Le piratage informatique/Risques juridiques
Les organismes de réglementation et de contrôle
[modifier | modifier le wikicode]Nous allons présenter dans cette partie les principaux organismes existants dans le cadre de la lutte contre le piratage informatique. Nous développerons rapidement leurs rôles et les actions qu'ils peuvent entreprendre.
- La Commission Nationale de l'Informatique et des Libertés (CNIL)
Cette commission a été mise en place en 1978. Il s’agit d’une autorité indépendante et qui ne dépend donc d’aucune autre institution.
Le rôle de la CNIL est de favoriser le développement des outils numériques tout en assurant la protection des individus. Pour cela, la commission a deux principales missions :
- Informer et conseiller : la CNIL aide les professionnels et les particuliers par la diffusion d’informations concernant les risques encourus lors de l’utilisation des outils informatiques, notamment les risques liés au piratage des données et les conséquences que cela peut engendrer sur la vie des utilisateurs. Elle dispense également des formations, généralement dans le cadre professionnel, visant à assurer la protection des données à caractère privé dans le cadre de l’utilisation des technologies numériques. Elle propose ses conseils pour la mise en place de systèmes visant à assurer la sécurité des systèmes dans les entreprises.
- Contrôler et sanctionner : la CNIL a aussi un rôle de surveillance pour s’assurer que la loi est bien respectée. Elle peut ainsi intervenir, au même titre que les forces de l’ordre, dans les locaux des entreprises et prendre connaissance de tous les documents qu’elle juge nécessaires ou interroger les personnes. Elle peut également avoir accès aux données informatiques des entreprises qu’elle contrôle. Ainsi, en cas d’infraction, la CNIL peut sanctionner les organismes contrevenant à la loi par des amendes, la diffusion des sanctions dans la presse ou encore l’obligation d’informer les victimes. En cas d’infraction grave, la CNIL en informe les autorités compétentes (par exemple, saisie du procureur de la République).
- L'office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC)
C’est un organisme rattaché à la police nationale et qui est chargé de la lutte contre la délinquance liée aux technologies de l’information et de la communication (TIC). Son champ d’action est plus large que le seul internet, il agit également dans le domaine des télécommunications ou encore des moyens de paiement automatisés. Cet organisme est divisé en cinq sections :
- Une section internet chargée de recueillir les plaintes en rapport avec du contenu illicite sur le web
- Une section opérationnelle en charge de la répression des fraudes
- Une section dédiée aux relations internationales avec notamment une coopération directe avec Interpol
- Une section de formation des agents
- Une section de recherche et développement
Cet organisme lutte par exemple contre la fraude à la carte bleue, les fraudes sur internet, le piratage de smartphone… L’OCLCTIC a aussi mis en place un site internet permettant à chacun de signaler un contenu illicite diffusé sur le net.
- La Haute Autorité pour la Diffusion des Œuvres et la Protection sur Internet (HADOPI)
Cette autorité créée en 2009 a pour mission la protection des droits d'auteurs sur internet. Elle surveille les atteintes aux droit d'auteurs des œuvres diffusées sur internet et peut prendre des sanctions contre les contrevenants en cas d'atteinte à ces droits.
Cependant, la HADOPI a tout d'abord un rôle pédagogique dans le cadre de son action. En effet, en cas d'atteinte aux droits d'auteurs de la part d'internautes, la haute autorité informe la personne concernée par un mail d'avertissement pour les informer :
- des faits qui lui sont reprochés,
- de son obligation de surveillance de son accès à internet (en cas de piratage d'une personne sur la ligne d'une autre personne),
- de l’existence de moyens de sécurisation,
- de l’existence d’offres légales disponibles sur le marché.
Ce n'est qu'en cas de deux récidives que la HADOPI sanctionne les contrevenants. Lors de la première infraction, l'autorité envoie un mail à la personne titulaire de l'abonnement internet. En cas de récidive dans les six mois, elle envoie un nouveau mail ainsi qu'une lettre en recommandé. S'il y a de nouveau récidive dans l'année qui suit, la HADOPI envoie de nouveau un courrier pour informer l'utilisateur qu'il est susceptible de poursuites pénales. Elle décide ensuite de transmettre ou non les faits à la justice et les sanctions sont souvent la suspension de l'accès à internet pour une durée pouvant aller jusqu'à un an ainsi qu'une amende.
