La procédure pénale appliquée à l’Internet

By 6 April 2012

La procédure pénale appliquée à l’Internet – Section 2 :
Il existe une vraie difficulté relative à la répression des infractions sur le réseau. La particularité technique de l’Internet, et spécialement sa dimension internationale, rend difficile l’établissement de la preuve de l’agissement illicite et l’appréhension de l’auteur de l’infraction.

Dans ce contexte, une réflexion s’est engagée à tous niveaux, national, européen et international, pour définir les moyens à mettre en œuvre pour renforcer l’action judiciaire et policière sur les réseaux.

Dès 1995, le Conseil de l’Europe a émis une recommandation incitant les État à coopérer, échanger des données et favoriser les enquêtes, perquisitions et saisies transfrontalières. Il a également rendu public, fin avril 2000, un projet de convention sur la cybercriminalité (1). Ses réflexions et propositions s’articulent autour des principes suivants.

Paragraphe -1- Les perquisitions et les saisies :
Dans une recommandation en date du 11 septembre 1995, le Conseil de l’Europe s’est penché sur les difficultés rencontrées par les autorités chargées d’enquête. A ce titre, il a préconisé de :
(1) Permettre aux autorités chargées d’une enquête d’exercer leurs pouvoirs de perquisition et de saisie dans un environnement informatique, notamment pour pouvoir étendre l’investigation à d’autres systèmes informatiques connectés par le biais d’un réseau.

(2) Élargir leur pouvoir d’interception dans/entre des systèmes informatiques en cas d’infractions graves contre la confidentialité, l’intégrité et la disponibilité des systèmes informatiques ou de télécommunications. Il convient ici de prendre en compte la nécessité d’établir un équilibre entre le droit de l’individu à la vie privé et l’intérêt de l’État au respect de la loi.

Dans le projet de convention sur la cybercriminalité du 27 avril 2000, le Conseil de l’Europe invite chaque État signataire à adopter “les mesures législatives qui se révèlent nécessaires pour habiliter ses autorités compétentes à perquisitionner ou à accéder d’une façon similaire aux systèmes informatiques”. La « télé perquisition » devrait ainsi faciliter les enquêtes sur les réseaux.

Paragraphe -2- Cyberpreuve technologique : Aspects techniques et juridiques (2):
La mention de l’adresse e-mail de la personne sur ses courriels crée l’apparence très forte qu’il en est l’émetteur, surtout si ces courriels sont émis à partir de son ordinateur. Mais cette apparence n’est pas à l’abri des vicissitudes des nouvelles technologies. Il circule actuellement sur le net un virus qui « usurpe » des adresses e-mail, et les utilise pour se diffuser dans des machines tierces. L’ordinateur du prétendu expéditeur peut alors être parfaitement sain, alors que les ordinateurs de ses supposés « correspondants » seront infectés.

Notre souci est l’identification du véritable émetteur d’un message fautif, utilisant une adresse e-mail n’étant pas la sienne. Les fournisseurs d’accès au réseau comme les hébergeurs tout comme les sites spécialisés dans la sécurité informatique semblent bien connaître le problème, et déclarent travailler afin de le régler L’usurpation d’e-mail semble un mode de piratage en voie d’expansion. Ainsi, Sober.H, qui est un « troyen » qui se présente sous la forme d’un fichier au nom aléatoire qui, une fois exécuté, Sober.H envoie des spams (messages non sollicités) de propagande politique – de préférence nazie ! – en allemand aux adresses présentes dans le carnet d’adresses Windows de l’utilisateur de l’ordinateur, et divers autres fichiers du disque dur (3).

L’usurpation d’une adresse e-mail personnelle ou professionnelle- avec dans ce dernier cas l’identification de l’entreprise dans le corps de l’adresse -, usurpation s’accompagnant de celle de l’identité de l’ordinateur émetteur est donc aujourd’hui relativement courante. Les mécanismes en sont décrits dans des revues grand public. Lorsque deux micros communiquent via Internet, ils s’échangent des paquets de données, appelés « trames », par l’intermédiaire de leur adresse IP, qui est le numéro d’identification de l’ordinateur. Dans la même idée qu’une adresse postale composée du nom de la ville, de la rue et du numéro personnel, l’adresse IP contient un algorithme implicite de location composé de différents niveaux. Elle répond ainsi à 2 fonctions simultanées : l’une d’identification et l’autre de location. L’adresse IP n’est pas l’adresse d’une personne physique mais l’adresse du réseau local de la machine d’un utilisateur connectée au réseau Internet. Ainsi, chaque machine connectée directement à Internet est identifiée par une adresse IP unique.

Windows sait que telle « trame » est destinée au navigateur Web, telle autre au logiciel de messagerie, et telle autre à la vidéoconférence. Le protocole TCP/IP, qui régit les communications sur Internet, utilise un système de numéros appelés ports, qui permettent de redistribuer chaque paquet à son destinataire. A l’intérieur de Windows, le gestionnaire TCP/IP agit comme un standard téléphonique, distribuant les paquets aux logiciels selon leur numéro de port.

