LegalTech
Cybercriminalité
Attaque par déni de service : condamnation pour entente
Dans un arrêt du 7 novembre 2017, la chambre criminelle de la Cour de cassation a rejeté le pourvoi formé contre un arrêt de la cour d’appel de Paris par celui qui avait été condamné à une peine de deux mois d’emprisonnement assortie du sursis avec mise à l’épreuve pendant dix-huit mois pour participation à une entente établie en vue de la préparation d’une entrave au fonctionnement d’un système automatisé de données (STAD).
En l’espèce, en avril 2011, la Direction centrale du renseignement intérieur (DCRI)[1] a été avisée par l’Agence nationale de sécurité des systèmes d’information (Anssi) du déroulement d’une attaque informatique « par déni de service distribué » contre le site internet institutionnel d’un distributeur historique d’énergie[2] menée par le mouvement « Anonymous » dans le cadre d’une opération intitulée « Greenrights ». En mai 2011, les représentants du distributeur d’énergie déposaient plainte. A cette même période, un tract disponible en ligne appelait à de nouvelles attaques contre ledit site internet institutionnel à l’été 2011. En outre, cette communication mentionnait une adresse de « Web IRC ». Dans le cadre de l’enquête menée, il est apparu que le mis en cause avait mis à disposition d’internautes un « WebIRC »[3] ; passerelle informatique leurs permettant d’accéder à des sites internet de discussion, sans avoir à utiliser un logiciel dédié. L’enquête a également établi que parmi les sites de discussion auxquels la passerelle informatique permettait d’accéder, figurait un site de discussion relatif aux modalités d’opérations du mouvement « Anonymous » concernant des distributeurs d’énergie.
Renvoyé devant le tribunal correctionnel pour avoir « sous la bannière « ANONYMOUS » participé à la campagne « GREENRIGHTS », entente formée en vue de conduire des entraves par déni de service, contre plusieurs producteurs/distributeurs d’énergie, caractérisée par plusieurs faits matériels, tels que la création et la diffusion de messages incitant au ralliement et à la mise à disposition de moyens techniques ou d’informations permettant de réaliser les dénis de services projetés, faits prévus et réprimés par les articles 323-2, 323-4 et 323-5 du Code pénal », le prévenu avait été relaxé par jugement du 11 décembre 2014[4].
Pour motiver leur décision, les juges de première instance, ont relevé que le prévenu n’avait pas spécifiquement conçu la passerelle informatique, ni pour le mouvement « ANONYMOUS », ni pour commettre des attaques par déni de service. Les magistrats ont en outre souligné que la passerelle informatique permettait uniquement aux internautes d’être « redirigés vers des sites (…) ». Enfin, selon le jugement, les éléments constitutifs de l’infraction de participation à une entente en vue de l’entrave au fonctionnement d’un système automatisé de données n’étaient pas réunis. En effet, les juges ont estimé que la preuve de l’intention du prévenu de participer à des attaques ou encore de son intention de faciliter la réalisation de ces dernières n’a pas été rapportée.
Compte tenu de cette relaxe, le parquet avait décidé d’interjeter appel le 18 décembre 2014. La cour d’appel de Paris a, le 30 juin 2016, infirmé le jugement correctionnel et condamné le prévenu à une peine de deux mois d’emprisonnement assortie du sursis avec mise à l’épreuve pendant dix-huit mois, avec l’obligation de suivre un stage de citoyenneté pour participation à une entente établie en vue de la préparation d’une entrave au fonctionnement d’un système automatisé de données. Contrairement aux juges de première instance, la cour d’appel a estimé que les éléments constitutifs de l’infraction étaient réunis.
