LA CYBERCRIMINALITÉ : UN FOCUS DANS LE MONDE DES TÉLÉCOMS

Transcription

1 LA CYBERCRIMINALITÉ : UN FOCUS DANS LE MONDE DES TÉLÉCOMS Mémoire présenté et soutenu par Madame Emmanuelle Matignon Sous la Direction de Monsieur William Gilles, Directeur du master Droit du numérique Administrations - Entreprises de l'école de droit de la Sorbonne (Université Paris 1 Panthéon-Sorbonne), Directeur de Mémoire, Président du Jury et Madame Myriam Quéméner, Magistrat et Directeur de Mémoire. Membres du Jury : Monsieur William Gilles, Directeur du master Droit du numérique Administrations - Entreprises de l'école de droit de la Sorbonne (Université Paris 1 Panthéon-Sorbonne), Directeur de Mémoire, Président du Jury et Madame Myriam Quéméner, Magistrat et Directeur de Mémoire. Le 25 juin 2012 Master Droit du numérique Administrations - Entreprises de l'école de droit de la Sorbonne (Université Paris 1 Panthéon-Sorbonne) Année universitaire 2011/2012 1/95

2 REMERCIEMENTS En préambule à ce mémoire qui concrétise mes études juridiques, je souhaitais adresser mes remerciements les plus sincères aux personnes qui m ont apporté leur aide et qui ont contribué à l élaboration de ce travail ainsi qu à la réussite de cette formidable année universitaire. Mes premiers remerciements iront à mes managers, Mesdames Élisabeth Duval, Valérie Bollée et Armelle Baron qui croient en moi depuis des années et qui m ont incité à reprendre mes études. Tout au long de cette année, elles m ont soutenue, coachée et encouragée. Je tiens à remercier Monsieur Franck Rohard Directeur Juridique du groupe SFR, ainsi que la Direction des Ressources Humaines qui ont autorisé et soutenu cette aventure. J exprime ma plus profonde gratitude à Monsieur William Gilles et Madame Irène Bouhadana, mes directeurs de Master qui m ont permis d intégrer leur Master 2, et de découvrir une nouvelle facette du Droit au travers d enseignements aussi variés qu enrichissants. Je tiens à remercier sincèrement Monsieur William Gilles et Madame Myriam Quémener qui, en tant que directeurs de mémoire, se sont montrés à l écoute et très disponibles durant toute la réalisation de mon mémoire. Mes remerciements s adressent également à mes collègues de la Direction Juridique Contentieux de SFR, aux managers de la Direction Juridique qui m ont relue, à Monsieur Nicolas Hellé, directeur des obligations légales de SFR, que j ai pu interviewer, sans oublier, de nombreux collègues au sein des diverses directions de SFR pour leur compréhension et leurs nombreux encouragements. Je tiens à remercier tout particulièrement mon amie Lucie Miguel qui m a aidé pour la mise en forme de mon mémoire. Enfin, j adresse mes plus sincères remerciements et ma profonde gratitude à mes enfants, mon conjoint, mes parents, ma famille et plus particulièrement ma tante Odile Viney, tous mes proches et amis, qui ont su me rassurer dans les moments de doute, me soulager au quotidien, et me soutenir au cours de cette année universitaire et dans la réalisation de mon mémoire. Merci à tous ceux qui m ont aidée à concrétiser ce travail 2/95

3 SOMMAIRE REMERCIEMENTS SOMMAIRE INDEX INTRODUCTION PARTIE I : UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES CHAPITRE 1 : DES MENACES CYBERCRIMINELLES INTERNES AUX ENTREPRISES DE COMMUNICATIONS ÉLECTRONIQUES Section 1 : Les fraudes liées aux systèmes d information Section 2 : Les fraudes liées à l intégrité des données PARTIE I : UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES CHAPITRE II : DES MENACES CYBERCRIMINELLES EXTERNES AUX ENTREPRISES DE COMMUNICATIONS ÉLECTRONIQUES Section 1 : Les fraudes historiques ou indémodables Section 2 : Les fraudes actuelles Section 3 : Les fraudes complexes: l exemple de la fraude aux numéros surtaxés PARTIE II : UNE CYBERCRIMINALITÉ COMBATTUE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES CHAPITRE I : LES OUTILS, CONTEMPORAINS, DE LUTTE CONTRE LA CYBERCRIMINALITÉ MIS À LA DISPOSITION DES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES Section 1 : Les sources de droit de lutte contre la cybercriminalité Section 2 : Un dispositif technique et organisationnel PARTIE II : UNE CYBERCRIMINALITÉ COMBATTUE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES CHAPITRE 2 : LES OUTILS, ENVISAGÉS ET ENVISAGEABLES, DE LUTTE CONTRE LA CYBERCRIMINALITÉ POUVANT ÊTRE MIS À LA DISPOSITION DES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES Section 1 : Les outils envisagés Section 2 : Les outils envisageables CONCLUSION TABLE DES MATIÈRES BIBLIOGRAPHIE/SITOGRAPHIE LEXIQUE 3/95

