2. Le cybercontexteLe cybercontexte
Porosité entre ces 3 concepts
Cyberdéfense Domaine
Etatique , ANSSI, Livre
blanc 2013
Cybersécurité, Anssi ,
sécurité des SI ,
entreprises
Cybercriminalité
Domaine du
judiciaire
3. Nanterre 22 mai 2015
La cybercriminalité
Aucune définition universelle de la
cybercriminalité n’a été admise
Elle inclut les infractions informatiques
(comme le piratage informatique) et les
infractions dites de contenu. D'une
manière générale, la cybercriminalité est
définie comme l'ensemble des infractions
pénales commises via les réseaux
informatiques.
Tendance aujourd’hui à passer de la
cybercriminalité à la cybersécurité
4. QUELQUES CHIFFRES
Plus d'un milliard de fichiers volés ou compromis en
2014, soit une augmentation de près de 80 % par
rapport à 2013.
Près de 30 % des fraudes déclarées par les sociétés
françaises seraient rattachées à la cybercriminalité.
Près d'un quart des entreprises auraient déjà fait
l'objet d'un vol de données.
5. Cybercriminalité et typesCybercriminalité et types
d’infractionsd’infractions
Infractions pour lesquelles les Technologies
de l’Information et de la Communication
(TIC) sont l’objet même du délit
Infractions pour lesquelles les nouvelles
technologies sont un moyen ou un
support
Les technologies utilisées déterminent les infractions Infractions classiques de droit commun ( crimes et
délits)
Infractions liées à la
télécommunication
Infractions liées à la
téléphonie cellulaire
Infractions
informatiques
Infractions prévues
par le code pénal
Infractions prévues par
des textes spécifiques
(presse)
CODE
PENAL
6. Une délinquance transversale
Une délinquance moins risquée
Anonymat renforcée
Industrialisation des attaques
Abolition des frontières
Enquêtes techniques comportant des éléments
d’extranéité
Nomadisme , convergence numérique augmente
les risques numériques
7. Nanterre 22 mai 2015
Une délinquance complexe diversifiée et organisée
Auteurs isolés
« Mules » , intermédiaires
Réseaux mafieux
Hacktivistes
Cybersoldats
10 JUIN 2013
8. Le cyberconstat
Multiplication des attaques de grande ampleur (Bercy,
Sony, Areva , etc)
Importance de la fraude financière
Fuite d’informations personnelles
Divulgations de données personnelles provenant de
systèmes d’information français compromis
Attaques de skimming avec la vente de cartes de
paiement sur Internet : la copie de pistes
magnétiques ou l’enregistrement de codes avec un
matériel très sophistiqué est de plus en plus
fréquent.
9. Des enjeux financiers et
économiques forts
Cybertraites
Cyberpédopornographie
Cyberblanchiment
Cyberracket d’entreprises
( faux ordres de virement et cartes prépayées)
Nanterre 22 mai 2015
11. Près de 20.000 sites français ont subi des attaques
les cinq derniers jours. Une opération orchestrée
pardes groupuscules de hackers rassemblant des
musulmans modérés comme des intégristes, dont
la communication est la première arme.
Nanterre 22 mai 2015
12. Transfert de l’apologie du terrorisme dans le code pénal
L'apologie du terrorisme consiste à présenter ou commenter
favorablement des actes terroristes déjà commis. Par exemple,
si une personne approuve un attentat.
L'apologie se distingue de la négation. La négation d'actes
terroristes est lorsqu'une personne nie totalement ou
partiellement ces actes sans les approuver directement. Si elle
invoque un complot par exemple.
Pour être punie, l'apologie doit avoir été faite publiquement. Le
caractère public des propos s'apprécie de la même manière
que pour l'injure ou ladiffamation. Ainsi, des propos tenus sur
un réseau social ouvert au public peuvent être réprimé
14. Monnaies virtuelles et
cyber
Ces transferts d’argent directement entre usagers d’une même
monnaie électronique sont, par nature, insaisissables car ils se
situent en dehors du système financier classique.
Les Etat n’ont pas d’autorité sur ces flux de monnaies transitant
par les réseaux informatiques. Afin de limiter les possibilités
d’un usage frauduleux, un plafond de transaction relativement
bas est habituellement imposé.
Cependant, certains créateurs de monnaies virtuelles ont décidé
de
ne soumettre leur clientèle à aucune limite et, en complément, de
leur garantir un anonymat total, ce qui a forcément attiré la
criminalité organisée.Nanterre 22 mai 2015
10 JUIN 2013
18. Trading haute fréquence
Le trading à haute fréquence représente tout de
même la moitié des échanges avec donc des
risques non négligeables de manipulation du
marché. Plus qu'un risque, c'est même l'objectif
du trading à haute fréquence. 90% des ordres
donnés sont annulés avant même d'avoir été
exécutés.
risques de manipulation de cours
Délit d’initié
19. Cyberproblématiques
juridiques
Adapter l’arsenal juridique à l’environnement
numérique
Le droit face à une nébuleuse et des nuages
( données numérique dans le Cloud)
L’adaptation des procédures face à la masse de
données
La preuve numérique , question fondamentale:
sécuriser les procédures
20. N
Principales lois de 2000 à 2015
Loi du 1er aout 2OOO et du 15 novembre 2001(LSQ) : principe de
conservation des données et durée
Loi du 29.08.2002 (LOPSI)
Loi du 18 .O3.2003
Loi du 21/06/2004 (LCEN): création d’un droit de l’Internet
Loi du 9 mars 2004 portant adaptation de la justice aux évolutions
de la criminalité
Loi du 26 /1/2006 sur la lutte contre le terrorisme
Loi du 5 /3/2007 sur la prévention de la délinquance
La loi Hadopi ou loi Création et Internet, ou plus formellement : « Loi
n°2009-669 du 12 juin 2009 favorisant la diffusion et la protection
de la création sur internet »
Loi du 12/5/2010 sur les jeux en ligne
Loi du 14 mars 2011 LOPPSI 2
Loi du 13 novembre 2014
Etc etc
1
22. Qualification juridique des
faits
accès frauduleux dans un STAD (art. 321-1 du Code pénal) ;
maintien frauduleux dans un STAD (art. 321-1 du Code pénal) ;
introduction frauduleuse de données dans un STAD (art. 323-3 du Code
pénal) ;
extraction, détention, reproduction ou transmission de données dans
un STAD (art. 323-3 du Code pénal, modifié par la loi n°2014-1353
du 13 novembre 2014, renforçant les dispositions relatives à la lutte
contre le terrorisme) ;
détention de programmes informatiques conçus ou spécialement
adaptés pour commettre une ou plusieurs des infractions (art. 323-
3-1 du Code pénal) ;
association de malfaiteurs informatiques (art. 323-4 du Code pénal) ;
usurpation d’identité numérique (art. 226-4-1 du Code pénal) ;
escroquerie (art. 313-1 et 313-3 du Code pénal) ;
vol d’informations (art. 311-1 du Code pénal).
