La vraie prescription des infractions « cyber » #:~ luckylex Passage en Seine 2019 !1 Je tiens d’abord à remercier les organisateurs, ainsi que tous les bénévoles qui se cassent le bonbon pour rendre cet événement possible. En ce qui me concerne, je suis avocate au barreau de Luxembourg. Et évidemment, je vais vous parler du droit français plus que du droit luxembourgeois, mais ils ont de nombreux points communs, du fait de l’influence du droit européen. Je précise aussi que je ne suis pas avocat de hackers, et d’ailleurs, j’insiste sur le fait que ce n’est PAS une bonne idée de venir me soumettre un cas personnel. Sur ce point, je vous prie de bien vouloir me croire sur parole. Cette présentation est évidemment plus juridique que technique. Je vais essayer d’être le plus accessible possible mais je vais quand même devoir vous parler un peu de droit. Je ne souhaite pas être enregistrée, pour des raisons que vous êtes libres d’attribuer à ma paranoïa avancée. En revanche, les slides ainsi que la bibliographie et ce que je vous raconte sont ou seront publiés, ainsi éventuellement que les questions posées. 

!2 Pourquoi? https://github.com/fdiskyou/ Zines/blob/master/ PhineasFisher/2.txt Je vais vous parler de ce qu’on appelle juridiquement la prescription. Ce terme désigne le fait qu’une action en justice, un procès, ne peut plus être engagée après l’écoulement d’un certain laps de temps. Par exemple, en matière fiscale, le délai de prescription est de 3 ans, raison pour laquelle, le fisc français n’a pas pu redresser Liliane Bettencourt plus loin que quelques années en arrière. Il existe différent délais, il existe des cas dans lesquels il n’y a pas de délai, ces faits sont réputés imprescriptibles. C’est notamment le cas des crimes contre l’Humanité, ce qui explique que l’on puisse encore aujourd’hui traduire en justice les anciens nazis pour les crimes perpétrés pendant la seconde guerre mondiale. Certains droits réputent les crimes de sang imprescriptibles. Alors pourquoi est-il intéressant de se poser la question de la prescription en matière de cybercriminalité? Lors du dernier Chaos Computer Club Congress, aka 35C3, une présentation était intitulée (traduction libre) « hackez tout ce que vous voulez, mais ne vous faites pas prendre », sous-entendu, ne vous faites pas prendre bêtement, trahi par des discussions IRC, et s’ensuivait une liste de conseils de base en la matière. Et il a été évoqué le cas du hacker Phineas Phisher qui a piraté une entreprise italienne de piratage, appelée Hacking Team et révélé la liste de ses clients acheteurs d’outils de piratage. Quelqu’un de tout-à-fait sympathique, mais que recherchent les polices européennes, et notamment espagnole. Mais le juge d’instruction ou équivalent espagnol a indiqué la clôture de l’enquête en raison de l’impossibilité d’identifier l’auteur. En admettant que ce soit exact, le problème que je vois est que cette enquête peut être relancée tant que la prescription n’est pas acquise. D’où cette présentation. 

Infractions « cyber » !3 Je vais d’abord préciser ce qu’on peut entendre par infractions « cyber », étant précisé que le terme « cyber » est utilisé pour tout et n’importe quoi et ne correspond bien évidemment à aucune notion juridique. Mais il est d’usage de parler de cyber-criminalité, donc vous devez à peu voir ce dont il s’agit. On parle, dans le langage courant, de piratage, vol de données, destruction ou altération de données, destruction ou altération de système informatique, fabrication de virus, fabrication d’outils de piratage, cassage de code, ingénierie inversée, usurpation d’identité, hameçonnage, escroquerie, vol. A cela s’ajoutent les infractions dites « de presse » commises au moyen d’un système de diffusion électronique: injure, diffamation, mais aussi diffusion de fausse nouvelle (loi de 1881, art. 27), publication de mode d’emploi pour se suicider ou fabriquer une bombe, apologie de terrorisme ou négationniste. A cela s’ajoute les infractions de conséquence que sont le recel et le blanchiment. 

