Le nouvel article 323-3-1 du Code pénal : lutter contre les virus, d’accord, mais attention aux effets pervers !
Publié le 02/09/2004 par Etienne Wery , Pascal Reynaud
Le nouvel article 323-3-1 du Code pénal, introduit par la loi sur l’Economie Numérique (LEN), est conçu pour lutter contre la prolifération des virus sur les réseaux informatiques. Pour accentuer la répression, il n’est plus nécessaire que l’intrusion soit réalisée pour qu’il y ai poursuite au pénal ! Il suffit de détenir un programme potentiellement…
Le nouvel article 323-3-1 du Code pénal, introduit par la loi sur l’Economie Numérique (LEN), est conçu pour lutter contre la prolifération des virus sur les réseaux informatiques. Pour accentuer la répression, il n’est plus nécessaire que l’intrusion soit réalisée pour qu’il y ai poursuite au pénal ! Il suffit de détenir un programme potentiellement « malveillant». Paradoxalement, ce nouvel article ne manque pas d’inquiéter les professionnels de la sécurité informatique et les chercheurs dans ce domaine.
Voici le nouveau texte issu de la Loi sur l’Economie Numérique :
Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.
Prévenir avant de guérir !
Dans une logique d’anticipation de l’infraction, l’article 323-3-1 va permettre de poursuivre une série d’actes qui se situent en amont de l’intrusion ou de l’entrave illicite.
Précisons que la détention involontaire d’un tel programme ne réalisera pas le délit. En effet, selon l’article 121-3 du Code pénal, tout délit suppose l’intention de le commettre, si bien que la détention involontaire de programmes « malveillants » ne peut être poursuivie.
Mais il suffira « d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un programme » pour pouvoir tomber sous le coup de l’infraction.
Qu’est qu’un programme « malveillant » ?
Pour être malveillant, le programme doit permettre ou faciliter la commission des infractions mentionnées aux articles 323-1 à 323-3 du Code pénal. Ces articles interdisent le fait d’accéder, de se maintenir, de modifier un système informatique sans autorisation. Il s’agit ici de la loi Godfrain.
De plus, ces programmes doivent être « conçus ou spécialement adaptés » pour commettre les infractions. Cette formule suscite bien des interrogations pour les dispositifs conçus pour réaliser des actes a priori licites qui peuvent dans certaines circonstances devenir illégaux (interopérabilité, copies de toutes sortes …).
La France se distingue ici de ses partenaires étrangers par sa sévérité. L’article 323-3-1 du Code pénal est directement inspiré de la Convention sur la cybercriminalité du Conseil de l’Europe. Mais l’article 6 de la Convention n’incrimine que les dispositifs « principalement conçus ou adaptés » pour permettre l’infraction. La règle française permettant de poursuivre les programmes « conçus ou spécialement adaptés », elle révèle un champ d’application plus large. La Loi française est donc plus répressive que la Convention européenne. Pour prendre connaissance du débat qui avait agité les rédacteurs de la Convention, on se reportera au point 71 et suivants de son rapport explicatif.
Illustration de cette importante question : le fameux DeCSS tomberait-il en France sous le coup de cette nouvelle incrimination. Bien malin celui qui pet répondre avec certitude. Petit rappel des faits : en novembre 1999, un jeune hacker norvégien parvient à casser le cryptage du DVD et à générer une des clés qu’il appelle decss (Decoding Scrambling System). Il parvient ainsi à lire les DVD qu’il a légitimement achetés sur son système Linux, seul système d’exploitation qui n’a pas accepté de conclure une licence avec Hollywood. Sa démarche est donc, au départ, fondamentalement défensive : il veut lire sur son système Linux un DVD qu’il a acquis licitement mais qui n’est pas compatible avec ce système d’exploitation. La clé fait rapidement le tour du Web, annoncée d’abord comme le moyen permettant de visionner les films sous Linux, ensuite et surtout, comme une riposte à la division géographique par l’industrie du disque (un CD de zone 1 ne peut pas être lu sur un lecteur de zone 3 ce qui permet des politiques de dates de lancement et de prix différentes selon les populations visées) et un moyen de copier un DVD protégé.
Une détention interdite sauf juste motif…
Le nouvel article prévoit que la détention d’un tel dispositif sera illicite « sauf juste motif ». La notion est bien vague et inquiète notamment les professionnelles de la sécurité informatique.
En effet ces derniers détiennent des programmes potentiellement « malveillant » afin de tester les failles des systèmes informatiques. Il restera à déterminer dans quels cas ils pourront s’abriter derrière de justes motifs.
La diffusion d’informations techniques sur les failles des systèmes devient dangereuse. L’autocensure des sites et des magazines spécialisés risque de se renforcer. La circulation de l’information étant bloquée, on peut se demander si cet article est favorable à une véritable politique de sécurité …
Le monde scientifique s’inquiète
On se souvient par exemple de l’affaire Felten aux Etats-Unis : un professeur d’université reconnu s’est vu interdire de diffuser ses travaux lors d’un colloque sur la sécurité informatique sous peine de poursuite judiciaire.
L’industrie du disque organisait un concours international en vue de tester la fiabilité d’une série de techniques dites « watermark », destinées à empêcher la copie de fichiers musicaux. Une sorte « d’invitation à hacker » en toute légalité pour être certain que la protection est inviolable ou à tout le moins pour en connaître les faiblesses et les corriger.
Les plus grandes universités se sont prises au jeu. Parmi celles-ci, l’équipe du professeur Felten de la prestigieuse université de Princeton. Le professeur a du reste remporté le concours en brisant trois des cinq protections proposées.
Alors que le professeur s’apprêtait à publier l’ensemble de ses travaux et à en faire une présentation lors d’un colloque qui devait rassembler de nombreux universitaires, il reçut une mise en demeure basée sur la loi DMCA, l’enjoignant de ne pas publier le résultat de ses recherches sous peine de poursuites judiciaires.
De même, on songe aux malheurs d’Antoine C. qui avait été condamné en première instance pour avoir accédé à des fichiers client de la société TATI, lesquels étaient pourtant accessibles sans aucune protection sur Internet. La Cour d’appel concluait à la relaxe du prévenu mais après plusieurs mois de procédure.
Plus d’info ?
En consultant notre actualité sur l’affaire Felten
En lisant la Convention sur la cybercriminalité et son rapport explicatif