Affaire Bluetouff, ou comment se maintenir frauduleusement dans un système en libre accès

Dernière affaire en date qui a défrayé la chronique sur les réseaux sociaux, le « risque » d’être condamné au pénal pour avoir accédé à des données confidentielles alors qu’elles étaient librement disponibles depuis le moteur de recherche Google.

Le Web a donc bruissé d'une nouvelle rumeur : il est possible d'être condamné au pénal pour avoir simplement utilisé le moteur de recherche de Google ! Un hacker sans hack, en somme. Et de fait, on conçoit difficilement d’être sanctionné pour n’avoir fait que constater une faille dans un système de sécurité laissant des documents en libre accès. 

Évidemment, la réalité est un peu plus complexe, notamment parce qu'elle mêle des notions juridiques et des concepts techniques sujets à interprétation. L’arrêt de la Cour d’appel de Paris du 5 février 2014 peut se comprendre, et doit en tous cas être lu au-delà du sarcasme qui moque l’apparente inculture des juges quant aux concepts techniques en cause (car il faut se souvenir qu’une justice d’experts et de techniciens serait au moins aussi problématique…).   

Poursuivi par l’ANSES devant le Tribunal correctionnel de Créteil pour accès frauduleux à un système de traitement automatisé de données (STAD), ainsi que pour maintien frauduleux dans système de traitement automatisé de données, et enfin pour « vol » de documents, le blogueur avait été relaxé en première instance. Le juge avait mis en avant l’absence de contournement de mesures de sécurité, et donc l’absence d’intrusion frauduleuse. 

L’ANSES, sans doute consciente de l’effet Flanby auquel elle s’exposait en poursuivant sa démarche, a renoncé à faire appel de la décision. C’est le Procureur de la République qui a interjeté appel de la décision de relaxe, afin de faire condamner le blogueur.    

1. Un maintien frauduleux sans accès illicite

Bluetouff avait découvert qu’il était possible, en cherchant tout simplement sur Google, d’accéder à l’extranet de l’Agence Nationale de Sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) et aux documents y hébergés. Des répertoires étaient accessibles en clair, depuis Google, sans authentification préalable. Le blogueur a ainsi pu télécharger de nombreux documents et rédiger un article sur sa découverte, en recopiant l'un de ces documents relatif aux nano-matériaux.   

Ces documents étaient donc librement accessibles, sans protection. Le moins qu’on puisse dire est que l’ANSES n’a pas vraiment cherché à dissimuler ces documents aux yeux du public. La Cour d’appel de Paris a pourtant condamné Bluetouff à une amende de 3.000 euros et a rejeté sa demande de dispense d’inscription de condamnation au casier judiciaire. Elle s’est cependant fondée sur une lecture plausible du texte de loi, à partir d’une interprétation souveraine des faits qui lui étaient soumis, et notamment du PV d’audition du blogueur. Les considérations techniques retenues par la Cour pourraient être discutées, mais l’arrêt pose surtout question en termes de liberté d’expression et d’information, et d’après les indications de l’avocat du blogueur, la Cour de cassation aura peut-être bientôt l’occasion d’en connaître.

A l’instar du Tribunal correctionnel, la Cour n’a pas retenu la qualification d’accès frauduleux à un système de traitement automatisé de données, puisque que cet accès lui a été « permis en raison d’une défaillance technique » reconnue par l’ANSES. En revanche, la Cour a considéré que le blogueur était coupable de s’être maintenu frauduleusement dans le système.

A première vue, on saisit mal comment un maintien peut être frauduleux si l’accès ne l’était pas : comment peut-on se trouver illégalement en un lieu dans lequel on pouvait parfaitement, et légalement, pénétrer ? Toutefois, juridiquement, il existe bien deux notions distinctes et alternatives dans l’article 323-1 du Code pénal : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende ».    

On peut donc lire l’article du Code pénal comme réprimant deux infractions potentiellement distinctes : l’accès qu’on sait frauduleux à une zone de stockage de données qu’un tiers veut ravir au regard du public… et le maintien dans une zone dont on ne peut ignorer qu’elle aurait dû être fermée au public. Les parallèles entre sites web et lieux physiques sont parfois trompeurs, soit parce qu’ils simplifient trop la question, soit parce qu’ils conduisent à des analogies erronées. C’est pourquoi il fallait, dans les faits, mesurer très précisément si les pages consultées par Bluetouff pouvaient manifestement lui apparaître comme une zone privative et confidentielle, dont on aurait tout aussi manifestement oublié d’activer les restrictions d’accès, ou si elles pouvaient légitimement apparaître comme des répertoires publics librement accessibles. 

En l’occurrence, Bluetouff a reconnu devant les enquêteurs qu’après être librement remonté jusqu’à la racine de l’arborescence du site, il avait constaté la présence de contrôles d’accès et d’authentification inactifs permettant de redescendre dans le répertoire et donc d'accèder à certains documents. Par conséquent, en déduit la Cour d’appel, le blogueur ne pouvait plus ignorer le caractère en réalité confidentiel du contenu, et l’existence d’une « faille technique » dans un dispositif qui aurait dû lui interdire l’accès. Malgré cela, le blogueur s’y était maintenu pour télécharger les données et les diffuser à des tiers, et il l’aura donc fait en connaissance de cause. 

