Loi

De Backtrack-fr

NUL N'EST CENSÉ IGNORER LA LOI

Sommaire

Articles de Loi

Suisse

Art. 147

1 Celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissement illégitime, aura, en utilisant des données de manière incorrecte, incomplète ou indue ou en recourant à un procédé analogue, influé sur un processus électronique ou similaire de traitement ou de transmission de données et aura, par le biais du résultat inexact ainsi obtenu, provoqué un transfert d’actifs au préjudice ’autrui ou l’aura dissimulé aussitôt après sera puni d’une peine privative de liberté de cinq ans au plus ou d’une peine pécuniaire.

2 Si l’auteur fait métier de tels actes, la peine sera une peine privative de liberté de dix ans au plus ou une peine pécuniaire de 90 jours-amende au moins.

3 L’utilisation frauduleuse d’un ordinateur au préjudice des proches ou des familiers ne sera poursuivie que sur plainte.

Art. 143

1 Celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissement illégitime, aura soustrait, pour lui-même ou pour un tiers, des données enregistrées ou transmises électroniquement ou selon un mode similaire, qui ne lui étaient pas destinées et qui étaient spécialement protégées contre tout accès indu de sa part, sera puni d’une peine privative de liberté de cinq ans au plus ou d’une peine pécuniaire.

2 La soustraction de données commise au préjudice des proches ou des familiers ne sera poursuivie que sur plainte.

Art. 143bis

Celui qui, sans dessein d’enrichissement, se sera introduit sans droit, au moyen d’un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, sera, sur plainte, puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.


Liens

http://www.cybercrime.ch/laws.php?language=fr#Textes%20de%20loi%20pertinents%20relatifs%20%E0%20lInternet

Utilisation frauduleuse d'un ordinateur art. 147 CP Soustraction de données art. 143 CP Accès indu à un système informatique art.143bis CP

http://www.admin.ch/ch/f/rs/3/311.0.fr.pdf


France

Article 323-1

(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) (Loi nº 2004-575 du 21 juin 2004 art. 45 I Journal Officiel du 22 juin 2004)

Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.

Article 323-2

(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) (Loi nº 2004-575 du 21 juin 2004 art. 45 II Journal Officiel du 22 juin 2004)

Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

Article 323-3

(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) (Loi nº 2004-575 du 21 juin 2004 art. 45 III Journal Officiel du 22 juin 2004)

Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

Article 323-3-1

(inséré par Loi nº 2004-575 du 21 juin 2004 art. 46 I Journal Officiel du 22 juin 2004)

Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

Article 323-4

(Loi nº 2004-575 du 21 juin 2004 art. 46 II Journal Officiel du 22 juin 2004)

La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3-1 est punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

Article 323-5

Les personnes physiques coupables des délits prévus au présent chapitre encourent également les peines complémentaires suivantes :

  1. L'interdiction, pour une durée de cinq ans au plus, des droits civiques, civils et de famille, suivant les modalités de l'article 131-26 .
  2. L'interdiction, pour une durée de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice de laquelle ou à l'occasion de laquelle l'infraction a été commise .
  3. La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution.
  4. La fermeture, pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés.
  5. L'exclusion, pour une durée de cinq ans au plus, des marchés publics.
  6. L'interdiction, pour une durée de cinq ans au plus, d'émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés.
  7. L'affichage ou la diffusion de la décision prononcée dans les conditions prévues par l'article 131-35.

Article 323-6

Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies au présent chapitre.

Les peines encourues par les personnes morales sont :

  1. L'amende, suivant les modalités prévues par l'article 131-38 ;
  2. Les peines mentionnées à l'article 131-39.

L'interdiction mentionnée au 2º de l'article 131-39 porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise.

Article 323-7

(Loi nº 2004-575 du 21 juin 2004 art. 46 II Journal Officiel du 22 juin 2004)

La tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines.

Analyse des textes par l'équipe de Blackclowns

Liens

[Blackclows]

[Le mag]

Article : Les clowns au tribunal

 -----------------------------------------------------------------------------
| ---- [ BLACKCLOWNS MAGAZINE - ISSUE 01 ]  ------------  [ Article 11 ] ---- |
|-----------------------------------------------------------------------------|
|                          [ Les_Clowns_Au_Tribunal ]                         |
|                       [ Une production des arsouyes ]                       |
 -----------------------------------------------------------------------------

                                         "Nul n'est censé ignorer la loi"


[ SOMMAIRE :

   1. Introduction
   2. Préliminaires
     2.1. La loi s'applique dès que la France est impliquée
     2.2. Différence entre délits et crimes
     2.3. Il faut une intention
     2.4. Le complice risque autant que l'auteur
     2.5. Les peines sont des maximas
   3. Le hack
     3.1. Recherche de failles et d'exploits
     3.2. Intrusion
     3.3. Defaçage
     3.4. Utilisation des données
     3.5. Les dos
     3.6. Les teams
     3.7. Les r3p0s1t0ry et sites web
   4. Oldschool et divers
     4.1. Social engineering
     4.2. Phreaking et espionnage
     4.3. Les virus & co
     4.3. Commentaires et notions diverses
   5. Conclusion
   6. Bibliographie
   Annexe - Extraits cités du code pénal


[ 1. INTRODUCTION :

Nous sommes tous censés connaître la loi... Ce principe est nécessaire à la justice, mais qui peut se vanter de connaître les quelques 8000 lois et 110 000 décrets [1] ? Or, connaître la loi, ou au moins les parties qui nous concernent, est bien pratique pour savoir ce qui est et ce qui n'est pas autorisé...