23. Nanterre 22 mai 2015
Présentation des types d’infractions
-Collecte de données à l’insu
des personnes
-Spamming
-Phishing / Pharming
-Usurpation d’identité / de
titreInfractions
traditionnelles:
-Vol
- Escroquerie
-Abus de confiance
-Atteintes aux systèmes (cf.
accès et maintien frauduleux
dans un STAD; déni de service)
-Atteintes aux données (cf. accès
et maintien frauduleux dans un
STAD avec influence sur les
données; défacement de sites)
Diffusion de contenus
illicites:
-Diffamation et atteinte à l’e-
réputation
-Incitation à la haine raciale
-Pédopornographie
-Contrefaçon de marques
-Contrefaçon d’œuvres
-Liens commerciaux et
cybersquatting
- Usurpation
d’identité en
ligne
24. Cyberattaque : un acte terroriste?
article 421-1
Modifié par LOI n°2011-266 du 14 mars 2011 - art. 18
Constituent des actes de terrorisme, lorsqu'elles sont intentionnellement
en relation avec une entreprise individuelle ou collective ayant pour
but de troubler gravement l'ordre public par l'intimidation ou la
terreur, les infractions suivantes :
1° Les atteintes volontaires à la vie, les atteintes volontaires à l'intégrité
de la personne, l'enlèvement et la séquestration ainsi que le
détournement d'aéronef, de navire ou de tout autre moyen de
transport, définis par le livre II du présent code ;
2° Les vols, les extorsions, les destructions, dégradations et
détériorations, ainsi que les infractions en matière informatique
définis par le livre III du présent code ;
3° Les infractions en matière de groupes de combat et de mouvements
dissous définies par les articles 431-13 à 431-17 et les infractions
définies par les articles 434-6 et 441-2 à 441-5 ;
Nanterre 22 mai 2015
25. QPC rejetée : la loi Godfrain est claire et
précise
Dans une décision du 10 avril 2013, la Cour de
cassation a dit n’y avoir pas lieu de renvoyer au
Conseil constitutionnel la question prioritaire de
constitutionnalité posée sur l’article 323-3 du code
pénal.
Dans le cadre d’une affaire de fraude informatique, un
prévenu qui avait été condamné à deux mois de
prison avec sursis avait posé une QPC incidente
sur les infractions d’introduction et de modification
frauduleuses de données dans un système de
traitement automatiséNanterre 22 mai 2015
10 JUIN 2013
26. les réponses pénales : les infractionsles réponses pénales : les infractions
Les accès et maintien frauduleux dans un STAD, entrave,
entente en vue de 323-1 ss CP
Collecte illégale de données à caractère personnel et
divulgations le détournement de finalité de fichier 226-17
et ss CP
Contrefaçon de bases de données L 341-1 et L 343-4 du CPI
Escroquerie et Faux et usage de faux 313-1 et 441-1 ss CP
La fraude à la carte bancaire L163-4 du code monétaire et
financier
L’usurpation d’identité en ligne 226-4-1 CP
Le blanchiment 324-1 CP
27. La répression de vol
d’éléments immatériels
l’article 323-3 du Code pénal par l’ajout de
l’incise : « d’extraire, de détenir, de reproduire,
de transmettre ». Il s’ensuit que le texte réprime
désormais toute introduction, modification ou
suppression frauduleuse de données d’un
système automatisé de traitement (STAD), et
prévoit la sanction tant de l’appropriation que
de l’usage du contenu.
28. La loi du 13 novembre
2014
La création d'une circonstance aggravante du piratage informatique commis
en bande organisée au préjudice de l'État
L'article 323-4-1 du code pénal est un nouveau cas de figure de l'extension
de la circonstance aggravante de bande organisée, aux atteintes aux
systèmes de traitement automatisé de données (STAD) à caractère
personnel mis en oeuvre par l'État.
Le texte ne présente aucun rattachement à la circonstance terroriste, même
si l'idée de combattre le « cyberterrorisme » est prégnante dans les
travaux parlementaires.
L'objectif de ce texte est de permette aux enquêteurs l'utilisation de moyens
spéciaux d'investigation. En effet, comme le souligne le rapport de la
commission du Sénat : « la justification première de cette modification
est [...] moins de créer une nouvelle circonstance aggravante que de
permettre l'application des procédures applicables en matière de
criminalité organisée »(16). Le législateur a néanmoins préféré ne pas
inclure ces nouvelles infractions aggravées dans la liste de l'article 706-
73 du code de procédure pénale afin de ne pas les soumettre à
l'ensemble du régime applicable à la criminalité organisée
29. La généralisation de l'enquête sous
pseudonyme à la délinquance et la
criminalité organisées.
Le nouvel article 706-87-1 du code de procédure pénale consacre
la généralisation de l'enquête sous pseudonyme à l'ensemble
des infractions de criminalité organisée et aux nouveaux délits
aggravés de l'article 323-4-1 du code pénal, lorsque ces
infractions sont commises par un moyen de communication
électronique. C'est un autre exemple de digression de la loi
hors son champ initial qui, d'ailleurs, n'a pas échappé aux
sénateurs : « sans doute, l'extension du procédé de
cybersurveillance à l'ensemble des délits et des crimes
relevant de la criminalité organisée dépasse en partie l'objet du
texte, dans la mesure où le terrorisme ne représente qu'une
partie de ces délits et de ces crimes
30. Dispositions relatives à la procédure pénale de droit commun
Captation de contenu informatique : l’article 57-1 CPP prévoyait
déjà la possibilité pour les officiers de police judiciaire, au
cours d'une perquisition effectuée dans les conditions de
l’enquête de droit commun, d’accéder par un système
informatique implanté sur les lieux où se déroule la
perquisition, à des données intéressant l'enquête en cours, dès
lors que ces données sont accessibles à partir du système
initial ou disponibles pour le système initial. La loi du 13
novembre 2014 offre aux enquêteurs une nouvelle possibilité
d’accéder à un contenu
informatique.
