Pas d’acces frauduleux a un systeme non securise : le prevenu est relaxé
[Legalis.net – 25/05/2013]
Si le responsable d’un système d’information ne le sécurise pas contre les intrusions, le délit d’accès et de maintien frauduleux n’est pas constitué.
Par un jugement du 23 avril 2013, le tribunal correctionnel de Créteil a donc relaxé celui qui s’était introduit dans l’extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail et y avait récupéré des documents dont l’accès n’était pas protégé par un code d’accès et un mot de passe. Ce jugement va dans le sens de la jurisprudence Kitetoa de 2002 et met ainsi à la charge du responsable d’un traitement une obligation de sécurité.
En septembre 2012, l’Anses découvre que son serveur extranet a fait l’objet d’un accès frauduleux et parallèlement la publication en ligne d’un article sur les nano-matériaux accompagné d’un document en powerpoint de l’Agence. Il ressort de l’enquête menée par la Direction centrale du renseignement intérieur, car la victime est opérateur d’importance vitale (OIV), que de nombreux documents ont été exflitrés depuis une adresse IP située au Panama.
En raison d’une faille de sécurité, leur accès ne nécessitait pas d’identification. Une erreur de paramétrage du serveur hébergeant l’extranet permettait, en effet, le téléchargement de l’ensemble des documents depuis une adresse IP d’un réseau privé virtuel (VPN), situé au Panama, appartenant à la société du prévenu. Ce dernier avait découvert ces fichiers après une recherche complexe sur Google.
« Même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées par [ndlr le prévenu] aux seules personnes autorisées », a conclu le tribunal. Il a donc pu penser que faute d’exigence de code d’accès et de mot de passe, les données étaient en libre accès et qu’il pouvait se maintenir dans le système.
Par ailleurs, le tribunal adopte une position tout à fait classique sur le vol de données. Il estime qu’il n’y pas eu soustraction matérielle des documents, l’Anses n’en ayant pas été dépossédée, puisqu’ils restaient disponibles et accessibles à tous sur le serveur. Par ailleurs, le prévenu a pu légitimement penser qu’ils étaient librement téléchargeables.
http://www.legalis.net/spip.php?page=breves-article&id_article=3740
27 mai 2013 at 8:29
Sauf que là ya pas vol, ya juste consultation et en plus le type n’est pas rentré chez les gens il est juste allé dans leur jardin sans clôture… quand on métaphore faut qu’elle tombe juste
6 juin 2013 at 2:26
Le surtitre est en effet dangereux. Par exemple à l’instant je viens de consulter votre page web. Que devrait-il se passer selon vous si vous m’accuser de « vol d’information et introduction frauduleuse dans un système informatique »?
– Selon vous: je devrais être condamné: vous déclarez que cette page est privée, je suis coupable. Vous pouvez alors dire au revoir au Web: plus personne n’osera lire une page web sans avoir au préalable reçu confirmation écrite de son propriétaire qu’il pouvait le faire.
– Selon la loi (fort heureusement): s’il n’y avait pas de mécanisme explicite visant à interdire l’accès ayant du être contournés pour lire la page, alors vous ne pouvez faire prévaloir son caractère privé.
Le second me parait quand même plus raisonnable…
6 juin 2013 at 2:52
Ouais, mais en résume, ce que dit la justice, c’est que si tu ne sécurises pas ton système alors, si quelqu’un y entre, il n’y a pas intrusion. Et si tu télécharges des données sensibles sur le système, alors ce n’est pas toi qui es en faute mais celui qui ne les a pas protégées correctement…
C’est quand même un GROS progrès par rapport à l’affaire de la clé USB perdue où le type qui l’avait retrouvée et refilée à la presse c’était vu condamné pour « vol de données »… alors qu’il n’avait fait que ramasser la clé USB et en consulter les données.
Si on applique (de manière ironique) cette logique aux immeubles, si tu ne fermes pas ta porte à clé et que tu retrouves quelqu’un dans ta cuisine entrain de se servir dans ton frigo, tu n’as qu’à t’en prendre à toi même. 🙂
Mais va essayer de défendre cela devant la police 🙂
6 juin 2013 at 2:55
Salut toto
Dans le cas précis, il s’agissait d’un système informatique privé, pas une page Web (publique). Il y avait eu un cas similaire avec des serveurs FTP de l’AFSA qui étaient protégés par un mot de passe du genre toto et qui acceptaient tous les logins… à l’époque, la justice avait QUAND MEME condamné les hack-kiddies qui y étaient entré et qui avaient copié des données, en disant que « même si un système privé n’est pas protégé, ce n’est pas une raison pour y entrer » –
Dans cette nouvelle jurisprudence, la justice dit exactement l’inverse…
7 février 2014 at 12:16
[…] C’est la décision que vient de prendre la Cour d’appel de Paris à l’encontre d’Olivier Laurelli, alias Bluetouf, co-fondateur de Reflets.info. Sa faute : être tombé au hasard du surf sur des documents de […]