Culture du hacking

La loi Godfrain : explications et illustrations

La loi Godfrain est une loi promulguée le 5 janvier 1988, instituant une répression globale de la criminalité informatique. Bien connue des pentesteurs, elle est fréquemment utilisée contre ceux qui découvrent des failles de sécurité. Explications.

On peut supposer que la loi Godfrain soit partie d’un fait divers assez sympathique : le 28 novembre 1984, le Canard Enchaîné publie un article détaillant la manière dont des journalistes ont eu accès à des bases de données à l’aide d’un Minitel, sans connaissances techniques spécifiques ni matériels particuliers. Les données en question étaient des informations concernant des essais nucléaires à Moruroa.   

En 1986, le député Jacques Godfrain dépose un projet de loi visant à créer des incriminations spécifiques aux infractions informatiques visant les systèmes de traitements automatisés de données ou STAD. Le terme de STAD n’a pas été défini par la loi, faisant qu’il peut être interprété de façon large, notamment par la jurisprudence.

La loi Godfrain sera adoptée le 5 janvier 1988, publiée au Journal Officiel le 6 janvier 1988 et intégré dans le code pénal au chapitre III «  Des atteintes aux systèmes de traitement automatisé de données » dans les articles L.323-1 et suivants.

Le texte de l’article L.323-1 pose des critères matériels et intentionnels. La jurisprudence analyse la volonté de la personne qui se serait introduit frauduleusement dans un système. Les tribunaux français ont posé une exonération de responsabilité pour celui qui se serait introduit de façon frauduleuse dans un STAD s’il y a absence de mise en place d’une protection par les dirigeants, comme le montre l’arrêt de la Cout d’Appel de Paris du 8 décembre 1987.

L’article L.323-2 vise les campagnes de spams, la propagation des virus ainsi que les attaques de déni de services.

L’article L.323-3 sanctionne la défiguration d’un site ainsi que le fait de l’aspirer ou de le scanner.

C’est sur le fondement de l’article L.323-3-1 que la plupart des instructions pénales sont déclenchées. En effet, il réprime le fait de mettre en ligne, à la disposition du public des outils mais également des techniques permettant de s’attaquer à des STAD. Par ailleurs, c’est sur la base de ce même article que des publications de failles de sécurité sur des STAD sont réprimées. Il est à noter que cet article a été introduit par la Loi pour la Confiance dans l’Economie Numérique dite LCEN du 21 juin 2004.

L’article L.323-4 réprime le piratage en groupes organisés.

Il existe deux affaires judiciaires, dont les incriminations étaient basées sur la loi Godfrain, qui ont défrayé la chronique. 

La première affaire débute en juin 1999 et concerne Kitetoa, journaliste au Canard Enchaîné et éditeur du site kitetoa.com. Il avait détecté des failles de sécurité sur le site du groupe Tati, failles qui permettaient d’accéder aux bases de données du site sans difficultés. Il avait alerté à plusieurs reprises les administrateurs du site, sur une période assez loongue et publié un article sur ce sujet sur son site. Cette faille a entraîné une fuite de données personnelles d’une utilisatrice du site du groupe Tati, qui se retourna juridiquement contre lui, alors qu’il n’était responsable ni du défaut de sécurité sur la base de données ni de la fuite des données personnelles de l’utilisatrice. Il sera définitivement relaxé le 30 octobre 2002, après une bataille judiciaire lourde.

La seconde affaire est plus récente et plus rapide. Elle concerne Damien Bancal et intervient en 2009. Journaliste et administrateur du site zataz.com, il est alerté par un internaute de l’existence d’une faille de sécurité sur un serveur permettant d’accéder à des informations personnelles et bancaires. Le journaliste contacte alors la société concernée par la faille de sécurité et en fait un article, anonymisant au passage toutes les informations qui auraient permis d’identifier le site ainsi que les données. La société attaque Damien Bancal pour intrusion informatique. Damien Bancal est relaxé en correctionnel.

Trois textes ont impacté la loi Godfrain : la LCEN de 2004, la directive 2009/136/CE issue du Paquet Telecom et le décret n°2012-436 du 30 mars 2012 portant application du nouvel article 34 bis de la loi de 1978 dite Informatique et Liberté.

La LCEN a introduit un nouvel article dans le chapitre III du Code Pénal, visant à réprimer pénalement la publication de failles et plus globalement la pratique du full disclosure. Le but poursuivi par cet article est d’éviter que des personnes mal intentionnées puissent fournir à d’autres, les moyens intellectuels pour mener une attaque. Mais, il est possible de supposer qu’une incompatibilité soit soulevée d’avec la directive 2009/136/CE.

La directive 2009/136/CE modifie deux directives du Paquet Telecom : la directive 2002/21/CE dite directive service universel et la directive 2002/58/CE dite directive vie privée et communications électroniques. La directive 2009/136/CE prévoit que lorsqu’une faille de sécurité est constatée sur un service de communication électronique, l’autorité nationale compétence doit en être alertée. Par ailleurs, les personnes dont les informations personnelles auraient pu faire l’objet d’une violation, devront se voir fournir des recommandations par le service de communications électroniques.

Cette directive a été transposée en droit interne par le biais du nouvel article 34 bis de la loi de 1978 dite Informatique et Liberté et le décret n°2012-436 du 30 mars 2012 expose les différentes applications. La CNIL a présenté les cas dans lesquels les notifications de violations de données à caractère personnel étaient obligatoires

 Il est possible d’observer qu’avec ces trois éléments légaux, la responsabilité pénale et civile d’un dirigeant mettant à disposition un STAD s’est trouvée renforcée. Dans le cadre de l’article L.323-1 de la loi Godfrain, un dirigeant ne pouvait être mis en cause que s’il n’avait pas fait preuve de diligence en matière de sécurité. Dans le cadre du nouvel article 34 bis de la loi de 1978, le dirigeant pourra engager sa responsabilité pénale s’il ne notifie pas à la CNIL ainsi qu’à aux personnes concernées une intrusion dans une base de données. Cette mesure ne concerne actuellement que les fournisseurs de services de communications électroniques accessibles au public étant déclarés auprès de l’ARCEP.

La loi Godfrain est une exception dans le paysage juridique relatif à la criminalité informatique. A titre de comparaison, les Etats-Unis ont adopté en 2002 une loi instaurant une obligation de notification aux utilisateurs lorsqu’une faille de sécurité est détectée. Mais, dans l’attente d’une modification législative – qui peut intervenir rapidement selon l’évolution des travaux communautaires en la matière – il est vivement déconseillé de clamer publiquement que tel ou tel site comporte une faille de sécurité, sous peine de devoir subir différentes poursuites judiciaires.