Attaque DDos, le cas d'EDF et ses conséquences juridiques
Chaque lundi, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour décrypter les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Cette semaine, Eric Caprioli revient sur la croissance des attaques par déni de service (attaque DDoS) et leurs conséquences d'un point de vue juridique.
Les attaques par déni de service ou attaque DDoS (distributed denial of services) n’ont cessé de croitre au cours des vingt dernières années. Considérées par les experts en sécurité comme une tendance majeure en 2016, ces attaques se caractérisent par leur ampleur, fréquence et complexité.
Les serveurs ciblés sont submergés de requêtes et peuvent se trouver paralysés et mis hors service le temps de l’attaque. Le plus souvent, elles sont effectuées par le biais de terminaux infestés par des malwares, telle l’attaque contre DYN Managed DNS aux Etats-Unis en octobre 2016 au moyen notamment de Botnets Mirai (code source mis à disposition en ligne) avec 100.000 objects connectés infectés.
Ces attaques peuvent être coûteuses pour la victime qui, en plus du préjudice matériel peut subir un préjudice d’image, comme en a fait l’expérience EDF lors d’une attaque lancée en 2011. Cependant les attaques par déni de service ne sont pas sans conséquences juridiques, comme en atteste la décision de la chambre correctionnelle du TGI de Paris du 28 septembre 2016 (TGI Paris, 28 Septembre 2016, Legalis) qui sanctionne pénalement l’attaque contre EDF.
Un anonymous condamné !
Le 2 juin 2011 un groupe d’anonymous s’est introduit sans autorisation sur le server hébergeant les sites internet d’EDF afin de lancer une attaque DDoS. L’un d’entre eux a cependant été repéré et identifié par son adresse IP et sa chaine YouTube sur laquelle il avait posté deux vidéos. La première incitait des internautes à participer à l’attaque, la seconde la revendiquait.
L’anonymous, ayant reconnu les faits, a été condamné à 6 mois de prison avec sursis et 29.000€ de dommages et intérêts pour accès et maintien frauduleux dans un système d’information (STAD), entrave à un STAD, et participation à une entente en vue de la préparation à une attaque contre un STAD, prévus aux articles 323-1, 323-2 et 323-4 du Code Pénal.
Attaque DDOS, une entrave à un SI
Le Code Pénal sanctionne les entraves à un système d’information (SI) à l’article 323-2, sans toutefois donner une définition de ce qu’est l’entrave à un SI. Mais la jurisprudence a eu l’occasion de préciser que l’entrave au fonctionnement d’un SI peut concrètement se matérialiser par une paralysie, un arrêt, un blocage ou un ralentissement du système.
Ainsi, le "spamming" (envoi massif de courriels non sollicités) ou le "mail bombing" qui consiste à saturer une boite mail, sont des techniques visant à entraver un SI. La présente décision ajoute à cette liste non exhaustive l’attaque par déni de service, en s’inscrivant ainsi dans la droite ligne de sa propre jurisprudence. En effet, le TGI de Paris avait déjà condamné l’auteur d’une attaque par déni de service au titre de l’entrave à un SI en 2006.
La réponse pénale aux attaques DDoS en application de l’article 323-2 du Code Pénal réprime l’entrave à un SI par une amende pouvant s’élever à 150.000€ et cinq ans d’emprisonnement, sans compter les dommages et intérêts au profit des victimes de l’entrave, notamment au titre du préjudice matériel et du préjudice d’image.
Les infractions corrélatives au délit d’entrave
L’anonymous, pour lancer son attaque par déni de service a accédé et s’est maintenu sur les serveurs de l’opérateur, alors même qu’il n’avait aucune autorisation. Or, ce comportement est constitutif des infractions d’accès et de maintien frauduleux à un SI prévues à l’article 323-1 du Code pénal.
De jurisprudence constante, se rend coupable d’accès frauduleux la personne qui, sachant qu'elle n'y est pas autorisée, pénètre dans un système d’information. Si elle s’y maintient, alors elle se rend également coupable de maintien frauduleux, les deux infractions étant distinctes. Ces deux infractions précèdent souvent, comme en l’espèce, celle de l’entrave à un SI même si ce n’est pas un préalable requis à sa caractérisation.
De plus, en postant en amont une vidéo incitant les internautes à participer à l’attaque DDoS qu’il préparait avec d’autres attaquants, l’anonymous a également commis l’infraction de participation à une entente en vue de la préparation à une entrave à un SI, réprimée par l’article 323-4 du Code Pénal.
La protection des systèmes d’information
Les attaques contre les SI, si elles sont de plus en plus nombreuses (pas moins de 9807 atteintes à un STAD enregistrées en 2015 par les services de la police et les unités de la gendarmerie nationale) ne restent pas sans réponses. Les auteurs d’attaques par déni de service encourent donc des risques de sanctions pénales et civiles, et les victimes des attaques peuvent obtenir la réparation de leur préjudice, à condition toutefois de rapporter la preuve du blocage ou du ralentissement du site internet, notamment par la conservation des traces techniques de l’attaque pour les adjoindre à la plainte.
Mais au surplus, encore faut-il être en mesure de localiser et d’identifier l’auteur de l’infraction, surtout si ce dernier est empreint de discrétion contrairement à l’anonymous français condamné !
Eric A. CAPRIOLI
Avocat à la Cour de Paris, Docteur en droit
Vice-Président du Club des Experts de la sécurité de l’Information et du Numérique (CESIN)
Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.
SUR LE MÊME SUJET
Attaque DDos, le cas d'EDF et ses conséquences juridiques
Tous les champs sont obligatoires
0Commentaire
Réagir