La légitime défense numérique – Le Cercle

Le Cercle européen de la sécurité des systèmes d’information organisait jeudi 28 avril 2011 à 18 heures une table ronde sur le thème de la légitime défense numérique.

Le débat était animé par Yann Le Bel de la SNCF, et rassemblait Guillaume Tissier de CEIS et Philippe Langlois de P1Sec.

Guillaume Tissier a d’abord résumé le contexte actuel des attaques contre les systèmes d’information, de la cybercriminalité et de la cybersécurité en général, en soulignant les risques particuliers auxquels sont confrontées aujourd’hui notamment les entreprises. Ensuite il a rappelé le cadre juridique de la légitime défense.

Sur le plan pénal, le concept de légitime défense est défini comme une exception, au travers d’une cause d’irresponsabilité. Ainsi dans l’article 122-5 du code pénal il est indiqué:

N’est pas pénalement responsable la personne qui, devant une atteinte injustifiée envers elle-même ou autrui, accomplit, dans le même temps, un acte commandé par la nécessité de la légitime défense d’elle-même ou d’autrui, sauf s’il y a disproportion entre les moyens de défense employés et la gravité de l’atteinte.

N’est pas pénalement responsable la personne qui, pour interrompre l’exécution d’un crime ou d’un délit contre un bien, accomplit un acte de défense, autre qu’un homicide volontaire, lorsque cet acte est strictement nécessaire au but poursuivi dès lors que les moyens employés sont proportionnés à la gravité de l’infraction.

Ainsi, s’agissant dans le domaine de la sécurité sur les réseaux (et en particulier Internet), c’est le plus souvent le second alinéa qui est concerné. Et le but de la légitime défense des biens ainsi défini est limité à l’accomplissement d’un acte de défense, en vue d’interrompre l’exécution du crime ou du délit contre ce bien. Je suis intervenu à la fin du débat pour rappeler que dans tous les cas imaginables aujourd’hui, la véritable légitime défense sur Internet est difficilement applicable puisqu’on pourra soit prendre des mesures pour se protéger qui ne constitueraient pas des infractions (détourner le trafic qui vous attaque par exemple) ou tout simplement déconnecter le système (comme l’a fait Sony la semaine passée), faisant ainsi cesser l’atteinte.

Dans un contexte international, la charte des Nations Unies, à son article 51, a encore rappelé Guillaume Tissier, énonce le principe suivant:

Aucune disposition de la présente Charte ne porte atteinte au droit naturel de légitime défense, individuelle ou collective, dans le cas où un Membre des Nations Unies est l’objet d’une agression armée, jusqu’à ce que le Conseil de sécurité ait pris les mesures nécessaires pour maintenir la paix et la sécurité internationales. Les mesures prises par des Membres dans l’exercice de ce droit de légitime défense sont immédiatement portées à la connaissance du Conseil de sécurité et n’affectent en rien le pouvoir et le devoir qu’a le Conseil, en vertu de la présente Charte, d’agir à tout moment de la manière qu’il juge nécessaire pour maintenir ou rétablir la paix et la sécurité internationales.

Il s’agit bien ici d’offrir la possibilité aux Etats de répondre légitimement à une agression armée. Il sera tout de même très difficile pour l’instant de qualifier d’attaque armée une atteinte numérique, sauf si elle est de nature à porter atteinte de façon grave à la sécurité des personnes et des biens ou à l’intégrité d’un territoire.

Guillaume Tissier a aussi dressé une liste des types de réponse qu’il était possible d’envisager, en soulignant qu’il n’était pas nécessaire de toujours envisager d’aller jusqu’à des actes agressifs, mais qu’il était possible par exemple d’envisager des mesures judiciaires adaptées – y compris de nature à faire complètement cesser l’activité d’un attaquant grâce à la saisie de ses matériels ou l’interruption des services qui lui permettre de commettre ses attaques, ou des mesures de collecte de preuve, pour faciliter l’identification des auteurs de ces faits.

Philippe Langlois quant à lui a cité un certain nombre de cas concrets d’acte de rétorsion numérique suite à ce qui peut être considéré comme une attaque. Le cas de la société HBGary qui s’est vu sérieusement mise en défaut dans la gestion de sa propre sécurité, après s’en être prise aux Anonymous publiquement est un de ces cas. On pourrait aussi citer le cas récent du réseau des Playstation de Sony (voir l’article le plus récent de Numérama), dont l’agression pourrait être une réponse de certains groupes d’attaquants à l’attitude de cette société face à un chercheur indépendant (George Holtz) qui a mis à mal la sécurité de sa console la plus récente (voir l’article de 01Net). Philippe a aussi souligné le risque d’une véritable escalade des réponses entre les belligérants, comme l’un des risques principaux d’une riposte numérique suite à une agression.

Philippe a aussi indiqué, que techniquement il était évidemment possible dans beaucoup de situations – et dans l’esprit de la gamme de réponses possible évoquée par Guillaume Tissier, de prendre des mesures non agressives vis à vis de l’attaquant, en temps réel, de manière à plus facilement l’identifier, grâce à la prise d’une empreinte de l’attaque ou en se connectant simplement avec l’hôte à l’origine de l’attaque si le protocole utilisé le permet.

Enfin, comme l’a rappelé Lazaro Pejsachowicz dans la salle, il n’est pas acceptable d’envisager la légitime défense sous la forme d’une vengeance, il est absolument nécessaire de rapidement impliquer les autorités judiciaires suite à une attaque pour que la collecte de preuves s’exerce dans de bonnes conditions et que l’action légale soit efficace et rapide.

L’autre sujet qui n’a pas été abordé – il me semble – dans le débat, est le recours à une réponse numérique suite à une agression physique. Cela fait partie très clairement des outils dont pourrait se doter un Etat dans le cadre de sa légitime défense au sens de la charte des Nations Unies évoquée plus haut. Et – pourquoi pas – cela pourrait constituer une hypothèse intéressante dans le cadre de la légitime défense des personnes et des biens contre une agression physique, par exemple en se dotant d’outils pour rendre inopérants les commandes d’un véhicule qui foncerait sur une foule.

Merci au Cercle pour l’organisation de cette soirée qui a continué autour d’un buffet indispensable au réseautage interpersonnel.
Publicités

Décret d’application de la LCEN sur la conservation des données par les FAI et hébergeurs

Le 1er mars 2011 était publié au Journal officiel le Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Il s’agit notamment de préciser les mesures prévues par l’article 6, dans son paragraphe II, de la loi pour la confiance dans l’économie numérique du 21 juin 2004 (implémentant elle-même en droit français les dispositions de la directive européenne 2000/31/CE).