- Le commandement des opérations cyber
En 2016, 24000 cyberattaques ont été évitées selon le ministre de la défense Jean-Yves Le Drian. Celui-ci veut aller plus loin et a annoncé fin 2016 la création d'un commandement des opérations cyber dès 2017 visant à assurer la cyberdéfense de l’état mais aussi à mener des opérations offensives pour éviter d'éventuelles attaques. Cette unité sera rattaché au ministère de la défense et comptera 2600 personnes d'ici 2019.
Les textes de loi
[modifier | modifier le wikicode]Nous traiterons dans cette partie l'aspect législatif de l'atteinte aux systèmes d’information. Avec le développement et la généralisation des systèmes informatiques dans tous les secteurs de la société, le système judiciaire a dû s’adapter à de nouvelles infractions et délits et mettre en place des mesures pour faire face à ces phénomènes. Ainsi, voici les principales lois sur le sujet :
- Loi informatique et libertés
Il s’agit de la principale loi relative à la protection des informations privées des utilisateurs dans les systèmes informatiques, même si la loi est également applicable pour des fichiers non informatisés. Elle protège les personnes physiques et la circulation des informations les concernant.
La loi informatique et libertés est datée du 6 janvier 1978 et a été mise à jour en 2004. Elle définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles. Cette loi assure la protection de la vie privée des personnes dans le cadre des systèmes d’information.
Elle définit les données susceptibles d'être collectés et celle qui sont interdites à la collecte, par exemple les information relatives aux origines ethniques, à l'appartenance religieuse... sauf accord des personnes concernées.
La loi s'assure de la bonne utilisation des informations (conformes au but de la collecte) et définit les droits des utilisateurs quant aux données les concernant : droit d'accès, d'opposition, de rectification et de suppression.
C’est aussi dans le cadre de cette loi qu’a été instaurée la première autorité administrative indépendante : la CNIL (voir sous partie précédente).
- Loi Godfrain
Cette loi du 5 janvier 1988 est la première loi instaurée contre le piratage informatique. Elle prévoit un cadre pénal pour l'intrusion sans autorisation dans un système de traitement automatisé de données (STAD) : cela peut être un ordinateur, un réseau téléphonique, un serveur...
Elle prévoit ainsi un certain nombre de sanctions en cas d'intrusion dans ce type de système sans autorisation. Ces sanctions seront plus ou moins lourdes en fonction des dommages causés dans les systèmes, du caractère volontaire ou non de l'infraction ou encore du fait que l'infraction soit commise seul ou en bande organisée.
Sanctions encourues
[modifier | modifier le wikicode]En cas de non-respect de la loi informatique et libertés, les contrevenants risquent :
- Des sanctions administrative de la part de la CNIL : avertissements, amendes (jusqu’à 300 000 euros), publicité des sanctions prononcées…
- Des sanctions pénales : sous forme de peines de prison pouvant aller jusqu’à 5 ans et d'amendes pouvant atteindre 1,5 million d’euros.
- Des sanctions civiles : par exemple dommages et intérêts, confiscation du matériel ou encore interdiction d’usage des fichiers utilisés.
Voici quelques exemples de sanctions encourues selon les faits :
- « Le fait d'accéder ou de se maintenir, frauduleusement dans tout ou partie d'un système de traitement automatisé de données » : deux ans de prison et 30 000 euros d’amende voire trois ans et 45 000 euros en cas de modification ou suppression de données dans ces systèmes.
- Divulgation d’informations à caractère personnel : 5 ans d’emprisonnement et 300 000 euros d’amende.
- Ces dernières sanctions sont ramenées à 3 ans et 100 000 euros si l’acte a été commis par négligence ou par imprudence.
