Le droit pénal de la fraude informatique, nouvel ami des censeurs ?
jeudi 23 juillet 2015 à 20:18GuiGui's Show - Liens 23/07/2015 20:18
« Sale temps pour la liberté d'expression sur Internet. Alors qu'après avoir obtenu la « jurisprudence Dieudonné » l'an dernier1, le gouvernement français vient de consacrer le retour de la censure administrative en droit français avec le décret sur le blocage de sites Internet2 ; alors que le passage du délit d'apologie du terrorisme dans le code pénal décidé par le Parlement à l'automne se traduit par des dizaines de condamnations totalement disproportionnées à des peines de prison ferme3 ; alors que le secret des affaires reste à l'agenda européen4 tandis que la protection des sources piétine au niveau national, une nouvelle menace se fait jour : le dévoiement de la loi Godfrain du 5 janvier 1988 relative à la fraude informatique. Plusieurs évolutions récentes, dont un arrêt de la Cour de cassation rendu le 20 mai dernier, montrent en effet que cette loi, depuis intégrée aux articles 323-1 à 323-7 du code pénal, pourrait bien devenir le nouvel ami des censeurs.
[...]
Affaire Bluetouff : du délit de maintien dans l'espace public à des fins journalistiques
L'affaire Rachida Dati : l'exploitation d'une faille de sécurité à des fins parodiques n'est pas du goût des juges
Avoir respectivement édité et hébergé le site Tweetpop.fr, qui parodiait le site officiel de l'élue pour permettre aux internautes de rédiger de faux communiqués de presse. N'importe qui pouvait ainsi proposer un texte destiné à être injecté sur le site officiel de Rachida Dati. À travers une banale faille de sécurité dite XSS, il était en effet possible d'afficher sur ce dernier n'importe quel texte inséré dans l'URL.
[...]
L'affaire Greenrights : manifestation pacifique ou cyber- terrorisme ?
La troisième affaire concerne la mouvance « hacktiviste » Anonymous. En mars 2011, suite à l'accident nucléaire de Fukushima, des collectifs « Anons » souhaitent exprimer leur indignation face à l'industrie nucléaire. Pour ce faire, ils vont recourir à mode d'action politique qui revient sur le devant de la scène depuis quelques mois : les attaques distribuées par déni de service (DDoS, selon l'acronyme anglais). [...] Richard Stallman, fondateur du mouvement du logiciel libre, défend alors ces actions comme l'équivalent numérique de sit-ins et autres manifestations dans l'espace public15. [...] Après huit mois d'enquête, la DGSI procède en janvier 2012 à trois arrestations. Parmi eux, Pierrick Goujon, alias Triskel, 29 ans à l'époque, qui gère un site fournissant des liens passerelles vers des salons de discussion IRC, et dont l'adresse URL s'était retrouvée sur un tract Anonymous consacré à l'opération Greenrights. Son adresse IP a également été relevée sur les serveurs d'EDF au moment du DDoS.
[...]
À propos du préjudice estimé par EDF, il indique que « l’attaque était prévue pour ne pas endommager le serveur, pour que le site fonctionne de nouveau normalement à la fin du DDoS. Donc, il n’y a eu aucunes détériorations, pas de piratage, pas d’intrusions d’infrastructures ou autres, pas de divulgations de données sensibles. De plus, comme pour une grève, nous avions fait une vidéo pour prévenir EDF de la date et de l’heure de l’attaque ». Il rejette les accusations portées contre lui, pointant le caractère politique et légitime de l'action de DDoS : « Ce n’est en rien une entente en vue de commettre une infraction ou une manifestation dans le but de faire passer des idées n’a rien d’illégale ».
