L’affaire “Kitetoa”

Antoine C. est animateur du site KITETOA.COM dont une des missions est de découvrir les failles sur les sites web, au seul moyen d’outils usuels tels que le navigateur NETSCAPE. C’est ainsi qu’il a découvert une vulnérabilité sur le site TATI.fr et a prévenu les responsables de ce dernier. La société TATI a poursuivi l’animateur pour fraude informatique. Cette première étape de l’affaire se soldait par la condamnation d’Antoine C. à 1000 Eur d’amende par jugement de la 13ème chambre du TGI de PARIS en date du 13 février 2002. Le ministère public a interjeté appel (ce qui montre l’importance de cette affaire). La Cour d’appel de Paris a infirmé la décision des juges du fond par un arrêt en date du 30 octobre 2002.

Ainsi nous verrons en première partie les termes phares de l’arrêt puis nous tenterons d’analyser cet arrêt, notamment à la lumière des termes de la loi Godfrain.

I- Arrêt de la Cour d’appel du 30 octobre 2002

"Considérant qu’il est constant et non discuté, qu’au moins de juin 1999 à juin 2000, Antoine CHAMPAGNE, qui est journaliste en informatique et administrateur d’un site Internet intitulé KITETOA.COM, sur lequel il dénonce notamment les insuffisances des protections des données contenues par les systèmes de traitement automatisé des informations reliés à Internet, a plusieurs fois pénétré le site Internet de la société TATI, assez profondément pour y parvenir au répertoire des fichiers de données nominatives puis à ces fichiers eux-mêmes, et ce par la seule utilisation des fonctionnalités du navigateur grand public NETSCAPE ; qu’à la suite de son premier accès en 1999 il a envoyé un message de mise en garde, resté sans réponse, à l’exploitant du site ; qu’ayant à nouveau tenté l’expérience et ayant obtenu le même résultat en juin 2000, il a réitéré son message, envoi dont il est résulté que très rapidement les données des fichiers nominatifs ont cessé d’être accessibles à la diligence de la société OGILVY qui avait repris l’exploitation du site pour le compte de la société TATI depuis la fin juin 1999 et que quelques mois plus tard, en octobre 1999, le site avait pu être entièrement sécurisé, cependant que néanmoins, en novembre 2000, la revue Newbiz publiait, en pages 19 et suivantes, un article sur la perméabilité du site TATI, y compris des photos d’écrans affichant des données personnelles mais illisibles ;

Considérant que, comme l’appelant le soutient à bon droit dans ses réquisitions écrites d’appel aux fins de relaxe, il ne peut être reproché à un internaute d’accéder, ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font par définition l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès ; que même s’agissant de données nominatives, l’internaute y accédant dans de telles conditions ne peut inférer de leur seule nature qu’elles ne sont pas publiées avec l’accord des intéressés, et ne peut dès lors être considéré comme ayant accédé ou s’étant maintenu frauduleusement dans cette partie du système automatisé de traitement de données, la détermination du caractère confidentiel (en l’espèce non discuté mais qui n’a donné lieu à aucune utilisation en pratique préjudiciable) et des mesures nécessaires à l’indication et à la protection de cette confidentialité relevant de l’initiative de l’exploitant du site ou de son mandataire ; que dès lors les accès et maintien d’Antoine CHAMPAGNE dans des parties nominatives du site TATI ne peuvent être qualifiés de frauduleux, et qu’il convient de déclarer le prévenu non coupable des faits qui lui sont reprochés et de le renvoyer des fins de la poursuite. […] Déclare Antoine CHAMPAGNE non coupable des faits visés à la prévention et le renvoie des fins de la poursuite, Reçoit la Société TATI en sa constitution de partie civile, mais la trouve mal fondée en ses demandes, et l’en déboute"

II- Commentaire de l’arrêt

Quid de cet arrêt et des implications qu’il suscite ?