Dans cet article, nous allons vous présenter les articles du Code Pénal français du point de vue du pirate. Nous allons donc passer en revue les différentes activités qui relèvent plus ou moins du domaine de la sécurité informatique et les articles du code pénal qui les concernent.

Tout d'abord, nous avons restreint nos recherches à la France. C'est en effet le pays de la plupart d'entre nous. Il nous parait inutile d'aborder les législations étrangères sans commencer par comprendre nos propres lois. Enfin, traiter plusieurs pays aurait alourdi cet article, sans être rentable.

Ensuite, nous ne traiterons ici que du Code Pénal. La sécurité informatique est en fait concernée par des lois de plusieurs codes, dont le code de la propriété intellectuelle et le code des postes et des communications. Vu la taille de ces codes, nous avons préféré n'en traiter qu'un dans un premier temps, les autres feront l'objet d'articles séparés.

Malgré ces restrictions, le code pénal fournit déjà son lot de lois intéressantes.

Pour commencer, nous allons voir quelques préliminaires nécessaires à la compréhension du reste. Ensuite, nous entrerons dans le vif du sujet en traitant des activités autour du hack. Ensuite, viendra une partie plus "old school". Enfin, nous discuterons d'un certain nombre d'idées reçues à propos de la loi.

[ 2. PRÉLIMINAIRES :

[ 2.1. La loi s'applique dès que la France est impliquée :

Tout d'abord, la loi française s'applique dès qu'une des parties de l'infraction est commise sur son territoire [Art. 113-1 et 113-2]. Notez qu'il ne s'agit pas que de l'effet, mais d'un des actes constitutifs. Ainsi, lancer des commandes en France qui seront exécutées sur un ordinateur en Corée (par exemple) est réglementé par les lois Françaises. De même, si l'attaque à lieu depuis l'étranger sur un serveur situé en France, la loi française s'applique aussi. Petit détail qui a son importance, les bateaux [Art. 113-3] portant le pavillon français, les avions [Art. 113-4] immatriculés en France sont considérés comme faisant partie du territoire.

Encore plus fort, si l'un des acteurs (auteur ou victime) est Français [Art. 131-6 et 131-7], ou si l'acte est commis dans un avion qui atterri en France ou est loué par une société française [Art. 131-11], la loi française s'applique aussi. Cependant, toutes les infractions ne sont pas concernées... il ne s'agit, pour ce paragraphe, que des crimes ou alors des délits (mais ceux-ci doivent être sanctionnés par le pays où l'acte est commis).

[ 2.2. Différence entre délits et crimes :

D'après le code pénal [Art. 111-1 et 131-1], les infractions sont classées en crime et en délit suivant leur gravité. Cette gravité est définie par la loi au cas par cas. En règle générale [Art. 131-1], les crimes sont les infractions punies d'au moins de 10 ans d'emprisonnement. Cependant, il suffit parfois de requalifier les faits pour faire d'un délit, un crime.

Et inversement, un magistrat peut requalifier un crime en délit par le biais de la correctionnalisation, notamment dans le cadre du "plaider coupable" afin d'obtenir une peine plus légère.

Dans les deux hypothèses, une condamnation pénale donne lieu à une inscription au bulletin n°3 du casier judiciaire, empêchant de devenir commerçant, d'entrer dans la fonction publique, d'exercer certaines professions réglementées.

[ 2.3. Il faut une intention :

Pour qu'une infraction soit punie, il faut qu'il y ait intention ou mise en danger [Art. 121-3]. Si vous n'aviez pas l'intention de faire ce pourquoi on veut vous incriminer, la loi ne s'applique pas. Ainsi, si vous êtes victime d'un coup monté, la loi vous protège dans une certaine mesure. Il ne faut par contre pas prendre les juges pour ce qu'ils ne sont pas, et invoquer que votre intrusion de la dernière nuit était le fait de votre état d'ébriété, ça ne comptera pas ;).

[ 2.4. Le complice risque autant que l'auteur :

Tout d'abord, l'auteur est la ou les personne(s) qui commet(tent) le crime ou le délit, ou qui tente de le faire [Art. 121-4].

On peut être complice dans deux cas [Art. 121-7]. Dans le premier cas, il faut que vous ayez aidé sciemment à la réalisation de l'acte. Dans le deuxième, il faut que vous ayez provoqué l'acte. Ainsi, quelqu'un qui vous demande de commettre un acte sera considéré comme complice.

Enfin, le complice est puni comme l'auteur du crime [Art. 121-6]. Aider à une infraction où en faire faire une sera puni comme si vous l'aviez fait... Demander à un ami de pirater un site pour vous vous rend donc punissable.

[ 2.5. Les peines sont des maximas :

En France, la loi stipule des peines maximales. Cela signifie qu'un juge peut très bien vous condamner à une peine plus petite que celle donnée dans la loi. C'est à lui de prendre en compte la gravité réelle de l'acte, les éventuelles circonstances atténuantes. La réduction de la peine se fait donc au cas par cas et le juge est (c'est le cas de le dire), seul juge.

Dans la suite, les peines citées sont celles de la loi et forment donc un maxima. Dans les faits, les peines prononcées sont toujours plus petites et on peut parfois même avoir droit au sursis.