[...]
la procureure insiste et tente de présenter IRC – l'un des plus anciens protocoles de messagerie en ligne – comme un outil destiné à l'action politique clandestine : « On sait tous qu’IRC est très majoritairement utilisé pour définir des dates et des cibles. Dans ce dossier, c’est très clairement passé par ces canaux qui sont très peu faciles d’accès par le néophyte »
[ NDLR : c'est excellent ça : dénoncer le fait qu'IRC est difficile d'accès pour un néophyte tout en condamnant la mise à disposition de passerelles web accessibles au plus grand nombre... ]
Quel bilan peut-on tirer de ces trois affaires ?
Elles révèlent d'abord que la loi Godfrain peut s'appliquer à trois des fonctions démocratiques
essentielles de la liberté d'expression et d'information, à savoir : critiquer ceux qui exercent un mandat public et nous gouvernent, le cas échéant à distance des canons de la bienséance en se livrant à des exercices de carnavalisme politique moquant les puissants, avec des propos qui « heurtent, choquent ou inquiètent » selon l'expression consacrée de la Cour européenne des droits de l'Homme (affaire Rachida Dati) ; surveiller le pouvoir et porter à la connaissance du public des informations capables d'éclairer le débat démocratique (affaire Bluetouff) ; protester, exprimer son opposition à une mesure ou des politiques (affaire Greenrights)19. Or, à chaque fois, les moyens engagés pour poursuivre les personnes concernées et l'acharnement du ministère public témoignent d'une absolue détermination dans la volonté des autorités de lutter contre les formes innovantes que peuvent prendre chacune de ces trois fonctions sur Internet. Le droit de la fraude informatique semble instrumentalisé dans des procès qui paraissent surdéterminés par l'enjeu politique au cœur de chacune de ces affaires.
[...]
La loi Godfrain permet ainsi à la répression d'expressions politiques de s'affranchir des règles protectrices des libertés publiques, ce dont témoigne l'absence quasi-totale de prise en compte des implications et exigences de la liberté d'expression et de manifestation par les magistrats dans ces affaires.
[...]
À cette explication politique de la sévérité de la réponse des autorités s'ajoutent des aspects proprement juridiques, qui conduisent à un traitement disproportionné lorsqu'ils sont appliqués à ces formes de participation politique. C'est le cas par exemple des spécificités procédurales du droit de la fraude informatique, et en particulier le rôle joué par les services de renseignement20.
[NDLR : L'ANSES est un opérateur d'importance vitale (OIV). De ce fait découle l'implication de la DGSI. Point. On peut être en désacord avec cela car ça permet à l'État de couvrir ses arrières et de dissimuler des informations au public mais on ne peut pas relever qu'il s'agit d'une spécificité procédurale... ]
[...]
Il y a ensuite l'échelle des peines, là encore disproportionnée. [...] Un DDoS ou la défiguration d'un site d'une entreprise comme EDF – par exemple pour afficher sur
la page d'accueil un placard revendicatif, également typique du répertoire d'action hacktiviste – sont punis bien plus sévèrement que leurs équivalents du monde physique. Ainsi, les tags ou graffitis non-autorisés sur la façade du siège social de l'entreprise auraient été punis au
maximum de 3750 € d'amende et d'un travail d'intérêt ou de deux ans d'emprisonnement et 30 000 euros d'amende, selon que les dommages occasionnés soient jugés légers ou importants. Le cyber-vandalisme du site edf.com, annoncé plusieurs jours à l'avance et qui eut pour effet principal de saturer temporairement le standard téléphonique, est quant à lui directement passible de cinq ans d'emprisonnement et de 75 000 euros d'amende.
[...]
Enfin, un troisième aspect joue un rôle fondamental dans l'application disproportionnée du droit pénal de la criminalité informatique : l’insuffisante maîtrise des questions techniques par nombre de magistrats.