31. Captation de données
un nouvel alinéa inséré à l’article 57-1 CPP
prévoit désormais qu’ils « peuvent également, dans les conditions de
perquisition prévues au présent code, accéder par un système informatique
implanté dans les locaux d'un service ou d'une unité de police ou
de gendarmerie à des données intéressant l'enquête en cours et stockées
dans un autre système informatique, si ces données sont accessibles
à partir du système initial. » Le texte précise en outre que « les officiers de police judiciaire
peuvent, par tout moyen, requérir toute personne
susceptible : 1) d'avoir connaissance des mesures appliquées
pour protéger les données auxquelles il est permis d'accéder
Nanterre 22 mai 2015
32. Institution d’une procédure pénale dérogatoire en matière d’atteintes
aux systèmes de traitement automatisé de données : la loi
du 13 novembre 2014 institue, à l’article 706-72 CPP, une procédure
pénale applicable à l’infraction d’atteinte aux systèmes de traitement
automatisé de données commise en bande organisée et à l'encontre
d'un système de traitement automatisé de données à caractère personnel
mis en œuvre par l'État, prévue à l’article 323-4-1 CP. Le législateur
prévoit en effet que plusieurs des mesures dérogatoires applicables en
matière de criminalité et de délinquance organisées sont désormais
applicables à l’infraction mentionnée : opérations de surveillance, d’infiltration ,enquête sous pseudonyme,
écoutes téléphoniques, sonorisations et fixations d’images, captation de données informatiques et
mesures conservatoires.
Nanterre 22 mai 2015
33. Pas d’accès frauduleux
Le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé
à l’extranet d’une agence nationale et y avait récupéré des
documents dont l’accès n’était pas sécurisé. En effet, le Tribunal a
retenu que « m ê m e s’iln’e st pas né ce ssaire po ur q ue l’infractio n
e xiste q ue l’accè s so it lim ité par un dispo sitif de pro te ctio n,
le m aître du systè m e , (… ), e n ra iso n de la dé faillance te chniq ue , n’a
pas m anife sté claire m e nt l’inte ntio n de re stre indre l’accè s aux
do nné e s ré cupé ré e s (… ) aux se ule s pe rso nne s auto risé e s ». Le
prévenu a donc pu légitimement penser que les données qu’il a
récupérées étaient en libre accès et qu’il pouvait parfaitement se
maintenir dans le système. Le Tribunal retient également que le fait
d’avoir téléchargé et enregistré des fichiers informatiques sur
plusieurs supports ne constituait pas une soustraction frauduleuse
de la chose d’autrui, ces données étant restées disponibles et
accessibles à tous sur le serveur.
Jugement du 23/4/2013 sur Legalis.net.
10 JUIN 2013
34. Contrefaçon de logiciel
Skype
La décompilation d’un logiciel, quand elle n’est
pas réalisée dans le cadre et les limites très
stricts posés par la loi, est une contrefaçon. La
Cour d’appel de Caen dans un arrêt rendu le
18 mars 2015, a fait application de ce principe
en condamnant l’auteur de la décompilation
et de la publication du code source du logiciel
Skype.
35. Abus de confiance
Constitue un abus de confiance le fait, pourun salarié,
d'utiliser, au mépris de son mandat et au-delà de la
limite autorisée, les moyens techniques qui lui étaient
confiés.
cass. crim., 19 mars 2014, n° 12-87.416, FP-P+B+R+I :
JurisDatan° 2014-004705 ; V. aussi Dr.pén. 2014,
repère5 et comm. 79
Un arrêt de la Cour de cassation du 22 octobre 2014
confirme la condamnation pénale d’un salarié
ayant détourné à des fins personnelles des milliers
de fichiers confidentiels. Si le droit pénal participe
à la protection du patrimoine immatériel des
entreprises, l’adoption d’une charte informatique
est fortement conseillée.
36. Affaire Kerviel
le « trader » a été condamné par la cour d'appel de Paris pour
trois infractions : abus de confiance, introduction frauduleuse
de données dans un système de traitement automatisé et faux
et usage. Le pourvoi formé contre sa décision contestait ces
trois condamnations par trois moyens très longuement motivés
reprenant assez largement le contenu de la décision de la cour
d'appel pour en contester le résultat. La chambre criminelle
rejette le pourvoi sur ces trois points en invoquant
succinctement l'appréciation souveraine des juges du fond sur
les éléments de preuve qui leur étaient soumis.
37. Usurpation d’identité et introduction
frauduleuse de données
TGI de Paris , 13ème chambre , 18/12/2014
( Légalis.net) , affaire du « faux site « de
Rachida Dati
226-4-1 du CP
323-3 du CP
38. Recherche sur Google et faille de sécurité : maintien frauduleux et v
d’informations
arrêt du 20 mai 2015, la Cour de cassation confirme
le raisonnement de la cour d’appel de Paris qui
avait condamné pour maintien frauduleux et vol
l’internaute qui, via une recherche complexe sur
Google, avait découvert des documents
confidentiels sur un extranet et les avait
communiqués à un tiers. Pour la Cour, celui qui
avait pris Bluetouff comme pseudo « s’est
maintenu dans un système de traitement
automatisé après avoir découvert que celui-ci
était protégé et a soustrait des données qu’il a
utilisées sans le consentement de leur
propriétaire ». Elle a donc estimé que la cour
d’appel, qui a caractérisé les délits en tous leurs
éléments, a justifié sa décision.
39. Loyauté de la preuve
Écoutes téléphoniques et respect du principe de
loyauté
Les renseignements recueillis à l’occasion d’écoutes
téléphoniques sont réguliers dès lors qu’ils ont été
obtenus sans actes positifs de l’autorité publique
susceptibles de caractériserun stratagème
constituant un procédé déloyal.
