A propos de l’affaire « Tati c/ Kitetoa » : Appliquons nous la politique de l’autruche en matière de sécurité ?Mai 2002
Compte-rendu de la réunion de la Commission Juridique de l’ISOC du 15 mai 2002Débat animé par Sébastien Canevet, maître de conférence en droit privé et Valérie Sédallian, avocate au barreau de Paris, animateurs de la Commission juridique de l’ISOC France.
Invité : Antoine Champagne, journaliste et webmestre du site Kitetoa.
Rappel de l’affaire KITETOA / Ministère Public et Tati Le Tribunal correctionnel a rendu sa décision dans l’affaire qui oppose la société Tati au site Kitetoa. Celui ci dénonce régulièrement les sites commerciaux qui sécurisent mal (voire pas du tout) les données personnelles concernant leurs clients. Ainsi, en 1999, avait-il signalé à l’hébergeur du site des magasins Tati une faille de sécurité permettant d’accéder au contenu des bases de données du serveur grâce à un simple navigateur. La 13e chambre du Tribunal de Grande Instance de Paris a reconnu dans une décision en date du 13 février 2002 que la société Tati ne semblait pas avoir respecté l’obligation de sécuriser un fichier de données nominatives (article 226-17 du Code pénal), mais a néanmoins condamné le webmestre de Kitetoa à une amende de 1000 euros avec sursis, sur le fondement de l’article 323-1 du Code pénal (accès et maintien frauduleux dans un système de traitement automatisé de données). La société Tati a été déboutée de sa demande en dommages et intérêts. La relative clémence du jugement s’explique probablement par le caractère purement informatif de la démarche suivie par Kitetoa, mais cette décision retient néanmoins que l’accès et le maintien par Kitetoa dans le fichier de Tati présente un caractère frauduleux. Le Parquet général a décidé de faire appel de cette décision. En effet, le Ministère public avait demandé la relaxe lors de l’audience. Sébastien Canevet regrette le fait que la société TATI n’ait pas été poursuivie pour manquement à l’obligation de sécuriser son fichier de clients (note : l’infraction éventuellement commise est prescrite). Antoine Champagne explique que le moteur de recherche Google offre des fonctionnalités de recherche très précises. Bien que le moteur ne l’indique pas, il fait également des recherches sur les fichiers « .mdb », qui sont l’extension pour les fichiers Access (logiciel de base de données édité par Microsoft). [Note : pour limiter une recherche à un format de fichier, il faut indiquer dans le champ de recherche : « filetype :nom de l’extension ». Exemple : « toto filetype :xls »]. C’est ainsi que l’on peut à l’occasion d’une recherche, obtenir dans les résultats des bases de données mises sur un serveur, et non protégées par un mot de passe, bien qu’elles ne soient pas destinées à être rendues publiques. Le fichier litigieux dans l’affaire TATI était un fichier .mdb. Il ne faisait l’objet d’aucune protection par un mot de passe. Antoine Champage évoque ensuite une proposition de décision-cadre du Conseil présentée par la Commission européenne le 22 avril 2002 relative aux attaques visant les systèmes d’information.
Cette proposition est disponible à : http://europa.eu.int/eur-lex/fr/com/
pdf/2002/com2002_0173fr01.pdf
.
Elle est synthétisée sur le site du Forum des droits de l’Internet : http://www.foruminternet.org/actualites/lire.phtml?id=307. Cette proposition vise à rapprocher les législations pénales des états membres en matière d’atteinte aux systèmes informatiques. Elle propose des définitions des délits d’accès illicite à un système d’information et d’interférence illicite avec celui-ci. Antoine Champagne considère que ce type de proposition est une mauvaise réponse au problème des attaques contre les systèmes informatiques. Pour le webmestre de Kitetoa, toutes les atteintes n’ont pas le même niveau de gravité.
L’attention semble se focaliser sur des attaques très médiatisées du type de celle ayant affecté les principales sociétés de commerce électronique américaines en février 2000, rendant inaccessible les sites pendant quelques heures en les saturant par l’envoi de nombreuses requêtes. Les dégâts provoqués par cette attaque ont été évalués à des centaines de millions de dollars américains (voir par exemple : http://www.rcmp-grc.gc.ca/news/cm-00-03.htm), chiffre avancé sans aucune vérification et en 24 heures. Or, même les grands cabinets d’audit ne peuvent rendre une évaluation de ce type dans un délai aussi bref. Ce chiffre semble totalement surévalué si on le rapporte au chiffre d’affaires des sociétés visées (et dont les comptes sont publiés sur le site de la SEC, la COB américaine). Un intervenant fait remarquer que l’on doit distinguer la valorisation boursière des pertes d’exploitation. Si les pertes d’exploitation sont faibles, en revanche l’attaque a sans doute fait baisser les cours de bourse des sociétés concernées (note : à l’époque, la survalorisation des valeurs internet était à son plus haut niveau).