4 INDEX A Abonnés, 14, 29, 32, 35, 36, 72, 85 Abus de confiance, 9, 20, 23, 24, 35, 38, 40, 43, 47, 56, 57, 60, 66, 71, 73, 76, 104 Attaque, 10, 13, 14, 15, 19, 23, 31, 43, 44, 45, 46, 63, 72, 76, 103 Atteinte, 9, 14, 16, 19, 21, 22, 23, 24, 26, 35, 46, 47, 52, 61, 63, 103 B Blocage, 48, 50, 55, 57, 58, 60, 61, 79, 84, 104 C Clients, 7, 8, 11, 12, 14, 17, 29, 32, 35, 36, 48, 51, 55, 56, 57, 63, 72 Communications électroniques, 7, 10, 11, 12, 13, 19, 21, 27, 29, 31, 36, 38, 48, 49, 50, 51, 57, 62, 70, 71, 72, 73, 74, 81, 82, 105 Contrefaçon, 9, 35, 69, 70, 83 Convention, 38, 39, 40, 41, 44, 74 Courriel, 32, 33, 50, 57 Criminalité, 8, 9, 10, 11, 12, 13, 38, 40, 41, 42, 46, 47, 48, 60, 64, 66, 68, 73, 74, 75, 77, 82, 100 Cybercriminalité, 1, 8, 9, 10, 11, 12, 13, 28, 30, 31, 36, 38, 39, 40, 41, 42, 44, 45, 46, 47, 48, 51, 55, 63, 65, 69, 70, 71, 72, 73, 74, 75, 76, 77, 100, 103 Cybercriminel, 8, 9, 10, 23, 27, 41, 63, 72, 73, 75 Cyberespace, 10, 76, 103 D Délinquance, 8, 9, 10, 11, 13, 14, 38, 39, 46, 48, 100, 103 Directive, 38, 39, 42, 43, 45, 46, 51, 60, 62, 63, 103, 105 Données personnelles, 9, 13, 14, 16, 17, 19, 21, 22, 23, 24, 25, 26, 29, 32, 33, 34, 35, 42, 44, 45, 46, 47, 49, 51, 52, 53, 56, 57, 61, 63, 64, 65, 69, 71, 72, 79, 80, 81, 82, 101, 103, 104 E Escroquerie, 24, 35, 63, 70, 79 4/95

5 F Filtrage, 57, 61, 62, 79, 104 Fraude, 9, 17, 29, 31, 33, 35, 36, 41, 47, 53, 55, 56, 57, 63, 70, 74, 76, 83, 105 I Infraction, 8, 9, 11, 14, 15, 19, 21, 24, 29, 30, 36, 39, 40, 41, 43, 44, 45, 46, 47, 49, 51, 53, 58, 59, 61, 64, 68, 75, 81, 103 Internautes, 7, 14, 22, 34, 56, 57, 61, 77, 79, 83, 104, 105 Internet, 7, 8, 9, 10, 11, 15, 17, 19, 22, 23, 24, 27, 31, 34, 39, 40, 42, 46, 48, 49, 50, 56, 58, 60, 61, 62, 64, 66, 72, 73, 76, 77, 79, 81, 82, 83, 100, 103, 104, 105, 106 L Le monde des télécoms, 1, 9, 12, 22, 24, 32, 35, 40, 49, 63, 64, 72, 75, 77, 103 Loi, 19, 20, 23, 24, 29, 38, 43, 47, 48, 49, 50, 51, 52, 53, 58, 60, 61, 66, 71, 81, 82, 83, 92, 104 M Menace, 10, 12, 13, 22, 23, 26, 27, 42, 53, 56, 63, 65, 72, 76 N Nouvelles technologies, 8, 9, 11, 12, 13, 32, 38, 43, 46, 48, 62, 64, 68, 69, 73, 77, 80, 101 NTIC, 9 O Opérateur, 7, 10, 11, 12, 13, 29, 31, 32, 33, 35, 36, 38, 45, 48, 50, 51, 52, 55, 56, 57, 58, 63, 70, 71, 72, 73, 74, 79, 80, 82, 84, 92, 105 Ordonnance, 20, 51, 52, 84, 105 P Préjudice, 9, 21, 36, 45, 70, 74 Protection incrimination, 15, 17, 19, 23, 39, 40, 42, 43, 45, 49, 52, 53, 58, 61, 66, 72, 76, 82, 83, 104 R Règlement, 105 5/95

