Risques juridiques et solutions
Préambule
Les techniques décrites dans cet ouvrage ont pour finalité d’être testées par les entreprises sur leur propre système d’information (par un service interne ou un prestataire externe) afin de vérifier sa perméabilité aux attaques informatiques.
Ces tests d’intrusion (ou penetration test) sont les incarnations concrètes du leitmotiv du hacking éthique : « apprendre l’attaque pour mieux se défendre ».
En effet, comment se défendre efficacement lorsqu’on ignore les armes et techniques déployées par son ennemi ?
Ces tests d’intrusion doivent néanmoins être encadrés contractuellement afin que leurs auteurs ne tombent pas sous le coup des incriminations pénales spécifiques existantes.
Une infraction pénale n’est en principe constituée qu’en prouvant la réunion de deux éléments : la réalisation effective de l’infraction (élément matériel) et l’intention frauduleuse de la réaliser (élément moral).
En effet, l’alinéa 1er de l’article 121-3 du Code pénal dispose qu’« il n’y a point de crime ou de délit sans intention de le commettre ».
Par exception, pour les contraventions et certains délits et crimes (ex. infractions non intentionnelles ou mise en danger d’autrui), l’intention est présumée ou prend une forme différente.
Concernant le test d’intrusion, les opérations réalisées durant celui-ci sont potentiellement condamnables au titre des dispositions pénales sanctionnant l’intrusion dans un système de traitement automatique de données, infractions issues de la loi n° 88-19 du 5 janvier...
Atteintes à un système d’information
Les sanctions attachées aux intrusions dans les systèmes d’information sont croissantes en fonction de leur gravité : simple accès, atteinte à leur fonctionnement, atteinte aux données qu’ils contiennent, mise à disposition de moyens d’intrusion. Il faut par ailleurs souligner que pour ces infractions, la tentative sera punie de la même façon que l’infraction à laquelle elle se rattache.
La loi n° 2012-410 du 27 mars 2012 relative à la protection de l’identité a encadré l’intégration dans les pièces d’identité et les passeports d’un composant électronique sécurisé comprenant les données à caractère personnel du détenteur du document. Pour dissuader les attaques contre ce composant, cette loi a créé une nouvelle circonstance aggravante des infractions d’atteintes aux systèmes de traitement automatisé de données étudiées ci-après, lorsque ces infractions « ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État ».
Accès et maintien dans un système d’information
L’article 323-1 alinéa 1er du Code pénal sanctionne de deux ans d’emprisonnement et de 60 000 euros d’amende le fait « d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ».
L’article 323-1 alinéa 2 précise que « lorsqu’il en est résulté soit la suppression...
Atteintes aux traitements de données à caractère personnel
L’intrusion dans un système d’information suppose généralement l’accès à des données à caractère personnel contenues dans le système.
Notion de données à caractère personnel
Tout traitement de données à caractère personnel doit être réalisé dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (dite "loi Informatique et Libertés") modifiée.
Ayant pour objectif l’harmonisation des textes nationaux européens applicables aux traitements de données à caractère personnel et issus notamment d’une directive européenne de 1995, un règlement européen 2016/679 a été adopté le 27 avril 2016.
Ce règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « Règlement général sur la protection des données » ou « RGPD »), applicable depuis le 25 mai 2018, est d’application directe dans les différents pays européens.
La notion de donnée à caractère personnel est définie à l’article 2 de la loi Informatique et Libertés et à l’article 4 du RGPD.
Elle vise toute information se rapportant à une personne physique identifiée ou identifiable.
Une personne physique identifiable est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant...
Infractions classiques applicables à l’informatique
À ces infractions pénales créées spécifiquement dans le cadre de l’utilisation d’outils informatiques, il faut ajouter les dispositions pénales classiques qui peuvent trouver également application dans les environnements informatiques (par exemple : l’escroquerie, l’usurpation d’identité, l’interception de correspondance privée ou la dégradation physique d’un système).