Pour notre invité, une société cotée en bourse s’expose à des variations de son cours. Pour lui, le mineur canadien qui a été poursuivi et condamné pour ces faits aurait en fait servi de bouc émissaire. Note : cette opinion peut être rapprochée d’un article publié sur cette affaire par un site canadien :
« En fait, la simplicité des armes utilisées les met à la portée de tous, et c’est peut-être ce qui est, sans tomber dans la psychose, le plus inquiétant. Non pas que des méthodes pour contrer de telles attaques n’existent pas, mais elles n’avaient manifestement pas été mises en place chez les victimes.
On est aussi en droit de se montrer sceptique face aux déclarations du FBI qui, 72 heures après le début de la vague d’attentats, ne dit avoir aucune idée sur l’origine des attaques, sur leurs motifs, sur leurs auteurs. À défaut d’obtenir rapidement des résultats dans leur enquête, les autorités risquent de perdre sérieusement la face. » (Source : Les chroniques de Cybérie, 10 février 2000, http://www.cyberie.qc.ca/chronik/es0210.html).
Ainsi, cette attaque, bien que très médiatisée, a des conséquences beaucoup moins graves que des attaques susceptibles d’affecter par exemple le réseau SWIFT par lequel les banques échangent des fonds. Autre exemple, il est possible d’accéder à des réseaux d’entreprise par les terminaux téléphoniques, qui ne sont pas protégés. Notre invité pense que seuls les petits « pirates » sont poursuivis, mais que les vrais hackers (ceux par exemple disposant des compétences nécessaires pour s’attaquer aux réseaux bancaires) échappent de facto aux poursuites. Antoine Champagne souligne que ces hackers n’ont pas aujourd’hui d’objectifs politiques, mais que rien ne dit que leur état d’esprit n’évolue pas dans l’avenir. Les liens parfois peu transparents entre certains hackers et les sociétés spécialisées dans la sécurité sont ensuite évoqués. En conclusion de son intervention, Antoine Champagne souhaite indiquer à l’attention du législateur qu’il serait plus intelligent de forcer les éditeurs à faire de meilleurs produits et les sociétés à mieux sécuriser leurs systèmes. Cette politique serait à son avis beaucoup plus efficace que d’élaborer des textes peu ou mal appliqués. Hervé Schauer, qui dirige une société spécialisée dans la sécurité informatique, est interrogé sur les précautions juridiques prises lorsque son entreprise pratique des tests d’intrusion, pour éviter de se voir éventuellement reprocher l’incrimination d’intrusion non autorisée. Il indique qu’il évite d’intervenir pour ce type de demande en qualité de sous-traitant. Les autorisations de pratiquer les tests sont données dans le contrat qui le lie à son client. Il reste un problème délicat en pratique : lorsque son entreprise doit pratiquer un test sur des données hébergées par un prestataires externe. Le client doit garantir qu’il est bien propriétaire de toutes les données sur lesquelles le test est pratiqué. La question de savoir si la sécurité est une obligation de moyen ou de résultat est ensuite évoquée. Il s’agirait d’une obligation de moyens, c’est-à-dire que le prestataire s’engage à mettre en oeuvre les mesures conformes à l’état de l’art. En pratique, cela n’est guère contraignant. Il faut dire que le secteur informatique n’est pas soumis à des obligations de qualité. Un participant demande si l’affaire KITETOA ne peut pas être rapprochée de l’affaire Humpich (Rappel : Serge Humpich a découvert une faille dans le système de sécurité des cartes bleues et a réussi à fabriquer des cartes bancaires susceptibles de fonctionner avec n’importe quel mot de passe. Il a été condamné le 25 février 2000 par la 13ème chambre du TGI de Paris pour contrefaçon de cartes bancaires et intrusion non autorisée dans un système automatisé de traitement de données à 10 mois de prison avec sursis.
La décision est en ligne sur le site Legalis.net.
Voir aussi sur cette affaire : http://parodie.com/monetique/). Il semblerait que dans cette affaire, d’un strict point de vue juridique, l’infraction ait bien été constituée. Il reste qu’il est plus facile pour le législateur d’interdire la fabrication de fausses cartes bancaires ou d’aggraver les peines encourues que pour le GIE des cartes bancaires de garantir la sécurité de son système. En conclusion de ce compte-rendu, une citation de Bruce Schneier (expert américain renommé en matière de sécurité) semble bien résumer la situation actuelle en matière de politique législative :
« Les lois n’augmentent pas la sécurité des systèmes, ou évitent que les attaquants trouvent des trous. Leur rôle est de permettre à des fabricants de produits de se dissimuler derrière une sécurité imprécise, blâmant les autres pour leur propre inaptitude. Il est certainement plus simple d’implémenter de la mauvaise sécurité et de rendre hors la loi tous ceux qui le font remarquer que d’implémenter de la bonne sécurité. »