Ce texte comprend deux chapitres principaux. Le premier vient préciser les données à conserver par les fournisseurs d’accès et les hébergeurs pour permettre l’identification des personnes qui ont contribué à la création d’un contenu sur un service de communication au public en ligne. Le second précise les modalités d’accès à ces informations dans le cadre des enquêtes administratives relatives à la prévention des actes de terrorisme. Il s’agit dans ce dernier cas d’une extension à ce contexte des dispositions existant déjà pour l’accès aux données détenues par les opérateurs de communications électroniques au titre de l’article L34-1 du code des postes et communications électroniques.

Ces données ont vocation à être accédées dans le cadre d’une réquisition judiciaire, ou d’une demande administrative prévue par la loi. On rappellera que pour l’enquête pénale, les demandes judiciaires sont notamment encadrées par les articles 60-1 et 60-2 du code de procédure pénale.

Au contraire de l’article L34-1 du code des postes et communications électroniques, il n’était pas demandé ici au pouvoir réglementaire de préciser les catégories de données qui doivent être conservées, mais de façon plus précise les données qui sont concernées par cette obligation. Ainsi, on se retrouve avec un texte à la fois plus précis que le décret portant plus généralement sur les opérateurs – cf. articles R.10-12 à R.10-22 du code des postes et communications électroniques (et qui concerne donc aussi les fournisseurs d’accès à Internet), mais difficile à comparer. On notera toutefois au passage que la durée de conservation a été uniformisée dans les deux cas à un an.

Les exemples et les précisions que je donne ici ne représentent que mon point de vue personnel sur ce texte, ils ne sauraient évidemment engager une juridiction sur son interprétation éventuelle. Toutefois, ces informations sont basées sur ma connaissance des pratiques en la matière, aussi bien du côté des prestataires techniques que des besoins des enquêteurs.

L’article 1 liste les données à conserver

Les termes utilisés dans le décret sont volontairement génériques et cherchent à maintenir une certaine neutralité technologique. L’objectif est bien dans tous les cas de contribuer à l’identification de la personne ayant publié un contenu donné.

– Pour les personnes fournissant un accès à Internet :

  • L’identifiant de la connexion (en pratique une adresse IP) ;
  • L’identifiant attribué par ces personnes à l’abonné (selon les FAI il s’agira d’un identifiant de connexion, d’un pseudonyme choisi par l’utilisateur, d’un identifiant de carte SIM ou d’un numéro de téléphone) ;
  • L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès (l’adresse MAC de l’équipement par exemple) ;
  • Les dates et heure de début et de fin de la connexion (cette notion est superflue pour les FAI qui ne gèrent pas de sessions de connexion) ;
  • Les caractéristiques de la ligne de l’abonné (s’il s’agit d’une connexion par ADSL, par appel téléphonique RTC grâce à un modem, via un point d’accès Wifi, etc.) ;

Selon les configurations, il n’y a pas de sessions mais des accès permanents possibles pendant toute la durée de l’abonnement, dans ce cas les dates et heures de début et de fin n’ont pas de sens. En revanche, un FAI peut autoriser des modes de connexion différents pour un même abonné. Et par exemple, un même abonné pourrait se connecter de chez lui en ADSL (sans forcément de notion de début et de fin de session) et accéder ponctuellement via des points d’accès Wifi, avec une authentification et des débuts et fins de sessions.

– Pour les hébergeurs et pour chaque opération de création :

Rappelons que les hébergeurs sont, selon la loi pour la confiance dans l’économie numérique, « les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ».

  • L’identifiant de la connexion à l’origine de la communication (adresse IP d’origine, ou toute autre information pertinente – dans une structure intégralement gérée par un opérateur de téléphonie mobile il pourrait envisager d’utiliser le numéro de téléphone mobile ou le numéro IMSI de son abonné qui publie des informations sur un site géré par le même opérateur) ;
  • L’identifiant attribué par le système d’information au contenu, objet de l’opération (une référence d’article ou de commentaire, l’URL ou la position dans une arborescence d’une page Web, la référence d’une petite annonce, etc.) ;
  • Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (accès via l’interface Web, via un accès FTP, par envoi de SMS ou MMS, etc.) ;
  • La nature de l’opération (création, modification ou suppression) ;
  • Les date et heure de l’opération ;
  • L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni (si par exemple, la personne utilise un pseudonyme pour se connecter ou une adresse de courrier électronique, qu’il y ait une authentification ou une simple déclaration) ;

– Dans les cas où il y a un contrat, ou la création d’un compte auprès du fournisseur d’accès ou de l’hébergeur, et dans la mesure où ces données sont collectées :

  • Au moment de la création du compte, l’identifiant de cette connexion (par exemple, l’adresse IP depuis laquelle la personne se connecte pour créer son compte) ;
  • Les nom et prénom ou la raison sociale ;
  • Les adresses postales associées ;
  • Les pseudonymes utilisés ;
  • Les adresses de courrier électronique ou de compte associées ;
  • Les numéros de téléphone ;
  • Le mot de passe (si le système utilisé stocke le mot de passe en clair) ainsi que les données permettant de le vérifier (hashs ou autres techniques permettant de stocker de façon sécurisée un mot de passe) ou de le modifier, dans leur dernière version mise à jour ;

– Dans les cas où des opérations de paiement sont réalisées dans le cadre du service offert par le fournisseur d’accès ou l’hébergeur, et pour chaque opération de paiement :

  • Le type de paiement utilisé ;
  • La référence du paiement ;
  • Le montant ;
  • La date et l’heure de la transaction.

L’article 2 précise ce qui constitue une opération de création de contenu

« La contribution à une création de contenu comprend les opérations portant sur :

  • a) Des créations initiales de contenus ;
  • b) Des modifications des contenus et de données liées aux contenus ;
  • c) Des suppressions de contenus. »

L’article 3 fixe la durée de conservation

La durée de conservation de ces informations est fixée à un an à partir de chaque connexion ou contribution à un contenu. Pour la fiche reprenant les informations personnelles du compte ou du contrat, elles doivent être conservées un an après la clôture de ce compte.

L’article 4 précise les conditions de conservation

Il est rappelé que leur sensibilité justifie des mesures de sécurité proportionnées, conformément à l’article 34 de la loi informatique et libertés.

Les conditions de conservation doivent aussi permettre de répondre « dans les meilleurs délais » aux demandes de l’autorité judiciaire.