[NDLR : NON, NON, NON et NON ! Les magistrats, tout comme les parlementaires n'ont pas à avoir une compétence technique forte pour délibérer ! C'est impossible d'avoir une compétence technique forte dans tous les domaines de toutes les affaires qu'ils ont à traiter ! Il y a des auxiliaires pour ça : les experts judiciaires pour les magistrats et les assistants parlementaires pour les parlementaires (oui, le conseil n'est pas leur rôle principal et de loin, mais en échangeant avec des parlementaires, on se rend bien compte qu'ils ont un assistant parlementaire qui s'occupe plutôt des questions qui tournent autour du numérique, un autre autour des questions de santé/climat,... et l'on perçoit qu'ils les aident à se construire opinion et argumentaire).
Deuxième point : la loi devrait-elle être écrite que par des gens qui connaissent bien le sujet ? Informaticiens pour informatique, santé par les médecins ou par les groupes pharma au détriment du patient ? Répression du banditisme par les seuls policiers au détriment des libertés ou par les bandits (après tout, ils connaissent bien le sujet, eux aussi) ? Les lois sur le financement de partis politiques par des experts fraudeurs du domaine ? Mêmes questions pour la justice. Non, ce qu'il faut, c'est de la culture générale et une méthodologie (remise en question, recherches, croisement des sources, analyse, méthodologie,...) comme l'école de la République est missionnée de l'apporter à tout citoyen. Dans le cas d'Internet, il faut comprendre ses caractéristiques premières (réseau dématérialisé mondial sans centre et sans chef) et ses effets sociétaux (horizontalité, difficile à censurer, liberté d'expression pour tous, reproduction à coût marginal nul,...), c'est tout !
Si ces pré-requis (culture générale et présence d'auxiliaires pour les points ultra-techniques) sont remplis, alors un système mélangeant plusieurs personnes (c'est le cas de notre parlement et des juges dans un procès) produira un résultat potable et surtout équilibré, àmha. ]
Malheureusement, les dérives illustrées par ces trois affaires ne sont que les manifestations d'une tendance plus générale. Dès l'apparition du répertoire d'action hacktiviste dans les années 1990, la tentation des États était grande de considérer ces formes d'action politique comme relevant du « cyber-terrorisme »24.
[...]
En janvier 2013, alors qu'Europol inaugurait son nouveau centre dédié à la lutte contre la cybercriminalité, le European Cybercrime Center, son directeur fraîchement nommé citait parmi les priorités du centre la lutte contre le « cyberactivisme » aux côtés des attaques informatiques étatiques et des activités terroristes. Dans les discours des décideurs, l'hacktivisme apparaît ainsi souvent comme une catégorie fourre-tout, mêlant toutes formes de criminalité informatique conduite à des fins politiques.
[...]
En fait, l'exagération de la menace semble avant tout destinée à justifier un traitement uniquement répressif de l'hacktivisme, et ce afin de l'exclure des formes de participation politique réputées légitimes.
[...]
En France, l'article 17 de la loi de novembre 2014 sur la lutte contre le terrorisme accentue également la portée répressive de la loi Godfrain. Les infractions prévues par cette dernière sont désormais susceptibles d'être reconnues comme étant commises « en bande organisée ». Cette réforme permet aux enquêteurs de mobiliser l'ensemble des procédures et moyens d'enquêtes propres à la lutte contre la criminalité organisée, et aux juges de prononcer des sanctions encore plus sévères. [...] les seuls actes récents susceptibles d'entrer dans le champ d'une telle disposition au moment de son adoption étaient les DDoS conduits par Anonymous dans l'opération Greenrights. Et de fait, en avril 2015, le Parquet a retenu la circonstance aggravante de faits commis « en bande organisée » contre deux militants se revendiquant de l'étiquette Anonymous. Ces derniers sont soupçonnés d'avoir pris part à des DDOS contre des sites institutionnels – ceux du conseil régional de Lorraine et de l'Agence nationale de gestion des déchets radioactifs – dans le cadre d'une campagne contre l'enfouissement des déchets nucléaires.28 »
Je me note quand même que le traitement des affaires présentées n'est pas différent des actions judiciaires qui ont eu lieu dans le passé pour faire taire / "pour casser" des opposants dérangeants sur lesquels on n'a aucune prise : tout était bon pour les faire tomber, même des prétextes débiles. Ces affaires ne sont que la manifestation à l'heure numérique d'un effritement entre ceux qui ont une forme de pouvoir pouvoir et ceux qui ne l'ont pas. Le seul moyen de lutter contre ça est une législation qui pose suffisamment de verrous. C'est d'ailleurs ce que réclame la Quadrature dans chacun de ses combats et qui la fait passer pour un groupe d'intégristes paranos alors que des textes forts et complets sont un pré-requis !
