L’attaque par déni de service, une entrave au fonctionnement d’un STAD
Une attaque par déni de service constitue une entrave au fonctionnement d’un système de traitement automatisé des données (STAD). Cette opération consiste à saturer de requêtes un serveur informatique sur lequel repose un site internet, afin qu’il ne soit plus en état d’assurer le bon fonctionnement dudit site.
C’est de cette attaque, orchestrée par le collectif de hackers Anonymous, qu’a précisément été victime un distributeur historique d’énergie, en avril 2011. L’opération, intitulée "Greenrights", avait été orchestrée plusieurs semaines à l’avance sur un salon de discussion virtuel créé pour l’occasion.
Ce salon de discussion avait été rendu accessible grâce à la mise à disposition gratuite par le prévenu d’un "WebIRC", à destination des internautes. En téléchargeant le WebIRC, chacun pouvait accéder librement à un ensemble de chats virtuels, dont le chat litigieux faisait partie.
Dès mai 2011, le fournisseur d’énergie victime de l’attaque a déposé plainte contre les auteurs de cette attaque. C’est dans le cadre de l’enquête ayant suivi que le fournisseur du WebIRC a été mis en cause.
En première instance, le prévenu a été relaxé, les juges estimant que la passerelle informatique qu’il avait conçue n’était pas spécifiquement destinée au mouvement « Anonymous » ou à la commission d’attaques par déni de service. Cette passerelle n’était en réalité qu’un moyen pour les internautes d’être redirigés vers les canaux litigieux. Ce faisant, les éléments constitutifs de l’infraction d’entente en vue de l’entrave au fonctionnement d’un système automatisé de données n’étaient pas réunis, puisque le prévenu n’avait eu aucune intention de participer à des attaques ou de faciliter la réalisation de ces dernières.
Compte tenu de cette décision, le parquet a décidé d’interjeter appel le 18 décembre 2014.
Une appréciation large du délit d’entente
La Cour d’appel de Paris s’est saisie en appel de la question de savoir si la fourniture d’un service de type WebIRC permettant aux internautes d’accéder à des salons de discussion visant à planifier des attaques informatiques pouvait constituer le délit d’entente réprimé par le Code pénal.
A l’issue des débats, le prévenu a finalement été condamné à deux mois d’emprisonnement, assortis d’un suivi avec mise à l’épreuve pendant 18 mois, ainsi qu’à une obligation de suivre un stage de citoyenneté. La Cour d’appel a en effet considéré, contrairement aux juges du fond, que le délit d’entente était bien caractérisé.
C’est finalement par une décision de la Cour de cassation, rendue le 7 novembre 2017, que cette affaire a été tranchée. Le pourvoi formulé à l’encontre de l’arrêt d’appel a finalement été rejeté.
A travers les arrêts d’appel et de rejet du pourvoi en cassation, il apparaît que la fourniture de la passerelle informatique constituait un acte préparatoire au délit d’entrave à un STAD. En se prononçant ainsi, la Cour de cassation a validé une acception particulièrement large, non seulement des actes matériels caractérisant le délit d’entente, mais aussi de ses actes préparatoires. En effet, au-delà de la fourniture d’un accès aux salons de discussion litigieux, le prévenu avait eu un rôle particulièrement limité dans la préparation de l’opération de piratage. Les tracts publicitaires sur lesquels était annoncée l’attaque, et qui invitaient les internautes intéressés à se connecter sur le salon de discussion via la plateforme du prévenu, avaient été rédigés par les membres du mouvement Anonymous. En outre, le prévenu n’avait aucunement pris part aux discussions, n’étant pas lui-même membre du groupe Anonymous, ni pirate informatique. Il n’était donc nullement démontré qu’il avait joué à rôle quelconque dans la préparation matérielle de l’opération de piratage.
Ce faisant, sa condamnation implique l’obligation pour les fournisseurs de passerelles WebIRC de vérifier que les informations auxquelles les internautes ont la possibilité d’accéder via ces canaux ne permettent pas de préparer la commission d’infractions quelconques. Dans pareil cas, le fournisseur a alors l’obligation, soit de prévenir les services de police, soit de suspendre l’accès à ses services aux individus concernés.
Des éléments en faveur d’une condamnation
La condamnation du prévenu ne repose toutefois pas uniquement sur la simple fourniture d’un accès aux salons de discussion litigieux, qu’il aurait dû suspendre dès lors qu’il avait eu vent des opérations litigieuses qui s’y organisaient.
L’enquête a également démontré qu’il avait eu un rôle privilégié dans la tenue des discussions, puisqu’il disposait, sur le canal IRC en question, d’un statut spécial de "semi-opérateur". Ce faisant, il était donc établi qu’il avait accédé à l’ensemble des informations permettant de préparer l’infraction, sans avoir rien fait pour s’y opposer.
D’ailleurs, le prévenu reconnaissait s’être rendu sur le site du fournisseur d’énergie ciblé lors de la première vague d’attaques, afin de se rendre compte par lui-même des effets du piratage. Un tel comportement n’aurait pas été rendu possible s’il n’avait pas été informé, dans les détails, des modalités de commission de l’infraction en question, ni eu conscience de la nature des intentions des pirates informatiques discutant sur ses canaux IRC.
En somme, le délit d’entente était ici caractérisé à l’égard du prévenu, dès lors qu’il fournissait aux pirates informatiques, en pleine conscience, les moyens matériels permettant d’organiser leurs actions litigieuses, et qu’il n’a rien fait pour s’opposer à la commission d’une telle action.