Conclusion

Dans la très large partie des cas, ce texte ne change rien aux pratiques existantes de la part des professionnels ou des plateformes d’hébergement y compris basées sur des logiciels libres. Pour les fournisseurs d’accès à Internet, ce sont exactement les mêmes données qu’ils conservent déjà dans le cadre de l’application de l’article L34-1 du code des postes et communications électroniques, formulées de façon différente parce que répondant à une législation distincte et des objectifs qui ne sont pas exactement les mêmes.

Pour les hébergeurs, il s’agit d’une clarification bienvenue sur ce qui pourrait leur être demandé, chacun étant concerné par les données qu’il collecte lui-même.

Ainsi, dans les situations complexes où plusieurs acteurs interviennent dans le processus d’hébergement, il leur revient de fixer – éventuellement par le biais de contrats – les responsabilités des uns et des autres et d’être en mesure d’indiquer aux autorités susceptibles de les requérir le bon interlocuteur. Par exemple, un blog et ses commentaires, même s’il est sous la responsabilité de son titulaire, peut être administré sur le plan technique par une plateforme hébergeant des milliers de blogs différents. C’est bien à elle que revient la responsabilité de conserver ces données et de répondre aux réquisitions.

Dans le cas où une personne, une entreprise, une association loue un serveur et l’administre elle-même auprès d’un « grand » hébergeur, il lui revient de le configurer (ou de le faire configurer par un prestataire) de façon à conserver les bonnes informations lorsqu’elle y installera un forum ou la possibilité de poster des commentaires. Le « grand » hébergeur évoqué ici a en revanche l’obligation de disposer des coordonnées de la personne à laquelle il loue le serveur, et éventuellement les informations de paiement.

D’ores et déjà, dans ces situations et dans la plupart des cas, les enquêteurs parviennent déjà très facilement à identifier le bon interlocuteur.

Audition à l’Assemblée Nationale

Patrice VERCHERE, député.

J’ai été auditionné pendant un peu plus d’une heure à l’Assemblée Nationale, le 14 décembre 2010, devant la mission d’information commune sur la protection des droits de l’individu dans la révolution numérique.

Vous pouvez retrouver l’enregistrement de cette audition sur le site de l’Assemblée. J’étais interrogé par M. Patrice VERCHERE, co-rapporteur de cette mission.

J’ai d’abord été invité à exposer pendant une quinzaine de minutes un certain nombre de propos liminaires pour expliquer l’action de la gendarmerie nationale, mais aussi les actions que nous menons en partenariat avec la police nationale. Je suis ensuite revenu sur quelques points discutés récemment dans les débats de cette mission dont le statut juridique de l’adresse IP et l’obligation de notification des incidents de sécurité. Enfin j’ai fait un certain nombre de propositions concrètes et notamment sur des points de droit:

  • la nécessité de simplifier notre cadre juridique, notamment lorsqu’il s’agit de définir les obligations des acteurs de l’Internet;
  • le besoin d’étendre les cyberpatrouilles (ou investigations sous pseudonymes) à toutes les infractions où cet outil permettra d’être plus efficace dans leur résolution (et notamment les atteintes aux systèmes de traitement automatisé de données, la contrefaçon, la haine raciale et les infractions économiques et financières facilitées par Internet)
  • le souhait que nous avons de voir étendre les réquisitions à personnes qualifiées pour les actes techniques simples (à savoir les constations sur les supports de preuve numérique) aux enquêtes sur commission rogatoire.

Enfin, j’ai répondu à un grand nombre de questions qui portaient sur des sujets tout aussi variés que les réseaux sociaux, la régulation de l’Internet, la coopération internationale, l’identité numérique et la carte d’identité numérique ou les dispositifs de captations de données prévus par la LOPPSI.

Ne soyez pas des ânes !

Le chômage, les difficultés économiques que traverse notre pays sont autant d’opportunités que les groupes criminels tenteront d’exploiter. Ainsi, aujourd’hui en France, comme dans beaucoup d’autres pays, d’honnêtes citoyens sont recrutés à leur insu par des groupes criminels, avec l’espoir d’un revenu facile et attractif.

Non seulement ce n’est pas un emploi solide, mais le risque n’en vaut pas la chandelle.

Pourquoi les groupes criminels recrutent-ils des mules ?

Les mules sont des intermédiaires. Deux usages principaux sont rencontrés aujourd’hui: les transferts financiers et les transferts de biens matériels.

Un certain nombre de mécanismes sont en place pour limiter les fraudes. Ainsi, pour beaucoup d’établissements bancaires, un virement vers un compte bancaire étranger ne pourra être mis en place que dans le cadre d’une procédure particulière qui suppose une interaction entre le client et son conseiller en agence (courrier, fax, téléphone ou déplacement dans son agence bancaire). Les commerçants en ligne n’acceptent pas aveuglément tous les types de transaction et notamment les livraisons de produits coûteux tels que des télévisions ou des ordinateurs vers des pays étrangers.

Ainsi, je vous parlais en avril dernier du démantèlement d’une entreprise criminelle dont les activités consistaient à répondre au téléphone à la place des titulaires des comptes pour valider les transactions. Mais ce n’est qu’une étape dans le processus.

Aussi, lorsque les escrocs veulent utiliser un numéro de carte bancaire, les identifiants de connexion à un compte bancaire en ligne, pour se faire livrer des produits ou vider un compte, ils ont besoin d’intermédiaires dans le pays où se trouve la victime.

Comment ils les recrutent ?

On rencontre plusieurs typologies de recrutement et elles deviennent de plus en plus massives et complexes.

Le recrutement communautaire et par contacts.

C’est celui qu’on rencontrait les premières années. Ainsi, dans un certain nombre d’affaires du début des années 2000, les mules étaient recrutées dans des familles originaires des mêmes régions que les escrocs, tout simplement parce que la barrière de la langue était difficile à surmonter, ou parce qu’il fallait établir un lien de confiance avec ces futurs intermédiaires, ou peut-être pour avoir des moyens de pression supposés sur la famille restée au pays ?

Mais nous n’en sommes plus là.

Le recrutement par les offres d’emploi

Le système est maintenant bien rôdé. Les escrocs montent des entreprises fictives qui utilisent les moyens les plus variés et les plus efficaces pour recruter leurs mules : pourriels, réponse à des petites annonces de chercheurs d’emploi ou publication de petites annonces.

Ainsi, un courrier électronique que j’ai reçu cet été :

 

Cliquez pour agrandir

 

Mais parfois, on s’adressera à vous en français. Voilà quelques mois une victime de ce schéma témoignait par exemple sur le blog eBusiness. Les escrocs ici n’hésitaient pas à se faire passer pour une entreprise française légitimement enregistrée et à délivrer des faux contrats de travail.

