1ère condamnation de l’usurpation d’identité numérique, doublée de l’introduction de données dans un système de traitement automatisé - Par Gustave Noukagué
Publié le :
06/01/2015
06
janvier
janv.
01
2015
A l’heure où les risques d’usurpation d’identité numérique se multiplient, et où les systèmes informatiques subissent régulièrement des attaques de toutes sortes, la 13ème chambre correctionnelle du TGI de Paris vient rappeler, par un jugement du 18 décembre 2014, le caractère fort à propos des dispositions de la Loi dite « LOPPSI 2 » réprimant l’usurpation d’identité numérique, votées quelques mois seulement avant la commission des faits ainsi sanctionnés, et la vigueur de la loi Godfrain du 5 janvier 1988 à l’ère du web 2.0.
Avec le développement du web social, se créer de multiples identités sur les réseaux sociaux, prendre le patronyme d’un autre sur les forums de discussions, se passer pour celui que l’on n’est pas sur les réseaux de communication en ligne, sont devenus monnaie courante. Rien de bien critiquable tant que ces faits ne sont pas préjudiciables aux tiers considérés. Mais une fois la frontière de l’inacceptable franchie, la victime peut, depuis la loi dite « LOPPSI 2 », recourir à l’incrimination d’usurpation d’identité numérique dont le TGI de Paris vient ainsi de faire une première application.
En effet, avant la loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure dite « LOPPSI 2 », la victime d’une telle usurpation ne pouvait pénalement recouvrir qu’à des textes généraux réprimant « l’usurpation du nom d’un tiers ou la fausse déclaration de l’état civil d’une personne dans des circonstances susceptibles de déterminer des poursuites pénales contre celle-ci » [1] ou « l’atteinte à l’intimité de la vie privée d’autrui » [2].
La loi pénale étant d’interprétation stricte, le recours à ces textes généraux n’était cependant pas satisfaisant, la Cour de cassation considérant par exemple qu’une Cour d’appel ne peut déclarer un prévenu « coupable de prise du nom d’un tiers dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales du chef de diffamation sans établir en quoi le message indûment attribué à un tiers contenait des imputations portant atteinte à l’honneur ou à la considération de personnes nommément désignées » .
Dans une autre espèce, deux prévenus avaient été déclarés coupables du délit d’usurpation d’état civil par la Cour d’appel de renvoi, pour avoir publié sur plusieurs sites Internet de propos et photos mettant en cause un magistrat et son épouse, puis envoyé par e-mail à plusieurs journaux un communiqué de presse faussement présenté comme émanant du fils de l’épouse du magistrat, en invitant les journalistes à consulter ces sites. Dans leur pourvoi, les prévenus invoquaient la violation de l’article 434-23 du Code pénal en soutenant que « la loi pénale est d’interprétation stricte ; que ne constitue pas le nom d’un tiers au sens de l’article 434-23 du code pénal, une adresse électronique qui est une identité numérique ». Se référant à l’appréciation souveraine des juges du fond, la Cour de cassation a rejeté le pourvoi sans se prononcer explicitement sur cette question spécifique .
Sur le même thème, le TGI de Paris a sanctionné au plan civil au titre « d’atteinte à la vie privée et au droit à l’image », la création sur Facebook d’un faux profil de l’artiste Omar S. .
C’est donc fort à propos qu’en mars 2011, le législateur a prévu dans la LOPPSI 2 l’incrimination spécifique d’usurpation d’identité numérique en punissant d’un an d’emprisonnement et de 15 000 € d’amende « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération », cette infraction étant « punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne » [3].
Dès la fin de l’année 2011, un informaticien et son complice devaient offrir au TGI de Paris l’occasion de faire une première application de ce texte.
Entre le 3 décembre 2011 et le 5 janvier 2012 en effet, un informaticien travaillant au sein de la société Orange et domicilié dans la région de MACON avait créé un faux site officiel de la députée-maire Rachida DATI reprenant sa photo et sa charte graphique, et qui offrait la possibilité aux internautes d’y publier des commentaires sous la forme de communiqués de presse présentés comme s’ils avaient été rédigés par la députée-maire, mais au contenu trompeur et parodique, voire insultant ou diffamant.
Selon les investigations de la Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information (BEFTI), l’internaute qui voyait s’afficher la page comportant les faux communiqués de presse se trouvait en réalité sur le vrai site de la député-maire, et pouvait ainsi poursuivre sa navigation sur le site officiel en cliquant sur d’autres onglets dudit site, l’URL contenue dans la barre d’adresse correspondant au site de la député-maire.
Pour ce faire, l’informaticien avait accédé frauduleusement au site officiel de la députée-maire en profitant d’une faille de sécurité de type « cross-site scripting » (en abrégé XSS) pour y introduire des instructions informatiques à un emplacement non prévu à cet effet, afin de modifier le comportement du site au préjudice de son propriétaire.