Crim. 14 avr. 2015, F-P+B, n° 14-87.914
Crim. 14 avr. 2015, FS-P+B, n° 14-88.515
40. Politique en matière de
contrefaçon
Seules les voies judiciaires classiques devaient être utilisées par les ayants droit à la suite de la découverte d'une contrefaçon sur le
réseau Internet, que ce principe ne devait pas connaître d'aménagements dès lors que le contenu illicite en cause réapparaîtrait
sur le réseau (après avoir déjà entraîné une première condamnation des responsables). Il n'est donc pas envisagé de créer une
autorité administrative indépendante qui aurait pour mission de suivre dans le temps l'exécution des décisions de justice en ce
domaine et de mettre un terme à la pratique des sites dits miroirs. Ce suivi quant à l'effectivité du prononcé de mesures de
blocage devrait, pour Madame la ministre, être suffisamment garanti par le recours aux procédures de référé prévues par le
Code de procédure civile.
Madame la ministre a annoncé que le suivi des signalements sur la plateforme PHAROS (Plateforme d'harmonisation, d'analyse, de
recoupement, et d'orientation des signalements) serait renforcé à l'avenir (https : //www. Inte rne t-s ig nale m e nt. g o uv. fr). Cette
plateforme est intégrée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la
communication. Le signalement effectué par l'internaute (qui peut rester anonyme) a pour effet de déclencher une enquête. En
pratique, en cliquant sur un bouton « SIGNALER » il est possible à l'internaute de faire connaître le caractère illicite de certains
contenus ou comportements observés sur la toile. Il faut que ce soit un contenu public de l'Internet, c'est-à-dire auquel tout
internaute peut accéder, depuis un site Internet, un blog ou même un forum. Il est précisé que les signalements mensongers
pourront faire l'objet de sanctions ultérieures.
Min. Culture et Communication, communiqué, 11 mars 2015, Stratégie du Gouvernement concernant la lutte contre le piratage des
oeuvres sur Internet : http://www.gouvernement.fr/ministre/fleur-pellerin
41. Contrefaçon retenue pour la décompilation illicite d’un logiciel Skype
La décompilation d’un logiciel doit strictement se limiter aux fins
d’interopérabilité, faute de quoi elle constitue un acte de
contrefaçon. CA Caen, ch. corr., 18 mars 2015, S.O. c/ Skype
Ltd et Skype Software SARL, En l’espèce, le prévenu avait
réussi à décompiler les codes sources du logiciel Skype qu’il
avait par la suite publiés sur un blog dans un article appelé
« Skype’s biggest secret revealed ». Il y affirmait avoir trouvé
« l’algorythme Skype d’expansion de clé de cryptage RC4,
traduit en langage informatique C et pleinement réutilisable »
et le rendait disponible au public en renvoyant vers un lien
contenant la décompilation.
42. Transfert de l’apologie du terrorisme dans le code pénal
L'apologie du terrorisme consiste à présenter ou commenter
favorablement des actes terroristes déjà commis. Par exemple,
si une personne approuve un attentat.
L'apologie se distingue de la négation. La négation d'actes
terroristes est lorsqu'une personne nie totalement ou
partiellement ces actes sans les approuver directement. Si elle
invoque un complot par exemple.
Pour être punie, l'apologie doit avoir été faite publiquement. Le
caractère public des propos s'apprécie de la même manière
que pour l'injure ou ladiffamation. Ainsi, des propos tenus sur
un réseau social ouvert au public peuvent être réprimé
Nanterre 22 mai 2015
43. La provocation au terrorisme est une incitation directe à commettre des
actes terroristes matériellement déterminés. Par exemple, viser tel
lieu ou telle personnalité. Par le contexte, la volonté de leur auteur et
les termes choisis, de tels propos visent à convaincre d'autres
personnes de commettre de tels actes. Il s'agit d'une incitation à
commettre des actes dans le futur et non d'une approbation d'actes
déjà commis.
Il n'est pas nécessaire que de tels propos aient été tenus devant un
large public. Des propos lisibles par quelques amis sur un réseau
social ou prononcés lors d'une réunion privée peuvent être réprimés.
44. Cyberattaques
Tentative d’atteinte à des systèmes informatiques
réalisée dans un but malveillant.
Objectif :vol de données (secrets militaires,
diplomatiques ou industriels, données
personnelles, bancaires, etc.), de détruire,
endommager ou altérerle fonctionnement
normal de dispositifs informatiques, de prendre
le contrôle de processus informatiques, ou de
tromperles dispositifs d’authentification pour
effectuerdes opérations illégitimes.
Elles peuvent constituer des infractions pénales
donc la justice est concernée
45. Cyberterrorisme
Recrutement , propagande , formation
Vendredi 24 mai, Manuel Valls faisait part de la "nécessité d'une action internationale de très haut
niveau" dans la lutte contre le terrorisme sur Internet. "La Direction centrale du renseignement
intérieur aura des moyens supplémentaires pour agir [...]
Le renseignement doit s'adapter à un terrorisme qui évolue très rapidement" a ajouté le ministre de
l'Intérieur.
En savoir plus sur
http://www.lexpress.fr/actualite/monde/cyberterrorisme-l-etat-va-toujours-plus-lentement-que-les-terroristes_1250707.html#5K08A
Nanterre 22 mai 2015
47. Monnaies virtuelles et
cyber
Ces transferts d’argent directement entre usagers d’une même
monnaie électronique sont, par nature, insaisissables car ils se
situent en dehors du système financier classique.
Les Etat n’ont pas d’autorité sur ces flux de monnaies transitant
par les réseaux informatiques. Afin de limiter les possibilités
d’un usage frauduleux, un plafond de transaction relativement
bas est habituellement imposé.
Cependant, certains créateurs de monnaies virtuelles ont décidé
de
ne soumettre leur clientèle à aucune limite et, en complément, de
leur garantir un anonymat total, ce qui a forcément attiré la
criminalité organisée.Nanterre 22 mai 2015
10 JUIN 2013
50. Crise et cyberéconomie
le coût lié aux violations des données pour les
entreprises françaises serait en hausse de 11% par
rapport à 2012. Cela représenterait un montant
particulièrement conséquent de 2,86 millions
d’euros par incident contre 2,55 millions d’euros en
2011 selon le rapport.