Un Livre blanc sur la sécurité publique a été adopté le 26 octobre 2011. Il traite du recours aux nouvelles technologies numériques et leur influence comme aides à l’enquête pénale et dans leur utilisation par les délinquants.
Il dresse un panorama des nouveaux risques numériques liés au recours croissant aux nouvelles fonctionnalités de l’Internet et notamment aux réseaux sociaux. Il souligne que le droit pénal est désormais tributaire des évolutions sociétales qui nécessitent des adaptations législatives qui sont parfois contestées, car perçues comme attentatoires aux libertés individuelles. Il aborde l’importance du recours à la vidéoconférence, à la vidéoprotection (voir notamment la loi n° 2011-267 du 14 mars 2011 dite LOPPSI 2), aux fichiers afin de rendre les enquêtes plus performantes (voir Communication commerce électronique n° 1, janvier 2012, alerte 1, "Le Livre blanc sur la sécurité publique et les technologies numériques", Focus par Myriam Quéméner).
Escroquerie
L’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une...
Solutions et précautions
Deux hypothèses doivent être ici envisagées : l’investigation et l’analyse des techniques énumérées tout au long de cet ouvrage à des fins de recherche en sécurité informatique et l’utilisation effective de ces techniques par des prestataires sollicités par des sociétés souhaitant faire subir à leur système d’information des tests d’intrusion.
La finalité est dans les deux cas identique : éprouver les défenses des systèmes d’information afin d’améliorer leur protection.
Encadrement contractuel des tests d’intrusion
Les tests d’intrusion utilisent les techniques décrites dans cet ouvrage afin de détecter et de signaler les failles existant dans le système d’information ciblé.
Le Club de la sécurité de l’information français (CLUSIF), dans son document "Test d’intrusion" disponible sur son site internet (www.clusif.fr), rappelle que ces tests peuvent avoir des conséquences imprévues sur l’intégrité, la disponibilité et la confidentialité du système d’information ciblé et des données qu’il contient, et conseille aux prestataires et aux sociétés cibles de souscrire des assurances spécifiques couvrant les risques liés à ce type d’opérations.
Pour rappel, les infractions pénales susvisées impliquent non seulement une réalisation matérielle, mais également une intention frauduleuse.
Cette intention frauduleuse n’est pas constituée lorsque le client a autorisé ou habilité contractuellement le prestataire de sécurité informatique à effectuer des tests d’intrusion...
Conclusion
Afin de ne pas s’exposer aux infractions pénales listées dans le présent chapitre (atteinte à un système d’information ou à un traitement de données à caractère personnel et infractions pénales classiques), la personne ou l’entité doit disposer d’un outil contractuel ou prendre des précautions suffisantes, en fonction du contexte.
Lors d’une prestation de tests d’intrusion commandée par un client, celle-ci doit faire l’objet d’un contrat déterminant l’étendue et les limites de la mission confiée et exonérer le prestataire pour les actions menées dans ce cadre.
Lors de la découverte d’une faille de sécurité dans un système ou un logiciel, la divulgation de cette faille doit dans tous les cas répondre à un motif légitime (information et sensibilisation du public), faire l’objet d’une information préalable de l’entité responsable et ne pas porter atteinte à ses intérêts de façon disproportionnée.
Il sera intéressant d’analyser les changements de comportements et de positions jurisprudentielles induits par l’obligation d’information sur les failles de sécurité :
-
À la charge des responsables de traitement de données à caractère personnel contenue aux articles 33 et 34 du Règlement général sur la protection des données du 27 avril 2016 et applicable depuis le 25 mai 2018.
-
À la charge des fournisseurs de services de communications électroniques accessibles au public contenue dans la directive européenne nº 2009/136/CE du 25 novembre 2009 transposée en France par l’ordonnance n° 2011-1012...
Références
-
Revue Droit de l’Immatériel, Éditions Wolters Kluwer
-
Revue Communication commerce électronique, Éditions JurisClasseur