6 Répressif, 9, 29, 30, 32, 35, 46, 51, 52 Répression, 9, 33, 47, 53 Réseau, 7, 8, 11, 15, 22, 23, 24, 25, 29, 42, 44, 45, 50, 55, 58, 62, 64, 66, 69, 70, 73, 75, 103, 104, 105, 106 S Sms, 7, 33, 55, 56 Spam, 32, 33, 55, 56, 103 STAD, 9, 14 Systèmes d information, 7, 8, 9, 14, 19, 22, 29, 40, 43, 44, 45, 46, 47, 57, 62, 65, 73, 76, 81, 105 U Utilisateur, 8, 11, 15, 19, 22, 33, 44, 50, 58, 65, 72, 77, 79, 103, 106 V Ver, 22, 106 Virus, 21, 22, 23, 33, 44, 106 6/95

7 INTRODUCTION La numérisation de la société dans laquelle nous évoluons bouleverse notre quotidien, elle touche tous les secteurs d activités et crée ainsi un foisonnement de nouveaux usages. Demain, tous les objets électroniques du quotidien seront connectés au réseau qu ils s agissent des systèmes «mobiles» ou des accessoires domestiques. Au cœur de cette évolution se place le secteur des télécommunications. D après l Autorité de Régulation des Communications Électroniques et des Postes (L ARCEP) qui a publié le 2 février 2012 son observatoire trimestriel des communications électroniques en France pour les mobiles 1, à la fin de l année 2011 il y avait 68,5 millions de clients de téléphonie mobile (soit plus que d habitants en France, le nombre étant de 65,3 millions d habitants), et sur l année 2011 les français ont envoyé 147 milliards de sms. Toujours, selon ce même observatoire, le nombre d abonnements à un service de téléphonie fixe était de 39,9 millions. En tant que leader de la mesure d audience d internet, Comscore, entreprise internationale d étude de marché, a dévoilé en juin une analyse établissant que la France comptait 42 millions d internautes, et ainsi qu elle était l un des premiers pays en Europe en nombre d internautes derrière l Allemagne et la Fédération de Russie 2. Par ailleurs, l observatoire des marchés des communications électroniques estime que le revenu total des opérateurs de communications électroniques sur les marchés de gros et de détail s élève à 13,2 milliards d euros au quatrième trimestre Dans ce contexte les opérateurs de communications électroniques 4 se sont fixés comme ambition d accompagner chaque client et chaque entreprise pour leur prodiguer le meilleur du numérique. Ainsi, les offres de service en matière de télécommunications se sont 1 le 2 juin 2012] 2 reyt.net/france-les-42-millions-dinternautes-surfent-28...en.../6736 [Consulté le 20 mai 2012] 3 le 20 mai 2012] 4 Un opérateur de communications électroniques est défini dans le Code des postes et des communications électroniques (CPCE) à l article L. 32, 15 comme "toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques" d autre part. Cette définition met en lumière les deux types d'activité que peut exercer un opérateur de communications électroniques : l'exploitation d'un réseau de communications électroniques ouvert au public d'une part, la fourniture au public d'un service de communications électroniques d autre part. 7/95