1- Pour qu’il y ait un accès ou un maintien frauduleux dans un site Internet ou un système informatique, son responsable doit avoir au préalable indiqué le caractère confidentiel des données ou avoir pris des mesures destinées à les protéger.

* Cela révèle en premier lieu une condition implicite de vigilance et de sécurisation de la part de l’exploitant (avertissement ou mesures). Sans avertissement, il n’y a pas de piratage, les données étant supposées accessibles à tous.

Cette condition implicite semble être relativement lourde à gérer en théorie mais pas dans les faits. En effet, les bases de données sensibles qui méritent une protection le sont en général (paiements sécurisés, codes d’accès..).

Cette obligation n’est qu’une obligation de moyens. Si les mesures de protection sont inefficaces, cela n’empêche pas la qualification de piratage pour tout acte d’intrusion.

Le piratage, selon cet arrêt, serait donc possible que si cette obligation de sécurité a été respectée par l’exploitant du site. Les moyens invoqués par la Cour d’appel ne sont pas déterminés précisément.

* L’intrusion en cas d’un tel avertissement ou de mesures prouve la mauvaise foi et l’intention de nuire qui sont nécessaires à la qualification du délit pénal. Ainsi, cela pourra faciliter le travail du juge. Cf le Procureur Général : « lorsqu’une base de données est, par la faute de celui qui l’exploite, en accès libre par le biais de l’utilisation d’un logiciel de navigation grand public […], le seul fait d’en prendre connaissance […], d’en réaliser une copie (par simple copie d’écran) sans intention malveillante, sans révélations permettant d’éventuelles identifications (de codes, de chiffres comptables, de clients d’une société par exemple…) ne saurait constituer une infraction ».

2. Une interprétation trop exégétique de la loi Godfrain (loi n°88-19 du 5 janvier 1988 relative à la fraude informatique) ?

La loi ne prévoit aucune mise en place de mesures de sécurité comme condition de commission de l’infraction d’accès ou de maintien dans un système d’information.

Article 321-1 du code pénal : " Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30000 euros d’amende"

La Cour d’appel semble avoir outrepassé la lettre de l’article L321-1 du code pénal. Quels arguments pourraient être avancés pour une telle interprétation de l’article ?

En l’espèce, l’animateur avait démontré sa bonne foi et ce de deux manières :

– les avertissements répétés aux exploitants du site de la société TATI ; – la diffusion d’une copie d’écran au journaliste sur laquelle les données nominatives étaient brouillées.

Les intérêts mis en balance par la cour d’appel étaient de deux ordres :

– la bonne foi de l’animateur ; – l’absence de sécurisation du site de TATI, démonstratrice d’une certaine négligence.

Les motifs d’un tel arrêt de la Cour d’appel paraissent plus clairs : la loi Godfrain dont est issu l’article L321-1 du code pénal a été établie dans un but de répression de la fraude et du piratage informatique. En appliquant littéralement le texte de cet article, la Cour d’appel aurait, comme les juges du fond, opté pour la condamnation d’Antoine C. Or pour ce délit pénal, il faut pouvoir démontrer l’intention de nuire. Cela n’était pas caractérisé dans les faits, et c’est pourquoi la Cour d’appel a choisi d’aborder un autre raisonnement.

Elle a posé une condition supplémentaire issue de l’esprit du texte : la fraude n’existe que si les exploitants du site ont au préalable respecté leur obligation de vigilance (avertissement et/ou mesures). On retrouve alors dans ce cas de figure l’intention malveillante du délinquant informatique et on se trouve en conformité avec la lettre et l’esprit de la loi Godfrain.

Conclusion

L’affaire Kitetoa a permis de clarifier les éléments du délit qu’est le piratage informatique.

Pour aller plus loin

http://www.secuser.com/dossiers/aff…

http://www.kitetoa.com/Pages/Textes…

http://news.zdnet.fr/story/0,,t118-…

http://www.internet-juridique.net/p…

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.