(Permalink)
[...]
Affaire Bluetouff : du délit de maintien dans l'espace public à des fins journalistiques
L'affaire Rachida Dati : l'exploitation d'une faille de sécurité à des fins parodiques n'est pas du goût des juges
Avoir respectivement édité et hébergé le site Tweetpop.fr, qui parodiait le site officiel de l'élue pour permettre aux internautes de rédiger de faux communiqués de presse. N'importe qui pouvait ainsi proposer un texte destiné à être injecté sur le site officiel de Rachida Dati. À travers une banale faille de sécurité dite XSS, il était en effet possible d'afficher sur ce dernier n'importe quel texte inséré dans l'URL.
[...]
L'affaire Greenrights : manifestation pacifique ou cyber- terrorisme ?
La troisième affaire concerne la mouvance « hacktiviste » Anonymous. En mars 2011, suite à l'accident nucléaire de Fukushima, des collectifs « Anons » souhaitent exprimer leur indignation face à l'industrie nucléaire. Pour ce faire, ils vont recourir à mode d'action politique qui revient sur le devant de la scène depuis quelques mois : les attaques distribuées par déni de service (DDoS, selon l'acronyme anglais). [...] Richard Stallman, fondateur du mouvement du logiciel libre, défend alors ces actions comme l'équivalent numérique de sit-ins et autres manifestations dans l'espace public15. [...] Après huit mois d'enquête, la DGSI procède en janvier 2012 à trois arrestations. Parmi eux, Pierrick Goujon, alias Triskel, 29 ans à l'époque, qui gère un site fournissant des liens passerelles vers des salons de discussion IRC, et dont l'adresse URL s'était retrouvée sur un tract Anonymous consacré à l'opération Greenrights. Son adresse IP a également été relevée sur les serveurs d'EDF au moment du DDoS.
[...]
À propos du préjudice estimé par EDF, il indique que « l’attaque était prévue pour ne pas endommager le serveur, pour que le site fonctionne de nouveau normalement à la fin du DDoS. Donc, il n’y a eu aucunes détériorations, pas de piratage, pas d’intrusions d’infrastructures ou autres, pas de divulgations de données sensibles. De plus, comme pour une grève, nous avions fait une vidéo pour prévenir EDF de la date et de l’heure de l’attaque ». Il rejette les accusations portées contre lui, pointant le caractère politique et légitime de l'action de DDoS : « Ce n’est en rien une entente en vue de commettre une infraction ou une manifestation dans le but de faire passer des idées n’a rien d’illégale ».
[...]
la procureure insiste et tente de présenter IRC – l'un des plus anciens protocoles de messagerie en ligne – comme un outil destiné à l'action politique clandestine : « On sait tous qu’IRC est très majoritairement utilisé pour définir des dates et des cibles. Dans ce dossier, c’est très clairement passé par ces canaux qui sont très peu faciles d’accès par le néophyte »
[ NDLR : c'est excellent ça : dénoncer le fait qu'IRC est difficile d'accès pour un néophyte tout en condamnant la mise à disposition de passerelles web accessibles au plus grand nombre... ]
Quel bilan peut-on tirer de ces trois affaires ?
