M.B., gérant d'une société de sécurité informatique, prend le contrôle, en août 2002, d'un serveur de la société Colt Télécommunications dans lequel il introduit divers programmes, notamment un outil permettant de contrôler le serveur à distance, ainsi qu'un logiciel permettant de scruter les vulnérabilités de systèmes. Il lance à partir de ce serveur des attaques systématiques vers des centaines de serveurs gouvernementaux pour explorer leurs failles de sécurité. Les attaques se manifestent chez les victimes par l'apparition d'un message de revendication les informant de la vulnérabilité de leurs systèmes et leur suggérant d'y remédier par une mise à jour ou de contacter l'auteur des attaques pour obtenir des renseignements.

Le serveur du Casier judiciaire national et celui du Centre d'expertises gouvernemental de réponse et de traitement des attaques informatiques sont parmi les victimes des attaques.

Les autorités judiciaires parviennent à localiser et à identifier M.B., lequel reconnaît intégralement les faits.

Décision

Afin d'échapper à sa responsabilité, M.B. déclare aux juges avoir d'une part "agi dans un esprit de sécurisation des serveurs", et d'autre part, que "le serveur qui a subi des inconvénients, c'est celui de Colt mais ce serveur n'était pas sécurisé."

Le Tribunal de Grande Instance de Paris condamne néanmoins M.B. à 4 mois d'emprisonnement avec sursis pour accès frauduleux dans un système de traitement automatisé de données ("STAD"), entrave au fonctionnement d'un STAD, introduction frauduleuse de données dans un STAD et tentative d'introduction frauduleuse de données dans un STAD sur le fondement des articles L. 323-1 à L. 323-7 du Code Pénal. M.B. est également condamné au paiement des dommages-intérêts aux parties civiles.

Commentaire

Cette décision permet d'illustrer les contours de l'atteinte à un STAD en évacuant tout doute sur l'exonération de responsabilité de l'auteur de ce type d'atteinte lorsque le délit est motivé par la volonté de démontrer un défaut de sécurité.

Il est également intéressant de noter que le prévenu s'était de plus prévalu du défaut de sécurité du serveur de la société Colt Télécommunications pour tenter de s'exonérer de sa responsabilité.

Cet argument est à rapprocher de la décision rendue par la Cour d'Appel de Paris le 30 octobre 2002 dans l'affaire Kitetoa. En effet, dans cette affaire, un individu à qui l'on reprochait l'accès et le maintien frauduleux dans un STAD avait été relaxé par la Cour d'Appel qui avait décidé qu'on ne pouvait reprocher à "un internaute d'accéder aux, ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d'un logiciel grand public de navigation, ces parties de site, qui ne font par définition l'objet d'aucune protection de la part de l'exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès" et que "la détermination du caractère confidentiel et des mesures nécessaires à l'indication et à la protection de cette confidentialité relevaient de l'initiative de l'exploitant du site ou de son mandataire."

Or, en l'espèce, M.B. ne s'était pas contenté de la simple utilisation d'un logiciel grand public pour s'introduire dans un STAD, utilisant quant à lui des procédures bien plus élaborées. Le Tribunal a donc en toute logique rejeté l'argument, maintenant ainsi une position ferme en matière d'atteinte à un STAD.