Commet un délit l'auteur de la mise à disposition sur internet d'informations relatives à des failles de sécurité

Commet un délit l'auteur de la mise à disposition sur internet d'informations relatives à des failles de sécurité

Cass / Crim - 27 octobre 2009 - Rejet
Numéro de Pourvoi : 09-82346
Résumé express :
La seule constatation de la violation, sans motif légitime et en connaissance de cause, de l'une des interdictions prévues par l'article 323-3-1 du Code pénal, implique de la part de son auteur l'intention coupable exigée par l'article 121-3 du même code. En sachant qu'il diffusait sur internet des informations présentant un risque d'utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance, l'auteur des écrits visibles sur le site internet et accessibles à tous, s'est rendu coupable du délit de mise à disposition, sans motif légitime, de moyens conçus ou spécialement adaptés pour commettre une atteinte à un système de traitement automatisé de données.

Sur le moyen unique de cassation, pris de la violation des articles 8 de la Déclaration des droits de l'homme, 6 et 7 de la Convention européenne des droits de l'homme, 6 de la Convention européenne sur la cybercriminalité du 23 novembre 2001, 34 et 37 de la Constitution, 323-1, 323-2, 323-3 et 323-3-1 du Code pénal, 111-3 et 121-3 du Code pénal, 591 et 593 du Code de procédure pénale, défaut de motifs et manque de base légale ;

"En ce que l'arrêt infirmatif attaqué a déclaré X... coupable de mise à disposition sans motif légitime de programmes ou données conçus ou adaptés pour une atteinte au fonctionnement d'un système de traitement automatisé de données, et, en répression, l'a condamné à une peine d'amende de 1.000 euros ;

"Aux motifs que le tribunal a relaxé X... au motif qu'il est établi que le site www n'incitait en aucune façon à l'utilisation de ces codes à des fins malveillantes ou de piratage informatique ; que la seule intention qui ait animé X... est un souci d'information des menaces existantes non corrigées à destination des utilisateurs de programmes informatiques ; qu'il justifie d'ailleurs en avoir été remercié par Microsoft ; qu'aucune intention n'est établie ; que l'article 323-3-1 du Code pénal réprime le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données, sans que le texte n'exige que soit caractérisée une incitation à l'utilisation d'un tel système ; que, s'agissant du motif légitime exonératoire, la cour estime que X... ne peut valablement arguer d'un motif légitime tiré de la volonté d'information dès lors que, par la mise en place d'un système de veille destiné à des abonnés et par la communication d'informations d'alerte directement à Microsoft à son adresse email, X... a fait la preuve de ce qu'il connaissait les dispositifs permettant de concilier le souci d'information avec la nécessaire confidentialité de ce type d'informations, étant précisé que X..., selon ses propres déclarations, n'a pas été remercié par Microsoft pour avoir publié sur le site web les exploits le concernant mais pour l'avoir avisé directement à son adresse mail des failles existantes ; que, s'agissant de l'élément intentionnel de l'infraction, X... ne peut arguer de sa bonne foi alors que la fréquentation de son site par un public tout venant lui procurait des revenus publicitaires adossés au nombre de visiteurs ; qu'en conséquence, il est établi qu'il avait un intérêt économique à la diffusion d'informations dont il ne pouvait ignorer, du fait de son expertise en cette matière et ses antécédents judiciaires, qu'elles présentaient un risque d'utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance ; qu'il y a lieu, en conséquence, d'infirmer le jugement déféré et de déclarer X... coupable de l'infraction poursuivie ; que, sur la peine, la cour constate que X... a développé son activité de conseil en matière de sécurité informatique ; qu'eu égard à sa personnalité et à sa progression professionnelle, il y a lieu d'être modéré dans la répression et de le condamner à une peine d'amende de 1.000 euros ;

1°) Alors qu'il n'y a point de délit sans intention de le commettre ; que toute infraction doit être définie en des termes clairs et précis pour exclure l'arbitraire et permettre au prévenu de connaître exactement la nature et la cause de l'accusation portée contre lui ; que la Convention européenne sur la cybercriminalité réprime en son article 6, d'une part, la production, la vente, l'obtention pour utilisation, l'importation, la diffusion ou d'autres formes de mise à disposition, soit d'un dispositif, y compris un programme informatique, principalement conçu ou adapté pour permettre la commission de l'une des infractions établies conformément aux articles 2 à 5 ci-dessus, soit d'un mot de passe, d'un code d'accès ou de données informatiques similaires permettant d'accéder à tout ou partie d'un système informatique, dans l'intention qu'ils soient utilisés afin de commettre l'une ou l'autre des infractions visées par les articles 2 à 5, et, d'autre part, la possession d'un élément visé aux paragraphes ci-dessus, dans l'intention qu'il soit utilisé afin de commettre l'une ou l'autre des infractions visées par les articles 2 à 5 ; qu'elle ajoute que cet article ne saurait être interprété comme imposant une responsabilité pénale lorsque la production, la vente, l'obtention pour utilisation, l'importation, la diffusion ou d'autres formes de mise à disposition mentionnées au paragraphe 1 du présent article n'ont pas pour but de commettre une infraction établie conformément aux articles 2 à 5 de la présente Convention, comme dans le cas d'essai autorisé ou de protection d'un système informatique ; qu'en s'en référant, pour retenir la culpabilité de X..., à l'article 323-3-1 du code pénal dont les termes généraux établissent une responsabilité pénale en l'absence de toute intention frauduleuse, la cour d'appel n'a pas légalement justifié la condamnation prononcée ;