[ 3. LE HACK :

Dans cette partie, nous allons discuter des lois qui concernent le hack en général. Le but n'est pas de définir ce qu'est ou ce que n'est pas le hack ; ce sujet donnant systématiquement naissance à un troll bien poilu. Nous avons ainsi regroupé dans cette section les activités tournant autour du piratage et de l'intrusion en général.

Nous commencerons systématiquement chaque partie en définissant plus précisément ce qui se cache derrière le titre, car la loi s'applique à des faits précis. Cela nous permettra aussi d'être sûr qu'il n'y ait aucune ambiguïté dans les termes utilisés.

[ 3.1. RECHERCHE DE FAILLES ET D'EXPLOITS :

Sans doute la plus importante activité du piratage, la recherche de failles et d'exploits consiste à trouver les erreurs dans les programmes et les façons de les utiliser pour obtenir que le programme ait un comportement différent de celui prévu. La recherche de failles consiste uniquement à rechercher l'erreur et à inventer une technique pour l'utiliser. En aucun cas, il ne s'agit d'utiliser cette technique concrètement.

Heureusement, et assez logiquement, rien dans le code pénal n'interdit la recherche de failles ni la création d'exploits (ou presque, cf. 3.7.). En fait, c'est un moyen pour autoriser la recherche en sécurité informatique, et permettre aux entreprises de pouvoir se défendre contre le piratage. Heureusement, cela nous permet de faire aussi nos recherches.

[ 3.2. INTRUSION :

L'intrusion est le fait, par un moyen quelconque, d'accéder à un système informatique et de l'utiliser. Il s'agit donc ici, notamment, de l'utilisation d'un exploit sur un serveur, du lancement de commandes, de la pose de backdoor, de rootkits et autres petites surprises pour le responsable de la sécurité.

Comme on peut s'en douter, c'est interdit [Art. 323-1]. En fait, s'introduire et/ou rester dans un système informatique est punissable de 3 ans d'emprisonnement et de 30 000 euros d'amendes. Cet article prévoit de durcir la peine (3 ans et 45 000 euros) si il en résulte des modifications de données ou une altération du fonctionnement.

Les plus perspicaces auront déjà remarqué l'erreur... En effet, toute intrusion implique une modification de données (ne serait-ce que la mémoire du système qui contient notre exploit...) et une altération du fonctionnement (puisque nous sommes dessus). C'est en fait assez courant dans la loi ; le législateur n'est pas informaticien et ne s'est pas entouré de personnes compétentes. Du coup, un certain nombre d'erreurs de "bon sens informatique" se glissent ça et là. Ici, pas de chance pour les pirates, l'erreur durcit la peine.

[ 3.3. DEFAÇAGE :

Le défaçage consiste à changer un site web. Techniquement, il s'agit de changer les fichiers du site web. En pratique, les internautes se retrouveront avec une autre page que celle attendue. Ça peut aller du simple ajout de "piraté par Th3 W4rL0rdZ" à un changement complet de la page. Cette activité est aussi utilisée comme "contre-propagande" pour déstabiliser l'opinion publique vis-à-vis du gouvernement ou d'une entreprise.

C'est aussi interdit [Art. 323-2 et 323-3], et même puni plus durement. En effet, le fait de fausser le fonctionnement d'un système informatique [Art. 323-2] et le fait d'ajouter/modifier/supprimer des données [Art. 323-3] sont tous deux punis de 5 ans d'emprisonnement et de 75 000 euros d'amende.

Notez la peine de 5 ans de prison, elle a son importante pour la suite.

[ 3.4. UTILISATION DES DONNÉES :

Par utilisation des données, nous entendons la collecte d'informations, leur traitement et leur commerce. La collecte peut aller de l'écoute du réseau au recopiage de fichiers une fois introduit dans un système en passant par les spywares.

Quand il s'agit de données personnelles, ces actions sont punies de 5 ans d'emprisonnement et d'une amende variable [Art. 226-16 à 226-24]. Il s'agit de dispositions de la loi relative aux fichiers et aux libertés.

Pour des données quelconques, on ne peut qualifier la collecte comme du vol. En effet, le vol est la soustraction de la chose qui ne nous appartient pas [Art. 311-1]. Or, en informatique, on ne soustrait pas, on copie ;-). Cf. section 4.2 pour plus d'infos.

Cependant, le fait de donner/vendre ces données peut s'assimiler à du recel [Art. 321-1] et est puni de 5 ans de prison et de 375 000 € d'amende. Pour qu'il y ait recel, il faut que les données aient été obtenues de manière frauduleuse, ce qui comprend l'intrusion. Il faut aussi faire attention à qui vous vendez/donnez ces informations. En effet, le fait d'entretenir des rapports avec des puissances étrangères qui veulent nuire aux intérêts de la France est puni de 10 à 30 ans et de 150 000 à 450 000 euros d'amende [Art. 411-1 et 411-5].

[ 3.5. LES DOS :

Le Deny Of Service (ou Déni de service en français) est le fait d'empêcher un système de fonctionner ou d'offrir les services qu'il devrait. Ça va du fait d'encombrer le réseau au fait de crasher les programmes (ou de les arrêter tout simplement, mais c'est moins amusant).

C'est un article déjà mentionné qui s'applique ici, le 323-2. "Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende."

