. . . .        

     
 | 
 

 Commet un dlit l'auteur de la mise disposition sur internet d'informations relatives des failles de scurit

         
/
Admin


: 5079
:
: 5321
: 19/01/2008

: Commet un dlit l'auteur de la mise disposition sur internet d'informations relatives des failles de scurit    28, 2010 4:44 pm

Commet un dlit l'auteur de la mise disposition sur internet d'informations relatives des failles de scurit


Cass / Crim - 27 octobre 2009 - Rejet
Numro de Pourvoi : 09-82346
Rsum express :
La seule constatation de la violation, sans motif lgitime et en connaissance de cause, de l'une des interdictions prvues par l'article 323-3-1 du Code pnal, implique de la part de son auteur l'intention coupable exige par l'article 121-3 du mme code. En sachant qu'il diffusait sur internet des informations prsentant un risque d'utilisation des fins de piratage par un public particulier en recherche de ce type de dviance, l'auteur des crits visibles sur le site internet et accessibles tous, s'est rendu coupable du dlit de mise disposition, sans motif lgitime, de moyens conus ou spcialement adapts pour commettre une atteinte un systme de traitement automatis de donnes.


Sur le moyen unique de cassation, pris de la violation des articles 8 de la Dclaration des droits de l'homme, 6 et 7 de la Convention europenne des droits de l'homme, 6 de la Convention europenne sur la cybercriminalit du 23 novembre 2001, 34 et 37 de la Constitution, 323-1, 323-2, 323-3 et 323-3-1 du Code pnal, 111-3 et 121-3 du Code pnal, 591 et 593 du Code de procdure pnale, dfaut de motifs et manque de base lgale ;

"En ce que l'arrt infirmatif attaqu a dclar X... coupable de mise disposition sans motif lgitime de programmes ou donnes conus ou adapts pour une atteinte au fonctionnement d'un systme de traitement automatis de donnes, et, en rpression, l'a condamn une peine d'amende de 1.000 euros ;

"Aux motifs que le tribunal a relax X... au motif qu'il est tabli que le site www n'incitait en aucune faon l'utilisation de ces codes des fins malveillantes ou de piratage informatique ; que la seule intention qui ait anim X... est un souci d'information des menaces existantes non corriges destination des utilisateurs de programmes informatiques ; qu'il justifie d'ailleurs en avoir t remerci par Microsoft ; qu'aucune intention n'est tablie ; que l'article 323-3-1 du Code pnal rprime le fait, sans motif lgitime, d'importer, de dtenir, d'offrir, de cder ou de mettre disposition un quipement, un instrument, un programme informatique ou toute donne conus ou spcialement adapts pour commettre des atteintes aux systmes de traitement automatis des donnes, sans que le texte n'exige que soit caractrise une incitation l'utilisation d'un tel systme ; que, s'agissant du motif lgitime exonratoire, la cour estime que X... ne peut valablement arguer d'un motif lgitime tir de la volont d'information ds lors que, par la mise en place d'un systme de veille destin des abonns et par la communication d'informations d'alerte directement Microsoft son adresse email, X... a fait la preuve de ce qu'il connaissait les dispositifs permettant de concilier le souci d'information avec la ncessaire confidentialit de ce type d'informations, tant prcis que X..., selon ses propres dclarations, n'a pas t remerci par Microsoft pour avoir publi sur le site web les exploits le concernant mais pour l'avoir avis directement son adresse mail des failles existantes ; que, s'agissant de l'lment intentionnel de l'infraction, X... ne peut arguer de sa bonne foi alors que la frquentation de son site par un public tout venant lui procurait des revenus publicitaires adosss au nombre de visiteurs ; qu'en consquence, il est tabli qu'il avait un intrt conomique la diffusion d'informations dont il ne pouvait ignorer, du fait de son expertise en cette matire et ses antcdents judiciaires, qu'elles prsentaient un risque d'utilisation des fins de piratage par un public particulier en recherche de ce type de dviance ; qu'il y a lieu, en consquence, d'infirmer le jugement dfr et de dclarer X... coupable de l'infraction poursuivie ; que, sur la peine, la cour constate que X... a dvelopp son activit de conseil en matire de scurit informatique ; qu'eu gard sa personnalit et sa progression professionnelle, il y a lieu d'tre modr dans la rpression et de le condamner une peine d'amende de 1.000 euros ;