Le blogueur précise de son côté que d’un point de vue strictement technique, le répertoire litigieux était situé en dehors de l’extranet de l’ANSES, et que la présence d’un dispositif d’authentification non activé ne suffit pas à déduire que le répertoire était confidentiel. Il conteste donc qu’il s’agisse là d’une « faille de sécurité », et estime que la présence d’un système d’authentification à la racine du site ne permet pas de déduire que son contenu est confidentiel.   

La Cour d’appel a adopté un raisonnement différent, en partant du principe que si un dispositif d’authentification est prévu, quand bien même il n’est pas activé, c’est que les répertoires en question étaient de nature confidentielle. On voit clairement que le débat se cristallise sur les déductions juridiques qu’on peut tirer à partir d’observations purement techniques. En la matière, le juge est souverain. Le blogueur pensait-il réellement se mouvoir dans un répertoire public, ou se doutait-il bien d'une erreur du service informatique de l'ANSES qu'il allait ensuite moquer sur son blog ?

Ainsi selon la Cour, même si l’accès n’était pas frauduleux parce que le prévenu n’avait pas eu besoin de frauder pour entrer, l’accès restait quand même interdit et donc son maintien devenait frauduleux car le prévenu le savait. C’est ce raisonnement qui a conduit la Cour à sanctionner le maintien frauduleux, mais pas l’accès.    

2. Un "vol de documents" ?

Par ailleurs, s’agissant des documents copiés, la Cour a retenu la notion de vol de documents… Ce point fait également débat, mais un débat purement juridique cette fois. Le vol, défini par l’article 311-1 du Code pénal comme la « soustraction frauduleuse de la chose d’autrui » et puni au maximum de trois ans d’emprisonnement et 45 000 euros d’amende, était-il réellement constitué en l’espèce ?  

L’appropriation de documents immatériels, par téléchargement, est un sujet éminemment discuté tant il est malaisé de parler de « soustraction » et de « chose » s’agissant de ce qui est en réalité la copie des fichiers. En effet, un vol consiste toujours à priver le légitime propriétaire d’un bien de la jouissance et de la disposition de son bien : le voleur entre en possession dudit bien, et en prive de facto son propriétaire, qui ne l’a plus.  

En copiant des données, quel que soit leur statut, on ne prive pas réellement le « propriétaire » de sa « chose », puisque la donnée est toujours dans le fichier où l’a stockée son propriétaire, qui peut la retrouver et en disposer comme il l’entend. Il n’y a pas de « soustraction », car en réalité il n’y a pas de « chose » au sens matériel du terme.  

La jurisprudence n’admet d’ailleurs la notion de « vol de document » que de manière restrictive. Il n’y a pas de soustraction, mais bien un accès non autorisé, ce qui est différent. Evidemment, l'entreprise vit l'évènement comme un vol, et on sent bien que cet accès est illicite, que l’intrus s’approprie une copie de ce qui n’est pas à lui, mais il n’y a décidément pas soustraction de la chose. D’ailleurs, il est crucial que le droit puisse protéger les individus et les entreprises contre les accès non autorisés et l’appropriation illicite de données et documents les concernant : il y va de la protection de la vie privée, de la protection du secret d’affaires, de la lutte contre la concurrence déloyale ou contre l’espionnage économique, autant d’enjeux qui prennent une dimension extrêmement complexe et tout aussi vitale sur les réseaux.  
Confrontés à cette hasardeuse analogie avec le vol, certains ont invoqué plutôt le délit de contrefaçon, qui peut effectivement avoir pour objet une copie immatérielle de document. Toutefois, la notion juridique de contrefaçon n'est pas l’équivalent « immatériel » au vol dans le monde physique. Il s’agit d’un délit autonome différent, qui vise à sanctionner la copie, le détournement et/ou l’utilisation d’une création de l’esprit sans en avoir reçu le droit de la part de son auteur, que ce soit dans le monde physique ou sur les réseaux – encore qu’on pourrait longuement gloser sur le caractère hétérogène du terme de contrefaçon qui vise indistinctement un faux sac Vuitton, une marque parodique et le téléchargement d’un morceau de musique. La qualification de contrefaçon n'a donc pas de pertinence dans le cas d'un accès illicite à des données confidentielles.

En l’espèce, la Cour d’appel considère que Bluetouff a bien commis un « vol » en réalisant des « copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré du propriétaire » et en en diffusant certains sur internet.

Outre la notion de « soustraction », discutable en l’espèce, la question était en réalité de savoir si les documents étaient vraiment « inaccessibles au public », comme le retient la Cour, compte tenu du contexte. Cela constituera d’ailleurs très probablement l’un des arguments de l’avocat du blogueur devant la Cour de cassation. En toute hypothèse, et pour protéger des documents, le terrain d’une atteinte à la confidentialité semble plus exact, car tel est bien le problème, plutôt que sur une conception extensive du « vol ». Mais l'effet est au final le même : il y a eu atteinte aux intérêts de l'entreprise. C'est ce que retient la Cour d’appel, qui se focalise sur le maintien frauduleux.