Via l’adresse IP, des outils de repérage permettent de recueillir automatiquement des renseignements en ligne, apparemment anodins, parfois à l’insu de l’internaute : ordinateur et logiciel utilisés, adresse IP, site Web d’origine, fichiers consultés, temps passé sur chaque page, etc. Au moyen de témoins, il est même possible de regrouper les données recueillies à partir de plusieurs sites Web et connaître les contenus et services auxquels un ordinateur particulier a accédé sur Internet. Lorsque ces informations sont combinées à des renseignements qui permettent d’identifier des particuliers, on obtient des profils détaillés de consommateurs. Cette aptitude à recueillir un important volume d’informations a abouti à l’émergence d’un intérêt grandissant pour le respect de la vie privée.

Le douteux talent des usurpateurs ne se limite pas à l’adresse e-mail. Un pirate peut s’introduire dans un micro, accéder au disque dur, consulter, modifier et supprimer les fichiers. Un nouveau « ver » informatique, appelé Korgo, dispose même d’un module d’enregistrement de frappe (keylogger) susceptible de dérober les mots de passe de comptes bancaires et les informations saisies dans les formulaires Web, notamment les numéros de cartes de crédit (4). Nul n’est à l’abri. Pour se protéger, une seule solution : installer un logiciel pare-feu (firewall), pour empêcher toute intrusion non désirée, et même rendre « invisible » un ordinateur sur la toile, le mettant en principe hors d’atteinte des tentatives de repérage des pirates. Mais les pare-feu semblent inégalement efficaces.

Puisque l’ordinateur qu’utilise un salarié peut envoyer des messages avec son e-mail professionnel mais à son insu, il serait tout à fait hasardeux de déduire sa culpabilité uniquement de la constatation que son e-mail figure en en-tête du courriel malfaisant qu’il serait supposé avoir adressé à sa ou ses victimes, et de la seule « consultation de l’historique de sa messagerie ». Compte tenu des nombreuses incertitudes qui sont la conséquence de l’imagination sans borne des pirates informatiques brièvement rappelée ci-dessus, les « preuves » issues des technologies de l’informatique et de l’Internet ne peuvent sûrement pas être admises comme modes de preuve « autonomes », se suffisant à elles-mêmes.

Pour ces raisons, les juges du fond ont dans l’ensemble pris la mesure des difficultés probatoires liées à l’outil informatique. L’ordinateur se manipule. La présence de mots de passe supposés interdire ou limiter l’accès à l’ordinateur lui-même ou à certains programmes ou fichiers sur l’initiative d’un administrateur réseau tout puissant qui maîtrise et surveille les conditions d’utilisation de l’ensemble du réseau d’ordinateurs d’une entreprise, est d’une efficacité toute relative.

On peut citer une cour d’appel écartant la cause réelle et sérieuse de licenciement pour un salarié qui s’était aménagé la preuve de la modification par l’employeur de ses propres fichiers durant son absence, et cela afin de constituer contre lui la preuve de ses prétendues fautes professionnelles (5). Et encore le cas où un constat d’huissier relevant la présence, sur l’ordinateur d’un salarié, de fichiers étrangers à son activité aurait dû être écarté des débats : si le constat prouve bien l’existence de fichiers litigieux, il ne permet en rien d’identifier la personne qui les a installés (CA Rouen, 14 mai 1996, SARL Médical Informatique c/ Dedieu : RJS 8-9/96, n° 908).

Le législateur lui-même a pleinement conscience des difficultés probatoires liées à l’utilisation des technologies de l’informatique : la récente loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique (L. n° 2000-230, 13 mars 2000 : JO 14 mars 2000, p. 3698) prévoit l’admission en preuve de l’écrit électronique au même titre que l’écrit sur papier, mais impose que soit « dûment identifiée la personne dont il émane ».

La CNIL a pour sa part déjà mis en œuvre au moins à deux reprises ce principe de ” cyberidentification “, notamment à propos du vote électronique, qui inspire manifestement de nombreuses juridictions du fond qui les transposent dans les relations de travail. Lorsque la CNIL émet un avis favorable à l’expérimentation, c’est que celle-ci est assortie notamment d’importantes garanties techniques d’authentification de l’électeur. « La Commission a ainsi émis un avis favorable à une expérimentation de vote électronique par carte à puce, dans la mesure où les conditions de sa mise en oeuvre sont apparues de nature à assurer l’authentification de l’électeur (6) (par la convocation des électeurs volontaires et l’enregistrement de leur empreinte digitale dans une carte à puce privative qui leur était personnellement attribuée)…

L’avis défavorable, au contraire, tient compte du risque d’usurpation de l’identité de l’électeur, y compris par ses proches, malgré l’utilisation et d’un code d’accès et d’un mot de passe, lorsqu’il est appelé à voter depuis son domicile par Internet. « En tout état de cause, et au regard des seules dispositions de la loi du 6 janvier 1978, le dispositif projeté ne garantit pas l’authentification et l’identification certaine de l’électeur, l’envoi d’un code d’accès et d’un mot de passe par simple courrier adressé à un domicile où peuvent résider plusieurs électeurs n’excluant pas qu’un même électeur puisse voter plusieurs fois en utilisant le code d’accès et le mot de passe des autres personnes du foyer » (7).

