Actualités
Attaque en déni de service : les preuves à fournir
1 569 connexions en trois salves, pendant deux heures, au site Lecomptoirsante.com, du groupe C-Discount, provenant d’une personne identifiée ne suffisent pas à prouver l’attaque en déni de service, donc la perturbation, même sensible, du système. Telle est la conclusion de l’arrêt du 15 novembre 2011 de la cour d’appel de Bordeaux, qui confirme la relaxe par le TGI de Bordeaux, le 20 janvier 2011, de l’auteur présumé du délit d’entrave au fonctionnement d’un système automatisé de données.
En juillet 2010, le responsable sécurité du site de parapharmacie Lecomptoirsante.com avait porté plainte suite à son blocage supposé. Les enquêteurs du groupe cybercriminalité de la division des affaires économiques et financières de la police judiciaire de Bordeaux avaient mené des investigations et avaient fini par identifier la source du problème, bien que des adresses IP anonymisées aient été utilisées. La personne en cause a reconnu avoir eu recours à un logiciel pour récupérer des informations sur ce site, dans le cadre d’une « veille concurrentielle ». Il envoyait ainsi des requêtes en salve de manière complètement automatisée.
Mais le TGI comme la cour d’appel ont manqué d’éléments de preuve pour déterminer si la salve de requêtes avait effectivement perturbé le site. Ils ne disposaient que des seules affirmations de la plainte initiale qui n’avaient été ni argumentées ni étayées par la victime. En effet, C-Discount qui avait renoncé à se constituer partie civile, pour des raisons de stratégie interne, n’avait pas communiqué les documents qui auraient pu éclairer les juges. Dans son arrêt, la cour liste les éléments qui auraient pu établir l’existence d’une entrave : « le principe du préjudice et de son importance, l’état et l’évolution de la charge du serveur et de son temps de travail lors de la période dénoncée, les capacités informatiques du serveur abritant le site par rapport au nombre et à la durée des connexions de Cédric M., la cause de la perturbation du site invoquée par la plaignante, les moyens mis en œuvre pour y remédier ».
La preuve d’une volonté de l’auteur de fausser le fonctionnement du site n’a pas davantage été rapportée. Au contraire, la cour fait valoir que le nombre de connexions était trop faible pour impacter ce site. Elle reprend une étude fournie par le prévenu qui indique qu’une attaque efficace du site cible aurait nécessité 80 000 requêtes/heure pendant plusieurs heures à partir de plusieurs ordinateurs. Or, même si le prévenu avait les compétences informatiques pour commettre une telle infraction, il avait aussi celles pour savoir que les moyens utilisés étaient inadéquats.