Le raisonnement n'a finalement rien d'extravagant. Cependant, c'est moins la rigueur en fait ou en droit de cet arrêt, qui pose question, que le rôle que la liberté d’information aurait pu jouer en l'espèce. En effet, l’objectif de Bluetouff était manifestement d’informer le public, quitte à en assumer les risques juridiques. On a déjà vu des hackers révéler publiquement une faille de sécurité qui pourrait permettre à tout « black hat » malintentionné de braquer une base de données. De plus en plus, ces « white hat » sont reconnus et parfois embauchés dans les services de sécurité.  

La démarche de Bluetouff n’était pas exactement la même, puisque d’une part il n’a pas réellement contourné de dispositif de sécurité, et puisque d’autre part, il a préféré rédiger un article sur ces documents librement disponibles depuis internet. Cela ne change rien à la conclusion de la Cour, qui est que le blogueur ne pouvait ignorer qu’il se maintenait dans un répertoire confidentiel.  Mais alors on peut imaginer que, même en cas d’infraction matériellement indiscutable, il soit possible de s’exonérer de sa responsabilité pénale en démontrant, dans des conditions strictes, que l’infraction a été commise dans un but légitime d’information, autrement dit, en établissant un fait justificatif autonome (à l’instar par exemple de la légitime défense et l’état de nécessité).  

Ce genre de faits justificatifs n’est pas nouveau. Le fait justificatif de la bonne foi existe déjà en matière d’infractions de presse (qu’il s’agisse de résister à une accusation de diffamation en prouvant l’exception de vérité, ou encore de faire prévaloir le doit à l’information du public sur le respect de la vie privée en validant l’appropriation par un journaliste de documents qui ne peuvent avoir été constitués qu’en infraction au respect de la vie privé – en extrapolant, on se souvient de divers enregistrements privés établissant des malversations dont la révélation publique a couvert l’origine frauduleuse des documents).

A chaque fois, les juges soupèsent les intérêts et principes en présence, et font primer celui qui est le plus important aux yeux de la collectivité. La vie privée d’un capitaine d’industrie ou d’un homme politique peut ainsi céder devant le droit à l’information. Le secret d’affaires d’une banque ou d’une entreprise peut céder devant le même droit – et c’est heureux, car l’indépendance et l’efficacité de la presse ne dépendent, en dernière analyse, que de cela.

Peut-être le blogueur pouvait-il alors se prévaloir d’un intérêt supérieur justifiant l’introduction (non-frauduleuse, comme on l’a vu), mais aussi le maintien (frauduleux) et l’appropriation de copies de certains documents. Cela ne signifie d’ailleurs pas que Bluetouff aurait nécessairement échappé à toute condamnation, mais que le bien-fondé de sa démarche, et donc son mobile, auraient pu être débattus et pris en compte. 

Cette affaire illustre surtout le niveau très insuffisant de sécurisation de leurs systèmes informatiques par les entreprises et administrations. La réglementation relative à la sécurité informatique est finalement très parcellaire, on rencontre surtout des normes et des règles de l’art qui n’ont rien d’impératif, en dépit des préconisations nombreuses et pertinentes de l’ANSSI. Mais justement, peut-on encore rester longtemps sans une véritable législation impérative sur le niveau de sécurisation de données et systèmes qui peuvent avoir rune importance vitale pour la santé des entreprises ou la protection des intérêts légitimes ?  

La sécurité informatique est sans aucun doute une quête sans cesse renouvelée, face à la multiplication des menaces et au perfectionnement des attaques sur le réseau, aussi n’est-il pas inconcevable d’ériger la sécurisation du système d’information en obligation légale, au moins lorsqu’il s’agit de données sensibles. On note à ce titre que la récente Loi de Programmation Militaire, dont certains articles sont par ailleurs hautement polémiques, prévoit en tous cas des sanctions pénales à l’encontre de certains organismes qui ne mettraient pas en place des mesures de sécurité suffisantes telles que conseillées par l’ANSSI. Ces organismes, appelés « Opérateurs d’Importance Vitale », sont ainsi tenus de mettre en place un certain niveau de verrouillage (et on notera au passage que l’ANSES est justement l’un de ces OIV...). 

Ainsi, il revient comme toujours aux juges de mettre en balance, dans les affaires dont ils ont à connaître, plusieurs principes juridiques forts. Le droit de propriété est un principe à valeur constitutionnelle. Les secrets d’affaires sont également très importants, puisqu’ils conditionnent la vie économique des entreprises.

Mais d’autres principes, également à valeur constitutionnelle, tels que le droit à l’information et la liberté d’expression, peuvent battre les premiers en brèche. On attend donc avec impatience la position que prendra la Cour de cassation dans cette espèce, et dans l’immédiat, on rappellera que si le propriétaire d’un document ne veut à aucun prix le voir tomber sur la place publique, c’est d’abord à lui qu’il incombe de fermer la porte à clé.