Un pourvoi en cassation a par la suite été formé. C’est dans ce contexte que la Cour de cassation s’est prononcée sur la question de savoir si la mise à disposition d’une passerelle informatique « WebIRC » facilitant l’accès à divers forums de discussion, parmi lesquels figurait un site relayant les appels à la réalisation d’attaques informatiques par déni de service d’un mouvement – dont les membres ne sont pas identifiés – suffisait à caractériser l’entente établie en vue de la préparation d’une entrave au fonctionnement d’un STAD. Dans l’arrêt rendu le 7 novembre dernier, la Haute juridiction de l’ordre judiciaire rejette le pourvoi en considérant que les juges du fond avaient justifié leur décision sans méconnaitre les articles 323-2, 323-4 et 323-5 du code pénal.
Attaque par déni de service : une entrave au fonctionnement d’un STAD
La jurisprudence admet de longue date qu’une attaque par déni de service constitue une entrave au fonctionnement d’un STAD[5]. Le déni de service (en anglais Denial of Service ou DoS) désigne une « action ayant pour effet d’empêcher ou de limiter fortement la capacité d’un système à fournir le service attendu ». Selon l’Anssi, cette action n’est pas systématiquement malveillante dans la mesure où elle peut traduire le mauvais dimensionnement du service en cause conduisant à son incapacité de fournir une réponse en cas de forte demande[6].
Ceci étant précisé, il convient de noter que le déni de service n’est pas expressément visé par le chapitre III « Des atteintes aux systèmes de traitement automatisé de données » du code pénal. Toutefois, compte tenu des conséquences, une action visant un STAD afin d’altérer ses capacités à fournir le service pour lequel il est destiné est appréhendée par l’article 323-2 du code pénal. Ce texte dispose que « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75000 euros d’amende »[7]. Il convient de distinguer l’entrave, de l’action tendant à fausser le fonctionnement du STAD. En effet, l’entrave tend à retarder ou à paralyser un STAD. Fausser le fonctionnement du système traduit le but d’aboutir à un résultat différent de celui attendu.
L’infraction suppose que soit identifié un système automatisé de données, lequel n’est pas défini par le code pénal. Dans le cadre des travaux parlementaires relatifs à ce qui allait devenir la loi n°88-19 du 5 janvier 1988 dite « Loi Godfrain », une définition avait pourtant été élaborée. Ainsi, un rapport[8] proposait-il de définir le système de traitement automatisé de données comme « tout ensemble composé d’une ou plusieurs unités de traitement, de mémoires, de logiciels, d’organes d’entrées-sorties, et de liaisons, qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs de sécurité ». A noter qu’un site internet est depuis de nombreuses années reconnu comme constituant un STAD[9]. Cette qualification n’a d’ailleurs pas fait l’objet de débats dans le cadre de l’affaire commentée ni devant le tribunal correctionnel, ni devant la cour d’appel. L’entrave au fonctionnement du STAD étant quant à elle constituée en l’attaque par déni de service. En l’espèce, les détails de l’attaque (nombre de requêtes adressées au site par exemple) ainsi que ses conséquences concrètes (interruption ou ralentissement du site) ne sont pas détaillés.
L’infraction d’entrave au STAD étant caractérisée, il convenait de déterminer si le prévenu avait participé à une entente en vue de préparer sa commission. C’est sur ce point que les positions du tribunal correctionnel et de la cour d’appel ont divergé, la Cour de cassation tranchant en faveur de cette dernière.
Attaque par déni de service et caractérisation de l’entente : une appréhension large
L’entente est réprimée par l’article 323-4 du code pénal qui dispose que « la participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3-1 est punie des peines prévues pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée ».
A ce titre, en l’espèce, il revenait au ministère public de démontrer l’entente à laquelle le prévenu était supposé avoir appartenu et les actes matériels de participation du prévenu à ladite entente. Il lui fallait en outre faire la démonstration que cette entente avait pour objectif d’entraver le fonctionnement du site internet institutionnel du distributeur historique d’énergie et que le prévenu avait eu l’intention de participer à la préparation de la commission de cette infraction qu’est l’entrave. Autrement dit, la participation à la commission de l’entrave au STAD en tant que telle est indifférente. Il s’agit ici de prendre en compte la participation à la préparation de cette infraction.