1) Alors qu'il n'y a point de dlit sans intention de le commettre ; que toute infraction doit tre dfinie en des termes clairs et prcis pour exclure l'arbitraire et permettre au prvenu de connatre exactement la nature et la cause de l'accusation porte contre lui ; que la Convention europenne sur la cybercriminalit rprime en son article 6, d'une part, la production, la vente, l'obtention pour utilisation, l'importation, la diffusion ou d'autres formes de mise disposition, soit d'un dispositif, y compris un programme informatique, principalement conu ou adapt pour permettre la commission de l'une des infractions tablies conformment aux articles 2 5 ci-dessus, soit d'un mot de passe, d'un code d'accs ou de donnes informatiques similaires permettant d'accder tout ou partie d'un systme informatique, dans l'intention qu'ils soient utiliss afin de commettre l'une ou l'autre des infractions vises par les articles 2 5, et, d'autre part, la possession d'un lment vis aux paragraphes ci-dessus, dans l'intention qu'il soit utilis afin de commettre l'une ou l'autre des infractions vises par les articles 2 5 ; qu'elle ajoute que cet article ne saurait tre interprt comme imposant une responsabilit pnale lorsque la production, la vente, l'obtention pour utilisation, l'importation, la diffusion ou d'autres formes de mise disposition mentionnes au paragraphe 1 du prsent article n'ont pas pour but de commettre une infraction tablie conformment aux articles 2 5 de la prsente Convention, comme dans le cas d'essai autoris ou de protection d'un systme informatique ; qu'en s'en rfrant, pour retenir la culpabilit de X..., l'article 323-3-1 du code pnal dont les termes gnraux tablissent une responsabilit pnale en l'absence de toute intention frauduleuse, la cour d'appel n'a pas lgalement justifi la condamnation prononce ;

2) Alors qu'il n'y a point de dlit sans intention de le commettre ; qu'en ne caractrisant pas de la part de X... une intention spcifique de diffuser les informations litigieuses dans le but prcis de permettre la commission de l'une ou l'autre des infractions vises aux articles 323-1 323-3 du code pnal, la cour d'appel a priv sa dcision de base lgale au regard des textes susviss ;

3) Alors que, en se bornant, pour caractriser l'lment intentionnel de l'infraction reproche X..., s'en rfrer son intrt conomique et considrer que les informations diffuses sur son site prsentaient un risque d'utilisation des fins de piratage, sans rechercher, ne serait-ce que pour carter cette ventualit, si, nonobstant la conscience qu'il avait de l'existence d'un tel risque, X... n'avait pas t seulement anim de l'intention de remdier une inscurit informatique, la cour d'appel a priv sa dcision de base lgale au regard des textes susviss ;

4) Alors que, de surcrot, en s'en rfrant, pour caractriser l'lment intentionnel de l'infraction, aux antcdents judiciaires de X..., sans mieux s'expliquer sur ce point au regard des circonstances de l'espce, la cour d'appel, qui a statu par des motifs abstraits et gnraux, a priv sa dcision de base lgale au regard des textes susviss ;

Attendu qu'il rsulte de l'arrt attaqu et des pices de procdure que X... a diffus sur le portail internet de la socit XX Consulting, spcialis dans le conseil en scurit informatique, dont il est le grant, des crits directement visibles sur le site et accessibles tous permettant d'exploiter des failles de scurit informatique ; que, renvoy devant le tribunal correctionnel pour mise disposition, sans motif lgitime, de moyens conus ou spcialement adapts pour commettre une atteinte un systme de traitement automatis de donnes, il a t relax ;