8 considérablement étoffées au cours des dernières années autour de la téléphonie fixe et mobile, de l Internet, du Cloud computing, de la télévision par ADSL, accroissant de ce fait la valeur disponible, bien évidemment, pour les clients, mais également pour les fraudeurs. Le meilleur se développe, souvent accompagné du pire également! En effet, ces dernières années, des usages déviants et frauduleux, voire criminels, ont pris de plus en plus d ampleur, à travers ce qu il est désormais convenu d appeler la cybercriminalité, cette large notion regroupant «toutes les infractions pénales susceptibles de se commettre sur ou au moyen d un système informatique généralement connecté à un réseau 5». Certains cybercriminels fabriquent des logiciels malveillants, tandis que d autres les utilisent afin de perpétrer des actions criminelles. On observe aujourd hui des «mafias» très structurées, composées de plusieurs strates, la base étant constituée de codeurs programmeurs, et des «script kiddies» 6 qui sont de jeunes adolescents âgés de 12 à 13 ans. Enfin, comme dans tout réseau organisé, viennent ensuite les organisations de blanchiment d argent. On citera également Madame Myriam Quémener, magistrat, qui définit la cybercriminalité comme: «une notion polymorphe qui peut concerner les infractions classiques commises par le biais des technologies, comme les nouvelles infractions, nées de l essence même de l informatique 7.» Enfin, selon le rapport publié par l'observatoire National de la Délinquance et des Réponses Pénales (ONDRP) en , qui consacre pour la première fois en France un dossier spécial à la cybercriminalité, celle-ci correspondrait à des infractions très diverses pouvant être regroupées en deux catégories : - Les infractions liées aux formes de criminalité «traditionnelles» (qui ont pu évoluer avec les technologies de l information et de la communication (NTIC) telles que la fraude en ligne, les escroqueries, la contrefaçon) - Les infractions liées aux systèmes d information et de traitement automatisé des 5 Définition de la Cybercriminalité qui a été donnée lors d un colloque qui a eu lieu à Libreville au GABON le 30novembre infosgabon.com/? p= Script kiddie ou encore lamer est un terme péjoratif d'origine anglo-saxonne désignant les néophytes qui, dépourvus des principales compétences en matière de gestion de la sécurité informatique, passent l'essentiel de leur temps à essayer d'infiltrer des systèmes, en utilisant des scripts ou programmes mis au point par d'autres. On pourrait traduire l'expression par «Gamin utilisateur de scripts», mais le terme «script kiddie» est le seul couramment utilisé (searchmidmarketsecurity.techtarget.com/definition/). 7 page [Consulté le 23 mai 2012] 8 le 13 mai 2012] 8/95

9 données (STAD) (comme le déni de service et le piratage, infractions qui sont apparues avec le développement des réseaux informatiques et de l Internet). Ainsi, la cybercriminalité englobe, à la fois des atteintes aux personnes (diffusion d images pédophiles, pédopornographiques, atteintes à la vie privée) et aux biens (piratage informatique, fraude à la carte bancaire, escroqueries en tout genre ). La cybercriminalité est devenue une délinquance qui correspond non seulement aux infractions strictement informatiques mais qui vise aussi l ensemble du champ pénal, allant des escroqueries aux fraudes en passant par l usurpation d identité. Désormais, il existe des liens étroits entre la criminalité dite classique et la criminalité dite informatique, sachant que tous les cybercriminels appartiennent de plus en plus souvent à des réseaux internationaux très organisés. Dans son 7 ème rapport l ONDRP, évalue le préjudice subi par ce phénomène à 1,7 milliards d euros. Cet observatoire a recensé infractions qualifiées de délinquance astucieuse sur Internet dont 80 % étant des escroqueries ou des abus de confiance, les 20% restant correspondant à des falsifications ou usages de cartes de crédit 9. Au niveau répressif, si les dispositions de notre Code pénal permettaient de sanctionner la plupart des infractions dont la commission était facilitée par ou liée à l utilisation des technologies; Internet apparaissant le plus souvent comme un vecteur de multiplication des infractions réalisées au moyen de la technologie en offrant aux délinquants des outils plus discrets et surtout plus anonymes leur permettant de démultiplier leurs actions, certains agissements restaient en dehors du champ de la répression ou tout du moins prêtaient à discussion. C est dans ce contexte, que la France s est dotée d un dispositif spécial de répression de la «délinquance informatique» 10. Par ailleurs, Internet, dans ses usages, a aboli les frontières nationales. Selon la Commission européenne, la cybercriminalité toucherait «chaque jour plus d un million de personnes dans le monde» et coûterait annuellement «un total de 388 milliards de dollars au niveau international 11», ce qui la rend plus lucrative que le marché mondial du cannabis, de la cocaïne et de l'héroïne confondus. 9 INHESJ/ONDRP-Rapport europa.eu... Lutte contre la criminalité organisée 11 Actualités Sécurité[Consulté le 3 mai 2012] 9/95

