RSSI : pas de sécurité, pas de fraude, pas d’indemnisation

Le TGI de Creteil a rendu le 23 avril dernier une décision intéressante qui illustre les conséquences du défaut de sécurité d'un système d'information.MP900404902

L'affaire mettait en cause l'Agence Nationale de Sécurité Sanitaire de l'Alimentation et un internaute qui avait accédé à des données confidentielles sur les serveurs de l'autorité administrative au moyen d'une simple requête Google. Les données litigieuses étaient en accès libre et mises à disposition du public, sans que celles-ci fassent l'objet d'aucune mesure de sécurité particulière. La victime, non contente de voir ses secrets atterrir dans les mains de tiers, décidait d'engager des poursuites pénales considérant qu'elle avait subi un accès frauduleux de la part de l'internaute indélicat.

Le problème posé était donc de savoir si l'on peut être victime d'un piratage informatique, lorsque aucune mesure de sécurité ne vient protéger des données mises à disposition du public ?

1) Victime d'un piratage... de biens mis à disposition du public ?

La jurisprudence donne de nombreuses illustrations de cette question que l'on retrouve assez fréquemment en réalité (affaires Tati et Zataz par exemple). La plus importante décision rendue qui tranche la question est incontestablement l'arrêt de la Cour d'appel de Paris du 5 avril 1994 qui affirmait qu'il n'était pas nécessaire pour que l'infraction existe, que le système ait fait l'objet de mesure de protection particulière. L'essentiel étant que le maître du système manifeste son intention de restreindre l'accès aux données aux seules personnes autorisées.

Evidemment le problème alors est de déterminer comment - et notamment par quels moyens techniques - vient se manifester cette intention ? Le TGI de Créteil juge la chose de manière assez simple, considérant qu'en l'espèce, « le maître du système, l'ANSES, en raison de la défaillance technique, n'a pas manifesté clairement l'intention de restreindre l'accès aux données récupérées par M. Olivier L. aux seules personnes autorisées ».

L'ANSES se fait donc recaler sur ce point... Accessoirement, un élément que l'on aurait aimé voir traité tient à la détermination de sa propre responsabilité au regard des obligations de sécurisation de son système d'information (voir dans le détail en formation CIL par exemple) - si tant est que l'ANSES opère un traitement de données personnelles. Mais qu'importe...

2) La volonté de restreindre l'accès

L'essentiel, pour caractériser le délit, tient au fait que cette manifestation de volonté doit exister et être apparente. D'un point de vue strictement juridique, l'article 323-1 du Code pénal sanctionne "Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données". Bien que cela ne soit pas précisé explicitement dans le texte, la volonté du maître du système est au coeur de ce dispositif pénal de protection des biens informatiques. La fraude, en effet, consiste à user sans droits - c'est-à-dire contre la volonté du propriétaire - des biens informatiques (données, systèmes...).

Cependant, et on trouve ici une excellente illustration de ces limites, il ne suffit pas de vouloir se réserver l'usage de certains biens informatiques pour que le délit soit caractérisé. Il faut, en effet, que cette volonté soit apparente et connue de tous. On retrouve ici le rôle si important des mesures techniques de protection et de sécurité qui ont vocation à traduire cette expression :  si l'on ajoute un login/mot de passe, c'est donc que l'on a choisi de restreindre l'accès à des ressources informatiques. Mais qu'en est-il lorsque les mesures de protection n'ont pas fonctionnées ? Sur qui pèse le risque ?

Déjà lors des débats parlementaires ayant conduit à la loi Godfrain, la question de l'absence de mesures de sécurité (volontaire, ou involontaire) s'était posée : « il est certain que l’accès à un système dépourvu de mesures de sécurité particulières ne saurait être incriminé. Mais il y aura accès frauduleux dès lors qu’on cherchera à s’introduire indûment dans un système protégé par un dispositif de sécurité, matériel ou logiciel, quelle qu’en soit la nature (...) » (Rapport de M. André au nom de la Commission des lois n◦744, doc. Ass. Nat., 1986-87, p. 13).