Nanterre 22 mai 2015
52. Nouveaux usages , nouvelles cybercibles
Hausse du e- commerce
Convergence numérique
Développement de l’usage des réseaux sociaux
Explosion des appareils mobiles se connectant
aux réseaux d'entreprise multipliant les risques
de perte de données et rend la gestion de la
sécurité beaucoup plus compexe.
53. Cyberproblématiques
juridiques
Adapter l’arsenal juridique à l’environnement
numérique
Le droit face à une nébuleuse et des nuages
( données numérique dans le Cloud)
L’adaptation des procédures face à la masse de
données
La preuve numérique , question fondamentale:
sécuriser les procédures
Nanterre 22 mai 2015
54. Nanterre 22 mai 2015
Principales lois de 2000 à 2015
Loi du 1er aout 2OOO et du 15 novembre 2001(LSQ) : principe de
conservation des données et durée
Loi du 29.08.2002 (LOPSI)
Loi du 18 .O3.2003
Loi du 21/06/2004 (LCEN): création d’un droit de l’Internet
Loi du 9 mars 2004 portant adaptation de la justice aux évolutions
de la criminalité
Loi du 26 /1/2006 sur la lutte contre le terrorisme
Loi du 5 /3/2007 sur la prévention de la délinquance
La loi Hadopi ou loi Création et Internet, ou plus formellement : « Loi
n°2009-669 du 12 juin 2009 favorisant la diffusion et la protection
de la création sur internet »
Loi du 12/5/2010 sur les jeux en ligne
Loi du 14 mars 2011 LOPPSI 2
Loi du 13 novembre 2014
Etc etc
1
55. Responsabilité des
hébergeurs
L'hébergeur assure, à titre gratuit ou payant, le
stockage de tout contenu (un blog, une vidéo...)
pour le mettre à disposition du public via internet.
Ce n'est qu'un intermédiaire technique et il ne
choisit pas de mettre en ligne tel ou tel contenu. Il
n'a pas la connaissance, ni le contrôle des contenus
stockés. Et ce, même si son logo figure sur la page
web où se trouve le contenu (dans le cas d'une
vidéo par exemple).
Un réseau social, parce qu'il stocke des textes, des
images ou des vidéos, peut être considéré comme
un hébergeur.
Nanterre 22 mai 2015
56. L'hébergeur ne peut être tenu comme responsable des contenus stockés,
uniquement si :
il a eu connaissance de l'existence de ces contenus,
ces contenus présentent un caractère manifestement illicite, c'est-à-dire
constituant une violation évidente d'une règle de droit,et s'il n'a pas agi
promptement pour retirer ces contenus dès qu'il en a eu
connaissance.Les hébergeurs ne sont pas soumis à une obligation
générale de surveiller les contenus stockés. Ils ne doivent agir que
lorsqu'on leur signale tel ou tel contenu précis.
Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique : article 6 :
Responsabilité des hébergeurs
Loi n°82-652 du 29 juillet 1982 sur la communication audiovisuelle : article 93-3 :
Nanterre 22 mai 2015
57. PLATEFORMES
Créer une nouvelle catégorie juridique pour les «
plateformes » (distincte à la fois des éditeurs et des
hébergeurs) qui proposent des services de
classement ou de référencement de contenus,
biens ou services mis en ligne par des tiers ; les
soumettre à une obligation de loyauté envers leurs
utilisateurs (les non professionnels dans le cadre
du droit de la consommation et les professionnels
dans le cadre du droit de la concurrence).
Etude annuelle du Conseil d’Etat 2014
59. Cyberattaque : un acte terroriste?
article 421-1
Modifié par LOI n°2011-266 du 14 mars 2011 - art. 18
Constituent des actes de terrorisme, lorsqu'elles sont intentionnellement
en relation avec une entreprise individuelle ou collective ayant pour
but de troubler gravement l'ordre public par l'intimidation ou la
terreur, les infractions suivantes :
1° Les atteintes volontaires à la vie, les atteintes volontaires à l'intégrité
de la personne, l'enlèvement et la séquestration ainsi que le
détournement d'aéronef, de navire ou de tout autre moyen de
transport, définis par le livre II du présent code ;
2° Les vols, les extorsions, les destructions, dégradations et
détériorations, ainsi que les infractions en matière informatique
définis par le livre III du présent code ;
3° Les infractions en matière de groupes de combat et de mouvements
dissous définies par les articles 431-13 à 431-17 et les infractions
définies par les articles 434-6 et 441-2 à 441-5 ;
Nanterre 22 mai 2015
60. Article 411- 9 du Code
pénal
Le fait de détruire, détériorer ou détourner tout
document, matériel, construction, équipement,
installation, appareil, dispositif technique ou
système de traitement automatisé d'informations ou
d'y apporter des malfaçons, lorsque ce fait est de
nature à porter atteinte aux intérêts fondamentaux
de la nation, est puni de quinze ans de détention
criminelle et de 225 000 euros d'amende.
Lorsqu'il est commis dans le but de servir les intérêts
d'une puissance étrangère, d'une entreprise ou
organisation étrangère ou sous contrôle étranger, le
même fait est puni de vingt ans de détention
criminelle et de 300 000 euros d'amende.
Nanterre 22 mai 2015
61. Selon la règle 11 du manuel, "une cyber-opération
constitue un emploi de la force lorsque sa dimension
et ses effets sont comparables aux opérations non
cyber atteignant le seuil de l’emploi de la force". Le
manuel se réfère aux critères de la dimension et des
effets constitutifs d’une agression armée prohibée en
droit international énoncés dans l’arrêt
Affaire de s activité s m ilitaire s e t param ilitaire s au Nicarag ua
de la Cour International de Justice de 1986.
Nanterre 22 mai 2015
62. Droit pénal , social , commercial , civil, tous cyberconcernés
Un exemple récent :
Dans un arrêt du 16 mai 2013, la Cour de cassation a considéré qu’une boîte de courriers
électroniques ne comportant pas le nom de l’entreprise, utilisée à la fois pour un usage
professionnel et personnel, est présumée professionnelle, dès lors qu’elle est mise à
disposition par l’employeur.
