Tribunal de grande instance de Paris Ordonnance de non lieu 21 juin 2004

PMU / X

contenu illicite - courrier électronique - fraude informatique - preuve - site internet

Vu l’information suivie contre : X
du (des) chef (s) de :

– accès frauduleux dans un système de traitement automatisé de données,
Faits prévus par l’article 323-1 al. 1 du code pénal et réprimés par les articles 323-1 al.1, 323-5 du code pénal,

– maintien frauduleux dans un système de traitement automatisé de données,
Faits prévus par l’article 323-1 al. 1 du code pénal et réprimés par les articles 323-1 al.1, 323-5 du code pénal,

– entrave au fonctionnement d’un système de traitement automatisé de données
Faits prévus par l’article 323-2 du code pénal et réprimés par les articles 323-2, 323-5 du code pénal,

– violation du secret professionnel.
Faits prévus par l’article 226-13 du code pénal et réprimés par les articles 226-13, 226-31 du code pénal,

– recel de bien provenant d’un délit puni d’une peine n’excédant pas 5 ans d’emprisonnement.
Faits prévus par l’article 323-1 du code pénal et réprimés par les articles 321 al.3, 321-3, 321-9, 321-10 du code pénal,

RS du 14/12/2001 :
– accès frauduleux dans un système de traitement automatisé de données,
Faits prévus par l’article 323-1 al. 1 du code pénal et réprimés par les articles 323-1 al.1, 323-5 du code pénal,

RS du 20/03/2002 :
– accès frauduleux dans un système de traitement automatisé de données,
Faits prévus par l’article 323-1 al. 1 du code pénal et réprimés par les articles 323-1 al.1, 323-5 du code pénal,

– maintien frauduleux dans un système de traitement automatisé de données,
Faits prévus par l’article 323-1 al. 1 du code pénal et réprimés par les articles 323-1 al.1, 323-5 du code pénal,
– entrave au fonctionnement d’un système de traitement automatisé de données
Faits prévus par l’article 323-2 du code pénal et réprimés par les articles 323-2, 323-5 du code pénal,

– violation du secret professionnel.
Faits prévus par l’article 226-13 du code pénal et réprimés par les articles 226-13, 226-31 du code pénal,

– Recel de bien provenant d’un délit puni d’une peine n’excédant pas 5 ans d’emprisonnement.
Faits prévus par l’article 323-1 du code pénal et réprimés par les articles 321 al.3, 321-3, 321-9, 321-10 du code pénal,

DISCUSSION

Vu le réquisitoire de monsieur le procureur de la République en date du 8 juin 2004, tendant au non-lieu et adoptant les motifs énoncés au réquisitoire ;

Vu les articles 175, 176, 177, 183 et 184 du code de procédure pénale ;

Attendu que l’information a établi les faits suivants :

Par plainte avec constitution de partie civile en date du 23 octobre 2001, le Gie PMU dénonçait un courrier électronique en date du 29 septembre 2001, intitulé « Gagnez 15 milliards au PMU », et diffusé auprès de divers cadres et employés du PMU.

Ce message de dix pages annonçant « Gagnez 35 milliards de francs au PMU, c’est possible » contenait les mentions suivantes à titre d’introduction :

« Le secret, c’est pouvoir infiltrer le réseau informatique du PMU.
Vous pourrez endommager le système informatique, trafiquer les paris, faire de faux virements à votre compte ou créer des emplois fictifs avec des employés virtuels. Ci-dessous vous trouverez une documentation créée à partir des sources ultra-secrètes subtilisées au PMU décrivant l’architecture de son réseau informatique. Un véritable trésor pour les hackers sur toute la planète. Ils n’auront pas à deviner ce qu’il y a derrière la forteresse. Nous vous dévoilons tout. »

Ce message renvoyait au « site internet officiel pirate PMU » et décrivait le fichier disponible sur ce site, contenant notamment un « Batch destructeur prêt à l’emploi », un programme Spam permettant d’envoyer des messages vers les contacts de carnets d’adresses, et un logiciel permettant de « déplomber les mots de passe ».

Le message comportait ensuite la question « pourquoi attaquer le PMU ? » et développait les cinq points suivants :
1. Le manque d’honnêteté du PMU
2. Des paris truqués et l’incompétence du PMU à les traquer
3. Une caisse noire de 10 millions de francs
4. Des fonds secrets
5. Intérimérisation et prestatairisation

Au total, le message apparaissait comme l’œuvre d’une personne connaissant de façon approfondie les rouages du Gie PMU, citant le nom d’employés et se déclarant témoin d’irrégularités alléguées dans le fonctionnement de la gestion du groupe.