Le résultat de la manipulation se présentait sous la forme d’un lien internet pouvant être diffusé, ces opérations n’entrainant cependant aucune modification ni suppression des données du site officiel de la député-maire.
C’est fort de ces constatations que le Tribunal a considéré que l’identité de la député-maire avait été « numériquement usurpée ».
S’agissant du trouble à la tranquillité ou de l’atteinte à l’honneur ou à la considération de la député-maire, le Tribunal rappelle qu’au regard des dispositions de l’article 226-4-1 du Code pénal, les faits visés doivent avoir été commis en vue de causer un tel trouble ou une telle atteinte, l’intention suffisant dès lors seule à caractériser l’infraction.
Selon le Tribunal, l’intention se trouve en l’occurrence caractérisée tout à la fois par (i) le retentissement que le site litigieux a connu sur Internet ainsi que dans les médias (retentissement recherché par l’informaticien qui a reconnu avoir adressé le lien vers le site litigieux à ses 4000 contacts sur Twitter, lesquels ont dès lors pu faire de même en multipliant les possibilités de visionnage d’une façon exponentielle), (ii) le fait que l’atteinte à l’honneur et à la considération de la député-maire était –au regard des éléments de la procédure et des déclarations des prévenus– visée dans le cadre des agissements critiqués, l’organisation et la reconfiguration techniques mises en place par les prévenus permettant d’orienter de façon non-équivoque la nature des messages laissés par les internautes, (iii) le caractère « particulièrement injurieux et diffamant » des faux communiqués que chaque internaute voyait s’afficher sur le site litigieux, l’informaticien ayant prévu leur stockage sur son site.
Le Tribunal a déduit donc que l’informaticien a, « en toute connaissance de cause, pleinement contribué à la teneur des "communiqués" à caractère obscène rédigés par la suite par les internautes ».
De surcroît, en sa qualité de modérateur du site dont il était le créateur, l’informaticien avait la possibilité de le fermer ou, à tout le moins, de désapprouver la nature injurieuse et diffamante des contenus rédigés. S’en étant abstenu, le Tribunal a écarté le moyen de défense tiré du fait que les « communiqués » visés étaient le fait d’internautes-tiers non identifiés ; il a donc déclaré l’informaticien coupable du délit d’usurpation d’identité numérique.
Quant au prévenu qui avait mis à la disposition de l’informaticien, en toute connaissance de cause, le nom de domaine, l’espace de stockage qu’il louait chez OVH, l’identifiant et le mot de passe associé, il a été reconnu coupable de complicité de cette usurpation.
S’agissant de l’introduction frauduleuse de données dans un système de traitement automatisé, le Tribunal considère notamment que le site Internet de la député-maire relève d’un système de traitement automatisé (STAD), tant il est vrai que le délit considéré suppose au préalable l’existence d’un tel système.
Selon le Tribunal donc, en exploitant la faille de sécurité XSS pour modifier le fonctionnement du site, l’informaticien a manifestement recherché à introduire frauduleusement des données dans un STAD. Il est donc condamné de ce chef, le Tribunal écartant au passage le moyen de défense tiré du fait que la faille de sécurité dont s’agit était connue et identifiée depuis plusieurs mois par le gestionnaire du site qui aurait dû en conséquence la corriger, l’éventuelle négligence de la victime ne pouvant, en matière pénale, exonérer l’auteur d’un fait délictueux.
L’autre prévenu a été revanche relaxé de ce chef, aucun élément positif d’introduction frauduleuse de données ne pouvant lui être reproché.
En répression, l’informaticien a été condamné à 3000 euros d’amende pour usurpation d’identité numérique et introduction frauduleuse de données dans un STAD, et l’autre prévenu à 500 euros d’amende pour complicité d’usurpation d’identité numérique.
Ce jugement publié sur le site www.legalis.net a été frappé d’appel par l’informaticien.
Reste donc à savoir si cette décision résistera notamment à une éventuelle QPC concernant par exemple l’incrimination d’usurpation d’identité numérique, ou à une éventuelle confrontation avec l’article 34 de la Loi informatique et Libertés, lequel fait obligation au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès », le manquement à une telle obligation étant par ailleurs pénalement sanctionné (jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende ).
Notes :
[1] art. 434-23 du Code pénal
[2] art. 226-1 du Code pénal
[3] art. 2 de la LOPPSI 2, codifié à l’art. 226-4-1 du Code pénal
Retrouvez l'article sur Le Village de la Justice...
Historique
-
1ère condamnation de l’usurpation d’identité numérique, doublée de l’introduction de données dans un système de traitement automatisé - Par Gustave Noukagué
Publié le : 06/01/2015 06 janvier janv. 01 2015ACTUALITÉS DU CABINETA l’heure où les risques d’usurpation d’identité numérique se multiplient, et...
-
Fournisseurs de service wifi en libre accès : vos obligations légales - Par Gustave Noukagué
Publié le : 30/12/2014 30 décembre déc. 12 2014ACTUALITÉS DU CABINETLa mise en place d’un service wifi en libre accès doit respecter diverses obl...