En conséquence, a-t-elle rappelé, les messages non identifiés comme personnels peuvent être
ouverts par l’employeur en dehors de la présence du salarié. Elle casse et annule la
décision de la cour d’appel de Pau qui avait considéré que le constat d’huissier portant sur
la messagerie d’un salarié en son absence était une preuve illicite.
Dans le cadre d’une affaire de détournement de clientèle et de concurrence déloyale, la
société La Metallerie qui avait des soupçons sur son ex-technico-commercial avait fait
réaliser un constat d’huissier de sa boîte emails, pendant sa période de préavis. L’adresse
électronique ne comportait pas le nom de la société mais les nom et prénom du salarié suivi
de @orange.fr. Elle était consultable depuis la page d’accueil du site de l’entreprise sur
laquelle figurait une icône au nom de l’employé.
Nanterre 22 mai 2015
10 JUIN 2013
63. QPC rejetée : la loi Godfrain est claire et
précise
Dans une décision du 10 avril 2013, la Cour de
cassation a dit n’y avoir pas lieu de renvoyer au
Conseil constitutionnel la question prioritaire de
constitutionnalité posée sur l’article 323-3 du code
pénal.
Dans le cadre d’une affaire de fraude informatique, un
prévenu qui avait été condamné à deux mois de
prison avec sursis avait posé une QPC incidente
sur les infractions d’introduction et de modification
frauduleuses de données dans un système de
traitement automatiséNanterre 22 mai 2015
10 JUIN 2013
64. Droit matériel
Les infractions
Les circonstances aggravantes
Nanterre 22 mai 2015
65. Nanterre 22 mai 2015
les réponses pénales : les infractionsles réponses pénales : les infractions
Les accès et maintien frauduleux dans un STAD, entrave,
entente en vue de 323-1 ss CP
Collecte illégale de données à caractère personnel et
divulgations le détournement de finalité de fichier 226-17
et ss CP
Contrefaçon de bases de données L 341-1 et L 343-4 du CPI
Escroquerie et Faux et usage de faux 313-1 et 441-1 ss CP
La fraude à la carte bancaire L163-4 du code monétaire et
financier
L’usurpation d’identité en ligne 226-4-1 CP
Le blanchiment 324-1 CP
66. Publics concernés : administrations, opérateurs de communications électroniques et personnes mentionnées à
l’article L. 34-1 du code des postes et des communications électroniques, personnes mentionnées aux 1 et 2 du I de
l’article 6 de la loi no 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
Objet : procédure applicable à l’accès, au titre de la sécurité nationale, de la sauvegarde des éléments essentiels
du potentiel scientifique et économique de la France ou de la prévention du terrorisme, de la criminalité et de la
délinquance organisées et de la reconstitution ou du maintien de groupements dissous, aux données de connexion
détenues par les opérateurs de télécommunications électroniques.
Entrée en vigueur : le texte entre en vigueur le 1er janvier 2015.
Nanterre 22 mai 2015
67. Notice : le décret crée un chapitre intitulé « Accès administratif aux données de connexion » au
titre IV du livre II de la partie réglementaire du code de la sécurité intérieure. Il définit les
données de connexion pouvant être recueillies et dresse la liste des services dont les
agents individuellement désignés et dûment habilités peuvent
demander à accéder
Les agents ainsi que celles de désignation de la personnalité qualifiée placée auprès du Premier
ministre à laquelle sont soumises les demandes d’accès en temps différé. Il précise
également les modalités de présentation des demandes d’accès en temps différé comme en
temps réel, de conservation de ces demandes ainsi que de décision.
En cas de décision favorable, il prévoit les conditions de transmission et de conservation des
données recueillies. Il fixe les modalités de sécurité ainsi que celles du suivi général et du
contrôle du dispositif par la commission. Enfin, l’indemnisation des coûts supportés par les
opérateurs de communications électroniques, les fournisseurs d’accès à Internet et les
hébergeurs lors de la mise en œuvre de la procédure est prévue. Le décret se substitue, en
s’en inspirant, aux dispositions jusqu’alors prévues aux articles R. 10-15 à R. 10-21 du code
des postes et des communications électroniques et à celles du chapitre II du décret no
2011-219 du 25 février 2011.
Nanterre 22 mai 2015
68. La loi du 13 novembre
2014
La création d'une circonstance aggravante du piratage informatique commis en bande organisée
au préjudice de l'État
L'article 323-4-1 du code pénal est un nouveau cas de figure de l'extension de la circonstance
aggravante de bande organisée, aux atteintes aux systèmes de traitement automatisé de
données (STAD) à caractère personnel mis en oeuvre par l'État.
Le texte ne présente aucun rattachement à la circonstance terroriste, même si l'idée de
combattre le « cyberterrorisme » est prégnante dans les travaux parlementaires.
L'objectif de ce texte est de permette aux enquêteurs l'utilisation de moyens spéciaux
d'investigation. En effet, comme le souligne le rapport de la commission du Sénat : « la
justification première de cette modification est [...] moins de créer une nouvelle circonstance
aggravante que de permettre l'application des procédures applicables en matière de criminalité
organisée »(16). Le législateur a néanmoins préféré ne pas inclure ces nouvelles infractions
aggravées dans la liste de l'article 706-73 du code de procédure pénale afin de ne pas les
soumettre à l'ensemble du régime applicable à la criminalité organisée
Nanterre 22 mai 2015
69. La généralisation de l'enquête sous
pseudonyme à la délinquance et la
criminalité organisées.
Le nouvel article 706-87-1 du code de procédure pénale consacre
la généralisation de l'enquête sous pseudonyme à l'ensemble
des infractions de criminalité organisée et aux nouveaux délits
aggravés de l'article 323-4-1 du code pénal, lorsque ces
infractions sont commises par un moyen de communication
électronique. C'est un autre exemple de digression de la loi
hors son champ initial qui, d'ailleurs, n'a pas échappé aux
sénateurs : « sans doute, l'extension du procédé de
cybersurveillance à l'ensemble des délits et des crimes
relevant de la criminalité organisée dépasse en partie l'objet du
texte, dans la mesure où le terrorisme ne représente qu'une
partie de ces délits et de ces crimesNanterre 22 mai 2015
70. Dispositions relatives à la procédure pénale de droit commun
Captation de contenu informatique : l’article 57-1 CPP prévoyait
déjà la possibilité pour les officiers de police judiciaire, au
cours d'une perquisition effectuée dans les conditions de
l’enquête de droit commun, d’accéder par un système
informatique implanté sur les lieux où se déroule la
perquisition, à des données intéressant l'enquête en cours, dès
lors que ces données sont accessibles à partir du système
initial ou disponibles pour le système initial. La loi du 13
novembre 2014 offre aux enquêteurs une nouvelle possibilité
d’accéder à un contenu
informatique.