Par contre, n'ayez pas peur quand le windows du CDI crashe parce que la page web que vous regardez contient une erreur. Comme mentionné plus tôt, pour qu'il y ait infraction, il faut qu'il y ait intention... Faire crasher un serveur ou une machine par accident n'est pas pénalisable. Ainsi, ça nous permet d'utiliser des systèmes foireux sans risquer la prison (c'est déjà pas mal, avouons-le).

[ 3.6. LES TEAMS :

Il est courant de se regrouper au sein d'une "team", d'y avoir une page web et de se sentir comme faisant partie d'un groupe. Il s'agit le plus souvent de groupes tentant d'acquérir une certaine reconnaissance sur internet. Il s'agit aussi parfois de groupes travaillant autour d'un même thème et mettant leur efforts en commun.

Si vous participez, dans la team, à l'élaboration d'un piratage illégal (cf les autres parties), alors, vous prendrez comme si vous aviez commis l'acte. Il s'agit ici de participation. Ainsi, si votre team prépare quelque chose, mais que vous n'y participez pas, vous n'êtes pas concernés.

Cependant, si l'action tentée est punie d'au moins 5 ans (DoS, défaçage par exemple), la team peut être considérée comme association de malfaiteurs [Art. 450-1]. Dans ce cas, chaque membre (qu'il participe ou pas) risque 5 ans de prison et 75 000 euros d'amende. Seule exception, le délateur [Art. 450-2]. En effet, si avant toute poursuite, l'un des membres a dénoncé ses "amis" aux autorités, il est exempté de peine(s).

On a la un autre chouette cas ... En effet, les articles 450-1 et 450-2 ne s'appliquent que si la peine encourue est de 5 ans au moins. Ainsi, si l'acte réprimé vaut moins de 5 ans de prison (une intrusion simple), alors, c'est le 323-4 qui s'applique, et le délateur n'est plus exempté de peine(s)... Si vous voulez dénoncer vos "potes", assurez-vous bien qu'ils fassent plus qu'une intrusion ou que vous n'avez pas participé. Sinon, vous prendrez avec eux...

[ 3.7. LES R3P0S1T0RY ET SITES WEB :

Les repository's sont des sites webs sous forme de répertoires contenants de la documentation et/ou des outils, exploits et autres joyeusetés. Ils sont l'oeuvres de teams ou de personnes isolées. Le but est de diffuser de la documentation intéressante et ou originale et parfois une liste d'outils.

La loi a aussi prévu ce genre de chose [Art.323-3-1] mais est très floue sur ce point. En effet, cet article dit la chose suivante :

   "  Le fait, sans motif légitime, d'importer, de détenir,
   "d'offrir, de céder ou de mettre à disposition un équipement,
   "un instrument, un programme informatique ou toute donnée
   "conçus ou spécialement adaptés pour commettre une ou
   "plusieurs des infractions prévues par les articles 323-1
   "à 323-3 est puni des peines prévues respectivement pour
   "l'infraction elle-même ou pour l'infraction la plus
   "sévèrement réprimée."

On note tout d'abord la nécessité du "motif légitime". Celui-ci n'est défini nul part dans la loi et sera à l'appréciation du juge. Ainsi, un expert en sécurité, dont c'est le travail, aura tout le motif nécessaire pour posséder des exploits. Par contre, rien n'est tranché pour un citoyen curieux et autodidacte ... La jurisprudence n'a pas encore tranché.

On note ensuite le "conçu ou spécialement adapté". Ici aussi, c'est assez flou et ça n'est pas défini dans la loi. Toute la nuance vient de l'interprétation du "conçu" et "spécialement adapté". Par bon sens, on peut ranger les exploits dans la catégorie des trucs illégaux et un navigateur web dans les trucs légaux. Mais qu'en est-il de nessus ou même aircrack ? Deux outils particulièrement pratiques en sécu, ... mais tout autant en piratage ... C'est le même problème pour la documentation ; à partir de quand une documentation est-elle "spécialement adaptée" ?

Ici, c'est un mélange de "motif légitime" et de "conçu" qui permet ou non de diffuser des informations et des outils. Il s'agit de jouer sur les termes employés (pour les documentations) et des buts recherchés (pour les outils), ainsi que sur la façon de présenter les choses. En cas de litige, ce sera au juge de trancher sur cette question. Un bon avocat ne serait pas superflu.

Enfin, toute documentation qui n'implique pas les articles de la série 323-3 sont autorisés. Ainsi, publier des outils de hack est interdit, mais publier des techniques liées au cracking est autorisé.

[ 4. OLDSCHOOL ET DIVERS :

Dans cette partie, nous traiterons des activités liées au monde de la sécurité, du piratage, mais qui ne font pas vraiment partie du hack. Ainsi, on retrouvera entre autre, des choses habituellement appelées "old school".

[ 4.1. SOCIAL ENGINEERING :

Le social engineering (SE) est l'activité qui consiste à obtenir quelque chose (le plus souvent, une information) en abusant de la confiance voire de la naïveté de la "victime". Typiquement, téléphoner à un employé en se faisant passer pour le responsable du réseau et lui demander son mot de passe. L'humain étant le maillon considéré comme le plus faible en sécurité, cette technique est encore très utilisée et l'une des plus efficaces.

En droit, cette activité est appelée escroquerie et est punie de 5 ans et 375 000 euros d'amende et plus dans certains cas [Art. 313-1 à 313-2]. On note que la tentative est elle aussi punie des mêmes peines [Art. 313-3]. D'autres articles donnent des précisions sur certains cas. On peut citer par exemple : port d'uniforme [Art. 433-14 à 433-16], usage de faux diplômes [Art. 433-17] et enfin, le faux et usage de faux [Art. 441-1]. Ceux-ci rajoutent des peines pour des cas spéciaux, mais ne rendent pas le SE légal.