Comment ça marche ?

Une fois « embauché », selon un contrat de travail bidon, la tâche proposée est effectivement assez simple. On reçoit chez soi des colis postaux de dizaines de commerçants différents, et on est chargé de les réexpédier vers leur destinataire réel. Ou bien, on reçoit de l’argent sur son compte bancaire. A charge pour vous de retirer l’argent en liquide et de le réexpédier vers leur destinataire par Western Union ou Moneygram.

Dans un billet récent, Brian Krebs révélait l’interface de gestion qui permettait à la société fictive « Forte Group Inc. » (les activités de cette entreprise sont aussi évoquées ici) de donner des directives à ses employés fictifs. Ainsi, dans le cas décrit, l’employée était invitée à transmettre la somme reçue en trois portions, deux par Western Union et la troisième par Moneygram. L’interface de gestion permettant ensuite de fournir les références des transactions pour le retrait par leur destinataire.

 

Les instructions transmises par l'entreprise criminelle

 

Que risque-t-on ?

La législation française peut être particulièrement sévère contre les personnes qui se trouvent impliquées dans ce type d’activités illégales. Selon qu’on saura ou non convaincre la justice de sa bonne foi, la mise en cause peut aller jusqu’à des accusations de recel ou de complicité.

En janvier dernier, je relatais une opération de police judiciaire menée conjointement par la gendarmerie et la police judiciaire dans les Alpes Maritimes, impliquant plusieurs de ces mules. Bien évidemment leurs commanditaires sont aussi recherchés dans ce type d’enquêtes.

Que faire ?

Bien évidemment, méfiez-vous de toutes les offres d’emploi qui promettent un travail facile, à domicile, et qui suppose la réception et la retransmission de colis ou de sommes d’argent. N’hésitez pas à signaler de tels faits sur la plateforme de signalement du ministère de l’intérieur: https://www.internet-signalement.gouv.fr/.

Si vous êtes dans cette situation, arrêtez rapidement toute coopération, et rendez vous dans votre brigade de gendarmerie ou le commissariat de police le plus proche pour signaler votre employeur malhonnête. Cette situation est effectivement complexe, aussi n’hésitez pas à faire appel à un avocat. Tous les éléments qui prouvent votre bonne foi et notamment le fait que vous signaliez de vous-même la situation plaideront en votre faveur, ainsi que la restitution de toutes les sommes ou marchandises indûment perçues.

Enfin, si vous êtes commerçant ou particulier, à l’autre bout de la chaîne, c’est-à-dire si votre compte bancaire a été débité à votre insu, votre carte bancaire utilisée pour effectuer des achats frauduleux, votre site de commerce électronique victime de ces abus, déposez plainte le plus rapidement possible en apportant l’ensemble des éléments à votre disposition pour permettre l’identification rapide des suspects.

Et les enquêtes internationales finissent par aboutir. En témoigne l’opération « Trident BreACH/ACHing mules » menée récemment conjointement par les polices américaine, anglaise et ukrainienne.

Quelles infractions peuvent commettre les participants à des board « warez »

Etant donné que certains ont des doutes sur l’illégalité des actions commises sur les forums dits « warez », je me suis dit qu’il pourrait être utile de faire une liste des infractions que l’on peut envisager relever dans ces circonstances. Attention, je ne parle pas d’une affaire en particulier, mais uniquement des différents aspects que l’on peut considérer face à une telle situation.

Les forums « warez » ou autres communautés « warez » sont des regroupements plus ou moins importants de personnes sur Internet, dans le but d’accéder à des copies d’œuvres de l’esprit, échanger sur la manière d’accéder à ces copies ou d’en contourner les protections (échanges de cracks, mots de passe, licences, etc.).

En général, les outils utilisés par ces communautés sont aujourd’hui des forums de discussion hébergés sur un site Web, mais ils peuvent aussi utiliser des serveurs FTP, des espaces de discussion IRC ou des portails Web de toute nature. Les œuvres de l’esprit habituellement concernées sont historiquement des logiciels informatiques et en particulier des logiciels de jeux, de la musique ou des films.

Infractions auxquelles penser

Outre les infractions de contrefaçon d’œuvres de l’esprit (code de la propriété intellectuelle) que l’on peut légitimement supposer commises par la plupart de ceux qui diffusent des copies d’œuvres contrefaites, où ceux qui cherchent activement à en obtenir, les infractions suivantes peuvent aussi être envisagées pour un ou plusieurs des acteurs :

  • parfois, on va relever des actes d’atteintes à des systèmes de traitement automatisé de données (article 323-1 et suivants du code pénal), lorsque sont utilisés, pour stocker les œuvres contrefaites, des machines ou serveurs connectées à Internet, à l’insu de leur propriétaire légitime ;
  • la diffusion, lorsqu’elle est susceptible d’être vue ou perçue par un mineur d’un contenu à caractère violent, pornographique ou portant atteinte à la dignité humaine (article 227-24 du code pénal) – en effet certains espaces des communautés warez diffusent très librement, à tous leurs membres dont l’âge n’est pas contrôlé, des films notamment à caractère pornographique ;
  • la provocation à commettre un délit (article 23 de la loi sur la liberté de la presse) – en effet, tout est fait, organisé, expliqué, voire exigé pour pouvoir rester sur le forum, afin que les utilisateurs participent aux activités de contrefaçon.
  • le corollaire de cette infraction de provocation est qu’on pourra parfois envisager la circonstance aggravante de la bande organisée (soit une peine maximale de cinq ans d’emprisonnement et 500.000 € d’amende pour la contrefaçon commise en bande organisée) ;
  • enfin, lorsque des revenus financiers sont tirés de cette activité, on pourra relever différentes infractions de travail dissimulé ou relatives aux impôts et cotisations sociales non versés.

Bien entendu ces infractions sont à adapter aux actions commises par les différents participants. Toutefois, sans être l’auteur principal de telle ou telle infraction, toute personne qui aura aidé pourra être poursuivie pour complicité. Cette aide peut intervenir de multiples façons, y compris par fourniture de moyens (prêt d’un espace de stockage sur un serveur Web par exemple, conseils techniques, etc.).

Juridiction et territorialité

Sur le plan de la compétence territoriale, toute infraction dont un élément au moins se déroule en France est punissable en France, et un enquêteur puis un magistrat pourront bien évidemment s’en saisir. En particulier si l’auteur de l’infraction se trouve en France, même s’il agit uniquement sur Internet, il pourra être évidemment poursuivi, où que se trouve par exemple le serveur de mise à disposition des contrefaçons ou le forum de la communauté warez.