Notons d’abord que l’entente n’est pas définie par l’article 323-4 du code pénal. Toutefois, celle-ci suppose la réunion d’au moins deux personnes. Par ailleurs, conformément à l’adage selon lequel il n’y a pas lieu de distinguer lorsque la loi ne distingue pas[10], il semble que les participants à l’entente puissent être tant des personnes physiques que des personnes morales.
Dans le cadre des travaux parlementaires relatifs à ce qui allait devenir la loi Godfrain, l’entente en matière de délits informatiques avait fait l’objet d’une analyse. Ainsi, le rapport sur la proposition de loi relative à la fraude informatique[11] soulignait que compte tenu de l’émergence de « clubs de passionnés de l’informatique [s’échangeant des] renseignements dont ils disposent et les techniques qu’ils ont mis au point » et l’organisation de la délinquance informatique « selon une hiérarchie complexe, au sommet de laquelle se trouvent des délinquants confirmés dont les intentions sont loin d’être seulement ludiques et qui utilisent les clubs de « hackers » pour tester l’efficacité des procédés qu’ils ont mis au point » rendaient nécessaire l’introduction en droit français de dispositions spécifiques en s’inspirant des textes relatifs à l’association de malfaiteurs.
En l’espèce, la cour d’appel de Paris, non contredite par la Cour de cassation, a estimé qu’une entente entre le prévenu et les membres du mouvement Anonymous pouvait être caractérisée. Toutefois, ni l’arrêt de la cour d’appel, ni celui de la haute juridiction ne relève que l’enquête a permis d’établir qui étaient les membres du collectif impliqués. En outre, les juges ne semblent pas s’être interrogés sur la qualification juridique du mouvement Anonymous en tant que personne morale, à défaut d’identifier ses membres. De ce fait, le nombre exact de participants à l’entente apparaît indéterminé.
Il convient en outre de souligner que les actes matériels concrétisant l’entente ainsi que les actes préparatoires du délit d’entrave au site institutionnel du distributeur d’énergie sont appréhendés de manière large. Autrement dit, contrairement à ce qu’avait retenu le tribunal correctionnel, il résulte de l’arrêt de la Cour de cassation et de celui de la cour d’appel que la fourniture d’une passerelle informatique caractérise un acte préparatoire de l’entrave au site internet du distributeur d’énergie.
Par cette position, la haute juridiction semble faire peser sur celui qui met à disposition ce type d’outil la charge de vérifier que les informations auxquelles il permet l’accès ne permettent pas aux internautes d’avoir connaissance « des modalités concrètes » de commission d’infraction visées au chapitre III « Des atteintes aux systèmes de traitement automatisé de données » du code pénal.
Cependant, les éléments relevés par la cour d’appel, approuvée par la Cour de cassation, semblent démontrer que les communications sur lesquelles la passerelle informatique était mentionnée émanaient du mouvement Anonymous (documents publiés un an avant l’attaque, tract appelant à de nouvelles attaques contre le distributeur d’énergie), sans qu’il ne soit démontré que le prévenu avait participé à l’élaboration desdites actions.
En revanche, le statut attribué par le mouvement au prévenu a également été analysé. De ce point de vue, l’attribution du rôle de semi-opérateur sur le canal IRC du mouvement (utilisateur privilégié) semble avoir permis d’établir l’acte positif de participation du prévenu à l’entente identifiée par les juges. Par ailleurs, l’activité du prévenu dans la préparation de l’entrave au fonctionnement du site internet du distributeur d’énergie a pu être matérialisée par l’accès aux informations utiles à la réalisation de l’attaque par déni de service, lequel était par ailleurs facilité par la mise à disposition de la passerelle informatique. Il résulte donc de ces arrêts que la mise à disposition d’outils permettant l’accès à une ou plusieurs informations entre internautes est susceptible de caractériser un acte préparatoire d’une infraction. La nature des informations a donc toute son importance. Il découle donc de ces arrêts que celui qui met à disposition ledit outil doit s’enquérir des informations dont il facilite l’accès et le cas échéant, suspendre cet accès. Précisons toutefois qu’en l’espèce, le prévenu disposait d’une fonctionnalité lui permettant de constituer une liste noire de forums de discussion – dont ceux du mouvement Anonymous, qu’il n’a utilisé qu’une fois que l’autorité judiciaire lui en avait fait la demande.