[ 4.2. PHREAKING ET ESPIONNAGE :

Le phreaking est le fait de détourner l'usage du réseau téléphonique à des fins autres que celles prévues initialement. Il s'agit surtout de téléphoner gratuitement ou d'utiliser des services vocaux (toujours gratuitement) mais aussi, et dans une moindre mesure, d'espionnage de conversations téléphoniques.

Le code pénal traite très peu les problèmes de télécommunications (et de communications en général). C'est en fait surtout le code des postes et des télécommunications qui s'en charge. Cependant, on trouve quand même dans le code pénal un article intéressant.

Il est en effet interdit, si commis de mauvaise foi, d'intercepter, divulguer, supprimer, modifier et détourner toute correspondance [Art. 226-15]. La peine ici est d'un an d'emprisonnement et de 45 000 euros d'amende. Il est également interdit de poser des outils facilitant l'écoute, du système câblé pour écouter une ligne téléphonique, au sniffer réseau.

[ 4.3. LES VIRUS & Co :

Nous considérons ici les petits programmes qui arrivent sur notre machine sans qu'on l'ait voulu et qui utilisent notre machine à leurs propres fins. Par exemple, les virus infectent les programmes et se recopient. Les vers s'envoient de machine en machine via le réseau. Les chevaux de Troie font partie d'un fichier ou programme plus grand et "légitime". Une fois téléchargé, le cheval de Troie s'active et permet, entre autres, d'ouvrir un accès distant à notre machine.

Dans tous ces cas, c'est interdit. Ces programmes ont besoin de se recopier quelque part dans la machine [Art. 323-3]. Ensuite, si le programme a une charge utile (par exemple, un code qui éteint le PC après 10 minutes de fonctionnement), l'article 323-2 s'applique. Enfin, les chevaux de Troie sont aussi punissables via l'article 323-1.

Cependant, la difficulté vient d'identifier l'auteur de l'acte... En effet, l'auteur du virus (par exemple) n'est pas nécessairement la personne qui l'a mis sur le réseau et s'il n'a pas diffusé publiquement son virus, il ne peut pas être complice. En fait, tous ces petits programmes ont la particularité de se cacher et finissent par arriver sur nos machines après un moment de voyage dans le réseau et il est impossible de connaître leur point d'origine.

On rejoint ici le problème d'identification de l'auteur de l'acte qui en informatique n'est pas toujours garanti. La loi prévoit des sanctions contre certains actes, mais il n'est pas toujours possible d'identifier l'auteur. C'est un problème récurrent dans la loi en général. L'informatique est un univers spécial, c'est le domaine du virtuel et transposer la loi, par habitude très concrète et proche de la réalité, à cet univers est plus ou moins maladroit.

[ 4.3. COMMENTAIRES ET NOTIONS DIVERSES :

Nous allons ici discuter de deux idées propagées qui ne sont pas toujours tout à fait vraies... Le problème vient que la loi n'est pas toujours très rigoureuse (comme on l'a vu deux fois déjà) et permet des interprétations différentes.

 A. Scanner une machine est presque légal.
   Une tentative de piratage a lieu quand le piratage n'a pas eu
   lieu à cause d'un événement indépendant de notre volonté [Art.
   121-5]. Cette notion est importante car si vous commencez à pirater,
   et êtes interrompu(s) par votre maman qui vous ordonne de venir à
   table, ou parce que la foudre a fait sauter les plombs chez vous, ce
   sera considéré comme une tentative. Par contre, si vous scannez une
   machine (en vue de l'attaquer), mais vous arrêtez parce que vous avez
   décidé, tout compte fait, de ne pas le faire, ça ne sera pas une
   tentative.
   La tentative de piratage est punie comme si l'acte avait été
   commis [Art. 323-7]. Ainsi, dans le cas précédent, si vous scannez une
   machine et êtes interrompu(s), vous êtes passible(s) de 3 ans de prison
   (puisqu'on peut considérer que le scan est le début d'une intrusion).
   Par contre, si vous décidez de ne faire que scanner, mais pas plus,
   vous ne risquez rien.
   Tout le jeu sera ici de prouver que c'est vous qui avez choisi
   de ne pas prolonger le scan, ou l'inverse si vous voulez faire
   condamner quelqu'un...
 B. Pirater son propre matériel est presque légal.
   Bidouiller son propre matériel est légal. D'une part, certaines
   lois imposent un accès frauduleux comme l'article 323-1. D'autre part,
   pour être jugé, il faut que la victime porte plainte. Or, si vous
   piratez votre propre matériel, vous serez la victime, et à moins
   d'être schizophrène, vous ne risquez rien.
   Par contre, si votre maman porte plainte parce que vous avez
   entravé le fonctionnement du lecteur DVD (en piquant une colère sur
   votre soeur qui regardait un film dont vous avez horreur), vous
   pourriez prendre 5 ans. Votre soeur qui a généré la colère a
   participé et vous formez avec elle une association de malfaiteurs...
   elle prendra donc 5 ans, comme vous ;).
   Pour revenir au sujet, le fait que vous possédiez les codes
   permettant de bidouiller vos machines peut être considéré comme légal.
   En effet, le fait que vous soyez curieux et vouliez tester la
   sécurité de votre propre équipement peut servir de motif légitime au
   323-3-1. Cependant, celui-ci n'a jamais été précisé, ça sera au juge
   de trancher.
 C. Il n'y a pas de cyberterrorisme
   Le Code Pénal contient un titre complet concernant le terrorisme
   [Titre II, Art 421-1 à 421-6] mais ne traite pas de l'informatique.
   Ainsi, les DoS, défaçages et autres, bien que pénalisés par des
   articles dédiés, ne peuvent pas être considérés comme du terrorisme. Un
   groupement indépendantiste de la Creuse peut défacer des sites
   d'institutions, cela ne sera pas vu, aux yeux du droit, comme un acte
   de terrorisme.
 D. Il n'y a pas de cyber-filouterie
   La filouterie consiste, quand on ne veut/peut pas payer, à obtenir
   quand même un service payant mais ne concerne pas les services
   informatiques [Art. 313-5]. Ainsi, téléphoner sachant qu'on ne payera
   pas les factures n'est pas de la filouterie. Utiliser un service
   payant sur internet, sans payer n'est pas non plus de la filouterie.