La conclusion du Tribunal doit donc ici être approuvée, en cela que, sans manifestation de volonté claire de réserver l'usage de certaines ressources informatiques, l'article 323-1 ne peut légalement jouer, et cela, particulièrement lorsque les données sont mises à disposition du public.

Pas de sécurité, pas de fraude... et pas non plus d'indemnisation !

 

 

Ci-après des extraits de la décision :

Le 6 septembre 2012, l'Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail (ANSES) représentée par M. Nin K., informaticien, déposait plainte auprès des services de police de Maisons-Alfort (94) pour intrusion dans son système informatique et vol de données informatiques. Il expliquait que le 3 septembre 2012, l'agence avait détecté un accès frauduleux sur son serveur extranet. Cette découverte faisait suite à la découverte par un chef d'unité de l'ANSES d'un article relatif aux nano-matériaux mis en ligne sur le site d'information alternatif « reflets.info », article accompagné d'un document « powerpoint » de l'agence et destiné uniquement à un usage interne.

Des premières investigations menées par l'ANSES, il ressortait que de nombreux documents avaient été exfiltrés le 27 et le 28 août 2012 vers une adresse IP localisée au Panama. Les personnes ayant récupéré les documents avaient profité d'une faille de sécurité sur le serveur extranet pour y accéder sans avoir à s'identifier et avaient ainsi pu accéder aux documents privés de l'ANSES.

La Direction centrale du renseignement Intérieur était chargée de la poursuite des investigations, l'ANSES étant un Opérateur d'importance vitale (OIV). L'audition du responsable technique de l'Anses confirmait les éléments de la plainte, à savoir une erreur de paramétrage du serveur hébergeant l'extranet (ensemble des fichiers accessibles en lecture) qui avait permis le téléchargement depuis une adresse IP d'un VPN localisée au Panama de l'ensemble des fichiers présents sur ce serveur (environ 8 Go de données).

Les circonstances de la découverte d'un document interne de l'agence sur le site « Reflets.info » étaient également confirmées. Ce document accompagnait un article consacré à la dangerosité des nanomatériaux et était signé d'une personne utilisant le pseudonyme « ovan M. ».

Les recherches menées sur Internet amenaient à découvrir un second article relatif à la légionellose quant à lui signé d'un individu utilisant le surnom « Bluetouff » et était accompagné d'un fichier compressé contenant des documents provenant du serveur extranet de l'ANSES.

Ultérieurement, le même « Bluetouff » indiquait être en possession de 7,7 Go de documents traitant de santé publique.

L'analyse des journaux de connexions du serveur extranet et du firewall de l'ANSES confirmait la primoanalyse réalisée par l'Anses concernant la localisation des adresses IP ayant exfiltré un volume important de fichiers appartenant à l'agence. Si une adresse correspondait à un service VPN suédois pour lesquels il était impossible de connaître le propriétaire, une seconde adresse IP ayant effectué un téléchargement de 8,2 Go de données entre le 27 et le 28 août 2012 était localisée au Panama. Cette adresse IP provenait d'un serveur informatique hébergeant une solution VPN de la société « T », fondée et dirigée par M. Olivier L.

Il était en outre également permis d'identifier M. Olivier L. comme étant l'internaute utilisant l'alias « Bluetouff ». Il était placé en garde à vue le 21 novembre 2012.

Lors de ses auditions, M. Olivier L. reconnaissait avoir récupéré via son VPN panaméen l'ensemble des données accessibles sur le serveur extranet de l'ANSES. Il déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google.

S'il affirmait être arrivé par erreur au coeur de l'extranet de l'ANSES, il reconnaissait néanmoins avoir parcouru l'arborescence des répertoires de celui-ci et être remonté jusqu'à la page d'accueil sur laquelle il avait constaté la présence de contrôles d'accès (authentification par identifiant et mot de passe).