Enfin, le délit prévu à l’article 323-4 du code pénal suppose de caractériser l’intention du prévenu de participer à l’entente dont le but était de préparer l’entrave au STAD. En effet, en vertu de l’article 121-3 du code pénal, « Il n’y a point de crime ou de délit sans intention de le commettre ». En l’espèce, pour considérer que le prévenu avait conscience de participer à une entente en vue de la préparation à l’attaque par déni de service, les juges s’appuient sur sa connaissance de ce que le distributeur d’énergie avait été ciblé par le mouvement, des méthodes d’actions dudit mouvement (les entraves par déni de service), des informations véhiculées sur le canal IRC du mouvement ou encore de la signification des intitulés « Greenrights » et « anonops ». Les juges se sont également appuyés sur les déclarations par lesquelles il reconnaissait notamment « être allé sur le site [du distributeur d’énergie] lors de la première vague d’attaques, « pour voir » (…) ».
Par ces positions, tant la cour d’appel de Paris que la Cour de cassation semblent considérer que la connaissance des méthodes et des actes projetés emporte l’intention de participer à une entente en vue de la préparation à l’attaque par déni de service. Autrement dit, celui qui a connaissance d’informations relatives à des actes susceptibles de qualification pénale en matière d’atteinte à un STAD diffusées par des tiers et qui en facilite l’accès ne semble pas pouvoir arguer de son ignorance quant à sa participation à une entente.
Cette position peut sembler pour le moins sévère d’autant que cette appréciation permet de sanctionner uniquement et seulement un individu.
Garance MATHIAS, Aline ALFER
Avocats à la cour
Mathias Avocats
[1] La Direction centrale du renseignement intérieur a été créée le 1er juillet 2008. Elle a été remplacée par la Direction générale de la sécurité intérieure (DGSI) par décret n°2014-445 du 30 avril 2014 relatif aux missions et à l’organisation de la direction générale de la sécurité intérieure.
[2] Opérateur d’importance vitale. Articles R1332-1 et R 1332-2 du code de la défense.
[3] L’acronyme « IRC » pour « Internet Relay Chat » (en français, « Discussion relayée par Internet ») désigne système de messagerie en temps réel sur le réseau Internet. La communication sur IRC se fait par canal nommé.
[4] Tribunal de grande instance de Paris, 12e chambre correctionnelle 2, 11 décembre 2014.
[5] Tribunal de grande instance de Paris, 12e chambre correctionnelle, 19 mai 2006.
[6] Anssi, glossaire.
[7] Pour une application
[8] Rapport n° 3 (1987-1988) de M. Jacques THYRAUD, fait au nom de la commission des lois, déposé le 2 octobre 1987.
[9] Pour des exemples : cour d’appel de Paris, 30 octobre 2002. Cour d’appel de Paris, Pôle 4, ch. 10, 5 février 2014. Cass. crim., 20 mai 2015, n°14-81.336. Cour d’appel de Paris, Pôle 4, ch. 11, 15 septembre 2017. Cour d’appel de Paris, Pôle 5, ch.14, 14 novembre 2017.
[10] « Ubi lex non distinguit, nec nos distinguere debemus ».
[11] Rapport n° 3 (1987-1988) de M. Jacques THYRAUD, fait au nom de la commission des lois, déposé le 2 octobre 1987, pp.60-61.