[ 5. CONCLUSION :

On remarque tout d'abord que le code pénal a bien verrouillé le domaine du hack. Non seulement, les seuls cas où la loi ne s'applique pas sont ceux concernant un étranger, piratant un serveur étranger, à l'étranger... Dès qu'un français est concerné, elle s'applique. Ensuite, les articles 323-1 à 323-7 sont suffisemment généraux pour s'appliquer presque dans tous les cas (en fait, seul le phreak et le crack ne sont pas concernés par le code pénal).

Depuis 2004 et la LCEN, les peines ont été augmentées et la loi durcie. En effet, depuis la LCEN, les teams risquent l'association de malfaiteurs, le travail en groupe est quasi illégal et la diffusion d'informations et de techniques est assez risquée.

La LCEN a aussi rajouté quelques zones de flou. Ces zones de flou concernent surtout l'article 323-3-1, avec son motif légitime et autres notions assez vagues. La jurisprudence devrait faire son apparition d'ici quelques temps avec quelques affaires en cours. Mais en attendant, on ne peut dire si un site de sécurité est légal ou pas.

[ 6. BIBLIOGRAPHIE :

[1] [nul n'est censé ignorer la loi]

[2] www.legifrance.gouv.fr Service public de la diffusion du droit.

[ Annexe - Extraits cités du code pénal :

Articles 111-1 à 113-11

Article 111-1

Les infractions pénales sont classées, suivant leur gravité, en crimes, délits et contraventions.

Article 113-1

Pour l'application du présent chapitre, le territoire de la République inclut les espaces maritime et aérien qui lui sont liés.

Article 113-2

La loi pénale française est applicable aux infractions commises sur le territoire de la République. L'infraction est réputée commise sur le territoire de la République dès lors qu'un de ses faits constitutifs a eu lieu sur ce territoire.

Article 113-3

La loi pénale française est applicable aux infractions commises à bord des navires battant un pavillon français, ou à l'encontre de tels navires, en quelque lieu qu'ils se trouvent. Elle est seule applicable aux infractions commises à bord des navires de la marine nationale, ou à l'encontre de tels navires, en quelque lieu qu'ils se trouvent.

Article 113-4

La loi pénale française est applicable aux infractions commises à bord des aéronefs immatriculés en France, ou à l'encontre de tels aéronefs, en quelque lieu qu'ils se trouvent. Elle est seule applicable aux infractions commises à bord des aéronefs militaires français, ou à l'encontre de tels aéronefs, en quelque lieu qu'ils se trouvent.

Article 113-5

La loi pénale française est applicable à quiconque s'est rendu coupable sur le territoire de la République, comme complice, d'un crime ou d'un délit commis à l'étranger si le crime ou le délit est puni à la fois par la loi française et par la loi étrangère et s'il a été constaté par une décision définitive de la juridiction étrangère.

Article 113-6

La loi pénale française est applicable à tout crime commis par un Français hors du territoire de la République. Elle est applicable aux délits commis par des Français hors du territoire de la République si les faits sont punis par la législation du pays où ils ont été commis. Il est fait application du présent article lors même que le prévenu aurait acquis la nationalité française postérieurement au fait qui lui est imputé.

Article 113-7

La loi pénale française est applicable à tout crime, ainsi qu'à tout délit puni d'emprisonnement, commis par un Français ou par un étranger hors du territoire de la République lorsque la victime est de nationalité française au moment de l'infraction.

Article 113-11

Sous réserve des dispositions de l'article 113-9, la loi pénale française est applicable aux crimes et délits commis à bord ou à l'encontre des aéronefs non immatriculés en France :

  1º Lorsque l'auteur ou la victime est de nationalité française ;
  2º Lorsque l'appareil atterrit en France après le crime ou le délit ;
  3º Lorsque l'aéronef a été donné en location sans équipage à une
     personne qui a le siège principal de son exploitation ou, à défaut,
     sa résidence permanente sur le territoire de la République.

Dans le cas prévu au 1º , la nationalité de l'auteur ou de la victime de l'infraction est appréciée conformément aux articles 113-6, dernier alinéa, et 113-7.

Articles 121-3 à 131-1

Article 121-3

Il n'y a point de crime ou de délit sans intention de le commettre.

  Toutefois, lorsque la loi le prévoit, il y a délit en cas de mise en
  danger délibérée de la personne d'autrui.