Intrusion • STAD • Frauduleusement !4 Par « piratage », on désigne l’infraction pénale consistant à s’introduire sans droit ou à se maintenir sans droit dans un système de traitement automatisé de données (STAD). L’article 323-1 du Code pénal français vise « le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données » = deux ans de prison et 60 000 € d’amende. Convention du Conseil de l’Europe sur la cybercriminalité de Budapest, 23 novembre 2001, article 2: « Chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour ériger en infraction pénale, conformément à son droit interne, l’accès intentionnel et sans droit à tout ou partie d'un système informatique. Une Partie peut exiger que l’infraction soit commise en violation des mesures de sécurité, dans l’intention d’obtenir des données informatiques ou dans une autre intention délictueuse, ou soit en relation avec un système informatique connecté à un autre système informatique. » La Directive 2013/40/UE du 12 août 2013 (4/09/2015) relative aux attaques contre les systèmes d’information vise en son article 3 l’Accès illégal à des systèmes d’information et dispose que « Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable l’accès sans droit, lorsqu’il est intentionnel, à tout ou partie d’un système d’information, lorsque l’acte est commis en violation d’une mesure de sécurité, au moins lorsqu’il ne s’agit pas de cas mineurs ». 

Altération • Intrusion • Modification des données !5 même article 323-1, alinéa 2 « Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 € d'amende ». Par ex. le « défacement », ou « défaçage », qui consiste à modifier un site web contre la volonté de son propriétaire. Un auteur a été condamné par le tribunal correctionnel de Lyon le 27 mai 2008 pour avoir défacé le site Internet de la fédération du Rhône du Front national et en avoir modifié la page d’accueil. TGI Lyon, ch. corr., 27 mai 2008 : www.legalis.net, comm. Éric A. CAPRIOLI, Le « défaçage » de site sanctionné pénalement, Communication Commerce électronique n° 3, Mars 2009, comm. 30 Autre altération: l’étudiant qui s’introduit dans le serveur de l’université pour modifier ses notes. 

Entrave au fonctionnement !6 Art.323-2: « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 150 000 € d'amende. » 

Fabrication d'outils Back Orifice !7 Je ne vous ai pas mis le logo, mais vous le trouverez sur Wikipédia. Il s’agit d’un outil qui permettait l’administration à distance des systèmes windows 95 et 98. PoC de l’absence de sécurité de windows. L’article 323-3-1 « Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée ». Cass. crim. 27 octobre 2009, n°09-82346: condamnation pour la diffusion d’un exploit. A l’époque, l’article 323-3-1 ne prévoyait pas de permettre la diffusion de faille et des descriptifs des moyens de les exploiter, à des fins “notamment de recherche ou de sécurité informatique”, élément ajouté par la loi de programmation militaire de 2014. Précisons que lorsque c’est l’Etat qui vend de tels outils de piratage, le cadre légal est posé par l'Arrangement de Wassenaar (de son nom complet, l'arrangement de Wassenaar sur le contrôle des exportations d'armes conventionnelles et de biens et technologies à double usage). 

Reverse !8 Lorsqu’un programme est compilé, l’analyse du code nécessite l’opération inverse de la compilation. Or cette opération nécessite en principe l’accord de l’auteur ou du propriétaire des droits d’auteur sur le code en question. A défaut, il y a contrefaçon, c’est-à-dire la violation des droits de propriété intellectuelle du propriétaire dudit logiciel. Aujourd’hui, l’article L.122-6-1 du Code de la propriété intellectuelle français dispose « III. La personne ayant le droit d'utiliser le logiciel peut sans l'autorisation de l'auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer. » Ce texte permet le reverse engineering quand on a un accès légitime et qu’on est user légitime du logiciel, à des fins de sécurité. Mais c’est une règle de droit français. A ma connaissance, il n’existe pas de règle comparable en droit luxembourgeois. Directive européenne? J’attire votre attention sur le fait que la finalité de recherche en sécurité informatique a été ajouté par une loi de programmation militaire, j’y reviendrais. Je souligne aussi qu’il est donc possible de faire évoluer le cadre juridique, il suffit de vendre des armes. 

