Les clowns au tribunal
Blackclowns - Issue 01 - Article 11
Divulgâchage : Nous sommes tous censé connaître la loi… Ce principe est nécessaire à la justice, mais qui peut se vanter de connaître les quelques 8000 lois et 110 000 décrets? Or, connaître la loi, ou au moins les parties qui nous concernent, est bien pratique pour savoir ce qui est et ce qui n’est pas autorisé…
Avertissement ! Cet article a été écrit en août 2008 et proposait une synthèse personnelle du code pénal. Certaines choses ayant évolué depuis, considérez-le comme une archive.
Introduction
Nous sommes tous censés connaître la loi… Ce principe est nécessaire à la justice, mais qui peut se vanter de connaître les quelques 8000 lois et 110 000 décrets ? Or, connaître la loi, ou au moins les parties qui nous concernent, est bien pratique pour savoir ce qui est et ce qui n’est pas autorisé…
Dans cet article, nous allons vous présenter les articles du Code Pénal français du point de vue du pirate. Nous allons donc passer en revue les différentes activités qui relèvent plus ou moins du domaine de la sécurité informatique et les articles du code pénal qui les concernent.
Tout d’abord, nous avons restreint nos recherches à la France. C’est en effet le pays de la plupart d’entre nous. Il nous parait inutile d’aborder les législations étrangères sans commencer par comprendre nos propres lois. Enfin, traiter plusieurs pays aurait alourdis cet article, sans être rentable.
Ensuite, nous ne traiterons ici que du Code Pénal. La sécurité informatique est en fait concernée par des lois de plusieurs codes, dont le code de la propriété intellectuelle et le code des postes et des communications. Vu la taille de ces codes, nous avons préférer n’en traiter qu’un dans un premier temps, les autres feront l’objet d’articles séparés.
Malgré ces restrictions, le code pénal fournis déjà son lot de lois intéressantes.
Pour commencer, nous allons voir quelques préliminaires nécessaires à la compréhension du reste. Ensuite, nous entrerons dans le vif du sujet en traitant des activités autour du hack. Ensuite, viendra une partie plus “old school”. Enfin, nous discuterons d’un certain nombre d’idées reçues à propos de la loi.
Préliminaires
La loi s’applique dès que la France est impliquée
Tout d’abord, la loi française s’applique dès qu’une des parties de l’infraction est commise sur son territoire [Art. 113-1 et 113-2]. Notez qu’il ne s’agit pas que de l’effet, mais d’un des actes constitutifs. Ainsi, lancer des commandes en France qui seront exécutées sur un ordinateur en Corée (par exemple) est réglementé par les lois Françaises. De même, si l’attaque à lieu depuis l’étranger sur un serveur situé en France, la loi française s’applique aussi. Petit détail qui a son importance, les bateaux [Art. 113-3] portant le pavillon français, les avions [Art. 113-4] immatriculés en France sont considéré comme faisant partie du territoire.
Encore plus fort, si l’un des acteurs (auteur ou victime) est Français [Art. 131-6 et 131-7], ou si l’acte est commis dans un avion qui atterri en France ou est loué par une société française [Art. 131-11], la loi française s’applique aussi. Cependant, toutes les infractions ne sont pas concernées… il ne s’agit, pour ce paragraphe, que des crimes ou alors des délits (mais ceux-ci doivent être sanctionnés par le pays où l’acte est commis).
Différence entre délits et crimes
D’après la loi [Art. 111-1 et 131-1], les infractions sont classées en crime et en délit suivant leur gravité. Cette gravité est définie par la loi au cas par cas. En règle générale [Art. 131-1], les crimes sont les infractions punies de plus de 10 ans d’emprisonnement. Cependant, il suffit parfois de requalifier les faits pour faire d’un délit, un crime.