2°) Alors qu'il n'y a point de délit sans intention de le commettre ; qu'en ne caractérisant pas de la part de X... une intention spécifique de diffuser les informations litigieuses dans le but précis de permettre la commission de l'une ou l'autre des infractions visées aux articles 323-1 à 323-3 du code pénal, la cour d'appel a privé sa décision de base légale au regard des textes susvisés ;

3°) Alors que, en se bornant, pour caractériser l'élément intentionnel de l'infraction reprochée à X..., à s'en référer à son intérêt économique et à considérer que les informations diffusées sur son site présentaient un risque d'utilisation à des fins de piratage, sans rechercher, ne serait-ce que pour écarter cette éventualité, si, nonobstant la conscience qu'il avait de l'existence d'un tel risque, X... n'avait pas été seulement animé de l'intention de remédier à une insécurité informatique, la cour d'appel a privé sa décision de base légale au regard des textes susvisés ;

4°) Alors que, de surcroît, en s'en référant, pour caractériser l'élément intentionnel de l'infraction, aux antécédents judiciaires de X..., sans mieux s'expliquer sur ce point au regard des circonstances de l'espèce, la cour d'appel, qui a statué par des motifs abstraits et généraux, a privé sa décision de base légale au regard des textes susvisés ;

Attendu qu'il résulte de l'arrêt attaqué et des pièces de procédure que X... a diffusé sur le portail internet de la société XX Consulting, spécialisé dans le conseil en sécurité informatique, dont il est le gérant, des écrits directement visibles sur le site et accessibles à tous permettant d'exploiter des failles de sécurité informatique ; que, renvoyé devant le tribunal correctionnel pour mise à disposition, sans motif légitime, de moyens conçus ou spécialement adaptés pour commettre une atteinte à un système de traitement automatisé de données, il a été relaxé ;

Attendu que, pour infirmer, sur appel du ministère public, le jugement et condamner le prévenu, l'arrêt énonce qu'il ne peut valablement arguer d'un motif légitime tiré de la volonté d'information, dès lors que, du fait de son expertise en la matière, il savait qu'il diffusait des informations présentant un risque d'utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance ;

Attendu qu'en l'état de ces énonciations, abstraction faite du motif surabondant relatif aux antécédents judiciaires du prévenu, et dès lors que la constatation de la violation, sans motif légitime et en connaissance de cause, de l'une des interdictions prévues par l'article 323-3-1 du code pénal implique de la part de son auteur l'intention coupable exigée par l'article 121-3 du même code, la cour d'appel a justifié sa décision ;

D'où il suit que le moyen doit être écarté ;

Et attendu que l'arrêt est régulier en la forme ;

Rejette le pourvoi ;

En l'espèce, le gérant d'une société et d'un site internet spécialisés dans le conseil en sécurité informatique, constate l'existence de plusieurs failles de sécurité importantes dans un format d'image numérique commercialisé par Microsolft et en informe la firme américaine directement via sa boite mail. Bien que remercié par les services de celles-ci, puisqu'un correctif rapide a pu être apporté, la firme n'a toutefois pas apprécié que les détails de cette faille aient été révélés à tous, via le site internet de cette société.
En effet, le site web de la société, "vitrine" de son activité de consultant en sécurité informatique, comportait un article dans lequel elle démontrait sa capacité à identifier une faille de sécurité informatique, même chez les plus grandes sociétés informatiques au monde, et détaillait le mode opératoire pour contourner le système.

Aussi, le tribunal correctionnel a été saisi d'une requête pour mise à disposition, sans motif légitime, de moyens conçus ou spécialement adaptés pour commettre une atteinte à un système de traitement automatisé de données.

Bien que relaxée en première instance, la société a été condamnée en seconde instance, après appel du ministère public. En effet, l'arrêt énonçait que le gérant ne pouvait valablement "arguer d'un motif légitime tiré de la volonté d'information, dès lors que, du fait de son expertise en la matière, il savait qu'il diffusait des informations présentant un risque d'utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance".
Eu égard à la personnalité et à la progression professionnelle de l'auteur des faits, la Cour a accepté de modérer dans la répression, la sanction, en le condamnant à une peine d'amende de 1.000 euros (à laquelle s'ajoutent les frais d'avocats et de procédure qui restent à sa charge, lesquels sont non-négligeables dans ce genre d'affaire).

Un pourvoi en Cassation ne lui permit pas d'obtenir gain de cause, puisque la chambre criminelle a estimé que "dès lors que la constatation de la violation, sans motif légitime et en connaissance de cause, de l'une des interdictions prévues par l'article 323-3-1 du Code pénal, implique de la part de son auteur l'intention coupable exigée par l'article 121-3 du même Code", de sorte qu'en l'espèce, le délit était constitué.

Les amateurs de cette pratique dite "full disclosure", qui consiste à avertir le public de l'existence de failles de sécurité pouvant, par ricochet, avoir un impact sur lui, est illégale, et le fait de vouloir simplement diffuser cette information, même sans intention véritable de nuire, ne peut pas constituer un motif légitime exonératoire de responsabilité.