne pouvant être exercées que dans l’intérêt national.

En agissant ainsi et donc en transgressant la loi il a porté atteinte à l’Etat de droit, à la vie privée de ses cibles telles que A et B dans un dévoiement des valeurs républicaines.

Voilà qui devrait rappeler aux anciens des services secrets qu’une fois leur service terminé un retour au droit doit s’effectuer.

4. Les fondements d’une telle dérive

Ce que l’on ne remarque guère immédiatement dans cette affaire c’est la loyauté – certes, tout à fait malsaine – des responsables de sécurité d’EDF. Car à aucun moment ceux-ci n’agissent pour leur intérêt personnel, bien au contraire ; ils vont jusqu’à commettre un délit pour tenter de préserver les intérêts de leur entreprise. Il y à là un sens assez pervers du devoir que ces hommes s’imposent.

Toutefois, le véritable point de bascule de cette affaire tient au glissement progressif qui s’opère dans l’esprit des responsables sécurité, et qui finit par rendre ces actions acceptables, voire même souhaitables. C’est là, à ce moment précis, que nait le germe des infractions pénales qui seront ensuite réalisées. Quant aux autres protagonistes, la monétisation de leurs prestations réduit quelque peu la complexité de l’équation. Naturellement, quand certains payent, d’autres trouvent à s’exécuter.

Les enseignements à en tirer :

  • EDF en tant que personne morale a écopé d’1.5M d’amende pour avoir été défaillante dans ses contrôles internes. Il est donc impératif de cadrer les prestations d’intelligence économique car elles ont un potentiel de dérive qu’il faut rationnaliser.
  • Le contrat est le lieu naturel où imposer des clauses claires détaillant le contenu de la prestation.
  • Quelle que soit la situation, il est nécessaire de procéder à des audits indépendants et occasionnels afin de détecter et prévenir d’éventuelles dérives.

Cela vous paraît une bonne décision ? Quels sont vos commentaires…


Commentaires...

Zed

Et ensuite EDF se plaint d'être victime d'attaques par DDOS...

Thiébaut Devergranne

A ce sujet voir deux excellents articles de Jean-Marc Manach : http://owni.fr/2012/01/28/huit-mois-de-surveillance-contre-les-anonymous/

et http://owni.fr/2012/01/27/dcri-contre-anonymous/

Lucien RIZZO

Bonsoir,

L'attitude du RSSI est doublement inacceptable :

tout d'abord en tant qu'initié du domaine de la sécurité des systèmes d'information et donc parfaitement au courant des règles légales interdisant de tels comportements ; ensuite, c'est une atteinte à la déontologie même de cette profession dont l'objet est la défense des systèmes d'information et non leur attaque !

Thiébaut Devergranne

Bonsoir Lucien !

Oui, tout à fait, merci le souligner !

Ce qui est intéressant dans cette affaire c'est vraiment le point de bascule du moment où les RSSI ont pris la décision que justement cette déontologie devait être écartée au profit "d'intérêts supérieurs" (dont on voit bien la destinée d'ailleurs), en sachant parfaitement que cela était illicite.

J'aurais bien aimé savoir comment ils ont progressivement accepté l'idée qu'il était souhaitable de réaliser ces attaques. En tout cas la décision aura été d'une sévérité exemplaire.

manhack

A toutes fins utiles, le 1er article n'est pas de moi, mais de Pierre Leibovici.

Reste qu'il n'en est pas moins intéressant de voir qu'une entreprise, condamnée pour "piratage informatique" dans une histoire d'espionnage, révélée par de "simples" policiers, a réussi à embringuer la DCRI -et donc le contre-espionnage- afin d'identifier les auteurs d'une simple manifestation/sit-in en ligne...

LiLConseil

Je me souviens d'un vrai débat avec un vrai pro de l'IE défendant mordicus que le temps des amalgames étaient bien fini et que l'IE n'avait VRAIMENT plus rien à voir avec les pratiques obscures des barbouzes en cols blancs.

Naïve que je suis, je soutenais mon opinion quand au fait que seul une IE au service d'une gouvernance par le Développement durable pouvait être admissible, au moins dans son encadrement forcée de ce système historiquement issu des renseignements généraux.

On m'a ri au nez sur mon côté "stage de macramé et panier bio" (ce qui pourtant n' a vraiment rien à voir) mais je continue à le soutenir et j'en suis bien contente en lisant cet article édifiant et réconfortant, finalement.

Merci

Thiébaut Devergranne

L'histoire vous donne raison !

TONO

[NDLR : le commentaire a été édité]

Juste une petite précision, ce n'est pas le RSSI mais le Responsable Sureté Nucléaire, qui a contracté avec l'officine.

Je dis officine car il n'a jamais été dit que cette société était une société d'IE. Il faut savoir qu'aucune autre loi ne changera de telle pratique. Les lois existent, il faut les appliquer, aux espions de ne pas se faire prendre.

L'espionnage est un vieux métier, ça existera toujours, nous ne vivions pas dans un monde de "bisounours", hélas! .

Posez vous la question pour quoi, il y a des clients pour commander de telles opérations? moi j'ai une petit idée.

il y a une perte de confiance vis à vis de nos services par nos grands groupes du CAC, pourquoi? les services sont politisés [CUT]. Je pense qu'il faut moraliser notre mode de fonctionnement étatique. Peut être que les entreprises pourront faire appelles aux services spécialisés pour défendre leurs intérêts. [CUT]

Alors oui! je pense que les officines ont de beaux jours devant eux dans un monde de guerre économique, en France ou à l’étranger.

Thiébaut Devergranne

Merci pour la précision relative au RSSI ! La décision mentionne "responsable sécurité d'EDF" à plusieures reprises, j'avais déduit qu'il avait également en charge la partie SSI.

Le contrat était bien un contrat d'IE (au sens de veille) et cette terminologie apparaît clairement dans la décision ; mais au fonds peu importe la dénomination donnée, il est possible de monter une "officine" qui travaille légalement autant qu'une "société d'IE" qui fait des choses illicites. Peu importe l'apparence, tout est affaire de réalité factuelle.

Jean

C'est quoi le CTA ?


Les commentaires sont fermés
Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)