Il y a également délit, lorsque la loi le prévoit, en cas de faute d'imprudence, de négligence ou de manquement à une obligation de prudence ou de sécurité prévue par la loi ou le règlement, s'il est établi que l'auteur des faits n'a pas accompli les diligences normales compte tenu, le cas échéant, de la nature de ses missions ou de ses fonctions, de ses compétences ainsi que du pouvoir et des moyens dont il disposait.

Dans le cas prévu par l'alinéa qui précède, les personnes physiques qui n'ont pas causé directement le dommage, mais qui ont créé ou contribué à créer la situation qui a permis la réalisation du dommage ou qui n'ont pas pris les mesures permettant de l'éviter, sont responsables pénalement s'il est établi qu'elles ont, soit violé de façon manifestement délibérée une obligation particulière de prudence ou de sécurité prévue par la loi ou le règlement, soit commis une faute caractérisée et qui exposait autrui à un risque d'une particulière gravité qu'elles ne pouvaient ignorer.

Il n'y a point de contravention en cas de force majeure.

Article 121-4

  Est auteur de l'infraction la personne qui :
  1º Commet les faits incriminés ;
  2º Tente de commettre un crime ou, dans les cas prévus par la loi, un
     délit.

Article 121-5

La tentative est constituée dès lors que, manifestée par un commencement d'exécution, elle n'a été suspendue ou n'a manqué son effet qu'en raison de circonstances indépendantes de la volonté de son auteur.

Article 121-6

Sera puni comme auteur le complice de l'infraction, au sens de l'article 121-7.

Article 121-7

Est complice d'un crime ou d'un délit la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation.

Est également complice la personne qui par don, promesse, menace, ordre, abus d'autorité ou de pouvoir aura provoqué à une infraction ou donné des instructions pour la commettre.

Article 131-1

Les peines criminelles encourues par les personnes physiques sont :

  1º La réclusion criminelle ou la détention criminelle à perpétuité ;
  2º La réclusion criminelle ou la détention criminelle de trente ans au
     plus ;
  3º La réclusion criminelle ou la détention criminelle de vingt ans au
     plus ;
  4º La réclusion criminelle ou la détention criminelle de quinze ans au
     plus.

La durée de la réclusion criminelle ou de la détention criminelle à temps est de dix ans au moins.

Articles 226-15 à 226-16

Article 226-15

Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45000 euros d'amende.

Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions.

Article 226-16

Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2º du I de l'article 45 de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Articles 311-1 à 323-7

Article 311-1

Le vol est la soustraction frauduleuse de la chose d'autrui.

Article 313-1

L'escroquerie est le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manoeuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge.

L'escroquerie est punie de cinq ans d'emprisonnement et de 375000 euros d'amende.

Article 313-2

Les peines sont portées à sept ans d'emprisonnement et à 750000 euros d'amende lorsque l'escroquerie est réalisée :

  1º Par une personne dépositaire de l'autorité publique ou chargée
     d'une mission de service public, dans l'exercice ou à l'occasion de
     l'exercice de ses fonctions ou de sa mission ;
  2º Par une personne qui prend indûment la qualité d'une personne
     dépositaire de l'autorité publique ou chargée d'une mission de
     service public ;
  3º Par une personne qui fait appel au public en vue de l'émission de
     titres ou en vue de la collecte de fonds à des fins d'entraide
     humanitaire ou sociale ;
  4º Au préjudice d'une personne dont la particulière vulnérabilité, due
     à son âge, à une maladie, à une infirmité, à une déficience
     physique ou psychique ou à un état de grossesse, est apparente ou
     connue de son auteur.

Les peines sont portées à dix ans d'emprisonnement et à 1 000 000 Euros d'amende lorsque l'escroquerie est commise en bande organisée.

Article 323-1

Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.

Article 323-2

Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

Article 323-3

Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

Article 323-3-1

Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

Article 323-4

La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3-1 est punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

Article 323-7

La tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines.

Articles 411-1 à 421-2-2

Article 411-1

Les faits définis par les articles 411-2 à 411-11 constituent la trahison lorsqu'ils sont commis par un Français ou un militaire au service de la France et l'espionnage lorsqu'ils sont commis par toute autre personne.

Article 411-4

Le fait d'entretenir des intelligences avec une puissance étrangère, avec une entreprise ou organisation étrangère ou sous contrôle étranger ou avec leurs agents, en vue de susciter des hostilités ou des actes d'agression contre la France, est puni de trente ans de détention criminelle et de 450000 euros d'amende.

Est puni des mêmes peines le fait de fournir à une puissance étrangère, à une entreprise ou une organisation étrangère ou sous contrôle étranger ou à leurs agents les moyens d'entreprendre des hostilités ou d'accomplir des actes d'agression contre la France.

Article 411-5

Le fait d'entretenir des intelligences avec une puissance étrangère, avec une entreprise ou organisation étrangère ou sous contrôle étranger ou avec leurs agents, lorsqu'il est de nature à porter atteinte aux intérêts fondamentaux de la nation, est puni de dix ans d'emprisonnement et de 150000 euros d'amende.

