Actualités
Prison avec sursis pour la décompilation illicite du code de Skype
Un homme a été condamné par la cour d’appel de Caen pour avoir rendu accessible au public une copie du fichier SkyCryptV1.cpp, obtenue à partir de la décompilation du logiciel de Skype. Dans son arrêt du 18 mars 2015, la cour a estimé qu’il s’était rendu coupable de contrefaçon en utilisant les données obtenues par la décompilation de l’algorithme Skype d’expansion de clé de cryptage RC4, action dépassant le cadre autorisé par le code de la propriété intellectuelle. En effet, l’article L. 122-6-1 IV permet de procéder à la décompilation d’un programme à des fins d’interopérabilité, sans autorisation de l’auteur, à condition que cette reproduction ou cette traduction soit indispensable pour obtenir les informations nécessaires à l’interopérabilité d’un logiciel créé de façon indépendante avec d’autres logiciels. Selon le prévenu, cet acte avait été réalisé pour mettre au point une technique fiable et sécurisée d’échanges d’information sur internet compatibles avec Skype. Mais ce qui est reproché au prévenu est l’usage qui a été fait des informations obtenues par décompilation, qui sortait du cadre prévu par le CPI.
Le prévenu avait publié sur son blog les informations obtenues par décompilation. Dans l’article titré « Skype’s biggest secret revealed », il avait expliqué qu’il révélait le « plus grand secret de communication de Skype, l’algorithme d’expansion de clé de cryptage RC4 traduit en langage informatique C et pleinement réutilisable. Profitez-en ». Il avait expliqué qu’une partie de son code avait fait l’objet de fuites et qu’il ne voulait pas être tenu responsable de son éventuelle utilisation abusive par des hackers ou des spammeurs. Tout en disant vouloir aider la communauté des experts en sécurité informatique à améliorer la sécurité de Skype, il avait évoqué une exploitation commerciale future de son code.
Pour la cour, le prévenu s’est d’abord rendu coupable de contrefaçon en utilisant les informations en cause pour un autre but que la réalisation de l’interopérabilité, en tout cas ce n’est pas la motivation qui ressort de la publication sur son blog. Par ailleurs, il ne devait pas les communiquer à des tiers, sauf si c’était nécessaire à l’interopérabilité du logiciel créé de manière indépendante, ce qui n’a pas été affirmé par l’auteur du blog. Enfin, les données n’ont pas été utilisées pour la mise au point, la production ou la commercialisation d’un logiciel dont l’expression est substantiellement similaire. La cour rapporte les propos qu’il avait tenus au service de police dans lesquels il déclare : « J’ai décompilé beaucoup de codes de Skype, afin de développer divers produits, notamment permettant de bloquer Skype. J’ai également travaillé sur un système open source similaire à Skype, les portes dérobées en moins ».
En plus de la peine de six mois de prison avec sursis, le prévenu est condamné à verser 5 000 € à Skype pour réparer son préjudice moral causé par la révélation publique, à son insu et contre son gré, de la fragilité de son dispositif. Il doit en outre lui payer 3 500 € au titre de l’indemnisation des frais que la société a exposés pour sa défense. En revanche, la cour rejette la demande d’indemnisation du préjudice matériel non établi et en raison du fait de la prodigieuse croissance de la valorisation du patrimoine de Skype pendant cette période.