- Pour certains cas très graves à l’appréciation du législateur, certaines sanctions exceptionnelles peuvent être appliquées dont entre autres :
- Interdiction des droits civiques, civils et de famille (article 131-26 du code pénal). Cela peut se traduire par une interdiction de voter, de témoigner dans le cadre juridique...
- Interdiction d’exercer l’activité professionnelle dans le cadre de laquelle l’infraction a été commise.
On peut ajouter que dans certains cas, les pirates qui ont commis des délits sont ensuite recrutés par des sociétés ou des états afin d'assurer la protection des systèmes informatiques de ceux-ci. Ce phénomène se produit souvent même si aucun chiffre n'est communiqué sur le sujet. En effet, ces institutions veulent recruter les meilleurs spécialistes et elles se basent donc sur leur capacité à porter atteinte à des systèmes hautement sécurisés.
Quelques exemples d'affaires de piratage informatique
[modifier | modifier le wikicode]Après avoir cité les sanctions encourues dans le cadre d'affaires de piratage informatique, il faut savoir que de telle peine ne sont pas souvent appliquées du fait de la difficulté à vérifier l'identité des auteurs d'intrusions frauduleuses dans les systèmes. En effet, les pirates disposent de programmes permettant de garder leur identité secrète et il est difficile de remonter jusqu'à eux. Voici néanmoins quelques cas de piratage informatique importants qui ont eu lieu récemment avec les sanctions lorsqu'elles ont été prononcées:
- Le cas Yahoo
En 2013, les informations relatives à plus d'un milliard de compte Yahoo ont été piratées. La firme américaine a révélé cette fraude de grande ampleur. Ainsi, les pirates ont pu récupérer les mails, mots de passe, noms et prénoms etc. de tous les utilisateurs victimes de la fraude. Ces données pourraient par exemple être utilisées par les cybercriminels pour détourner de l'argent, pour usurper l’identité des victimes ou encore accéder à des informations sensibles (certains utilisateurs piratés font notamment partie des services de renseignement). L'enquête est toujours en cours et les auteurs de cette attaque n'ont toujours pas été identifiés.
- Le cas USA / Russie
En septembre 2015, le FBI a découvert un cas de piratage informatique des systèmes informatiques du parti démocrate. Cela a eu lieu lors des primaires du parti organisées dans le cadre de l’élection présidentielle de 2016. Les hackers auraient envoyé des mails demandant aux utilisateurs de changer leur mot de passe et ont ensuite intercepté ces mots de passe pour accéder à certaines boites mails.
Les informations recueillies ont ensuite été divulguées sur le site Wikileaks. Elles dévoilent en autres que Hillary Clinton aurait été favorisée dans le cadre de l’élection primaire au détriment de son concurrent Bernie Sanders.
Selon le rapport des agences du renseignement américain, les auteurs de ces attaques seraient liés au gouvernement russe qui est accusé d'avoir voulu influencer l’élection présidentielle américaine. Le gouvernement américain a ainsi décidé d'expulser 35 diplomates russes qu'il accuse d'être des agents du renseignement russe.
Nous pouvons également citer quelques exemple de pirates recrutés par des entreprises ou des états pour assurer leurs intérêts:
- "Hack the Pentagon"
Il s'agit d'une opération organisée par le département de la défense américain en 2016. Le principe de ce "jeu" est d'inviter des hackers et de leur faire découvrir des failles de sécurité dans des systèmes informatiques bien définis du Pentagone. Plus de 1400 personnes ont participé à cette opération et une centaine de failles ont ainsi été détectées. Cela a permis au département de sécurité de renforcer ses systèmes informatiques à moindre coût (chaque participant pouvait remporter au maximum 15 000 dollars en fonction de l'importance des failles détectées).
- Attentats de San Bernardino
Les hackers peuvent aussi aider les gouvernement dans le cadre d'enquêtes judiciaires. C'est le cas lors des attentats qui ont eu lieu à San Bernardino en Californie. Dans cette affaire, le FBI a indiqué avoir fait appel à un hacker pour pirater le téléphone d'un des auteurs des attentats. Cette opération a été estimée à plus d'un million de dollars.