Dans une affaire de courriel antisémite adressé par un salarié à un tiers extérieur à l’entreprise sous un e-mail permettant d’identifier l’employeur, la Cour de cassation et les juges du fond semblent être restés fidèles à cette traditionnelle rigueur jurisprudentielle. La cyberpreuve tirée des nouvelles technologies est admise seulement à condition d’être associée à d’autres preuves plus fiables, qu’il s’agisse « d’attestations » ou témoignages, ou autres. L’emploi de la conjonction de coordination et (« notamment l’historique des envois électroniques de la société et plusieurs attestations »), semble interdire que de telles « preuves » informatiques puissent à elles seules venir à l’appui d’une sanction contre un salarié, mais qu’elles doivent obligatoirement être associées à d’autres preuves plus fiables, quitte le cas échéant à recourir à la méthode du « faisceau d’indices »

Sur cette question de preuve, le Conseil de l’Europe a également suggéré une série de mesures visant à harmoniser les règles dans les différents États, notamment:
(1) Étendre à l’environnement informatique l’obligation traditionnelle qui incombe aux témoins et aux experts d’assister les autorités chargées de l’enquête dans le recueil des preuves. Cette obligation peut consister à remettre des données, à permettre l’accès à ces données dans les systèmes informatiques ou l’interception d’informations sur un réseau.

(2) Garantir au mieux le caractère irréfutable et l’intégrité des preuves électroniques en développant notamment des procédures et méthodes techniques de traitement de ces preuves compatibles entre États et en habilitant les autorités compétentes à ordonner la conservation rapide des données. Par ailleurs, les règles de preuve se rapportant aux documents traditionnels devraient s’appliquer aux données stockées dans un système informatique.

procédure pénale appliquée à l’Internet(3) Maîtriser les techniques du chiffrement pour en réduire les effets négatifs sur les enquêtes relatives aux infractions pénales.

Le Conseil d’État insiste, quant à lui, sur l’importance de la lutte contre l’anonymat. Il a suggéré, à ce titre, de prévoir, pour tous les sites Web (professionnels ou individuels), l’obligation d’identifier l’éditeur de contenu et ses coordonnées (8): « Chaque fournisseur d’accès devrait être en mesure de fournir l’identité de ses clients, dans le cadre d’une enquête, aux services de police et de justice. Ceci devrait le conduire à demander l’identité de ses clients lors d’une demande d’abonnement. Ce que certains pratiquent déjà ».

Le conseil d’État prévoit, à la charge des fournisseurs d’accès, l’obligation de conserver les données de connexion pendant une durée d’un an. Son rapport insiste notamment sur « la grande valeur informationnelle » pour les services d’enquête de données telles que le login, les heures de début et de fin de connexion, l’adresse IP de l’appelant et les sites visités ».

Ces propositions ont été prises en compte par l’Assemblée Nationale, lors de l’examen en deuxième lecture de la loi sur la communication audiovisuelle (9), le 23 mars 2000.

Le non-respect de cette obligation, ainsi que le fait de donner des informations inexactes, sont pénalement sanctionnés.

Lire le mémoire complet ==> (Le piratage informatique: Définition et problèmes juridiques
)
Un mémoire pour l’obtention du diplôme D’Études Approfondies en Droit Interne et International des Affaires
Université Libanaise – Faculté de Droit et des Sciences – Politiques et Administratives
_________________________________
(1) Voir Florent Latrive, “41 pays contre les pirates”, référence précitée.
(2) Caïdi Stéphane, La preuve et la conservation de l’écrit dans la société de l’information, Université de Montréal, 2002.
(3) information disponible sur le site : http://www.secuser.com/alertes/2004/soberh.htm.
(4) Information consultable sur le site http://www.branchez-vous.com/actu/04-05/08-217501.html.
(5) CA Douai, 18 décembre 1997, ch. soc. Thery c/ SARL Infotab. Consultable sur www.juriscom.net
(6) Délibération n° 02-015, 14 mars 2002, portant avis sur un projet d’arrêté présenté par la mairie de Mérignac concernant l’expérimentation d’un dispositif de vote électronique comportant les empreintes digitales des électeurs : demande d’avis n° 786679.
(7) Délibération n° 02-022, 22 avril 2002, relative à la demande d’avis présentée par la mairie de Vandoeuvre-les-Nancy concernant l’expérimentation d’un dispositif de vote électronique par Internet à l’occasion de l’élection présidentielle : demande d’avis n° 796151.
(8) Cette proposition s’inspire directement de l’article 43 de la loi du 30 septembre 1986 applicable aux services télématiques.
(9) Cette loi a été définitivement adoptee par l’Assemblée nationale le 16 juin 2000 en 3eme lecture; voir sous: http:// www.asemblee-nationale.fr