Recel !9 Le recel est le fait de tirer profit du produit d’une infraction. Par exemple, dans l’affaire Deltour, le journaliste qui a publié les Luxleak s’est vu reprocher le recel de violation de secret professionnel. Il a été acquitté. Le blanchiment - détention est le fait de détenir le produit d’une infraction. Appliqué au cas Deltour par exemple, il lui était reproché, les « Faits de détention de données ayant fait l’objet d’une appropriation illicite et/ou d’une révélation en violation d’un secret protégé par la loi ». 

Blanchiment détention !10 Le blanchiment, de façon général, est une infraction consistant à donner une apparence de source licite au produit d’une infraction, de façon à ce qu’on ne puisse pas remonter à la source et découvrir l’infraction originelle. Par exemple, le fait de réinjecter l’argent liquide provenant de la vente de la drogue dans la caisse d’une laverie. Le blanchiment prend des formes très variées, envisagées de façon très large par les textes qui sanctionnent le blanchiment. L’idée est de traquer l’argent sale. C’est une législation d’utilité publique. Et elle présente la particularité d’être quasiment imprescriptible, car tant que le processus de blanchiment se déroule, la prescription ne court pas. Cahuzac a été condamné, non pour fraude fiscale, mais pour blanchiment de fraude fiscale. On arrive au blanchiment détention, où le fait de détenir le produit d’une infraction est constitutif de blanchiment. Le blanchiment - détention est le fait de détenir le produit d’une infraction. Appliqué au cas Deltour par exemple, il lui était reproché, les « Faits de détention de données ayant fait l’objet d’une appropriation illicite et/ou d’une révélation en violation d’un secret protégé par la loi ». Donc même si un hacker attend l’écoulement du délai de prescription du vol de données, par exemple, il pourra toujours se voir reprocher la détention du produit du vol s’il est trouvé en possession d’un disque dur contenant lesdites données. 

Captation illégale de données !11 Directive cybercriminalité: : Article 6 Interception illégale « Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable l’interception, effectuée par des moyens techniques, de transmissions non publiques de données informatiques à destination, en provenance ou à l’intérieur d’un système d’information, y compris les émissions électromagnétiques provenant d’un système d’information transportant de telles données informatiques, lorsque l’acte est commis de manière intentionnelle et sans droit, au moins lorsqu’il ne s’agit pas de cas mineurs ». Couplée au recel et au blanchiment détention, cette infraction de captation illégale de données permettrait ainsi de poursuivre tout entité trouvée en possession de fichiers illégalement constitués (indépendamment de la législation sur les données personnelles). La directive est entrée en vigueur en 2015 et cette disposition est suffisamment claire et précise pour être invoquée devant les juridictions. Pour donner un exemple d’actualité au Luxembourg, il semblerait qu’il existe un fichier qui comporterait des antécédents policiers, mais qui ne serait aucun des fichiers autorisés de l’Etat. Une enquête est en cours à ce sujet. Si c’est vrai, alors les responsables de la constitution du fichier ainsi que toute personne l’ayant en sa possession serait passible de poursuite pénale. 

Espionnage • Espionnage !12 Le fait de divulguer des informations touchant vraiment l’intérêt général comporte le risque d’être poursuivi pour espionnage aux USA. Et alors? Et bien, pour ceux qui n’ont pas vécu la guerre froide, disons que l’espion, c’était le terroriste du 20e siècle. Avec un traitement spécial, des peines plus lourdes, et une traque bien plus poussée que pour un vulgaire criminel. Snowden et Chelsea Manning ont été ou sont passibles des sanctions édictées par l’Espionnage Act, de même qu’Assange, avec une volonté affichée des USA de poursuivre partout dans le monde les personnes en question. En Europe, la plupart des textes sur le renseignement font entrer les sauvegardes des intérêts économiques parmi les critères d’application du régime d’investigation et de surveillance propre au renseignement. Le hacking n’échappe pas à cette possibilité, avec la précision que les USA ne sont pas les seuls à tenir à « remercier » ceux qui dévoilent leurs saletés. 