Conclusion

Les armes juridiques sont donc multiples qui permettent de lutter contre ces formes de contrefaçon réalisées de façon concertée sur Internet, les formes les plus graves à mes yeux étant réalisées par ceux qui en tirent des revenus.

Ouverture de la conférence Octopus Interface du Conseil de l’Europe

Maud de Boer-Buquicchio, SG adj. du CoE

C’est Maud de Boer-Bouquiccho, secrétaire générale adjointe du Conseil de l’Europe qui nous a fait l’honneur d’ouvrir la conférence Octopus Interface 2010 qui se tient du 23 au 25 mars 2010 à Strasbourg.

Le point clé de son discours est la nécessité de trouver un équilibre entre la recherche d’une meilleure sécurité sur Internet et la protection des droits humains et de la vie privée. Ces intérêts sont d’ailleurs aussi des cibles pour les délinquants que les autorités policières et judiciaires sont chargées de protéger.

L’Azerbaijan et le Monténégro sont les deux derniers pays à avoir ratifié la Convention du Conseil de l’Europe sur la Cybercriminalité. L’Argentine, au travers des paroles exprimées par Eduardo Thill -secrétaire-adjoint à la gestion des technologies, cabinet des ministres, Argentine – a exprimé officiellement sa volonté de rejoindre les pays signataires de la convention. Le Portugal a déposé officiellement les instruments de sa ratification pendant la conférence et est donc devenu le 29ème pays partie à la convention.

La carte des pays signataires et ayant ratifié à ce jour la convention est représentée ci-dessous (cliquer pour agrandir, nota: le Portugal n’apparait pas encore comme ayant ratifié) :

Pour mémoire, la convention du Conseil de l’Europe vise à harmoniser les incriminations en matière d’atteintes contre les systèmes d’information, les droits d’auteur ou les mineurs sur Internet ainsi qu’à renforcer les outils de coopération policière et judiciaire entre les Etats parties à la convention, en particulier en matière d’accès aux éléments de preuve détenus par les opérateurs de communications électroniques.

6 ateliers vont se tenir au cours des trois jours de la conférence pour aborder les sujets suivants :

  • La formation des magistrats à la lutte contre la cybercriminalité ;
  • Les responsabilités croisées et la coopération entre les services répressifs et les organes consultatifs ou techniques (ICANN, RIPE, etc…) ;
  • Le développement de la convention du Conseil de l’Europe au niveau mondial ;
  • Une cartographie des réseaux et des initiatives ;
  • Le renforcement des capacités et l’assistance technique contre la cybercriminalité ;
  • Le développement de mesures efficaces contre l’exploitation et les abus sexuels commis à l’encontre des enfants sur Internet.

Et on continue de dire des bêtises sur les outils d’espionnage

Aujourd’hui c’est le Parisien qui répète les mêmes erreurs contre lesquelles j’avais averti mes lecteurs le 7 février dernier et qu’avait commises M6 ce soir-là.

On peut lire dans l’article du Parisien du 8 mars 2010, qui est inclus dans un dossier sur les outils d’espionnage des téléphones portables:

Interdit à l’usage, pas à la vente
Un an de prison et jusqu’à 45 000 € d’amende : c’est ce que l’on risque en jouant les apprentis espions. La loi française, en vertu des articles 226-1 et suivants du Code pénal, est très claire en matière d’atteinte à la vie privée.
Il est ainsi répréhensible de « capter, enregistrer ou transmettre, sans le consentement de leurs auteurs, des paroles prononcées à titre privé ou confidentiel ».

Eh bien non ! L’article 226-3 du code pénal interdit « […] la fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente, en l’absence d’autorisation ministérielle dont les conditions d’octroi sont fixées par décret en Conseil d’Etat, d’appareils conçus pour réaliser les opérations pouvant constituer l’infraction prévue par le deuxième alinéa de l’article 226-15 ou qui, conçus pour la détection à distance des conversations, permettent de réaliser l’infraction prévue par l’article 226-1 et figurant sur une liste dressée dans des conditions fixées par ce même décret. […] »

Ce n’est d’ailleurs pas pour rien que les deux sociétés citées dans l’article du Parisien sont basées pour l’une au Royaume-Uni et pour l’autre en Suisse. Vous noterez au passage, que non seulement la vente sans autorisation, mais aussi la simple détention (notamment par un particulier) d’outils d’espionnage de cette nature sont illégales sans l’autorisation appropriée (on risque un an de prison et 45000 euros d’amende) !

Du statut juridique des traitements de l’adresse IP

(suite à mon billet précédent sur l’obligation de notification d’incidents de sécurité)

Le texte issu de la commission des lois

La proposition de loi Détraigne/Escoffier aborde aussi le statut de l’adresse IP dans les traitements de données et propose un article 2 finalement assez simple :

Le deuxième alinéa de l’article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée :

« Tout numéro identifiant le titulaire d’un accès à des services de communication au public en ligne est visé par le présent alinéa. »

Et l’alinéa 2 de cet article 2 de la loi informatique et libertés dit aujourd’hui :

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Donc tout numéro identifiant le titulaire d’un accès à des services de communication au public en ligne serait réaffirmé comme étant une donnée à caractère personnel.

Le débat sur l’adresse IP

Le débat qui amène à cette rédaction est très bien résumé dans le rapport de la commission des lois du Sénat. Un des éléments clés de celui-ci est que seul l’opérateur qui attribue les adresses IP pour les connexions de ses abonnés et éventuellement la justice qui requerrait l’identification de l’adresse IP peut connaître l’identité de son titulaire. Et donc la collecte d’adresses IP pourrait ne pas être considérée comme une collecte de données personnelles, puisque seul un tiers peut faire cette relation.

Mais, cela se heurte à plusieurs réalités:

  • beaucoup de fournisseurs d’accès offrent des adresses IP « statiques » à leurs abonnés, et il suffit d’avoir un échange sur Internet avec une personne, ou chercher des traces de l’activité de cette adresse IP sur Wikipédia pour essayer de l’identifier ;
  • toute personne qui présente un préjudice par la publication d’un contenu sur Internet peut obtenir l’identification de l’adresse IP à l’origine de cette publication, en faisant appel à la justice, en vertu de l’article 6 de la loi pour la confiance dans l’économie numérique.

Est-ce que la loi proposée répond au problème technique ?

En préambule, il est très difficile de trouver des formulations légales qui décrivent complètement un problème technique donné et qui soient insensibles aux évolutions technologiques. Donc l’exercice auquel se livre ici le législateur est évidemment délicat.

