Déni de service (DDOS) : une arme politique à part entière ?

En septembre 2011 le gouvernement américain a ouvert un service intitulé «We the people» qui permet la création de pétitions dont le contenu est étudié par la Maison Blanche si elle obtient un certain nombre de signatures (100 000 depuis le 16 janvier 2013).

Après avoir dû expliquer que les États-Unis ne souhaitaient pas construire l’étoile noire de George Lucas parce que le projet était trop coûteux, mais aussi parce que le gouvernement n’avait pas comme ambition de détruire des étoiles, la Maison Blanche a presque dû se positionner sur la légalisation de l’attaque par déni de service (DDoS) comme un mode légal de manifestation. La pétition n’a cependant pas obtenu suffisamment de signatures pour obtenir une réponse officielle. Cette tentative soulève néanmoins une question juridique intéressante puisqu’il n’est pas rare que l’exercice de la liberté d’expression par un individu vienne empiéter sur les droits d’autres individus. Mais qu’en est-il en droit français ?
Pour bien comprendre, il est nécessaire d’approfondir la notion de DDoS. L’attaque par déni de service consiste à surcharger ce qui est la plupart du temps un site internet en le submergeant de requêtes. Il existe plusieurs typologies d’attaques par dénis de service telles que le SYN Flood[1] , l’UDP Flooding[2]  ou encore l’amplification DNS [3].

Ces attaques DDoS sont les moyens d’action préférés des Anonymous, mouvement non organisé qui défend la liberté d’expression sur internet. Leurs récentes actions dans l’affaire Megaupload ont conduit à la saturation entre autres du site du FBI, celui de la HADOPI ou encore celui de la WarnerBros.
Le créateur de la pétition «Make, distributed denial-of-service (DDoS), a legal form of protesting» Dylan K demande à l’administration Obama de reconnaitre l’attaque par déni de service comme une forme de manifestation légale, et donc distincte du piratage informatique. La justification de cette demande repose sur le fait que le DDoS ne consiste finalement que dans le rafraichissement répété d’une page internet, ce qui par analogie, peut être comparé avec l’occupation de l’espace public comme le mouvement «occupy» l’a fait à Wall Street. La différence étant que ce n’est pas une zone qui est occupée, mais un site internet. Qu’en est-il donc de la légalité d’un tel procédé ?

La plupart des pays à travers le monde sanctionnent expressément ces pratiques qu’ils considèrent comme des attaques informatiques (exemple : le « Police and Justice Act » en Grande Bretagne par exemple). Le droit français prévoit à l’article 323-1 du Code pénal que le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système automatisé de données est un délit. Or, une infraction pénale pour qu’elle soit caractérisée doit être vérifiée dans son élément matériel et son élément moral. Ici, l’élément matériel est constitué dans le fait «d’accéder» (ou de se maintenir) dans un système automatisé de données. La préposition «dans» est ici lourde de sens. En effet, pour qu’une telle infraction soit caractérisée, il faut qu’il y ait pénétration « dans » le système.

Ceci est discutable dans le cas d’une attaque par DDoS, l’attaquant restant en réalité en périphérie du serveur. Il ne fait que contacter le serveur par un moyen « normal » et provoquer de sa part une réaction. En aucun cas il ne pénètre le serveur au sens d’accéder à des répertoires, données ou interfaces sécurisée, ou à tout le moins censés l’être.
Un tel procédé revient  à ce que des milliers de personnes frappent quasi simultanément à la porte du serveur. Ce dernier ne peut pas accueillir les demandes de tout le monde, il sature et devient incapable de répondre à d’autres utilisateurs et peut alors être totalement et durablement bloqué. Il ne semble pas que l’élément matériel de l’infraction puisse être réellement constitué faute d’accès ou de maintien dans le serveur.
Mais la loi Godfrain  a doté le droit français d’autres armes. L’article 323-2 du Code pénal sanctionne quant à lui le fait d’entraver ou de fausser le fonctionnement d’un système automatisé de données. Il nous faut une nouvelle fois pouvoir qualifier l’élément matériel et l’élément moral de l’infraction.

L’élément moral de cette infraction tient donc dans l’intention d’entraver le fonctionnement. En revanche, il n’est pas nécessaire de prouver une intention de nuire. Cet élément moral ne semble pas poser de problème dans le cas d’une attaque par déni de service puisque précisément le but de ce genre d’attaque est de paralyser le fonctionnement d’un serveur. Dès lors la démonstration de l’intention d’entraver sera grandement facilitée par les constats matériels prouvant le montage du dispositif spécifique nécessaire pour mener à bien l’attaque.
Aussi intéressons-nous à l’élément matériel, le dictionnaire de l’Académie française définissant l’entrave comme le fait de gêner ou d’empêcher la marche par une entrave. De plus, la jurisprudence semble estimer qu’il doit s’agir d’un acte positif (Poitiers, 20 janvier 1998). Ce n’est donc pas une infraction d’omission mais de commission. En l’espèce, ce n’est pas un obstacle puisque dans tous les cas il y a un acte positif de la part du hacker. Cependant, il est nécessaire de vérifier siles agissements du hacker constituent une entrave au système automatisé de données puisque ce n’est qu’à cette condition que son comportement  pourra être sanctionné par ce texte.