Espionnage !13 Pour donner un exemple récent, je mentionnerai le cas de Reality Winner. C’est une ancienne militaire, travaillant pour un sous-traitant de la NSA. Elle a transmis à un journal, The Intercept, les documents sur le piratage russe de la présidentielle américaine. Après plus d’un an de détention préventive, elle a décidé de plaider coupable car l’espionnage Act, le texte base des poursuites contre elle, ne permet pas de bénéficier d’un jury populaire (https://www.couragefound.org/2018/06/reality-winner-to- sign-plea-deal/). Elle a été condamné à 5 ans de prison assorti de 3 ans de mise à l’épreuve par la suite. En résumé, elle est à l’origine de l’enquête fédérale qui a visé Trump et son entourage pour collusion avec les services de renseignement russes. Sauf que l’espionnage Act, originellement conçu par punir les espions étrangers sur sol américain qui transmettent des informations nuisant à la défense militaire américaine, est aujourd’hui utilisé pour poursuivre toute personne qui publie des informations d’intérêt public de nature à gêner le gouvernement US. Il a failli être utilisé contre les journalistes qui ont fait tomber Nixon, mais le scandale avait été trop grand à l’époque. Aujourd’hui, ce texte concerne Assange et Snowden. Pour être condamné, il suffit que le procureur fédéral prouve que les informations étaient classifiées et que le lanceur d’alerte qui les publie n’a pas eu l’autorisation de le faire. Appliqué au cas de Phineas Phisher, cela signifie que si les informations volées et publiées concernent de près ou de loin les intérêts des USA, il pourrait être poursuivi. 

Vol • Vols de documents / de données informatiques !14 Vols de documents / de données informatiques. Vol = appropriation de la chose d’autrui. Jusqu’à il y a peu, la jurisprudence interprétait cette infraction comme ne pouvant concerner que des choses physiques. Mais il y a eu une évolution, et désormais, la soustraction, par copie, de données informatiques, constitue un vol. Sachez également que le vol est souvent plus sévèrement puni, notamment en droit français, quand il est le fait d’un salarié. D’un délit, cela devient un crime, passible de la Cour d’assises. Comme je ne vous l’ai pas encore dit, la prescription n’est pas la même pour un crime ou un délit, et le point de départ sera différent selon le type d’infraction. 

Généralités !15 La prescription peut d’abord concerner une peine prononcée - après l’écoulement d’un certain laps de temps, le jugement de condamnation ne pourra plus être exécuté si le condamné n’a pas été arrêté - ou une infraction - après l’écoulement d’un certain délai, le procureur ne peut plus poursuivre le coupable, même s’il vient à être connu par la suite. La prescription n’est pas la même selon la gravité de l’infraction: les crimes contre l’Humanité sont imprescriptibles, les crimes se prescrivent par 10 ans, les délits par 3 ans. La prescription pénale n’interdit pas une action en dommages-intérêts, qui peut aller jusqu’à une durée de trente ans. 

Mécanisme classique • Commission de l’infraction = point de départ du délai de prescription: • ex. Piratage !16 Le cas le plus simple est celui dans lequel l’infraction est dite instantanée: elle est réalisée en une fois à un moment précis, sans étalement dans le temps, de sorte que le délai commence à courir à ce moment-là. MAIS ce n’est pas toujours aussi simple. (c’est même rarement aussi simple). Par infraction continue; on entend une infraction qui se déroule dans le temps. C’est le cas du recel et du blanchiment détention. Pour prendre un exemple, le délai de prescription du recel commence à courir une fois que le recéleur ne profite plus du produit de l’infraction. De la même façon, le délai de prescription du blanchiment détention commence à courir une fois que le blanchiment prend fin. 

Territorialité de la loi pénale !17 Nous savons que la cybercriminalité peut concerner des territoires d’Etats différents, donc des lois différentes. Or si au niveau européen, les règles sont assez comparables, il peut y avoir des différences notables avec le droit de certains pays. Pour prendre un exemple, les Etats-Unis garantissent une liberté d’expression quasi-absolue, de sorte qu’il est possible de vendre des objets nazis sur une plate-forme de vente en ligne. En Europe, c’est strictement interdit. Pour prendre un autre exemple, le droit européen admet sous certaines conditions l’excuse pénale découlant du statut de lanceur d’alerte. Est-ce que cette excuse pénale justifierait par exemple un refus d’extrader un hacker réclamé par les Etats-Unis sur base du Spy Act ou du Computer Fraude Act? Et ce, même s’il ne s’agit pas d’un européen? En effet, les ressortissants d’un Etat membre de l’Union bénéficie sur le territoire des autres Etats membres du même principe de non extradition des ressortissants. On peut déjà se demander si ce principe joue également au profit des ressortissants de pays tiers. Et par ailleurs, même s’agissant de pays européens, on peut douter de leur capacité à refuser aux Etats-Unis une extradition. 