Il faut une intention
Pour qu’une infraction soit punie, il faut qu’il y aie intention ou mise en danger [Art. 121-3]. Si vous n’aviez pas l’intention de faire ce pourquoi on veut vous incriminer, la loi ne s’applique pas. Ainsi, si vous êtes victime d’un coup monté, la loi vous protège dans une certaine mesure. Il ne faut par contre pas prendre les juges pour ce qu’ils ne sont pas, et invoquer que votre intrusion de la dernière nuit était le fait de votre d’ébriété ne comptera pas ;).
Le complice risque autant que l’auteur
Tout d’abord, l’auteur est les personne qui commet le crime ou le délit, ou qui tente de le faire [Art. 121-4].
On peut être complice dans deux cas [Art. 121-7]. Dans le premier cas, il faut que vous ayez aidé sciemment à la réalisation de l’acte. Dans le deuxième, il vaut que vous ayez provoqué l’acte. Ainsi, quelqu’un qui vous demande de commettre un acte sera considéré comme complice.
Enfin, le complice est puni comme l’auteur du crime [Art. 121-6]. Aider à une infraction où en faire faire une sera puni comme si vous l’aviez fait… Demander à un amis de pirater un site pour vous ne vous rend donc pas punissable.
Les peines sont des maximas
En France, la loi stipule des peines maximales. Cela signifie qu’un juge peut très bien vous condamner à une peine plus petite que celle donnée dans la loi. C’est à lui de prendre en compte la gravité réelle de l’acte, les éventuelles conditions atténuantes. La réduction de la peine se fait donc au cas par cas et le juge est (c’est le cas de le dire), seul juge.
Dans la suite, les peines citées sont celle de la loi et forment donc un maxima. Dans les faits, les peines prononcées sont toujours plus petites et on peut parfois même avoir droit au sursis.
Le hack
Dans cette partie, nous allons discuter des lois qui concernent le hack en général. Le but n’est pas de définir ce qu’est ou ce que n’est pas le hack ; ce sujet donnant systématiquement naissance à un troll bien poilu. Nous avons ainsi regroupé dans cette section les activités tournant autour du piratage et de l’intrusion en général.
Nous commenceront systématiquement chaque partie en définissant plus précisément ce qui se cache derrière le titre, car la loi s’applique à des faits précis. Celà nous permettra aussi d’être sur qu’il n’y aie aucune ambiguïté dans les termes utilisés.
Recherche de failles et d’exploits
Sans doute la plus importante activité du piragage, la recherche de failles et d’exploit consiste à trouver les erreurs dans les programmes et les façons de les utiliser pour obtenir que le programme ai un comportement différent de celui prévu. La recherche de failles consiste uniquement à rechercher l’erreur et à inventer une technique pour l’utiliser. En aucun cas, il ne s’agit d’utiliser cette technique concrètement.
Heureusement, et assez logiquement, rien dans le code pénal n’interdit la recherche de failles ni la création d’exploits (ou presque, cf. 3.7.). En fait, c’est un moyen pour autoriser la recherche en sécurité informatique, et permettre aux entreprises de pouvoir se défendre contre le piratage. Heureusement, cela nous permet de faire aussi nos recherches.
Intrusion
L’intrusion est le fait, par un moyen quelconque, d’accéder à un système informatique et de l’utiliser. Il s’agit donc ici, notamment, de l’utilisation d’un exploit sur un serveur, du lancement de commandes, de la pose de backdoor, de rootkits et autres petites surprises pour le responsable de la sécurité.
Comme on peut s’en douter, c’est interdit [Art. 323-1]. En fait, s’introduire et/ou rester dans un système informatique est punissable de 3 ans d’emprisonnement et de 30 000 euros d’amendes. Cet article prévois de durcir la peine (3 ans et 45 000 euros) si il en résulte des modifications de données ou une altération du fonctionnement.