Dans le SYN Flood, l’UDP Flood ou même l’amplification par DNS, le hacker  engendre l’entrave grâce à des machines appartenant à des tiers. En effet, dans le cas du SYN Flood et de l’UDP Flooding, il fera appel à un parc de « zombies » et dans le cas de l’amplification par DNS, il passera par un serveur DNS pour attaquer la cible. Ce n’est donc jamais avec son ordinateur personnel qu’il attaquera la cible mais en passant par des intermédiaires.
Cependant, cela ne doit pas perturber l’analyse juridique de ces agissements. Le hacker a dans la majorité des cas un contrôle de l’ordinateur zombie au détriment du véritable propriétaire de ce dernier. Ainsi, l’implication du tiers « zombifié » ne saurait raisonnablement être recherchée. Le hacker s’accapare temporairement le contrôle de l’ordinateur zombie pour détourner son utilisation à ses fins. Ainsi, il est aisé de conclure que l’ « ordinateur zombie » contrôlé par le hacker sera considéré comme son objet propre exclusion faite de la personne tiers légalement propriétaire de l’ordinateur. Le hacker sera donc personnellement et directement impliqué dans l’attaque par déni de service puisqu’il a lui-même utilisé les ordinateurs zombies.

Dans le cas de l’amplification DNS, le pirate ne contrôle certes pas le serveur DNS mais il en détournera l’utilisation à des fins autres que celles pour lesquels il est prévu. Cette pratique serait  très probablement qualifiée elle-même d’entrave à un système automatisé de données vis-à-vis des détenteurs d’ordinateurs « zombifiés ». Il y a donc alors certainement une multitude d’infraction qui révèle une grande préméditation.
L’élément matériel est donc vérifié par le dispositif que le hacker doit déployer dans le cadre de son attaque et qui démontre que manifestement ce dernier n’a rien fait par hasard.

Ainsi l’article 323-2 du Code pénal permet à notre sens de sanctionner le hacker pour attaque par déni de service quelles que soit ses motivations profondes et sa volonté de promouvoir un message.

Se pose enfin la question de l’opportunité de légaliser de telles pratiques au nom du droit d’expression. En effet, par analogie avec le droit de manifester, l’organisation d’une attaque DDoS, menée non pas par un seul « manifestant » mais par une foule d’internaute se donnant virtuellement rendez-vous sur un site, mérite réflexion. Car la légitimité de l’acte, animé par une conviction massivement partagée par des milliers ou des dizaines de milliers de personne serait plus difficilement contestable, tout comme il serait alors plus compliqué de lui trouver un responsable.
Il demeure vrai que de tous les procédés le DDoS  est celui qui est le plus facilement éligible au rang de moyen d’expression. Pour lui imaginer une application licite, encore faudrait-il pouvoir faire la preuve à coup sûr que la volonté de se faire entendre prévaut sur toute autre motivation plus intéressée.

Chronique rédigée par Maître Gérald Sadde – Cabinet Roche et Avocats et Pierre Edouard Pouradier Duteil – Elève avocat

----------------

[1] Le SYN Flood consiste à laisser en suspend une connexion avec un site internet. Lorsqu’un utilisateur veut se connecter à un site, son ordinateur envoie une requête SYN au serveur de destination qui lui répond SYN ACK pour qu’enfin l’ordinateur qui émet la communication réponde ACK. Cette «poignée de main en trois temps» établit la connexion. Le but de l’attaque SYN Flood consiste à envoyer un message SYN, mais en spécifiant une adresse IP source incorrecte. Ainsi, l’ordinateur qui émet la communication ne reçoit jamais la réponse SYN ACK. Cela laisse en suspens une connexion sur l’ordinateur cible qui la stocke pendant quelques secondes. Cette utilisation de mémoire peut rapidement devenir un problème si des milliers d’ordinateurs utilisent ce procédé en même temps. La cible croule rapidement sous les demandes incomplètes et le serveur « plante ».
 
[2] L’attaque UDP Flooding consiste à envoyer une requête sur le port CharGen d’ordinateurs tiers en usurpant l’adresse IP de la cible. Ces ordinateurs vont donc répondre sur le port Echo de la cible qui répondra aux ordinateurs tiers et ainsi de suite, engendrant une partie de ping-pong qui ne s’arrêtera que lorsque l’ordinateur cible « plantera ».
 
[3] L’attaque par amplification DNS consiste quant à elle à contacter des serveurs DNS en spoofant l’adresse IP de la victime et en leur demandant de transmettre la liste des serveurs qu’ils contiennent. L’amplification tient au fait que la réponse envoyée à la victime est alors très largement supérieure à la requête envoyée par le hacker, la taille des fichiers pouvant atteindre plusieurs centaines de gigaoctets en utilisant plusieurs serveurs DNS.