10 A contrario, les moyens d investigation et la législation en place dans nos sociétés restent très attachés à la territorialité. Les organisations criminelles et les fraudeurs ont donc rapidement pris en compte les facteurs d impunité associés à ces distorsions, notamment, avec le problème des commissions rogatoires à l étranger. En effet, en cas d existence d un accord bilatéral entre les pays concernés (ex: la France avec les USA) une défense est possible, en revanche des difficultés importantes surgissent en cas d absence d accord entre les États concernés (ex: la Chine avec la France). La cybercriminalité se protège également derrière la fugacité de ses actions: actes délictueux rapidement commis, éléments de preuve non pérennes localisés à l étranger. Depuis ces 5 dernières années il y a de plus en plus d attaques par voie électronique. Il s agit d une nouvelle forme de criminalité et de délinquance qui se distingue des formes traditionnelles en ce qu elle se situe dans un espace virtuel que l on dénomme «cyberespace». Le cyberespace est quant à lui devenu un champ criminogène d autant plus en expansion que les supports informatiques se diversifient en devenant de plus en plus mobiles, et qu ils deviennent encore plus interactifs avec les réseaux sociaux. Jusque-là les sites français étaient protégés du fait de la langue française qui constituait une barrière, la langue anglaise étant plus répandue et sa grammaire plus facile. Mais, aujourd hui les cybercriminels recrutent des spécialistes de la langue française, et les faux sites sont plus vrais que nature. A la confluence de ces transformations et au regard des récentes évolutions technologiques qui ont conduit, dans un contexte de convergence, tant à l'émergence de nouveaux acteurs que de services de communication de plus en plus riches via l'internet et l'utilisation des réseaux IP, les opérateurs de communications électroniques sont particulièrement touchés par la cybercriminalité. Ils vivent à la fois un durcissement de la menace, mais aussi un accroissement des impacts potentiels. Ainsi, leur mobilisation dans la lutte contre la cybercriminalité devient de ce fait incontournable, qu il s agisse de protéger leurs propres actifs et activités commerciales ou encore la vie privée de leurs clients, car ils interviennent en tant que dépositaire d informations. Cette orientation des divers opérateurs de communications électroniques fait écho aux préoccupations étatiques visant à organiser une lutte efficace contre l ensemble des infractions 10/95

11 et agissements nuisibles commis au travers des réseaux informatiques et en particulier sur le réseau Internet. De l aveu même du ministère de l intérieur, la lutte contre la cybercriminalité se heurte parfois à des obstacles en raison du caractère mondial des réseaux informatiques, de la rapidité avec laquelle les infractions sont commises et de la difficulté à rassembler les preuves 12. La publication récente des résultats de l enquête mondiale de PwC 13 «Global Economic Crime Survey 2011» met en lumière que «la cybercriminalité prend une place significative dans le classement des principaux types de criminalité économique.» S appuyant sur des infrastructures et des services toujours plus interconnectés et faisant largement appel à de nouvelles générations de technologies émergentes (réseaux intelligents, Smartphones, tout IP ), le paysage technique mis en œuvre par l opérateur se banalise également et converge vers les standards de l informatique. Les barrières de la spécificité et de la spécialisation tombent progressivement, l acte frauduleux devient accessible à un plus grand nombre. Les opérateurs de communications électroniques vivent à la fois un durcissement de la menace, mais aussi un accroissement des impacts potentiels. C est pourquoi il paraissait opportun de faire un focus sur ce que représente la cybercriminalité dans le monde des télécoms. Ainsi, dans un premier temps, seront présentées les principales tentatives de fraudes, et les fraudes dont les opérateurs, leurs clients ou les cybers acteurs sont menacés et/ou victimes (Partie I). Puis dans un second temps, seront détaillés les moyens utilisés et déployés par les opérateurs de communications électroniques pour combattre la cybercriminalité, soit les outils de lutte existants mais également les solutions envisageables, la lutte contre ces nouvelles formes de criminalité étant au cœur des préoccupations des opérateurs de communications électroniques (Partie II). 12 Ouvrage Cybercriminalité, cybermenaces, cyberfraudes (article SFR p 196) 13 [Consulté le 20 avril 2012] 11/95