Les plus perspicaces auront déjà remarqué l’erreur… En effet, toute intrusion implique une modification de données (ne serait-ce que la mémoire du système qui contient notre exploit…) et une altération du fonctionnement (puisque nous sommes dessus). C’est en fait assez courant dans la loi; le législateur n’est pas informaticien et ne s’est pas entouré de personnes compétentes. Du coup, un certain nombre d’erreur de “bon sens informatique” se glissent ça et là. Ici, pas de chance pour les pirates, l’erreur durcis la peine.
Defaçage
Le défaçage consiste à changer un site web. Techniquement, il s’agit de changer les fichiers du site web. En pratique, les internautes se retrouveront avec une autre page que celle attendue. Ça peut aller du simple ajout de “piraté par Th3 W4rL0rdZ” à un changement complet de la page. Cette activité est aussi utilisée comme “contre-propagande” pour déstabiliser l’opinion publique vis-à-vis du gouvernement ou d’une entreprise.
C’est aussi interdit [Art. 323-2 et 323-3], et même puni plus durement. En effet, le fait de fausser le fonctionnement d’un système informatique [Art. 323-2] et le fait d’ajouter/modifier/supprimer des données [Art. 323-3] sont tous deux punis de 5 ans d’emprisonnement et de 75 000 euros d’amende.
Notez la peine de 5 ans de prison, elle a son importante pour la suite.
Utilisation des données
Par utilisation des données, nous entendons la collecte d’informations, leur traitement et leur commerce. La collecte peut aller de l’écoute du réseau au recopiage de fichiers une fois introduit dans un système en passant par les spywares.
Quand il s’agit de données personnelles, ces actions sont punies de 5 ans d’emprisonnement et d’une amende variable [Art. 226-16 à 226-24]. Il s’agit de dispositions de la loi relative aux fichiers et aux libertés.
Pour des données quelconques, on ne peut qualifier la collecte comme du vol. En effet, le vol est la soustraction de la chose qui ne nous appartient pas [Art. 311-1]. Or, en informatique, on ne soustrait pas, on copie ;-). Cf. section 4.2 pour plus d’infos.
Errata : Dans un arrêt du 20 mai 2015, la Cour de cassation a tranché et considéré que même si l’original est toujours disponible, le téléchargement s’assimile à du vol. On pourrait alors comprendre le vol comme l’appropriation de la chose d’autrui.
Cependant, le fait de donner/vendre ces données peut s’assimiler à du recel [Art. 321-1] et est puni de 5 ans de prison et de 375000 d’amende. Pour qu’il y ai recel, il faut que les données aient été obtenues de manière frauduleuse, ce qui comprend l’intrusion. Il faut aussi faire attention à qui vous vendez/donnez ces informations. En effet, le fait d’entretenir des rapports avec des puissances étrangères qui veulent nuire aux intérêts de la France est puni de 10 à 30 ans et de 150 000 à 450 000 euros d’amende [Art. 411-1 et 411-5].
Les DOS
Le Deny Of Service (ou Déni de service en français) est le fait d’empêcher un système de fonctionner ou d’offrir les services qu’il devrait. Ça va du fait d’encombrer le réseau au fait de crasher les programmes (ou de les arrêter tout simplement, mais c’est moins amusant).
C’est un article déjà mentionné qui s’applique ici, le 323-2. Le fait d’entraver le fonctionnement d’un système informatique est puni de 5 ans et de 75000 euros d’amende.
Par contre, n’ayez pas peur quand le windows du CDI crashe parce que la page web que vous regardez contient une erreur. Comme mentionné plus tôt, pour qu’il y ait infraction, il faut qu’il y ait intention… Faire crasher un serveur ou une machine par accident n’est pas pénalisable. Ainsi, ça nous permet d’utiliser des systèmes foireux sans risquer la prison (c’est déjà pas mal, avouons-le).
Les teams
Il est courant de se regrouper au sein d’une “team”, d’y avoir une page web et de se sentir comme faisant partie d’un groupe. Il s’agit le plus souvent de groupes tentant d’acquérir une certaine reconnaissance sur internet. Il s’agit aussi parfois de groupes travaillant autour d’un même thème et mettant leur efforts en commun.
