Réflexions technico-juridiques autour des virus
13 nov. 2018 - 10:56,
Tribune
- Cédric Cartau & Me Omar Yahia« Le premier virus connu n’en était pas vraiment un : il s’agissait d’un divertissement inventé par trois ingénieurs des Bell Labs, le but étant de concevoir un programme qui écrasait celui du voisin dans la mémoire centrale de l’ordinateur. Là, sauf erreur de ma part, rien de répréhensible du point de vue juridique.
D’après mes recherches (https://assiste.com/Histoire_des_virus.html), tout commence en 1961 par un jeu nommé « Darwin », qui met en œuvre, longtemps avant la lettre, des techniques qui, plus de 30 ans plus tard, seront utilisées par les virus informatiques. Je te confirme qu’il n’y a là rien de répréhensible. Le précrime n’existait pas (cf. Minority Report).
– Le premier « vrai » virus connu est apparu en 1986. Selon Wikipédia, « l’Arpanet fut infecté par Brain, virus renommant toutes les disquettes de démarrage de système en (C)Brain. Les créateurs de ce virus y donnaient leurs nom, adresse et numéro de téléphone car c’était une publicité pour eux ». À mon avis, si un petit malin s’amusait à faire la même chose aujourd’hui, cela risquerait de se passer plutôt mal pour lui.
– La première « vraie » disposition législative sur la cybercriminalité, en France, fut la loi no 88-19 du 5 janvier 1988 relative à la fraude informatique, dite « Godfrain », qui avait pour objectif, entre autres, de permettre la répression de fraudes en matière informatique. Jusqu’alors, elles relevaient des incriminations de droit commun du droit pénal spécial (vol, escroquerie, abus de confiance, par exemple). Or, ces incriminations de droit commun montrèrent très rapidement leurs limites. Depuis, les virus n’ont cessé de se perfectionner.
– À partir de là, on pourrait convenir que les virus – et leurs pendants, les antivirus – ont connu quelques grandes époques ou « ruptures de paradigme ». La première époque a été celle des virus « destructeurs » : on se souvient de I Love You et autres joyeusetés qui nous laissaient comme deux ronds de flan devant l’écran bleu de la mort. Je ne suis pas juriste, mais pour le coup je n’ai pas trop de doutes, ce genre de pratiques doit être interdit, un peu comme entrer par effraction chez le voisin et, même sans rien lui voler, exploser toute l’argenterie avec une batte de baseball.
– La grande spécificité de « I Love You », à l’époque, c’était de prendre les apparences séductrices de Cupidon. Je te confirme que c’est interdit. Cette méthode fait surtout prendre conscience qu’en matière de cybercriminalité une coopération internationale policière et judiciaire est plus que nécessaire. Et, depuis, le législateur français (et européen) s’est doté d’un arsenal répressif assez considérable, notamment depuis la transposition de la directive NIS (ou en français la directive SRI, Sécurité des réseaux et des systèmes d’information) par la loi du 26 février 2018.
– Ensuite, il y a eu l’époque des virus – ou vers, ou trojans, quels que soient le nom qu’on leur donne ou leur mode de propagation – qui, sans rien détruire, accaparaient des ressources machine et les détournaient dans d’autres buts. Les malwares de prise de contrôle de machine à distance pour espionnage, pour créer des relais de bot, etc., même en l’absence de destruction, à mon humble avis il y a au moins intrusion dans un système informatique, et ça c’est très vilain. Omar ?
– Tout à fait. Le simple « fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données » est déjà constitutif d’une infraction prévue et réprimée à l’article 323-1 du Code pénal par deux ans d’emprisonnement et 60 000 euros d’amende. Quant à l’espionnage informatique, le fait, « commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l’installation d’appareils de nature à permettre la réalisation de telles interceptions » est puni d’un an d’emprisonnement et de 45 000 euros d’amende (article 226-15 du Code pénal).
– Puis, à partir de 2015, sont apparus les cryptolockers, qui chiffrent les données non pas pour les voler, mais pour les rendre inaccessibles – et demander des espèces sonnantes et trébuchantes pour envoyer la clé de déchiffrement. Là encore, à mon avis, il y a intrusion dans un système en plus de dégradation.
– Là, nous sommes typiquement dans la cyberextorsion. Je te rappelle la définition légale de l’extorsion (peu importe le moyen utilisé, d’ailleurs) : c’est le « fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque » (article 312-1 du Code pénal).
– Je me pose tout de même la question suivante : quand le méchant d’en face infecte volontairement un système, OK, je veux bien qu’il y ait matière à plaider. Mais quand l’utilisateur a lui-même introduit le malware, avec ses petites mains, dans son ordinateur, quelle est la base légale ? Je pense à la clé USB qui traîne sur un parking, dite « technique russe » : de quoi va se plaindre l’utilisateur ? Il a lui-même ramassé la cochonnerie et l’a lui-même injectée dans son PC. Je suis sûr que tu as la réponse.
– Il n’y a pas de loi contre les imbéciles, hélas J !
– Enfin, la génération suivante est celle des cryptomineurs : il s’agit de malwares qui ne détruisent rien, voire se comportent de manière suffisamment furtive pour ne pas « tuer » la victime (l’ordinateur qu’ils infectent), et en utilisent les ressources CPU pour effectuer des calculs complexes (le minage) utilisés dans les systèmes de cryptomonnaie (notamment le bitcoin, mais pas que) afin de récupérer des sous. Un pirate assez habile pour infecter des milliers de machines qui mineraient en silence pourrait gagner des centaines de milliers d’euros par an, le tout sans se faire remarquer. OK, dans certains cas, cela nous ramène à l’intrusion dans un SI, pas de débat sur l’aspect illégal de la chose. Là où je m’interroge, c’est que certains de ces cryptomineurs sont tout simplement inclus dans le code JavaScript d’une page Web, sur laquelle nous tombons au gré de notre navigation. Il ne s’agit donc pas de programmes qui s’introduisent volontairement dans un serveur ou un PC ; quand on quitte la page Web en question, le cryptominage s’arrête. Quelle est, dans ce cas, la base légale pour dire qu’il s’agit d’une infraction ? C’est un peu comme si l’on allait sonner à la porte du voisin (on visite un site Web) et que ce dernier, en ouvrant la porte, nous donnait la recette du soufflé au fromage et que l’on se mettait à faire des dizaines et des dizaines de soufflés au fromage. Où est l’illégalité ? Omar ?
– Le cryptominage est carrément plus insidieux. Mais cette pratique me paraît tomber sous le coup de l’article 323-1 du Code pénal. Le moyen technique pour y parvenir importe peu, à vrai dire. Pour le juriste, il faut et il suffit de prouver l’élément matériel (l’acte a été commis) et l’élément intentionnel (l’acte a été voulu, prémédité). Mais il est certain que le droit sera toujours en retard sur la pratique. »