Le fichier « Site officiel pirate du PMU », après impression sur support papier, constituait un document de 109 pages. Il comportait une introduction similaire au contenu du message par courrier électronique, dénonçant les « scandales » du PMU, qualifié de « pompe à fric ». Il décrivait ensuite de façon détaillée « comment hacker le PMU » en indiquant la façon d’accéder au cœur de son système informatique, et en donnant, pour chacun des utilisateurs, nommément désignés, son code d’accès.

Le fichier livrait en outre des données approfondies sur le chiffre d’affaire du groupe, ses ressources humaines et comportait une revue de presse, décrivant la réforme, depuis 1998-1999, du système informatique du PMU, dit « projet Pegase », ses coûts et ses incidents de fonctionnement. Il donnait enfin une liste de numéros de téléphones de différents responsables ou services du PMU, et les coordonnées de ses différentes agences en France.

Quoique expédié le 29 septembre 2001, il était daté du 23 novembre 2001, date que le plaignant associait à celle du 23 novembre 2000, où son système informatique avait fait l’objet d’une première attaque de hackers.

La plainte qualifiait les faits dénoncés d’intrusion et maintien dans un système de traitement automatisé de données, vol (d’informations confidentielles), violation du secret professionnel (tout contrat de travail conclu avec le PMU comportant une clause de confidentialité ou de confidentialité renforcée) et recel (de données obtenues frauduleusement).

Une information était ouverte de ces chefs, à l’exclusion du vol, le 16 novembre 2001.

La partie civile dénonçait le 7 décembre 2001 la reproduction des mêmes informations sur un autre site internet, courant novembre 2001, selon procès verbal de constat du 15 novembre 2001. Elle dénonçait ensuite un nouveau message électronique intitulé « Gagner 6 milliards d’euros au PMU c’est possible », en date du 19 mars 2002. Deux réquisitoires supplétifs en date des 14 décembre 2002 et 20 mars 2002 nous saisissaient de ces nouveaux faits.

La partie civile précisait que malgré la menace que constituaient les données diffusées, son système informatique n’avait pas subi de piratage, certaines des données étant obsolètes, quoique exactes. Pour se prémunir contre une attaque, elle avait du élaborer des dispositifs de contrôle et effectuer des surveillances constantes.

Elle déplorait la révélation de la menace dans la presse et la perte de confiance que cette affaire était susceptible d’entraîner dans l’esprit des usagers.

Le nom de l’expéditeur indiqué sur le message électronique du 29 septembre 2001 était ……, nom d’un des employés du Gie, en réalité …. mis hors de cause par le plaignant. Celui du 19 mars 2002 comportait le nom, également usurpé, d’un employé : …… soit ……. Le « site officiel pirate du PMU » comportait le nom d’un web master : ……, employé du groupe, mais lui aussi étranger aux faits.

Des investigations approfondies étaient mises en œuvre, sur commission rogatoire, par la section de recherches de la gendarmerie de Paris.

Les recherches techniques ne permettaient pas d’aboutir à l’identification de l’auteur des messages électroniques et du créateur du site web :

– les codes sources du courrier électronique du 29 septembre 2001 n’avaient pas été relevés et l’ancienneté du message faisait l’obstacle aux recherches,
– les traces de connexion du site web, à partir d’un compte ouvert auprès de Wanadoo étaient inexploitables,
– les codes sources du message du 19 mars 2002 renvoyaient à un utilisateur anonyme ayant actionné dans un cybercafé une adresse électronique hébergée par Yahoo USA.

Les investigations menées sur les lignes téléphoniques et le matériel informatique de certains employés du Gie PMU, désignés par celui-ci en raison de leurs compétences et de leur connaissance approfondie du système informatique Pegase, ne permettaient pas davantage d’aboutir.

La Brda, en charge dans le cadre d’une autre information de la plainte déposée par Monsieur …… du chef d’usurpation d’identité, procédait à de nouvelles investigations, avec le soutien de la Befti, sans plus de résultats.

Le Gie PMU, avisé des éléments recueillis au cours de l’information, ne formait pas de demande d’acte nouveau.

Et attendu qu’il n’existe dès lors pas de charges suffisantes contre quiconque d’avoir commis les infractions susvisées ;

DECISION

. Déclarons n’y avoir lieu à suivre en l’état et ordonnons le dépôt du dossier au greffe pour y être repris s’il survenait des charges nouvelles.

Le tribunal : Mme Anne Marie Bellot (vice président)