71. Captation de données
un nouvel alinéa inséré à l’article 57-1 CPP
prévoit désormais qu’ils « peuvent également, dans les conditions de
perquisition prévues au présent code, accéder par un système
informatique implanté dans les locaux d'un service ou d'une unité de
police ou
de gendarmerie à des données intéressant l'enquête en cours et stockées
dans un autre système informatique, si ces données sont accessibles à
partir du système initial. » Le texte précise en outre que « les officiers de
police judiciaire peuvent, par tout moyen, requérir toute personne
susceptible : 1) d'avoir connaissance des mesures appliquées pour
protéger les données auxquelles il est permis d'accéder
73. Affaire Mathieu S / Twitter : Usurpation d’identité, publication
sur le réseau social et compétence territoriale
Parune ordonnance rendue le 4 avril 2013, le juge des référés du
Tribunal de grande instance de Paris a condamné la société Twitter
à communiquerà la victime d’une usurpation de son identité
l’ensemble des éléments d’identification de l‘auteurdu faux profil.
En l‘espèce, le demandeura découvert qu’un profil avait été créé avec
son nomsurle réseau social Twitter. I
il a saisi la juridiction des référés pourque soit supprimé ce faux profil
et qu’il lui soit communiqué tous les éléments d’identification de
l’auteur.
http://www.village-justice.com/articles/Affaire-Mathieu-TWITTER-Usurpation,14594.html#2
Nanterre 22 mai 2015
10 JUIN 2013
74. Pas d’accès frauduleux
Le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé à
l’extranet d’une agence nationale et y avait récupéré des documents dont
l’accès n’était pas sécurisé. En effet, le Tribunal a retenu que « m ê m e s’il
n’e st pas né ce ssaire po ur q ue l’infractio n e xiste q ue l’accè s so it lim ité par un
dispo sitif de pro te ctio n, le m aître du systè m e , (… ), e n raiso n de la dé faillance
te chniq ue , n’a pas m anife sté claire m e nt l’inte ntio n de re stre indre l’accè s aux
do nné e s ré cupé ré e s (… ) aux se ule s pe rso nne s auto risé e s ». Le prévenu a
donc pu légitimement penser que les données qu’il a récupérées étaient en
libre accès et qu’il pouvait parfaitement se maintenir dans le système. Le
Tribunal retient également que le fait d’avoir téléchargé et enregistré des
fichiers informatiques sur plusieurs supports ne constituait pas une
soustraction frauduleuse de la chose d’autrui, ces données étant restées
disponibles et accessibles à tous sur le serveur.
Jugement du 23/4/2013 sur Legalis.net.
Nanterre 22 mai 2015
75. Jurisprudences: abus de
confiance
Constitue un abus de confiance le fait, pourun
salarié, d'utiliser, au mépris de son mandat et au-
delà de la limite autorisée, les moyens techniques
qui lui étaient confiés.
cass. crim., 19 mars 2014, n° 12-87.416, FP-
P+B+R+I : JurisData n° 2014-004705 ; V. aussi
Dr. pén. 2014, repère 5 et comm. 79
76. Affaire Kerviel
le « trader » a été condamné par la cour d'appel de Paris pour
trois infractions : abus de confiance, introduction frauduleuse
de données dans un système de traitement automatisé et faux
et usage. Le pourvoi formé contre sa décision contestait ces
trois condamnations par trois moyens très longuement motivés
reprenant assez largement le contenu de la décision de la cour
d'appel pour en contester le résultat. La chambre criminelle
rejette le pourvoi sur ces trois points en invoquant
succinctement l'appréciation souveraine des juges du fond sur
les éléments de preuve qui leur étaient soumis.
Nanterre 22 mai 2015
77. Usurpation d’identité et introduction
frauduleuse de données
TGI de Paris , 13ème chambre , 18/12/2014
( Légalis.net) , affaire du « faux site « de
Rachida Dati
226-4-1 du CP
323-3 du CP
78. Loyauté de la preuve
Écoutes téléphoniques et respect du principe de
loyauté
Les renseignements recueillis à l’occasion d’écoutes
téléphoniques sont réguliers dès lors qu’ils ont été
obtenus sans actes positifs de l’autorité publique
susceptibles de caractériserun stratagème
constituant un procédé déloyal.
Crim. 14 avr. 2015, F-P+B, n° 14-87.914
Crim. 14 avr. 2015, FS-P+B, n° 14-88.515Nanterre 22 mai 2015
79. Politique en matière de
contrefaçon
Seules les voies judiciaires classiques devaient être utilisées par les ayants droit à la suite de la découverte d'une contrefaçon sur le réseau Internet, que ce
principe ne devait pas connaître d'aménagements dès lors que le contenu illicite en cause réapparaîtrait sur le réseau (après avoir déjà entraîné une
première condamnation des responsables). Il n'est donc pas envisagé de créer une autorité administrative indépendante qui aurait pour mission de
suivre dans le temps l'exécution des décisions de justice en ce domaine et de mettre un terme à la pratique des sites dits miroirs. Ce suivi quant à
l'effectivité du prononcé de mesures de blocage devrait, pour Madame la ministre, être suffisamment garanti par le recours aux procédures de référé
prévues par le Code de procédure civile.
Madame la ministre a annoncé que le suivi des signalements sur la plateforme PHAROS (Plateforme d'harmonisation, d'analyse, de recoupement, et
d'orientation des signalements) serait renforcé à l'avenir (https : //www.Inte rne t-sig nale m e nt.g o uv. fr). Cette plateforme est intégrée à l'Office central de
lutte contre la criminalité liée aux technologies de l'information et de la communication. Le signalement effectué par l'internaute (qui peut rester
anonyme) a pour effet de déclencher une enquête. En pratique, en cliquant sur un bouton « SIGNALER » il est possible à l'internaute de faire
connaître le caractère illicite de certains contenus ou comportements observés sur la toile. Il faut que ce soit un contenu public de l'Internet, c'est-à-
dire auquel tout internaute peut accéder, depuis un site Internet, un blog ou même un forum. Il est précisé que les signalements mensongers pourront
faire l'objet de sanctions ultérieures.
