Fonctionnement du système et les atteintes aux données
Paragraphe 4
Fausser le fonctionnement du système
Alors que l’entrave a pour finalité de perturber le fonctionnement du système, « fausser » consiste à faire produire au système un résultat différent de celui qui était attendu.
Il peut suffire de bloquer l’appel d’un programme, d’un fichier ou encore d’altérer l’un des éléments du système, comme par exemple le système d’exploitation d’un réseau de télécommunications :
« Pour obtenir un nombre de points importants à un jeu télématique, un employé utilisait les lignes de son employeur par le biais de radiotéléphones. Il a faussé le fonctionnement du système d’exploitation informatique du réseau…en utilisant un radio téléphone dont les paramètres d’identification avaient été modifiés afin que soient transmises de fausses informations de façon à empêcher le déclenchement de la procédure de sécurité… (1).
Sur l’Internet, les « atteintes » les plus usuelles sur le Web concernent l’insertion de virus et de bombes logiques.
En effet, ceux-ci ont pour effet de modifier ou de supprimer des données et donc de fausser le fonctionnement du système. Si certains sont inoffensifs ou seulement perturbateurs, d’autres génèrent des dysfonctionnements fatals pour le système infecté. En fait, il semble que même peu nocif, un virus provoque un préjudice dans la mesure où il occupe une partie de la mémoire et ralentit de ce fait le fonctionnement de l’ordinateur. Si les virus proprement dits sont connus dans leur principe depuis les années cinquante sous le nom « d’automates d’autodestruction de programmes » (2), l’Internet est un vecteur privilégié pour la prolifération des virus. Il existe donc un risque important de contamination des systèmes par la connexion à l’Internet, comme l’illustre le virus « I love you » qui, en quelques jours, est devenu célèbre à l’échelle internationale.
De nombreuses entreprises ont pris des mesures en limitant par exemple l’accès via Internet à leurs données sensibles ou encore le nombre de postes accessibles en réseau plus facilement exposé aux agressions extérieures. A ces procédures de sécurité s’ajoutent notamment la mise en place d’outils de filtrage (les firewalls) et surtout l’utilisation des logiciels antivirus. Si les mesures techniques préventives s’avèrent totalement indispensables, elles restent encore insuffisantes car les virus se multiplient considérablement.
Faute d’une protection physique infaillible, les victimes des virus ont tenté d’explorer la voie judiciaire, sollicitant une sanction dissuasive et la réparation de leur préjudice. Mais la difficulté réside, dans tous les cas, dans l’identification de l’auteur de l’infraction. Le texte pénal reste en effet d’interprétation stricte et exige la démonstration de l’élément matériel du délit. Par ailleurs, bien que l’intention ne soit pas expressément visée par l’article 323-2 du Code pénal, elle est requise, mais elle se déduira logiquement des faits comme l’illustre l’arrêt ci-après, car l’introduction d’un virus dans un système informatique démontre de façon évidente l’intention délibérée du délinquant.
« […] des agissements ayant pour objet d’entraîner un ralentissement de la capacité de serveurs concurrents dont le caractère intentionnel découle des circonstances – éminemment volontaires – relatives à leur commission. (3) »
La rigueur de la voie pénale a conduit certaines entreprises à donner la préférence au terrain civil, notamment en dénonçant les failles des détecteurs des virus. Mais le plus souvent, le fournisseur d’un détecteur de virus a prévu contractuellement qu’il n’était tenu que dans la limite de son engagement contractuel et a pris la précaution d’énumérer les virus susceptibles d’être éradiqués par le détecteur.
(1) CA Paris, 9e ch., 18 novembre 1992, France Télécom et Matra Communication/S.R, et autres JCP (E) 1994, 1, n= 359, n= 15, observations Vivant et Le Stanc, Expertises, 1992, p.316.
(2) « Les virus apprivoisés », Science et vie Micro, n= 66, novembre 1989, p.141.
(3) CA Paris, 11e ch., 14 janvier 1997, Juris- Data, n= 020128.
LES ATTEINTES AUX DONNÉES
« Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de trois ans d’emprisonnement et de 300 000 F. d’amende. » (article 323-3 du Code pénal).
En réalité, toute manipulation de données, qu’il s’agisse de les introduire, de les supprimer, de les modifier ou de les maquiller, provoque, en toutes circonstances, une altération du système. Le fait de modifier les pages d’un serveur Web, de déréférencer l’adresse d’un serveur Web dans les moteurs de recherche, ou encore, de s’introduire, à l’exemple d’un des pirates, dans le serveur de l’OMPI pour y insérer les paroles d’une chanson d’un rocker américain, constituent autant d’atteintes visées par le texte. Cependant, il faudra ici encore prouver que cette atteinte est volontaire, mais comme précédemment, cette intention pourra se déduire des faits eux-mêmes.