Attendu que, pour infirmer, sur appel du ministre public, le jugement et condamner le prvenu, l'arrt nonce qu'il ne peut valablement arguer d'un motif lgitime tir de la volont d'information, ds lors que, du fait de son expertise en la matire, il savait qu'il diffusait des informations prsentant un risque d'utilisation des fins de piratage par un public particulier en recherche de ce type de dviance ;

Attendu qu'en l'tat de ces nonciations, abstraction faite du motif surabondant relatif aux antcdents judiciaires du prvenu, et ds lors que la constatation de la violation, sans motif lgitime et en connaissance de cause, de l'une des interdictions prvues par l'article 323-3-1 du code pnal implique de la part de son auteur l'intention coupable exige par l'article 121-3 du mme code, la cour d'appel a justifi sa dcision ;

D'o il suit que le moyen doit tre cart ;

Et attendu que l'arrt est rgulier en la forme ;

Rejette le pourvoi ;
    
http://www.tahalabidi-avocat.fr.gd
/
Admin


: 5079
:
: 5321
: 19/01/2008

: Commentaire de jurisprudence    28, 2010 4:49 pm

En l'espce, le grant d'une socit et d'un site internet spcialiss dans le conseil en scurit informatique, constate l'existence de plusieurs failles de scurit importantes dans un format d'image numrique commercialis par Microsolft et en informe la firme amricaine directement via sa boite mail. Bien que remerci par les services de celles-ci, puisqu'un correctif rapide a pu tre apport, la firme n'a toutefois pas apprci que les dtails de cette faille aient t rvls tous, via le site internet de cette socit.
En effet, le site web de la socit, "vitrine" de son activit de consultant en scurit informatique, comportait un article dans lequel elle dmontrait sa capacit identifier une faille de scurit informatique, mme chez les plus grandes socits informatiques au monde, et dtaillait le mode opratoire pour contourner le systme.

Aussi, le tribunal correctionnel a t saisi d'une requte pour mise disposition, sans motif lgitime, de moyens conus ou spcialement adapts pour commettre une atteinte un systme de traitement automatis de donnes.

Bien que relaxe en premire instance, la socit a t condamne en seconde instance, aprs appel du ministre public. En effet, l'arrt nonait que le grant ne pouvait valablement "arguer d'un motif lgitime tir de la volont d'information, ds lors que, du fait de son expertise en la matire, il savait qu'il diffusait des informations prsentant un risque d'utilisation des fins de piratage par un public particulier en recherche de ce type de dviance".
Eu gard la personnalit et la progression professionnelle de l'auteur des faits, la Cour a accept de modrer dans la rpression, la sanction, en le condamnant une peine d'amende de 1.000 euros ( laquelle s'ajoutent les frais d'avocats et de procdure qui restent sa charge, lesquels sont non-ngligeables dans ce genre d'affaire).

Un pourvoi en Cassation ne lui permit pas d'obtenir gain de cause, puisque la chambre criminelle a estim que "ds lors que la constatation de la violation, sans motif lgitime et en connaissance de cause, de l'une des interdictions prvues par l'article 323-3-1 du Code pnal, implique de la part de son auteur l'intention coupable exige par l'article 121-3 du mme Code", de sorte qu'en l'espce, le dlit tait constitu.

Les amateurs de cette pratique dite "full disclosure", qui consiste avertir le public de l'existence de failles de scurit pouvant, par ricochet, avoir un impact sur lui, est illgale, et le fait de vouloir simplement diffuser cette information, mme sans intention vritable de nuire, ne peut pas constituer un motif lgitime exonratoire de responsabilit.
    
http://www.tahalabidi-avocat.fr.gd
 
Commet un dlit l'auteur de la mise disposition sur internet d'informations relatives des failles de scurit
          
1 1

:
 :: 5- Le Droit franais ::  La jurisprudence franaise-