Si vous participez, dans la team, à l’élaboration d’un piratage illégal (cf les autres parties), alors, vous prendrez comme si vous aviez commis l’acte. Il s’agit ici de participation. Ainsi, si votre team prépare quelque chose, mais que vous n’y participez pas, vous n’êtes pas concernés.
Cependant, si l’action tentée est punie d’au moins 5 ans (DoS, défaçage par exemple), la team peut être considérée comme association de malfaiteurs [Art. 450-1]. Dans ce cas, chaque membre (qu’il participe ou pas) risque 5 ans de prison et 75000 euros d’amende. Seule exception, la balance [Art. 450-2]. En effet, si avant toute poursuite, l’un des membres à balancé ses “amis” aux autorités, il est exempté de peines.
On a la un autre chouette cas … En effet, les articles 450-1 et 450-2 ne s’appliquent que si la peine encourue est de 5 ans au moins. Ainsi, si l’acte réprimé fait moins de 5 ans de prison (une intrusion simple), alors, c’est le 323-4 qui s’applique, et la balance n’est plus exempte de peines… Si vous voulez balancer vos “potes”, assurez vous bien qu’ils fassent plus qu’une intrusion ou que vous n’avez pas participé. Sinon, vous prendrez avec eux…
Les r3p0s1t0ry et sites web
Les repository’s sont des sites webs sous forme de répertoires contenants de la documentations et ou des outils, exploits et autres joyeusetés. Ils sont l’oeuvres de teams ou de personnes isolées. Le but est de diffuser de la documentation intéressante et ou originale et parfois une liste d’outils.
La loi a aussi prévu ce genre de chose [Art.323-3-1] mais est très floue sur ce point. En effet, cet article dit la chose suivante :
Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.
On note tout d’abord la nécessité du “motif légitime”. Celui-ci n’est défini nul part dans la loi et sera à l’appréciation du juge. Ainsi, un expert en sécurité, dont c’est le travail, aura tout le motif nécessaire pour posséder des exploits. Par contre, rien n’est tranché pour un citoyen curieux et autodidacte … La jurisprudence n’a pas encore tranché.
On note ensuite le “conçu ou spécialement adapté”. Ici aussi, c’est assez flou et ça n’est pas défini dans la loi. Toute la nuance vien de l’interpretation du “conçu” et “spécialement adapté”. Par bon sens, on peut ranger les exploits dans la catégorie des trucs illégaux et un navigateur web dans les trucs légaux. Mais qu’en est-il de nessus ou même aircrack ? Deux outils particulièrement pratique en sécu, … mais tout autant en piratage … C’est le même problème pour la documentation ; à partir de quand une documentation est-elle “spécialement adaptée” ?
Ici, c’est un mélange de “motif légitime” et de “conçu” qui permet ou non de diffuser des informations et des outils. Il s’agit de jouer sur les termes employés (pour les documentations) et des buts recherchés (pour les outils), ainsi que sur la façon de présenter les choses. En cas de litige, ce sera au juge de trancher sur cette question. Un bon avocat ne serait pas superflu.
Enfin, toute documentation qui n’implique pas les articles de la série 323-3 sont autorisés. Ainsi, publier des outils de hack est interdit, mais publier des techniques liées au cracking est autorisé.
Oldschool et divers
Dans cette partie, nous traiterons des activités liées au monde de la sécurité, du piratage, mais qui ne font pas vraiment partie du hack. Ainsi, on retrouvera entre autre, des choses habituellement appelées “old school”.
Social Engineering
Le social engineering (SE) est l’activité qui consiste à obtenir quelque chose (le plus souvent, une informations) en abusant de la confiance voire de la naïveté de la “victime”. Typiquement, téléphoner à un employer en se faisant passer pour le responsable du réseau et lui demander son mot de passe. L’humain étant le maillon considéré comme le plus faible en sécurité, cette technique est encore très utilisée et l’une des plus efficace.