Min. Culture et Communication, communiqué, 11 mars 2015, Stratégie du Gouvernement concernant la lutte contre le piratage des oeuvres sur Internet :
http://www.gouvernement.fr/ministre/fleur-pellerin
Nanterre 22 mai 2015
80. Convention du conseil
de l’Europe
La Convention sur la cybercriminalité du Conseil de
l’Europe est le seul instrument international
contraignant concernant la question de
cybercriminalité. Elle sert de lignes directrices pour
tout pays élaborant une législation exhaustive en
matière de cybercriminalité, mais aussi de cadre
pour la coopération internationale contre la
cybercriminalité parmi les Etats Parties.
81. TEXTES Européens
Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les
systèmes d'information et remplaçant la décision-cadre 2005/222/JAI du
Conseil. - L'Union européenne se montre inquiète face au risque
d'attaques terroristes menées sur les réseaux pour déstabiliser un État et
à la sophistication croissante des attaques déjà menées contre les
systèmes d'information (notamment par la mise en oeuvre de réseaux
zombies, qui permettent la prise de contrôle à distance d'un nombre
important d'ordinateurs afin de les activer, à l'insu de leurs utilisateurs,
pour lancer une attaque de grande ampleur). La directive 2013/40/UE
tend à l'harmonisation des législations des États membres s'agissant des
infractions à instituer en la matière, telles que l'accès illégal à un système
d'information, l'atteinte illégale à l'intégrité d'un système, l'atteinte illégale
à l'intégrité des données et l'interception illégale. La directive invite les
États membres à prévoir en la matière des peines d'emprisonnement et /
ou d'amende. La France dispose déjà d'un socle répressif non négligeable
dans les articles 323-1 à 323-7 du Codepénal. Les États membres ont
jusqu'au 4 septembre 2015 pour transposer la directive.
82. La dimension
européenne
En Février 2013, la Commission a adopté une
communication sur la stratégie de la cybersécurité
qui décrit la vision de l'UE sur la façon de
renforcer la sécurité dans le cyberespace et
énonce les mesures à prendre.
Nanterre 22 mai 2015
83. Renforcement contre les
cyberattaques
la Commission a présenté en 2010 une
proposition de directive relative aux attaques visant les systèmes d'
. La principale nouveauté de la proposition est la
criminalisation de l'usage, la production et la vente
d'outils (aujourd'hui surtout connu comme
«botnets») à commettre des attaques contre des
systèmes d'information.
84. La dimension
internationale
La Convention sur la cybercriminalité du Conseil de l’Europe est le
seul instrument international contraignant concernant la
question de cybercriminalité. Elle sert de lignes directrices pour
tout pays élaborant une législation exhaustive en matière de
cybercriminalité, mais aussi de cadre pour la coopération
internationale contre la cybercriminalité parmi les Etats Parties.
La Convention est complétée par le Protocole additionnel
relatif à l'incrimination d'actes de nature raciste et xénophobe
commis par le biais de systèmes informatiques.
85. Procureur financier
Au 25 mars, le PNF était chargé de 236
dossiers − dont 98 en enquête préliminaire,
c’est-à-dire où il a directement la charge de la
conduite des enquêtes. Depuis sa création, il a
directement ouvert 85 enquêtes préliminaires
et 19 informations judiciaires. Sur les six dossiers
qu’il a renvoyés devant un tribunal aujourd’hui
jugés, seule l’affaire de fraude fiscale visant
l’héritière de Nina Ricci, dont le jugement a
été prononcé lundi 13 avril, lui est revenu. Les
cinq autres ont été traités par le parquet de
Paris.
86. Moyens d’investigation
la loi du 6 décembre 2013 a renforcé la poursuite
et la répression des infractions les plus graves
et complexes en matière économique et
fiscale : renforcement des pouvoirs d'enquête
avec la possibilité d'utiliser des techniques
spéciales d'enquête, création d'un
renversement de la charge de la preuve en
matière de blanchiment, protection renforcée
des lanceurs d'alerte, amélioration des
dispositions relatives à la coopération
internationale en matière de saisies et de
confiscations."
87. Evolution judiciaire
• Vers une juridiction spécialisée ?
• 3 - "Introduire des modifications législatives pour donner les moyens à l'ANSSI
d'exercer ses missions et instituer un pôle juridictionnel spécialisé à
compétence nationale pour réprimer les atteintes graves aux systèmes
d'information".
( Rapport Bockel)
• Vers un pôle numérique étoffé?
• Vers des formations pluridisciplinaires
obligatoires
Nanterre 22 mai 2015
88. Convention du conseil
de l’Europe
La Convention sur la cybercriminalité du Conseil de
l’Europe est le seul instrument international
contraignant concernant la question de
cybercriminalité. Elle sert de lignes directrices pour
tout pays élaborant une législation exhaustive en
matière de cybercriminalité, mais aussi de cadre
pour la coopération internationale contre la
cybercriminalité parmi les Etats Parties.
89. Evolution en matière de protection des données personnelles
Proposition de directive du Parlement européen et du
Conseil relative à la protection des personnes
physiques à l’égard du traitement des données à
caractère personnel par les autorités compétentes
à des fins de prévention et de détection des
infractions pénales, d’enquêtes et de poursuites en
la matière, ou d'exécution de sanctions pénales, et
à la libre circulation de ces données
.
Nanterre 22 mai 2015
90. La dimension
internationale
La Convention sur la cybercriminalité du Conseil de l’Europe est le
seul instrument international contraignant concernant la
question de cybercriminalité. Elle sert de lignes directrices pour
tout pays élaborant une législation exhaustive en matière de
cybercriminalité, mais aussi de cadre pour la coopération
internationale contre la cybercriminalité parmi les Etats Parties.
La Convention est complétée par le Protocole additionnel
relatif à l'incrimination d'actes de nature raciste et xénophobe
commis par le biais de systèmes informatiques.
91. Merci de votre attention
Des questions?
myriam.quemener@justice.fr