Ainsi, avant l’intervention de la commission des lois, le texte de la proposition de loi visait :

toute adresse ou tout numéro identifiant l’équipement terminal de connexion à un réseau de communication

En termes techniques, cela recouvre une adresse MAC, une adresse IP ou même le numéro IMEI d’un téléphone mobile, donc à la fois des adresses et des identifiants. Le texte de la commission des lois est plus restrictif en ce qu’il ramène à l’adresse IP attribuée par un fournisseur d’accès à son abonné. Au passage, je ne suis pas tout à fait d’accord avec la commission des lois qui déclare dans son rapport :

En effet, son attention a été attirée sur le fait que la rédaction retenue visait l’adresse MAC de l’ordinateur, et non l’adresse IP attribuée par le fournisseur d’accès.

puisque, le texte faisait référence à « toute adresse ou tout numéro identifiant », l’interprétation aurait pu être plus large et bien inclure l’adresse IP.

Cela étant dit, est-ce que la rédaction proposée est satisfaisante ? Très modestement, je dirais que ce n’est pas encore le cas. En effet, « tout numéro identifiant le titulaire d’un accès à des services de communication au public en ligne » recouvre plusieurs situations.

1. Pour commencer cela recouvre tout numéro d’abonné qu’aurait attribué le fournisseur d’accès, y compris une donnée qui n’est pas utilisée sur Internet (le numéro « client »)

Pour répondre à cette difficulté, il suffirait d’écrire: « tout numéro identifiant, sur un réseau de communications électroniques, le titulaire d’un accès à des services de communication au public en ligne » pour bien signifier qu’on parle d’un identifiant technique sur Internet.

2. Ensuite, cela ne recouvre pas forcément les adresses publiques que verront les serveurs ou les autres machines sur Internet.

En effet, l’adresse attribuée à un abonné peut très bien être une adresse sur un réseau local ou privé, comme c’est le cas pour les abonnés se connectant via les services des opérateurs de téléphonie mobile qui attribuent des adresses IP privées et ne transparaissent pour les interlocuteurs sur Internet que les adresse IP des serveurs « proxy » de l’opérateur. Ainsi, plusieurs centaines ou plusieurs milliers d’abonnés utilisent l’adresse IP de ce proxy au même moment, cette adresse ne les identifie donc pas individuellement.

A un instant donné, ce sont par exemple l’adresse IP de ce proxy et le port utilisé pour sa communication qui identifient de façon unique un abonné vis à vis de l’Internet.

Selon la définition de la proposition de loi, l’adresse IP du proxy ne constitue pas une donnée à caractère personnel. Or il suffit de l’associer au numéro de port évoqué ci-dessus ou à un intervalle de temps suffisamment précis pour qu’on identifie bien une personne ou un nombre très restreint de personnes.

3. Écueil beaucoup plus important: la notion d’adresse sur Internet ne se limite pas à des numéros

En effet, une adresse IP est identifiée plus classiquement par un nom plus facile à manipuler par l’être humain, le nom d’hôte et le nom de domaine (ou nom d’hôte plus simplement). C’est le système des serveurs DNS qui fournit la correspondance entre les adresses IP et ces noms d’hôte. Tel que proposé par la commission des lois, le texte ne fait pas du nom d’hôte des abonnés à Internet une donnée à caractère personnel, puisqu’il ne renvoie qu’aux numéros.

Par exemple, un abonné de l’opérateur Free aura pour nom d’hôte déclaré une adresse de la forme « XXX.fbx.proxad.net » ou XXX est une série de lettres et de chiffres qui contiennent d’ailleurs dans ce cas l’adresse IP. Et il pourra tout aussi bien se faire attribuer des noms d’hôtes plus personnels comme sur dyndns.fr ou no-ip.com.

Pour répondre aux problèmes posés par les points 2. et 3. ci-dessus, on pourrait reprendre partiellement les termes proposés dans la rédaction initiale et écrire : « Tout numéro, toute adresse ou toute combinaison de ces informations identifiant, sur un réseau de communications électroniques, le titulaire de l’accès à des services de communication au public en ligne ».

4. Mais en fait, avec l’adresse IP, on n’identifie pas réellement le titulaire de l’accès

En effet, le titulaire de l’accès à Internet est une personne, physique ou morale, titulaire d’un abonnement. Au titre de cet abonnement, elle se voit attribuer temporairement (adresses IP dynamiques) ou pour toute la durée de son abonnement (adresses IP statiques) une adresse IP lui permettant de communiquer sur Internet. Sur Internet, cette adresse IP n’identifie pas le titulaire de l’abonnement mais une machine (la plupart du temps aujourd’hui sa box ADSL).

Il peut y avoir derrière cette adresse plusieurs équipements, dont des ordinateurs, des appareils mobiles connectés, des lecteurs DVD ou des téléviseurs (certains de ces appareils intègrent aujourd’hui des applications de navigation sur Internet). Rien ne dit qu’à un quelconque moment l’utilisateur de cet abonnement soit le titulaire de l’accès. Pourtant c’est bien la seule personne que le fournisseur d’accès est en mesure d’identifier.

Donc le technicien, arguera que l’adresse IP que l’on cherche ici à protéger n’identifie pas réellement le titulaire de l’abonnement, mais simplement un équipement connecté au réseau à un instant donné. L’enquêteur acquiescera volontiers, mais soulignera que la seule façon d’attribuer une action relative à cette connexion c’est d’abord d’identifier le titulaire de l’abonnement (qui dans une large partie des cas sera aussi l’utilisateur de cette connexion, ou le chef de famille).

Au passage, l’adressage de la norme future de l’Internet (IP v6), permettra d’attribuer des blocs entiers d’adresses IP à un même titulaire.

Donc, oui, au sens de la loi informatique et libertés, l’adresse IP ou le nom d’hôte, même s’ils correspondent sur le plan technique à des équipements, identifient bien à un instant donné un titulaire d’un accès au réseau. La rédaction proposée semble donc bien la seule possible pour répondre à cette problématique.

5. Quel sort donne-t-on aux autres adresses sur Internet ?

En effet, lorsqu’on est amené à collecter des adresses IP (ou des noms d’hôte), par exemple en vue d’identifier les sources des attaques contre ses équipements, est-ce que l’on est en mesure de faire la différence entre celles qui correspondent à des titulaires d’un accès à des services de communication au public en ligne (des abonnements Internet) et celles qui correspondent à des serveurs, des routeurs ou d’autres équipements sur Internet ?

