Risques juridiques et solutions

Préambule

Les techniques décrites dans cet ouvrage ont pour finalité d’être testées par les entreprises sur leur propre système d’information (par un service interne ou un prestataire externe) afin de vérifier sa perméabilité aux attaques informatiques.

Ces tests d’intrusion (ou penetration test) sont les incarnations concrètes du leitmotiv du hacking éthique : « apprendre l’attaque pour mieux se défendre ».

En effet, comment se défendre efficacement lorsqu’on ignore les armes et techniques déployées par son ennemi ?

Ces tests d’intrusion doivent néanmoins être encadrés contractuellement afin que leurs auteurs ne tombent pas sous le coup des incriminations pénales spécifiques existantes. 

Une infraction pénale n’est en principe constituée qu’en prouvant la réunion de deux éléments : la réalisation effective de l’infraction (élément matériel) et l’intention frauduleuse de la réaliser (élément moral).

En effet, l’alinéa 1er de l’article 121-3 du Code pénal dispose qu’« il n’y a point de crime ou de délit sans intention de le commettre ».

Par exception, pour les contraventions et certains délits et crimes (ex. infractions non intentionnelles ou mise en danger d’autrui), l’intention est présumée ou prend une forme différente.

Concernant le test d’intrusion, les opérations réalisées durant celui-ci sont potentiellement condamnables au titre des dispositions pénales sanctionnant l’intrusion dans un système de traitement automatique de données, infractions issues de la loi n° 88-19 du 5 janvier...

Atteintes à un système d’information

Les sanctions attachées aux intrusions dans les systèmes d’information sont croissantes en fonction de leur gravité : simple accès, atteinte à leur fonctionnement, atteinte aux données qu’ils contiennent, mise à disposition de moyens d’intrusion. Il faut par ailleurs souligner que pour ces infractions, la tentative sera punie de la même façon que l’infraction à laquelle elle se rattache.

La loi n° 2012-410 du 27 mars 2012 relative à la protection de l’identité a encadré l’intégration dans les pièces d’identité et les passeports d’un composant électronique sécurisé comprenant les données à caractère personnel du détenteur du document. Pour dissuader les attaques contre ce composant, cette loi a créé une nouvelle circonstance aggravante des infractions d’atteintes aux systèmes de traitement automatisé de données étudiées ci-après, lorsque ces infractions « ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État ».

Atteintes aux traitements de données à caractère personnel

L’intrusion dans un système d’information suppose généralement l’accès à des données à caractère personnel contenues dans le système.

Infractions classiques applicables à l’informatique

À ces infractions pénales créées spécifiquement dans le cadre de l’utilisation d’outils informatiques, il faut ajouter les dispositions pénales classiques qui peuvent trouver également application dans les environnements informatiques (par exemple : l’escroquerie, l’usurpation d’identité, l’interception de correspondance privée ou la dégradation physique d’un système).

Un Livre blanc sur la sécurité publique a été adopté le 26 octobre 2011. Il traite du recours aux nouvelles technologies numériques et leur influence comme aides à l’enquête pénale et dans leur utilisation par les délinquants.

Il dresse un panorama des nouveaux risques numériques liés au recours croissant aux nouvelles fonctionnalités de l’Internet et notamment aux réseaux sociaux. Il souligne que le droit pénal est désormais tributaire des évolutions sociétales qui nécessitent des adaptations législatives qui sont parfois contestées, car perçues comme attentatoires aux libertés individuelles. Il aborde l’importance du recours à la vidéoconférence, à la vidéoprotection (voir notamment la loi n° 2011-267 du 14 mars 2011 dite LOPPSI 2), aux fichiers afin de rendre les enquêtes plus performantes (voir Communication commerce électronique n° 1, janvier 2012, alerte 1, "Le Livre blanc sur la sécurité publique et les technologies numériques", Focus par Myriam Quéméner).

Solutions et précautions

Deux hypothèses doivent être ici envisagées : l’investigation et l’analyse des techniques énumérées tout au long de cet ouvrage à des fins de recherche en sécurité informatique et l’utilisation effective de ces techniques par des prestataires sollicités par des sociétés souhaitant faire subir à leur système d’information des tests d’intrusion.

La finalité est dans les deux cas identique : éprouver les défenses des systèmes d’information afin d’améliorer leur protection.

Conclusion

Afin de ne pas s’exposer aux infractions pénales listées dans le présent chapitre (atteinte à un système d’information ou à un traitement de données à caractère personnel et infractions pénales classiques), la personne ou l’entité doit disposer d’un outil contractuel ou prendre des précautions suffisantes, en fonction du contexte.

Lors d’une prestation de tests d’intrusion commandée par un client, celle-ci doit faire l’objet d’un contrat déterminant l’étendue et les limites de la mission confiée et exonérer le prestataire pour les actions menées dans ce cadre.

Lors de la découverte d’une faille de sécurité dans un système ou un logiciel, la divulgation de cette faille doit dans tous les cas répondre à un motif légitime (information et sensibilisation du public), faire l’objet d’une information préalable de l’entité responsable et ne pas porter atteinte à ses intérêts de façon disproportionnée.

Il sera intéressant d’analyser les changements de comportements et de positions jurisprudentielles induits par l’obligation d’information sur les failles de sécurité :