En droit, cette activité est appelée escroquerie et est punie de 5 ans et 375000 euros d’amende et plus dans certains cas [Art. 313-1 à 313-2]. On note que la tentative est elle aussi punie des mêmes peines [Art. 313-3]. D’autres articles donnent des précisions sur certains cas. On peut citer par exemple : port d’uniforme [Art. 433-14 à 433-16], usage de faux diplômes [Art. 433-17] et enfin, le faux et usage de faux [Art. 441-1]. Ceux-ci rajoutent des peines pour des cas spéciaux, mais ne rendent pas le SE légal.
Phreaking et Espionnage
Le phreaking est le fait de détourner l’usage du réseau téléphonique à des fins autres que celles prévues initialement. Il s’agit surtout de téléphoner gratuitement ou d’utiliser des services vocaux (toujours gratuitement) mais aussi, et dans une moindre mesure, d’espionnage de conversations téléphoniques.
Le code pénal traite très peu les problèmes de télécommunications (et de communications en général). C’est en fait surtout le code des postes et des télécommunications qui s’en charge. Cependant, on trouve quand même dans le code pénal un article intéressant.
Il est en effet interdit, si commis de mauvaise foi, d’intercepter, divulguer, supprimer, modifier et détourner toute correspondance [Art. 226-15]. La peine ici est d’un an d’emprisonnement et de 45000 euros d’amende. Il est également interdit de poser des outils facilitant l’écoute, du système cablé pour écouter une ligne téléphonique, au sniffer réseau.
Les virus & cie.
Nous considérons ici les petits programmes qui arrivent sur notre machine sans qu’on l’ai voulu et qui utilise notre machine à leur propre fin. Par exemple, les virus infectent les programmes et se recopient. Les vers s’envoient de machines en machine via le réseau. Les chevaux de troye font partie d’un fichier ou programme plus grand et “légitime”. Une fois téléchargé, le chaval de troye s’active et permet, entre autre, d’ouvrir un accès distant à notre machine.
Dans tous ces cas, c’est interdit. Ces programmes ont besoin de se recopier quelque part dans la machine [Art. 323-3]. Ensuite, si le programme à une charge utile (par exemple, un code qui éteint le PC après 10 minutes de fonctionnement), l’article 323-2 s’applique. Enfin, les chevaux de troyes sont aussi punissable via l’article 323-1.
Cependant, la difficulté vient d’identifier l’auteur de l’acte… En effet, l’auteur du virus (par exemple) n’est pas nécessairement la personne qui l’a mis sur le réseau et s’il n’a pas diffusé publiquement son virus, il ne peut pas être complice. En fait, tous ces petits programmes ont la particularité de se cacher et finissent par arriver sur nos machines après un moment de voyage dans le réseau et il est impossible de connaître leur point d’origine.
On rejoint ici le problème d’identification de l’auteur de l’acte qui en informatique n’est pas toujours garantis. La loi prévoit des sanctions contre certains actes, mais il n’est pas toujours possible d’identifier l’auteur. C’est un problème récurent dans la loi en général. L’informatique est un univers spécial, c’est le domaine du virtuel et transposer la loi, par habitude très concrète et proche de la réalité, à cet univers est plus ou moins maladroit.
Commentaires et notions diverses
Nous allons ici discuter de deux idées propagées qui ne sont pas toujours tout à fait vraies… Le problème vient que la loi n’est pas toujours très rigoureuse (comme on l’a vu deux fois déjà) et permet des interprétations différentes.
