Grandeurs et misères du piratage WiFi

En droit civil, l’article 1384 pose la responsabilité du fait des choses, ce qui signifie que vous êtes civilement responsable des dommages que vous pourriez créer avec un objet, matériel ou immatériel, vous appartenant. En droit pénal, une présomption de culpabilité vous menace si un objet vous appartenant est retrouvé sur les lieux d’une infraction. Par exemple, si votre voiture a servi de bélier pour cambrioler une bijouterie, les autorités de police vont présumer que vous étiez sur les lieux du crime.  C’est notamment sur ces bases juridiques que la loi Hadopi a établi une responsabilité pour les titulaires d’un accès à Internet : vous êtes responsable de l’usage qui est fait de votre accès à Internet. C’est le cas en France mais également en Suède et la mésaventure d’une jeune étudiante vient rappeler l’importance de la sécurisation des accès WiFi.

En 2012, la société Logica découvre qu’elle fait l’objet d’un piratage de ses données, dont il sera plus tard estimé qu’il a duré de janvier 2010 à avril 2012. L’intrusion dans leur STAD ne sera détectée qu’en mars 2012. Le premier à être soupçonné de ce piratage est Gottfrid Svartholm Warg, l’un des fondateurs de The Pirate Bay. Les autorités Suédoises prennent l’affaire très au sérieux : la société Logica est en lien avec différentes administrations dont l’administration fiscale. Une enquête est ouverte et dans les logs, on découvre une adresse IP, qui sera identifiée comme « appartenant » à une étudiante, Matilde, qui verra la police débarquer chez elle en juin 2012 pour l’arrêter. Elle sera inculpée de piratage et tout le matériel électronique de la maison est saisi. Trois autres personnes sont arrêtées au même moment. Les journaux de connexions de l’ordinateur saisi ne révèlent rien si ce n’est des activités courantes et banales et la mémoire de la machine ne contient que des travaux scolaires. Heureusement pour cette étudiante, une autre intrusion est détectée après son arrestation et la police finit par mettre la main sur le véritable auteur de ce piratage. Dans les affaires du coupable, on retrouve notamment une antenne, ayant une portée de 3 kilomètres et une liste complète des identifiants et mot de passe des réseaux WiFi qu’il avait cracké, des alentours. Matilda est lavée de tous soupçons et l’homme se trouve inculpé d’un chef d’accusation supplémentaire : piratage des réseaux sans fil. La mésaventure de Matilda soulève néanmoins certaines interrogations.

Il semble assez certain que si le véritable attaquant n’avait pas tenté une nouvelle intrusion après l’arrestation de l’étudiante, la police n’aurait peut-être pas mis la main sur le véritable auteur des faits litigieux qui ont été reprochés à Matilda.  Le professeur Sanna Wolk souligne que la charge de la preuve en matière de criminalité informatique est assez curieuse car elle présume de la culpabilité de l’accusé. En termes plus clairs : si on retrouve votre adresse IP dans un log de connexion dans le cas d’une intrusion, c’est que vous êtes coupable, peu importe qui vous êtes. C’est dire que l’enquête ne fait finalement qu’à charge dans ce type de procédure. Il reviendra à l’inculpé de prouver qu’au moment des faits, il ne pouvait matériellement se livrer aux infractions qui lui sont reprochées.  Malheureusement, il ne suffirait pas de changer la législation Suédoise pour corriger cette lacune car nous avons exactement le même système en France. C’est au niveau communautaire que les choses se jouent.

La question de la propriété du réseau est un facteur de preuve technique.  Si une intrusion est commise avec un réseau X, qui est responsable ? Celui qui a effectivement commis l’intrusion ou l’entité qui n’a pas pris les mesures nécessaires pour sécuriser son réseau comme il aurait dû ?

Du côté des entreprises, la question n’est pas aussi simple qu’il n’y paraît. Peut-on inculper SFR ou Orange parce qu’un attaquant s’est livré à une intrusion en utilisant le réseau mis à disposition ? Et si la réponse est positive, que devrait faire les FAI pour se prémunir de tels actes ? Devraient-ils mettre en place des systèmes de filtrage et/ou blocage pour éviter que des actes délictueux ne soient commis, au risque de voir une présomption de culpabilité peser sur l’ensemble des internautes ? La législation Suédoise est rédigée de telle manière que les FAI pourraient très bien être inculpés en cas d’intrusion perpétré depuis leurs réseaux.

Du côté des particuliers, on a bien vu, avec la mise en place concrète de l’institution Hadopi, qu’une bonne partie des personnes ne savaient pas comment fonctionnaient leurs réseaux. Ce n’est certainement pas le cas des personnes qui lisent ces lignes mais il ne faut pas oublier que pour une majeure partie de la population Française, les termes de WEP, WPA2, chiffrement et algorithme sont des termes très ésotériques. En Suède comme en France, si votre réseau est utilisé pour commettre une infraction, vous êtes responsable. Alors comment essayer de protéger son réseau WiFi ? Voici quelques suggestions :

• Vérifiez les paramètres de votre accès Internet ;
• Mettez en place un protocole WPA2 sur vos accès WiFi ;
• Faites un mot de passe « solide » avec minuscule, majuscule, chiffres et caractères spéciaux ;
• Ne donnez pas vos accès FreeWiFi ou SFRWiFi à n’importe qui : vous ne savez pas ce qu’ils vont faire avec ;
• Mettez en place un système de liste blanche des appareils autorisés à se connecter sur votre accès.

Mais, la sécurité à 100% dans le monde physique n’existe pas, de la même manière, il n’existe pas dans le monde numérique. La mésaventure vécue par cette étudiante montre les faiblesses de la législation actuelle et prêche pour sa refonte, avec la participation active des techniciens et l’éviction des lobbys dans les prises de décisions.