Hacker et statut de lanceur d’alerte !18 CEDH: La Cour a développé une jurisprudence sur les lanceurs d’alerte, fondée sur l’article 10 de la convention, qui garantit la liberté d’expression, sous réserve des limites nécessaires dans une société démocratique. Dans un arrêt de principe du 12 février 2008, Guja c. République de Moldova, la Cour consacre pour la première fois un statut et une protection du lanceur d’alerte, à l’aide de six critères jurisprudentiels : 1. Quels recours étaient à la disposition du lanceur d’alerte ? 2. L’information divulguée servait-elle l’intérêt général ? 3. L’information divulguée était-elle authentique ? 4. Quel préjudice la divulgation de l’information a t-elle causé ? 5. Le lanceur d’alerte était-il de bonne foi ? 6. Les sanctions infligées au lanceur d’alerte étaient-elles nécessaires ? En d’autres termes, la divulgation au public n’est excusable que « en cas d’impossibilité manifeste d'agir autrement » . Dans le cas d’un hacker, j’ai un doute sur le fait qu’un tribunal du pays de l’entreprise piratée, pays qui par définition a autorisé son activité, puisse admettre qu’un hacker a eu raison de publier listes de produits et de clients. D’ailleurs, dans le cas de Hacking Team, à ma connaissance, l’entreprise existe toujours et a même eu de nouveaux clients à la suite de cette publicité. 

Le renseignement !19 Je vous ai un peu parlé du risque d’action en dommages-intérêts (qui n’est pas négligeable, certains hackers ont été condamnés à payer des millions d’euros de dommages-intérêts). Et cela, avec souvent des délais de prescriptions un peu plus long qu’en matière pénale. Mais le plus gros risque est celui de se trouver dans la sphère d’intérêt des services de renseignement. Selon l’article 811-3 du Code de la Sécurité Intérieure, Pour le seul exercice de leurs missions respectives, les services spécialisés de renseignement peuvent recourir aux techniques mentionnées au titre V du présent livre pour le recueil des renseignements relatifs à la défense et à la promotion des intérêts fondamentaux de la Nation suivants : 1° L'indépendance nationale, l'intégrité du territoire et la défense nationale ; 2° Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ; 3° Les intérêts économiques, industriels et scientifiques majeurs de la France ; 4° La prévention du terrorisme ; 5° La prévention : a) Des atteintes à la forme républicaine des institutions ; b) Des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l'article L. 212-1 ; c) Des violences collectives de nature à porter gravement atteinte à la paix publique ; 6° La prévention de la criminalité et de la délinquance organisées ; 7° La prévention de la prolifération des armes de destruction massive. 

Protection illusoire: asile !20 En très résumé, le droit d’asile consiste pour un Etat à accorder un droit d’entrée et de séjour à une personne en raison des risques auxquels elles est exposés dans son Etat d’origine. Mais le cas d’Assange, dont l’asile a été révoqué, montre bien les limites de cette protection. Et l’assassinat par des espions russes d’un transfuge en plein Londres donne une idée sur ce qui pourrait arriver à un hacker dont l’identité serait révélée et qui aurait ce genre de pays pour ennemis. 

Conclusion: « know you heard this before SHUT THE F*CK UP » Dual Core !21 En vérité, l’écoulement du temps ne protège pas efficacement. Ou disons que celui qui croirait pouvoir être tranquille joue à la roulette russe. Je renvoie donc à la phrase du poète: « Number four, know you heard this before SHUT THE F*CK UP (…) Number ten, SHUT THE ACTUAL F*CK UP » Dual Core 

Question(s)? [email protected] !22