Saga Bluetouff : qu’est-ce qu’un délit d’entrave à un SI ?
6 août 2014.
La saga relative aux démêlés judiciaires d’un internaute ayant téléchargé des données confidentielles laissées en libre accès sur internet oblige aujourd’hui les juges à rechercher un équilibre entre l’insécurité juridique dans laquelle peuvent être placés les internautes lors de leur navigation et l’obligation forte qui pèse sur les entreprises et organismes en matière de sécurisation de leurs SI.
En l’espèce, un particulier connu sous le pseudonyme Bluetouff effectuait des recherches sur le moteur de recherches « Google » lorsqu’il a été orienté vers une page extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ci-après l’« ANSES »).
Bluetouff va poursuivre sa navigation dans cet extranet, puis télécharger des données qui n’étaient pas renseignées comme « confidentielles » et ayant trait à des questions de santé publique. Bluetouff mettra ensuite ces données à disposition sur internet par le biais d’articles, ce qui alertera l’ANSES qui reconnait un de ses documents internes, censé être confidentiel, et va déposer plainte en pensant avoir été victime d’un piratage.
Par un premier jugement du 23 avril 2013[1], le TGI de Créteil a prononcé la relaxe de Bluetouff, au motif que :
- le délit d’entrave au sens de l’article 323-1 du code pénal n’était pas constitué ;
- le vol au sens de l’article 311-1 du code pénal n’était pas caractérisé, puisque :
– les documents étaient accessibles du fait de la faille,
– l’ANSES reste en possession des fichiers dont une simple copie a été réalisée par l’auteur des faits.
Néanmoins, le Ministère public va décider de d’interjeter appel et, dans un arrêt du 5 février 2014, la Cour d’appel de Paris va condamne Bluetouff à 3 000 euros d’amende après s’être prononcée sur les trois chefs d’accusation retenus contre lui:
- Accès frauduleux[2] à l’extranet de l’ANSES : la cour confirme sur ce point le jugement de Créteil et reconnait que Bluetouff est bien arrivé sur l’extranet de l’ANSES en raison d’une grave faille de sécurité.
- Maintien frauduleux dans un STAD[3] : la cour retient le caractère frauduleux de son maintien, en arguant que Bluetouff a admis être arrivé, au fil de sa navigation dans l’extranet, sur une page lui demandant de s’authentifier par login/mot de passe. Dès lors, la cour a considéré que le prévenu, professionnel en informatique, aurait dû prendre conscience que les pages qu’il avait consultées précédemment étaient privées et de se fait devoir « sortir » du STAD en constatant que l’accès semblait habituellement restreint.
- Vol : pour retenir Bluetouff coupable d’avoir soustrait frauduleusement les documents stockés sur cet extranet, la cour estime que le prévenu a « fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ». Sur ce point, il pourrait être reproché à la Cour d’Appel de ne pas avoir suffisamment motivé sa décision, puisque le vol suppose une soustraction matérielle qui doit avoir pour conséquence de rendre les éléments inaccessibles à leur propriétaire, comme cela avait été retenu en 1ère instance, alors que nous sommes ici en présence ici de biens immatériels, plus propice à une recherche de culpabilité sur un autre le terrain : celui de la contrefaçon….
Ce nouvel arrêt, en excluant l’accès frauduleux et ne retenant le maintien frauduleux en connaissance de cause, très difficile à démontrer, rappelle aux administrateurs de SI et experts informatiques la nécessité de sécuriser l’accès à leurs sites internet et réseaux internes.
A ce titre, nous leur recommandons notamment de :
- Prévoir des audits afin de relever les mesures de sécurité à mettre en place et notamment vérifier les Urls indexées par le moteur de recherche « Google » ;
- Spécifier de manière explicite le caractère privé des pages dont vous avez souhaité restreindre l’accès ;
- Tester régulièrement votre système d’information en faisant réaliser des audits de type « test d’intrusion », par exemple ;
- Anticiper ces points dans vos contrats avec vos prestataires.
[1] https://www.itlaw.fr/fr/index.php/articles/298-ne-negligez-plus-la-securite-de-votre-si-sinon-l-intrusion-non-autorisee-n-est-pas-sanctionnee
[2] Articles 323-1 et suivants du code pénal
[3] Système de Traitement Automatisé de Données