12 PARTIE I : UNE CYBERCRIMINALITÉ IDENTIFIÉE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES CHAPITRE 1 : Des menaces cybercriminelles internes aux entreprises de communications électroniques D après l'étude mondiale de PwC «Global Economic Crime Survey 2011» 14 «le classement d un crime ou d un incident en tant que cybercriminalité varie d un individu ou d une entreprise à l autre. Peu importe la catégorie dans laquelle on les affecte (i.e. crime économique, espionnage, activisme), les cyber-attaques représentent 23% des incidents pour les entreprises ayant déclaré avoir été victime de criminalité économique au cours de l année Parmi les impacts de ces attaques, les entreprises considèrent que celui lié à leur réputation est le plus important (40%) ; viennent ensuite : la perte (ou le vol) de données personnelles (36%), la perte de propriété intellectuelle (incluant la perte de données industrielles) à 35%, l interruption de service pour 34%, la perte financière effective pour 31% et le risque réglementaire pour 22%». Ainsi, l avènement des nouvelles technologies durant ces dernières années au sein de la société internationale a induit le développement de nouvelles formes de délinquance dont les conséquences doivent être largement prises en compte par les entreprises et notamment par les opérateurs de communications électroniques. Si chacun s accorde à percevoir le risque externe comme le plus fréquent, en revanche ils prennent de plus en plus conscience de la menace interne. En effet, il ne faut pas sous-estimer la menace interne à l entreprise. Leurs propres employés peuvent donc constituer une réelle menace. En effet, l utilisation accrue des réseaux sociaux, même en dehors du cadre professionnel, représente une source d information de choix pour les criminels. Il n est ainsi pas rare de constater que les formes les plus sophistiquées de «14 le 23 avril 2012] 12/95

13 spear phishing» 15 trouvent leurs informations sur ces mêmes réseaux sociaux. Par ailleurs, cette frontière «interne-externe» est de moins en moins claire. Les employés sont, en effet, de plus en plus nomades et utilisent des applications mobiles et parfois des outils personnels (concepts de «bring your own» 16 ) qu il faut désormais intégrer dans la stratégie de sécurité. Les fournisseurs et clients, pour leur part, interagissent avec l entreprise qui est de manière accrue au cœur des systèmes et processus. Très souvent, ce sont des employés, des salariés qui, pour des raisons diverses et très variées, portent atteinte aux systèmes d information de leurs employeurs ou de leurs ex-employeurs. Un grand nombre de ces attaques consistent en des atteintes aux systèmes d information. Section 1 : Les fraudes liées aux systèmes d information 1. Accès et maintien frauduleux dans les systèmes d information Le rapport de l observatoire national de la délinquance et des réponses pénales de 2011, recense, pour l année 2011, 626 atteintes aux systèmes de traitement automatisé des données. Il s agit principalement d accès frauduleux dans un système (par exemple: contournement ou violation d un dispositif de sécurité, insertion d un fichier espion enregistrant les codes d accès des abonnés ) ou de maintiens frauduleux dans un STAD (prolongation indue de l accédant au-delà du temps autorisé, intervention dans le système afin de visualiser ou réaliser une ou plusieurs opérations ). En outre, il faut préciser, toujours selon ce rapport, que plus du tiers de ces atteintes est constitué par des accès avec altération du fonctionnement, des modifications voire des suppressions de données. «Le fait d accéder ou de se maintenir, frauduleusement, dans tout ou partie d un système automatisée de données (S.T.A.D)», est une infraction prévue par l article 323-1, al 1 du Code Pénal. Elle vise tous les modes de pénétration irréguliers d'un système de traitement automatisé de données, que l'accédant travaille déjà sur la machine mais sur un système, qu'il procède à 15 Hameçonnage qui, à l'aide de courriels trompeurs et personnalisés, cible de façon plus précise un groupe d'internautes donné, souvent les employés d'une grande société ou d'un organisme gouvernemental, afin de leur soutirer des renseignements confidentiels permettant ensuite de pénétrer les systèmes informatiques. le 17 mai 2012] 16 Pas encore connue de tous, une nouvelle tendance se dessine au sein même des entreprises, le Bring Your Own Device.(le BYOD), c est la fusion des téléphones personnel et professionnel, ou comment se servir de son propre terminal pour un usage d entreprise ( [Consulté le 5 mai 2012]). 13/95