Elles révèlent d'abord que la loi Godfrain peut s'appliquer à trois des fonctions démocratiques
essentielles de la liberté d'expression et d'information, à savoir : critiquer ceux qui exercent un mandat public et nous gouvernent, le cas échéant à distance des canons de la bienséance en se livrant à des exercices de carnavalisme politique moquant les puissants, avec des propos qui « heurtent, choquent ou inquiètent » selon l'expression consacrée de la Cour européenne des droits de l'Homme (affaire Rachida Dati) ; surveiller le pouvoir et porter à la connaissance du public des informations capables d'éclairer le débat démocratique (affaire Bluetouff) ; protester, exprimer son opposition à une mesure ou des politiques (affaire Greenrights)19. Or, à chaque fois, les moyens engagés pour poursuivre les personnes concernées et l'acharnement du ministère public témoignent d'une absolue détermination dans la volonté des autorités de lutter contre les formes innovantes que peuvent prendre chacune de ces trois fonctions sur Internet. Le droit de la fraude informatique semble instrumentalisé dans des procès qui paraissent surdéterminés par l'enjeu politique au cœur de chacune de ces affaires.
[...]
La loi Godfrain permet ainsi à la répression d'expressions politiques de s'affranchir des règles protectrices des libertés publiques, ce dont témoigne l'absence quasi-totale de prise en compte des implications et exigences de la liberté d'expression et de manifestation par les magistrats dans ces affaires.
[...]
À cette explication politique de la sévérité de la réponse des autorités s'ajoutent des aspects proprement juridiques, qui conduisent à un traitement disproportionné lorsqu'ils sont appliqués à ces formes de participation politique. C'est le cas par exemple des spécificités procédurales du droit de la fraude informatique, et en particulier le rôle joué par les services de renseignement20.
[NDLR : L'ANSES est un opérateur d'importance vitale (OIV). De ce fait découle l'implication de la DGSI. Point. On peut être en désacord avec cela car ça permet à l'État de couvrir ses arrières et de dissimuler des informations au public mais on ne peut pas relever qu'il s'agit d'une spécificité procédurale... ]
[...]
Il y a ensuite l'échelle des peines, là encore disproportionnée. [...] Un DDoS ou la défiguration d'un site d'une entreprise comme EDF – par exemple pour afficher sur
la page d'accueil un placard revendicatif, également typique du répertoire d'action hacktiviste – sont punis bien plus sévèrement que leurs équivalents du monde physique. Ainsi, les tags ou graffitis non-autorisés sur la façade du siège social de l'entreprise auraient été punis au
maximum de 3750 € d'amende et d'un travail d'intérêt ou de deux ans d'emprisonnement et 30 000 euros d'amende, selon que les dommages occasionnés soient jugés légers ou importants. Le cyber-vandalisme du site edf.com, annoncé plusieurs jours à l'avance et qui eut pour effet principal de saturer temporairement le standard téléphonique, est quant à lui directement passible de cinq ans d'emprisonnement et de 75 000 euros d'amende.
[...]
Enfin, un troisième aspect joue un rôle fondamental dans l'application disproportionnée du droit pénal de la criminalité informatique : l’insuffisante maîtrise des questions techniques par nombre de magistrats.
[NDLR : NON, NON, NON et NON ! Les magistrats, tout comme les parlementaires n'ont pas à avoir une compétence technique forte pour délibérer ! C'est impossible d'avoir une compétence technique forte dans tous les domaines de toutes les affaires qu'ils ont à traiter ! Il y a des auxiliaires pour ça : les experts judiciaires pour les magistrats et les assistants parlementaires pour les parlementaires (oui, le conseil n'est pas leur rôle principal et de loin, mais en échangeant avec des parlementaires, on se rend bien compte qu'ils ont un assistant parlementaire qui s'occupe plutôt des questions qui tournent autour du numérique, un autre autour des questions de santé/climat,... et l'on perçoit qu'ils les aident à se construire opinion et argumentaire).
