Métodos - A Nova Reforma da PAC

4. A Nova Reforma da PAC – PAC pós-2013

5.2. Métodos

138. Éléments constitutifs du délit. L’article 323-3 du Code pénal prévoit que « le fait

d’introduire frauduleusement des données dans un système de traitement automatisé,

d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier

447 Sur les sites de réseaux sociaux, les hackeurs peuvent utiliser plusieurs méthodes de tromperie afin de pirater le compte d’un utilisateur. Une première consiste à reproduire une fausse interface correspondant à la page d’accueil d’un réseau social. L’internaute pensant être sur le site officiel du réseau social fournit au pirate ses identifiants et mots de passe qui lui permettront d’avoir accès au compte de sa victime. Cette duperie est particulièrement efficace avec les sites de réseaux sociaux en raison du fait qu’il est devenu très courant pour un site web d’applications ou de services en ligne d’exiger de l’internaute qu’il se connecte via l’un de ses comptes de réseau social. La tactique consiste alors à recréer la page web d’un site, le plus souvent d’application en ligne, qui requiert à l’internaute de se connecter en utilisant un compte Facebook, Twitter ou Google +. Le pirate informatique attrape alors dans ses filets l’internaute qui ne décèlerait pas le caractère non officiel de l’interface. Les pirates peuvent également utiliser les informations rendues publiques par les internautes à travers leurs différents comptes de réseaux sociaux pour organiser ensuite une attaque ciblée. En déterminant les centres d’intérêts de leurs cibles, les hackeurs peuvent ensuite organiser leurs attaques avec précision et ainsi maximiser leur chance de réussite.

448 TC Clermont-Ferrand, ch. corr., le 24 juin 2010, n° 1138/10.

449 Le Hacker a fait parvenir une liste de 310 pages d’informations à plusieurs sites spécialisés comme TechCrunch ou Korben.

<http://techcrunch.com/2009/07/19/the-anatomy-of-the-twitter-attack> ou <http://korben.info/hack-de-twitter-la-suite.html> (dernière consultation le 9 octobre 2019).

117 frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150

000 € d’amende ». Le texte vise deux types de comportements : d’un côté, le fait de venir

porter atteinte à l’intégrité du système en introduisant des données à ce système, d’un autre, le

fait de porter atteinte à l’intégrité du système en manipulant les données du système. Cette

manipulation se traduisant par une suppression, modification, extraction, détention,

reproduction, transmission des données de ce système. En outre, l’intention délictueuse se

traduit par la conscience chez le délinquant de modifier par son acte l’état du système et la

volonté d’agir malgré tout.

139. Précisions quant aux éléments constitutifs. Il n’est pas nécessaire que le

fonctionnement du STAD soit mis en péril par l’action du délinquant informatique, l’atteinte à

l’intégrité se manifeste par la modification de l’état du système. Cette modification de l’état

peut être visible (suppression, ajout, modification de données) ou invisible (transmission,

reproduction, détention de données). De même, il semblerait que cet article jouisse d’une

autonomie par rapport aux autres infractions du chapitre, notamment celle prévue à l’article

323-1 du Code pénal. Il ne serait alors pas nécessaire pour caractériser l’infraction que celle-ci

soit précédée d’un accès frauduleux au système

⁴⁵⁰

. En conséquence, l’atteinte à l’intégrité des

données du système peut être sanctionnée même si l’auteur de l’infraction a accédé de

manière licite à celui-ci. Cette interprétation entre en adéquation avec la tendance des juges du

fond à interpréter de manière large ces infractions dans l’optique d’une plus grande sévérité

pénale.

140. Renforcement de la sévérité pénale. Cette sévérité ne se retrouve d’ailleurs pas qu’au

niveau jurisprudentiel, les infractions relatives aux STAD ont à ce titre été sujettes à des

aggravations pénales autant concernant la définition de l’infraction elle-même que concernant

les quanta des peines encourues. La loi n° 2014-1353 du 13 novembre 2014 visant à renforcer

les dispositions relatives à la lutte contre le terrorisme

⁴⁵¹

est venue modifier la définition de

l’infraction de l’article 323-3 du Code pénal en y ajoutant les termes « d’extraire, de détenir,

de reproduire, de transmettre ». Bien que cette réforme étoffe la définition de l’infraction, il

ne faut pas l’interpréter comme une restriction de son champ d’application. Cette nouvelle

rédaction pourrait en effet permettre de donner au juge une base juridique claire au vol de

450 Notons ici que l’article 323-1 alinéa 2 du Code pénal prévoit l’hypothèse d’une introduction frauduleuse suivie d’une suppression, modification des données du système ou d’une altération du système. Les peines sont alors portées à 3 ans et 100 000 euros d’amende.