14 distance ou qu'il se branche sur une ligne de télécommunication 17. En outre, le mobile de l accès frauduleux importe peu. On précisera qu en l'absence de mise en place d'une protection ou de manifestation de volonté, par les dirigeants d'une entreprise, de restreindre l'accès au système informatisé de données, le délit de l'art du Code pénal n'est pas constitué 18. Ainsi, se rend coupable d'accès frauduleux dans un système de traitement automatisé de données voire d'introduction frauduleuse de données dans ce même système, la personne utilisant des codes d'accès confidentiels ne lui appartenant pas mais se faisant passer pour leur titulaire légitime, pousse une société à lui fournir un accès au réseau Internet 19. L infraction susvisée a pour vocation de sanctionner les cyberdélinquants qui cherchent à prendre connaissance d informations, confidentielles ou non, figurant dans des système de données dont l accès ou la présence leur est interdit. De ce fait, afin de qualifier l infraction il conviendra d une part de faire la preuve du caractère frauduleux de l accès, et d autre part, du caractère intentionnel de l intrusion illicite. Il conviendra donc d analyser tour à tour l élément matériel puis l élément moral du délit L élément matériel du délit Le caractère protégé ou non du S.T.A.D n est pas une condition requise à la qualification de l infraction selon l article du Code Pénal, toutefois il facilitera la démonstration du caractère frauduleux de la «pénétration». La preuve de l accès frauduleux pourra, par exemple, résulter du contournement ou de la violation du système de sécurité mis en place par l entreprise afin d éviter ce genre d attaques. En revanche, la preuve du caractère frauduleux de l accès ne sera pas rapportée dans le cas où l utilisateur est en situation normale, soit, s il a procédé à une consultation d informations rendues accessibles au public. Cette position a d ailleurs été confirmée par la jurisprudence. En effet, dans un arrêt du 30 octobre 2002, la Cour d appel de Paris a considéré, qu il «ne peut être reproché à un internaute d accéder aux données ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d un logiciel grand public de 17 Paris, 14 janv. 1997: RSC , obs. Francillon 18 Paris, 8 déc. 1997: Gaz. Pal , chron. Crim 19 TGI Paris, 16 déc. 1997: Gaz. Pal Somm. 433, note Ronjinsky. 14/95

15 navigation, ces parties de site, qui ne font par définition l objet d aucune protection de la part de l exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l accès 20.». La Cour d'appel a ainsi infirmé le jugement de première instance, précisant les éléments constitutifs du délit d'accès et de maintien frauduleux dans un système de traitement automatisé de données. L internaute ne peut donc être condamné sur ce fondement lorsque l'accès et le maintien dans le système de traitement automatisé était possible en accédant sur le site internet de la société à l'aide d'un simple logiciel de navigation grand public et ce, même si les données auxquelles il a ainsi pu avoir accès sont des données nominatives des clients de la société. Ainsi, les juges n ont pas souhaité sanctionner l accédant de bonne foi, qui d après eux, n avait pas accédé au S.T.A.D de manière frauduleuse. De même, les juridictions considèrent que dans certains cas, l accès n est que le résultat d une erreur: «Le fait pour un centre serveur de s approprier un code d accès du kiosque télématique et d y héberger un code clandestin n est pas constitutif des délits d accès, de maintien dans un système d information de données informatisées et d entrave. Cet accès a pu être le résultat d une erreur de manipulation sur les fichiers. Par conséquent, l action est dépourvue de caractère intentionnel 21. «Toutefois, dans un arrêt rendu par la Cour d appel de Paris le 9 septembre , il a été jugé que l accession ou le maintien frauduleux dans un S.T.A.D pouvait constituer un trouble manifestement illicite. A ceci près que, dans le cas d espèce, l accès aux données n était pas limité par un dispositif de protection mais par le fait que le responsable du système avait manifesté son intention d en restreindre l accès aux seules personnes autorisées L élément intentionnel du délit Il est nécessaire de démontrer le caractère intentionnel de l intrusion illégale. Lorsque l accès résulte d une erreur, le simple fait de se maintenir dans le système pourra être constitutif d une fraude. En effet, une prolongation au-delà du temps autorisé, une intervention dans le système afin de visualiser une ou plusieurs informations constituent des indices permettant de 20 CA Paris, 12e chambre, 30 oct.2002, Kitetoa c / Sté Tati, [Consulté le 27 avril 2012] 21 CA Paris 3 e ch.4 déc CA paris, 2 e ch., 9 sept. 2009, le 27 avril 2012] 15/95