Deuxième point : la loi devrait-elle être écrite que par des gens qui connaissent bien le sujet ? Informaticiens pour informatique, santé par les médecins ou par les groupes pharma au détriment du patient ? Répression du banditisme par les seuls policiers au détriment des libertés ou par les bandits (après tout, ils connaissent bien le sujet, eux aussi) ? Les lois sur le financement de partis politiques par des experts fraudeurs du domaine ? Mêmes questions pour la justice. Non, ce qu'il faut, c'est de la culture générale et une méthodologie (remise en question, recherches, croisement des sources, analyse, méthodologie,...) comme l'école de la République est missionnée de l'apporter à tout citoyen. Dans le cas d'Internet, il faut comprendre ses caractéristiques premières (réseau dématérialisé mondial sans centre et sans chef) et ses effets sociétaux (horizontalité, difficile à censurer, liberté d'expression pour tous, reproduction à coût marginal nul,...), c'est tout !
Si ces pré-requis (culture générale et présence d'auxiliaires pour les points ultra-techniques) sont remplis, alors un système mélangeant plusieurs personnes (c'est le cas de notre parlement et des juges dans un procès) produira un résultat potable et surtout équilibré, àmha. ]
Malheureusement, les dérives illustrées par ces trois affaires ne sont que les manifestations d'une tendance plus générale. Dès l'apparition du répertoire d'action hacktiviste dans les années 1990, la tentation des États était grande de considérer ces formes d'action politique comme relevant du « cyber-terrorisme »24.
[...]
En janvier 2013, alors qu'Europol inaugurait son nouveau centre dédié à la lutte contre la cybercriminalité, le European Cybercrime Center, son directeur fraîchement nommé citait parmi les priorités du centre la lutte contre le « cyberactivisme » aux côtés des attaques informatiques étatiques et des activités terroristes. Dans les discours des décideurs, l'hacktivisme apparaît ainsi souvent comme une catégorie fourre-tout, mêlant toutes formes de criminalité informatique conduite à des fins politiques.
[...]
En fait, l'exagération de la menace semble avant tout destinée à justifier un traitement uniquement répressif de l'hacktivisme, et ce afin de l'exclure des formes de participation politique réputées légitimes.
[...]
En France, l'article 17 de la loi de novembre 2014 sur la lutte contre le terrorisme accentue également la portée répressive de la loi Godfrain. Les infractions prévues par cette dernière sont désormais susceptibles d'être reconnues comme étant commises « en bande organisée ». Cette réforme permet aux enquêteurs de mobiliser l'ensemble des procédures et moyens d'enquêtes propres à la lutte contre la criminalité organisée, et aux juges de prononcer des sanctions encore plus sévères. [...] les seuls actes récents susceptibles d'entrer dans le champ d'une telle disposition au moment de son adoption étaient les DDoS conduits par Anonymous dans l'opération Greenrights. Et de fait, en avril 2015, le Parquet a retenu la circonstance aggravante de faits commis « en bande organisée » contre deux militants se revendiquant de l'étiquette Anonymous. Ces derniers sont soupçonnés d'avoir pris part à des DDOS contre des sites institutionnels – ceux du conseil régional de Lorraine et de l'Agence nationale de gestion des déchets radioactifs – dans le cadre d'une campagne contre l'enfouissement des déchets nucléaires.28 »
Je me note quand même que le traitement des affaires présentées n'est pas différent des actions judiciaires qui ont eu lieu dans le passé pour faire taire / "pour casser" des opposants dérangeants sur lesquels on n'a aucune prise : tout était bon pour les faire tomber, même des prétextes débiles. Ces affaires ne sont que la manifestation à l'heure numérique d'un effritement entre ceux qui ont une forme de pouvoir pouvoir et ceux qui ne l'ont pas. Le seul moyen de lutter contre ça est une législation qui pose suffisamment de verrous. C'est d'ailleurs ce que réclame la Quadrature dans chacun de ses combats et qui la fait passer pour un groupe d'intégristes paranos alors que des textes forts et complets sont un pré-requis !
(Permalink)