En l'absence d'intention de nuire, il n'y a pas de délit d’entrave à un système de traitement automatisé de données.

Une opération de veille concurrentielle n'est pas un acte de cybercriminalité. Plus précisément,1 569 connexions en trois salves, pendant deux heures provenant d’une personne identifiée ne suffisent pas à prouver l’attaque en déni de service, donc la perturbation, même sensible, du système. Explications.

En l'espèce, il était reproché à Cédric M. d’avoir volontairement entravé le fonctionnement d’un système de traitement automatisé de données, en l’espèce le serveur informatique de la société C. sur le site www.lecomptoirsante.com.
Dans un jugement du 6 janvier 2011, le tribunal de grande instance de Bordeaux retenait que s’il est reproché au prévenu un délit d’entrave à un système de traitement automatisé de données tel que prévu aux articles 323-2 et 323-5 du code pénal, Cédric M. reconnaissant sans difficulté avoir utilisé un logiciel pour récupérer des informations sur le site concurrent (qui a expressément indiqué ne pas vouloir se constituer partie civile) dans le cadre d’une "veille concurrentielle", avec des adresses IP anonymisées, il n’est pas démontré en l’état du dossier et des débats une intention de nuire.
Soulignons que le tribunal constatait également que le programme utilisé était en réalité robotisé
, et a multiplié les requêtes de manière automatique et répétitive, du fait de son placement en échec lors de ses tentatives d’accès au site, dont la sécurité informatique parait conséquente, ce qui a du reste amené le prévenu à vérifier avec un autre ordinateur et une adresse cette fois-ci identifiable si l’accès était en réalité possible, ce qui a permis de le localiser. Le tribunal en déduit le caractère non intentionnel du dysfonctionnement reproché en l’absence de démonstration inverse par des éléments matériels. En outre, il n’est pas rapporté la preuve effective du blocage ou du ralentissement du site invoqué à l’origine par le plaignant, les seuls éléments fournis concernant une autre tentative d’intrusion pour laquelle Cédric M. n’est pas mis en cause.

Le prévenu est ainsi renvoyé des fins de la poursuite.
Cette relaxe est confirmée par un arrêt de la cour d'appel de Bordeaux en date du 15 novembre 2011. Dans son arrêt, la cour liste les éléments qui auraient pu établir l’existence d’une entrave : « le principe du préjudice et de son importance, l’état et l’évolution de la charge du serveur et de son temps de travail lors de la période dénoncée, les capacités informatiques du serveur abritant le site par rapport au nombre et à la durée des connexions de Cédric M., la cause de la perturbation du site invoquée par la plaignante, les moyens mis en œuvre pour y remédier ».
Toutefois, la preuve d’une volonté de fausser le fonctionnement du site n’a pas été rapportée. Au contraire, la cour fait valoir que le nombre de connexions était trop faible pour impacter ce site. Elle reprend une étude fournie par le prévenu qui indique qu’une attaque efficace du site cible aurait nécessité 80 000 requêtes/heure pendant plusieurs heures à partir de plusieurs ordinateurs. Or, même si le prévenu avait les compétences informatiques pour commettre une telle infraction, il avait aussi celles pour savoir que les moyens utilisés étaient inadéquats.

Ce qu’il faut retenir : 1 569 connexions en trois salves, pendant deux heures provenant d’une personne identifiée ne suffisent pas à prouver l’attaque en déni de service, donc la perturbation, même sensible, du système.

 

Autour du même sujet