Article 421-1

Constituent des actes de terrorisme, lorsqu'elles sont intentionnellement en relation avec une entreprise individuelle ou collective ayant pour but de troubler gravement l'ordre public par l'intimidation ou la terreur, les infractions suivantes :

  1º Les atteintes volontaires à la vie, les atteintes volontaires à
     l'intégrité de la personne, l'enlèvement et la séquestration ainsi
     que le détournement d'aéronef, de navire ou de tout autre moyen de
     transport, définis par le livre II du présent code ;
  2º Les vols, les extorsions, les destructions, dégradations et
     détériorations, ainsi que les infractions en matière informatique
     définis par le livre III du présent code ;
  3º Les infractions en matière de groupes de combat et de mouvements
     dissous définies par les articles 431-13 à 431-17 et les
     infractions définies par les articles 434-6 et 441-2 à 441-5 ;
  4º Les infractions en matière d'armes, de produits explosifs ou de
     matières nucléaires définies par les 2º, 4º et 5º du I de l'article
     L. 1333-9, les articles L. 2339-2, L. 2339-5, L. 2339-8 et L.
     2339-9 à l'exception des armes de la 6e catégorie, L. 2341-1, L.
     2341-4, L. 2342-57 à L. 2342-62, L. 2353-4, le 1º de l'article L.
     2353-5, et l'article L. 2353-13 du code de la défense ;
  5º Le recel du produit de l'une des infractions prévues aux 1º à 4º
     ci-dessus ;
  6º Les infractions de blanchiment prévues au chapitre IV du titre II
     du livre III du présent code ;
  7º Les délits d'initié prévus à l'article L. 465-1 du code monétaire
     et financier.

Article 421-2

Constitue également un acte de terrorisme, lorsqu'il est intentionnellement en relation avec une entreprise individuelle ou collective ayant pour but de troubler gravement l'ordre public par l'intimidation ou la terreur, le fait d'introduire dans l'atmosphère, sur le sol, dans le sous-sol, dans les aliments ou les composants alimentaires ou dans les eaux, y compris celles de la mer territoriale, une substance de nature à mettre en péril la santé de l'homme ou des animaux ou le milieu naturel.

Article 421-2-1

Constitue également un acte de terrorisme le fait de participer à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'un des actes de terrorisme mentionnés aux articles précédents.

Article 421-2-2

Constitue également un acte de terrorisme le fait de financer une entreprise terroriste en fournissant, en réunissant ou en gérant des fonds, des valeurs ou des biens quelconques ou en donnant des conseils à cette fin, dans l'intention de voir ces fonds, valeurs ou biens utilisés ou en sachant qu'ils sont destinés à être utilisés, en tout ou partie, en vue de commettre l'un quelconque des actes de terrorisme prévus au présent chapitre, indépendamment de la survenance éventuelle d'un tel acte.

Articles 433-14 à 450-2

Article 433-14

Est puni d'un an d'emprisonnement et de 15000 euros d'amende le fait, par toute personne, publiquement et sans droit :

  1º De porter un costume, un uniforme ou une décoration réglementés par
     l'autorité publique ;
  2º D'user d'un document justificatif d'une qualité professionnelle ou
     d'un insigne réglementés par l'autorité publique ;
  3º D'utiliser un véhicule dont les signes extérieurs sont identiques à
     ceux utilisés par les fonctionnaires de la police nationale ou les
     militaires

Article 433-15

Est puni de six mois d'emprisonnement et de 7500 euros d'amende le fait, par toute personne, publiquement, de porter un costume ou un uniforme, d'utiliser un véhicule, ou de faire usage d'un insigne ou d'un document présentant, avec les costumes, uniformes, véhicules, insignes ou documents distinctifs réservés aux fonctionnaires de la police nationale ou aux militaires, une ressemblance de nature à causer une méprise dans l'esprit du public.

Article 433-16

Les infractions définies par les articles 433-14 et 433-15 sont punies de trois ans d'emprisonnement et de 45000 euros d'amende lorsqu'elles ont pour objet de préparer ou de faciliter la commission d'un crime ou d'un délit.

Article 433-17

L'usage, sans droit, d'un titre attaché à une profession réglementée par l'autorité publique ou d'un diplôme officiel ou d'une qualité dont les conditions d'attribution sont fixées par l'autorité publique est puni d'un an d'emprisonnement et de 15000 euros d'amende.

Article 441-1

Constitue un faux toute altération frauduleuse de la vérité, de nature à causer un préjudice et accomplie par quelque moyen que ce soit, dans un écrit ou tout autre support d'expression de la pensée qui a pour objet ou qui peut avoir pour effet d'établir la preuve d'un droit ou d'un fait ayant des conséquences juridiques.

Le faux et l'usage de faux sont punis de trois ans d'emprisonnement et de 45000 euros d'amende.

Article 450-1

Constitue une association de malfaiteurs tout groupement formé ou entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'un ou plusieurs crimes ou d'un ou plusieurs délits punis d'au moins cinq ans d'emprisonnement.

Lorsque les infractions préparées sont des crimes ou des délits punis de dix ans d'emprisonnement, la participation à une association de malfaiteurs est punie de dix ans d'emprisonnement et de 150000 euros d'amende.

Lorsque les infractions préparées sont des délits punis d'au moins cinq ans d'emprisonnement, la participation à une association de malfaiteurs est punie de cinq ans d'emprisonnement et de 75000 euros d'amende.

Article 450-2

Toute personne ayant participé au groupement ou à l'entente définis par l'article 450-1 est exempte de peine si elle a, avant toute poursuite, révélé le groupement ou l'entente aux autorités compétentes et permis l'identification des autres participants.


|------------------------------------------------------------------[ EOF ]----|
|-----------------------------------------------------------------------------|
Outils personnels