Scanner une machine est presque légal
Une tentative de piratage à lieu quand le piratage n’a pas eu lieu à cause d’un événement indépendant de notre volonté [Art. 121-5]. Cette notion est importante car si vous commencez de pirater, et êtes interrompus par votre maman qui vous ordonne de venir à table, ou parce que la foudre à fait sauter les plombs chez vous, ce sera considéré comme une tentative. Par contre, si vous scannez une machine (en vue de l’attaquer), mais vous arrêtez parce que vous avez décidé, tout compte fait, de ne pas le faire, ça ne sera pas une tentative.
La tentative de piratage est punie comme si l’acte avait été comis [Art. 323-7]. Ainsi, dans le cas précédent, si vous scannez une machine et êtes interrompus, vous êtes passibles de 3 ans de prison (puisqu’on peut considérer que le scan est le début d’une intrusion). Par contre, si vous décidez de ne faire que scanner, mais pas plus, vous ne risquez rien.
Tous le jeux sera ici de prouver que c’est vous qui avez choisi de ne pas prolonger le scan, ou l’inverse si vous voulez faire condamner quelqu’un…
Pirater son propre matériel est presque légal
Bidouiller son propre matériel est légal. D’une part, certaines loi imposent un accès frauduleux comme l’article 323-1. D’autre part, pour être jugé, il faut que la victime porte plainte. Or, si vous piratez votre propre matériel, vous serez la victime, et à moins d’être schizophrène, vous ne risquez rien.
Par contre, si votre maman porte plainte parce que vous avez entravé le fonctionnement du lecteur DVD (en piquant une colère sur votre soeur qui regardait un film dont vous avez horreur), vous pourriez prendre 5 ans. Votre soeur qui a généré la colère a participé et vous formez avec elle une association de malfaiteurs… elle prendra donc 5 ans, comme vous ;).
Pour revenir au sujet, le fait que vous possédiez les codes permettant de bidouiller vos machine peut être considéré comme légal. En effet, le fait que vous soyez curieux et vouliez tester la sécurité de votre propre équipement peut servir de motif légitime au 323-3-1. Cependant, celui-ci n’a jamais été précisé, ça sera au juge de trancher.
Il n’y a pas de cyberterrorisme
Le Code Pénal contient un titre complet concernant le terrorisme [Titre II, Art 421-1 à 421-6] mais ne traite pas de l’informatique. Ainsi, les DoS, défaçages et autres, bien que pénalisés par des articles dédiés ne peuvent pas être considéré comme du terrorisme. Un groupement indépendantiste de la creuse peut défacer des sites d’institutions, cela ne sera pas vu, aux yeux du droit, comme un acte de terrorisme.
Il n’y a pas de cyber-filouterie
La filouterie consiste, quand on ne veut/peut pas payer, à obtenir quand même un service payant mais ne concerne pas les services informatiques [Art. 313-5]. Ainsi, téléphoner sachant qu’on ne payera pas les facture n’est pas de la filouterie. Utiliser un service payant sur internet, sans payer n’est pas non plus de la filouterie.
Conclusion
On remarque tout d’abord que le code pénal a bien verrouillé le domaine du hack. Non seulement, les seuls cas où la loi ne s’applique pas sont ceux concernant un étranger, piratant un serveur étrangers, à l’étranger… dès qu’un français est concerné, elle s’applique. Ensuite, les articles 323-1 à 323-7 sont suffisement généraux pour s’appliquer presque dans tous les cas (en fait, seul le phreak et le crack ne sont pas concernés par le code pénal).
Depuis 2004 et la LCEN, les peines ont été augmentées et la loi durcie. En effet, depuis la LCEN, les teams risquent l’association de malfaiteurs, le travail en groupe est quasi illégal et la diffusion d’informations et de technique est assez risquée.
La LCEN, a aussi rajouté quelques zones de flous. Ces zones de flou concernent surtout l’article 323-3, avec son motif légitime et autres notions assez vagues. La jurisprudence devrait faire son apparition d’ici quelques temps avec quelques affaires en cours. Mais en attendant, on ne peut dire si un site de sécurité est légal ou pas.