Si l’on prend le cas des serveurs, mis à disposition dans le cadre d’un contrat d’hébergement, ils peuvent tout aussi bien permettre d’identifier leur titulaire et la fonction d’un serveur est aussi variée qu’on peut l’imaginer. Et pourtant les adresses de ces serveurs ne seraient pas concernés par une telle définition.

Si l’on veut être aussi large que possible, tout en excluant les équipements réellement « neutres » de l’Internet tels que les équipements de routage des opérateurs, on pourrait proposer la rédaction suivante : « […] identifiant le titulaire d’un service offert par une personne visée au 1 ou au 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. »

(Le I de l’article 6 de la LCEN est en effet le lieu de la définition en creux des FAI (1°) et des hébergeurs (2°))

Conclusion

Il est donc effectivement indispensable de clarifier la nature juridique de l’adresse IP ou de ses équivalents, pour éviter les fluctuations jurisprudentielles et donc les incertitudes juridiques pour les responsables de traitement et les correspondants informatique et libertés.

On ne peut pas imposer que tous les traitements d’adresses IP ou de noms d’hôte soient considérés par défaut comme des traitements de données à caractère personnel. Ainsi, le gestionnaire des adresses internes des équipements d’une salle machine dans une entreprise serait inutilement embarrassé, tout comme l’opérateur de communications électroniques qui gère un grand nombre d’identifiants purement techniques.

La proposition que je me permets modestement d’apporter aujourd’hui paraît donc au final complexe, mais semble répondre aux écueils que j’ai pu identifier jusqu’à présent, tout en respectant les définitions juridiques couramment employées :

« Tout numéro, toute adresse ou toute combinaison de ces informations identifiant, sur un réseau de communications électroniques, le titulaire d’un service offert par une personne visée au 1 ou au 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est visé par le présent alinéa. »

Il faut rendre les notifications d’incidents de sécurité obligatoires

Sénat (GNU FDL)

Retour sur le Paquet télécoms

J’évoquais voilà un an la volonté émise par l’Union européenne de rendre obligatoire la notification des incidents de sécurité dont sont victimes les opérateurs de communications électroniques, lorsqu’ils ont un impact sur des données personnelles. Cette disposition a été adoptée lors du vote final du « Paquet télécoms » au mois de novembre 2009 (un article à ce sujet et un résumé des dispositions sur le site de l’Union européenne).

La proposition de loi Détraigne/Escoffier

La France pourrait adopter très rapidement une telle disposition. En effet, une proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique » (voir le dossier législatif), a été déposée au Sénat par M. Yves Détraigne et Mme Anne-Marie Escoffier et elle sera débattue dès ce 23 mars. Ce texte a pour objectif affirmé d’appliquer dès que possible un certain nombre de dispositions du Paquet télécoms. La commission des lois a déposé son rapport le 24 février dernier. On trouve dans ce texte plusieurs mesures portant notamment sur:

  • l’information des usagers sur l’utilisation des données personnelles (notamment sur le régime des cookies) ;
  • le droit à l’oubli ;
  • une clarification du statut de l’adresse IP ;
  • et l’obligation pour tous les responsables de traitements de données à caractère personnel de notifier la CNIL en cas d’atteintes à ces traitements.

Plus précisément, après l’examen par la commission des lois, l’article 7 serait ainsi rédigé :

L’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Art. 34. – Le responsable du traitement met en oeuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicites.

« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant « informatique et libertés », ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le correspondant « informatique et libertés » prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données et informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant « informatique et libertés ».

« Les dispositions du présent article ne s’appliquent pas aux traitements de données à caractère personnel désignés à l’article 26.

« Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés aux 2° et 6° du II de l’article 8. »

C’est un réel progrès par rapport aux dispositions prévues dans la directive européenne. En effet, celle-ci se limite, à cause de son contexte, aux opérateurs de communications électroniques. La proposition de loi est ici plus rationnelle en ce qu’elle fait peser les mêmes responsabilités à tous les responsables de traitement.

A quelle situation cherche-t-on à répondre ?

Sans vouloir faire de reproches à l’un ou l’autre, les pays qui ont de tels régimes de notification nous montrent qu’en réalité ce ne sont pas les opérateurs qui rencontrent le plus d’incidents, mais beaucoup plus souvent les professionnels du commerce électronique. Certainement parce qu’ils sont beaucoup plus nombreux que les opérateurs de communications électroniques et peut-être parce que la sécurité des traitements de données personnelles y est malheureusement parfois jugée moins prioritaire ou trop coûteuse.

Ainsi, on apprenait vendredi que les clients du groupe hôtelier Wyndham ont été victimes pour la troisième fois (!) d’une attaque réussie contre le système d’information de cette entreprise. Et les exemples sont extrêmement nombreux aux Etats-Unis, à cause de l’obligation de notification qui tend à se généraliser (avec à la clé un projet de législation fédérale). Ainsi, le site databreaches.net (qui affiche comme titre presque comme un service fédéral « Bureau de la sécurité inadaptée« ) se fait fort de référencer toutes les attaques qui touchent des données personnelles.

En Europe des alertes semblables sont rares, en France elles sont quasi inexistantes. Pourtant, certains sites d’information se font fort de mettre en avant les failles de sécurité (et j’avais expliqué les risques juridiques inhérents à cette activité ici). En octobre dernier, une attaque réussie contre un commerçant espagnol avait des répercussions jusqu’en Finlande. Encore en Finlande, on apprenait cette semaine que près de 100.000 références bancaires ont été dérobées dans les ordinateurs d’un commerce.

Lorsque les clients sont avertis d’un tel incident avéré, cela leur permet de prendre des mesures. Par exemple, lorsque cela concerne leur numéro de carte bancaire, ils peuvent procéder à des vérifications plus approfondies qu’à l’habitude sur leurs relevés de compte et si nécessaire demander le renouvellement de leur carte compromise.

Enfin, il est très rare qu’une entreprise soit poursuivie au titre de l’article 226-17 du code pénal (pour défaut de sécurisation d’un traitement de données à caractère personnel). Non pas parce que de telles situations n’arrivent pas, mais très clairement, lorsqu’on compare au nombre d’incidents qui surviennent ailleurs dans le monde, parce qu’elles restent confidentielles. Je ne souhaite pas la multiplication de telles enquêtes, mais lorsqu’elles sont justifiées, la nouvelle rédaction de l’article 34 de la loi informatique et libertés sera soit plus dissuasive, soit plus facile à appliquer.