Il précisait ne pas avoir diffusé l'archive de 7,7 Go qu'il avait généré avec l'ensemble et en avoir seulement fait une extraction de 250 Megaoctets qu'il avait utilisé pour argumenter son article sur la légionellose. M. Olivier L. avouait également avoir communiqué des documents à un autre rédacteur du site « Reflets.info », « Yovan M. », identifié en la personne de M. Pascal H.

Enfin, il acceptait de retirer les fichiers et liens de téléchargement en rapport avec l'ANSES sur l'ensemble des serveurs et supports.

Les investigations techniques menées lors de la perquisition au domicile de M. Olivier L. permettaient la récupération de l'archive complète de 7,7 Go.

Le 17 décembre 2012, M. Pascal H., entendu en tant que témoin, confirmait avoir eu accès aux données de l'ANSES et avoir utilisé un fichier sur la thématique des « nano-argents » pour illustrer un article. Il reconnaissait en outre avoir rendu public ce fichier sur un site de téléchargement. L'intéressé, sachant que les documents provenaient de la documentation de l'ANSES, ignorait en revanche qu'ils avaient été collectés sur un espace privé par M. Olivier L. Il acceptait de retirer le fichier incrimine « Nano État des Lieux 2012 » de l'espace d'hébergement en ligne utilisé.

Sur l'accès frauduleux et le maintien frauduleux dans un système de traitement automatisé de données :

Selon l'article 323-1 du Code pénal, le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatiséde données est puni de deux ans d'emprisonnement et de 30 000  EUR d'amende.

L'accès frauduleux à un système de traitement automatisé de données est constitué dès lors qu'une personne non habilitée pénètre dans unsystème de traitement automatisé de données tout en sachant qu'elle est dépourvue d'autorisation.

En l'espèce, il ressort des déclarations précises et circonstanciées du prévenu que lors de son accès au site extranet de l'ANSES, il a remarqué qu'un code utilisateur et un mot de passe pouvaient être demandés pour accéder à certaines données.

Néanmoins, il n'est pas contesté par l'ANSES qu'une défaillance technique existait dans le système et que M. Olivier L. a pu récupérer l'ensemble des documents sans aucun procédé de type « hacking ».

Par ailleurs, M. Olivier L. a pu justifier l'utilisation du VPN panaméen, celui-ci lui servant dans le cadre de sa société T

Compte tenu de l'ensemble de ces éléments, même s'il n'est pas nécessaire pour que l'infraction existe que l'accès soit limité par un dispositif de protection, le maître du système, l'ANSES, en raison de la défaillance technique, n'a pas manifesté clairement l'intention de restreindre l'accès aux données récupérées par M. Olivier L. aux seules personnes autorisées.

M. Olivier L. a pu donc légitimement penser que certaines données sur le site nécessitaient un code d'accès et un mot de passe mais que les données informatiques qu'il a récupérées étaient en libre accès et qu'il pouvait parfaitement se maintenir dans le système.

En conséquence, il convient de relaxer M. Olivier L. des chefs d'accès frauduleux et maintien frauduleux dans un système de traitement automatisédes données.

Sur le vol des documents téléchargés et enregistrés sur plusieurs supports, selon l'article 311-1 du Code pénal, le vol est la soustraction frauduleuse de la chose d'autrui.

En l'espèce, en l'absence de toute soustraction matérielle de documents appartenant à l'ANSES, le simple fait d'avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l'ANSES qui n'en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l'élément matériel du vol, la soustraction frauduleuse de la chose d'autrui, délit supposant, pour être constitué, l'appréhension d'une chose.

En tout état de cause, M. Olivier L. a pu légitimement penser que ces documents étaient librement téléchargeables puisque non protégés par un quelconque système. Il n'y a pas eu de sa part une volonté d'appropriation frauduleuse de ces fichiers informatiques et donc il n'y a pas d'élément intentionnel de l'infraction.

DÉCISION

Le tribunal, statuant publiquement, en premier ressort et contradictoirement à l'égard de L. Olivier.

Relaxe L. Olivier des fins de la poursuite (...).

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.