Vos conditions générales de vente sont elles conformes ?

Vos mentions légales le sont elles vraiment ?

Votre site Internet a t-il une politique de confidentialité ?

Quel est le risque en cas de litige ?

CGV Expert s'occupe de vos CGV/CGU et contrats







Europe

CGV-Expert.fr a été cofinancé par l’Union Européenne. L’Europe s’engage en Basse Normandie avec le fonds européen de développement régional.







Entente en vue de la préparation d’une entrave au fonctionnement d’un STAD : une acception large

Publié le 10/02/2020 par , vu 370 fois, catégorie : Sites Ecommerce

Par un arrêt en date du 7 novembre 2017[1], la Cour de cassation a estimé que la mise à disposition aux internautes d’une passerelle informatique « WebIRC » constituait un délit d’entente.


L’attaque par déni de service, une entrave au fonctionnement d’un STAD

Une attaque par déni de service constitue une entrave au fonctionnement d’un système de traitement automatisé des données (STAD)[2]. Cette opération consiste à saturer de requêtes un serveur informatique sur lequel repose un site internet, afin qu’il ne soit plus en état d’assurer le bon fonctionnement dudit site.

C’est de cette attaque, orchestrée par le collectif de hackers Anonymous, qu’a précisément été victime un distributeur historique d’énergie, en avril 2011. L’opération, intitulée "Greenrights", avait été orchestrée plusieurs semaines à l’avance sur un salon de discussion virtuel créé pour l’occasion.

Ce salon de discussion avait été rendu accessible grâce à la mise à disposition gratuite par le prévenu d’un "WebIRC", à destination des internautes. En téléchargeant le WebIRC, chacun pouvait accéder librement à un ensemble de tchats virtuels, dont le tchat litigieux faisait partie.

Dès mai 2011, le fournisseur d’énergie victime de l’attaque a déposé plainte contre les auteurs de cette attaque. C’est dans le cadre de l’enquête ayant suivi que le fournisseur du WebIRC a été mis en cause.

En première instance, le prévenu a été relaxé[3], les juges estimant que la passerelle informatique qu’il avait conçue n’était pas spécifiquement destinée au mouvement « Anonymous » ou à la commission d’attaques par déni de service. Cette passerelle n’était en réalité qu’un moyen pour les internautes d’être redirigés vers les canaux litigieux. Ce faisant, les éléments constitutifs de l’infraction d’entente en vue de l’entrave au fonctionnement d’un système automatisé de données n’étaient pas réunis, puisque le prévenu n’avait eu aucune intention de participer à des attaques ou de faciliter la réalisation de ces dernières.

Compte tenu de cette décision, le parquet a décidé d’interjeter appel le 18 décembre 2014.

 

Une appréciation large du délit d’entente

La Cour d’appel de Paris s’est saisie en appel de la question de savoir si la fourniture d’un service de WebIRC permettant aux internautes d’accéder à des salons de discussion visant à planifier des attaques informatiques pouvait constituer le délit d’entente réprimé par le Code pénal[4].

A l’issue des débats, le prévenu a finalement été condamné à deux mois d’emprisonnement, assortis d’un suivi avec mise à l’épreuve pendant 18 mois, ainsi qu’à une obligation de suivre un stage de citoyenneté. La Cour d’appel a en effet considéré, contrairement aux juges du fond, que le délit d’entente était bien caractérisé.

C’est finalement par une décision de la Cour de cassation, rendue le 7 novembre 2017, que cette affaire a été tranchée. Le pourvoi formulé à l’encontre de l’arrêt d’appel a finalement été rejeté.

A travers les arrêts d’appel et de rejet du pourvoi en cassation, il apparaît que la fourniture de la passerelle informatique constituait un acte préparatoire au délit d’entrave à un STAD. En se prononçant ainsi, la Cour de cassation a validé une acception particulièrement large, non seulement des actes matériels caractérisant le délit d’entente, mais aussi de ses actes préparatoires. En effet, au-delà de la fourniture d’un accès aux salons de discussion litigieux, le prévenu avait eu un rôle particulièrement limité dans la préparation de l’opération de piratage. Les tracts publicitaires sur lesquels était annoncée l’attaque, et qui invitaient les internautes intéressés à se connecter sur le salon de discussion via la plateforme du prévenu, avaient été rédigés par les membres du mouvement Anonymous. En outre, le prévenu n’avait aucunement pris part aux discussions, n’étant pas lui-même membre du groupe Anonymous, ni pirate informatique. Il n’était donc nullement démontré qu’il avait joué à rôle quelconque dans la préparation matérielle de l’opération de piratage.

Ce faisant, sa condamnation implique l’obligation pour les fournisseurs de passerelles WebIRC de vérifier que les informations auxquelles les internautes ont la possibilité d’accéder via ces canaux ne permettent pas de préparer la commission d’infractions quelconques. Dans pareil cas, le fournisseur a alors l’obligation, soit de prévenir les services de police, soit de suspendre l’accès à ses services aux individus concernés.

 

Des éléments en faveur d’une condamnation

La condamnation du prévenu ne repose toutefois pas uniquement sur la simple fourniture d’un accès aux salons de discussion litigieux, qu’il aurait dû suspendre dès lors qu’il avait eu vent des opérations litigieuses qui s’y organisaient.

L’enquête a également démontré qu’il avait eu un rôle privilégié dans la tenue des discussions, puisqu’il disposait, sur le canal IRC en question, d’un statut spécial de "semi-opérateur". Ce faisant, il était donc établi qu’il avait accédé à l’ensemble des informations permettant de préparer l’infraction, sans avoir rien fait pour s’y opposer.

D’ailleurs, le prévenu reconnaissait s’être rendu sur le site du fournisseur d’énergie ciblé lors de la première vague d’attaques, afin de se rendre compte par lui-même des effets du piratage. Un tel comportement n’aurait pas été rendu possible s’il n’avait pas été informé, dans les détails, des modalités de commission de l’infraction en question, ni eu conscience de la nature des intentions des pirates informatiques discutant sur ses canaux IRC.

En somme, le délit d’entente était ici caractérisé à l’égard du prévenu, dès lors qu’il fournissait aux pirates informatiques, en pleine conscience, les moyens matériels permettant d’organiser leurs actions litigieuses, et qu’il n’a rien fait pour s’opposer à la commission d’une telle action.

 

 


[1] Crim., 7 novembre 2017, n° 16-84-918, publié au Bulletin.

[2] TGI Paris, 12e corr., 19 mai 2006.

[3] TGI Paris, 12e corr., 11 décembre 2004.

[4] CA Paris, 30 juin 2016.


CGV-expert propose la rédaction de vos conditions générales