451L. n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme,

118 données

452

sanctionné jusqu’ici par l’infraction d’abus de confiance

453

ou de vol de droit

commun

454

. La loi n° 2015-912 sur le renseignement du 24 juillet 2015

455

a, quant à elle,

aggravé les peines d’amende encourues, ainsi l’infraction de l’article 323-1 du Code

auparavant sanctionnée de 30 000 euros d’amende est désormais punie de 60 000 euros

d’amende et l’infraction de l’article 323-3 du Code pénal, punie à l’origine de 75 000 euros

d’amende, est portée à 150 000 euros.

141. Application de ces éléments aux réseaux sociaux. Le 15 juillet 2015 un groupe de

hackers nommé « The impact team » a affirmé avoir piraté le site de rencontre

extra-conjugales Ashley Madison

⁴⁵⁶

. Ces derniers se sont introduits frauduleusement sur le

site avant d’en extraire l’ensemble des données personnelles de ses utilisateurs soit plus de

35 millions d’internautes. The impact team tenta de faire pression sur la société éditrice du

site

⁴⁵⁷

afin d’obtenir la fermeture des sites Ashley Madison et Establishedmen

⁴⁵⁸

sous peine

de divulguer les données récoltées. Le 18 août 2015 le groupe de hackers mit ses menaces à

exécution en publiant plus de 20 Go de données personnelles sur les membres du site de

rencontre extra-conjugales comprenant entre autres les adresses mail, numéros de carte de

crédit, préférences sexuelles et fantasmes de ses membres

⁴⁵⁹

.

452 E. DAOUD, G. PÉRONNE, « Cyberattaques : la lutte s’intensifie », AJ Pénal 2015, p. 396.

453 Crim. 22 octobre 2014, n°13-82.630 : D. 2015. 415, note A. MENDOZA-CAMINADE ; CCE 2015, comm. 17, note E. CAPRIOLI.

454 Crim. 20 mai 2015, n° 14-81.336 : D. 2015, p. 1466, note L. SAENKO ; D.actu., 5 juin 2015, obs. C. DUHIL de BENAZE ; AJ Pénal 2015, p. 413, note E. DREYER.

455 L. n° 2015-912 du 24 juillet 2015 relative au renseignement, JORF n° 0171, 26 juillet 2015 p. 12735.

456 Ashley Madison est un site de rencontre extra-conjugale et un réseau social canadien. Ce site met en relation des internautes mariés ou du moins en couple et souhaitant avoir une relation extra-conjugale. Son slogan est explicite : « life is short. Have an affair » (en français : « La vie est courte. Ayez une aventure »).

457 La société Avid Life Media.

458 Il s’agit d’un site de rencontre géré par la même société éditrice et proposant de mettre en relation des hommes riches avec de jeunes femmes.

459 D. LELOUP, « piratage : derrière Ashley Madison un groupe à la réputation sulfureuse », Le Monde, 19 août 2015.

<http://www.lemonde.fr/pixels/article/2015/08/19/derriere-ashley-madison-un-groupe-a-la-reputation-sulfureuse_4730136_4408996.html> (dernière consultation le 9 octobre 2019).

119 142. Conclusion de la Section 1. Les comportements infractionnels rencontrés sur les sites

de réseaux sociaux correspondent pour leur majorité à une transcription à l’échelle numérique

de comportements délictueux déjà présents auparavant. Partant, les incriminations

préexistantes du Code pénal permettent de saisir la majorité de ces comportements pouvant

entrer notamment sous la qualification pénale des délits de menaces, violences

psychologiques, chantage ou encore escroquerie. L’adaptation de ces incriminations provient

alors de leur neutralité du point de vue technologique, le moyen de commettre l’élément

incriminé étant indifférent à l’utilisation d’un support de communication en particulier. Par

ailleurs, certaines incriminations font de l’élément informatique un bien objet d’une

protection spécifique à l’encontre des atteintes pouvant lui être porté. Or, le piratage

informatique est une pratique qui a largement préexistée aux sites de réseaux sociaux et le

développement des piratages des comptes de réseaux sociaux ne révèle pas pour autant un

bouleversement des méthodes d’intrusion. En revanche les sites de réseaux sociaux et

particulièrement les comptes de leurs utilisateurs sont devenus une cible de premier choix

pour les pirates informatiques en raison de la quantité de données personnelles, possiblement

sensibles, dont ils recèlent. À ce titre, le système répressif mis en place par la loi Godfrain,

bien que datant de 1988, envisage parfaitement les hypothèses particulières d’attaques qui se

manifestent sur les sites de réseaux sociaux. L’ensemble des comportements visant à

s’attaquer à un réseau social ou à un compte d’un réseau social entrent sous les qualifications

pénales envisagées par le législateur en 1988 faisant de ces derniers un bien objet de

protection.

120

No documento Avaliação técnico-económica do impacto da PAC pós-2013 no contexto das explorações alentejanas de bovinos de carne - estudo (páginas 59-66)