Cette proposition de loi remplit donc plusieurs objectifs :

  • rendre plus opérationnelle et plus claire l’obligation de sécurisation prévue par l’article 34 de la loi informatique et libertés ;
  • sensibiliser plus avant les responsables de traitement sur leurs obligations, ainsi que sur le rôle que peut jouer dans cette affaire le correspondant informatique et libertés ;
  • enfin, à permettre aux victimes d’être effectivement informées et de prendre toutes mesures pour prévenir un impact plus important sur leurs données personnelles.

Parmi les recommandations que je donnerais aux responsables de traitement – et donc aussi aux correspondants informatique et libertés qui sont mis en avant dans la proposition de loi – c’est de ne pas hésiter à déposer plainte lorsque de tels incidents sont découverts. En effet, le meilleur remède à ces attaques est de pouvoir en interpeller les auteurs et il ne nous est pas possible de le faire sans recueillir des preuves auprès des victimes et sans initier des enquêtes.

Usurpation d’identité, Jeux dangereux

Assemblée nationale (Photo: GPL)

Le débat sur la LOPPSI s’achève bientôt en première lecture à l’Assemblée Nationale. L’objet de ce billet est d’aborder deux dispositions de ce texte, telles qu’elles ont été votées aujourd’hui 11 février 2010: l’usurpation de l’identité sur Internet et la diffusion de messages incitant aux jeux dangereux pour les enfants (le « jeu du foulard » par exemple).

L’usurpation d’identité en ligne

L’article 2 de ce projet de loi prévoit une nouvelle incrimination pour certaines formes d’usurpation d’identité commises sur les réseaux de communications électroniques. Le texte issu du vote d’aujourd’hui est le suivant:

Art. 222-16-1. – Le fait de faire usage, de manière réitérée, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende.
Est puni de la même peine le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de porter atteinte à son honneur ou à sa considération.

Ainsi, deux modifications ont été apportées au projet issu de la commission des lois de l’assemblée nationale:

  • La suppression de la notion de réitération. En effet, l’objectif assigné au texte est de réprimer l’usurpation de l’identité dès lors qu’elle a pour intention de troubler la tranquillité d’une personne, ce qu’un seul de ces abus peut entraîner grâce à l’effet multiplicateur d’Internet.
  • La modification de la mention qui visait à recouvrir les formes de l’identité qui sont utilisées sur les réseaux de communication (pseudonymes, adresses de courrier électronique, …) pour la formule soulignée ci-dessus: « données de toute nature permettant de l’identifier ».

Plusieurs questions sont apparues dans le débat qui feront peut-être l’objet de clarifications lors des prochaines étapes du travail parlementaire:

  1. Couvre-t-on le cas des services de communication au public en ligne ? Les réseaux sociaux notamment ?
  2. De même, que penser des identifiants qui ne sont pas spécifiques à une personne ? En effet, le même pseudonyme peut-être utilisé par plusieurs personnes, dans des contextes ou à des moments différents, sans qu’il y ait d’intentions malhonnêtes, juste par le fait du hasard.
  3. L’objectif étant de viser l’usurpation d’identité sur les réseaux, n’interdit-on pas par la même occasion la possibilité d’utiliser l’image d’une personne à des fins légitimes ?

Sur le premier point, l’ensemble de ces services étant supportés par des réseaux de communications électroniques (la communication au public en ligne est en réalité une forme de communication supportée par les réseaux de communications électroniques), les réseaux sociaux et autres formes de communications en ligne sont couverts.

Sur le second point, je pense que les preuves collectées en vue de déterminer l’élément intentionnel de l’infraction devront effectivement démontrer la volonté d’abuser de l’identité d’un tiers en particulier, donc cet écueil semble écarté en première analyse.

Sur le troisième point, l’intention du législateur semble suffisamment claire pour que le contexte de l’usurpation d’identité sur les réseaux soit l’unique motivation retenue.

Les jeux dangereux pour les enfants

Le « jeu du foulard » et d’autres formes de jeux dangereux pratiqués par les jeunes adolescents et parfois de plus jeunes enfants occupe trop régulièrement l’actualité et de même qu’il est reproché la diffusion de certains messages incitant à des pratiques alimentaires dangereuses (anorexie), ou l’assistance au suicide (situation déjà réprimée par les articles 223-13 et suivants du code pénal), la publication de messages ou de vidéos faisant la promotion de ces jeux dangereux a été identifiée comme une cause possible de leur développement.

Ainsi, en octobre 2009, deux députés du groupe UMP de l’Assemblée nationale, Patrice Verchère et Cécile Dumoulin ont publié un rapport sur ce sujet qui faisait un certain nombre de propositions, dont des mesures de sensibilisation qui sont évidemment nécessaires pour prévenir ces actes, mais aussi l’aménagement de l’article 227-24 du code pénal pour réprimer la diffusion de ces contenus vers les plus jeunes.

Le texte, issu de l’amendement n°185 discuté aujourd’hui, aurait cette forme:

Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu’en soit le support un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger, soit de faire commerce d’un tel message, est puni de trois ans d’emprisonnement et de 75000 euros d’amende lorsque ce message est susceptible d’être vu ou perçu par un mineur.

Lorsque les infractions prévues au présent article sont soumises par la voie de la presse écrite ou audiovisuelle ou de la communication au public en ligne, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables.

A noter que cette disposition a été votée à l’unanimité des députés présents, avec l’avis favorable du gouvernement et du rapporteur, M. Eric Ciotti. (L’amendement n°8 qui voulait étendre le blocage des sites pédopornographiques aux contenus relevant de l’infraction de l’article 227-24 a été retiré au cours des débats).

En clair, de tels messages ne sont pas illégaux, mais on doit empêcher les mineurs d’y accéder, ce sont bien eux qu’on cherche à protéger.

Les difficultés habituellement rencontrées dans l’application de l’article 227-24 subsistent toutefois. Comme le Forum des droits de l’Internet le rappelait les recommandations du groupe de travail « Les enfants du Net », il est difficile aujourd’hui de mettre en œuvre des solutions adaptées au contrôle de la majorité des visiteurs sur un site Internet. Toutefois, cela incitera – pénalement – les professionnels qui seraient amenés à héberger de tels contenus de prendre les mêmes mesures qu’ils prennent pour empêcher les mineurs d’y accéder (absence de publicité pour ces sites destinée aux mineurs, messages d’avertissements, marquage des pages pour en faciliter la détection par les logiciels de contrôle parental, etc.).

La suite donc sur ces deux nouveaux types d’infraction lors des débats au Sénat, qui pourrait se tenir à la mi-avril.

%d blogueurs aiment cette page :