Edit 8 février 2014: réécriture totale du billet pour tenir compte de ce qu’est le cross site scripting (v. aussi sur le site du CERTA).
Le Monde et avant lui, le site 93-infos.fr rapportent qu’une faille du site internet de Mme Dati a permis sa modification par des tiers, donnant lui à de faux communiqués de presse. Selon Le Monde, l’opportunité a été relevée « par un internaute se faisant connaître sous le nom de @Jeunespopkemon sur Twitter ». Ce dernier aurait indiqué que « La magie, c’est que tout cela est réalisable sans aucune action pénalement répréhensible ». Cependant, Madame Dati avait porté plainte dès le 3 janvier 2012 (selon Le Monde, selon Europe 1).
Si la chose peut être amusante en ces temps de campagne électorale, elle pourrait cependant être juridiquement répréhensible en cas d’accès frauduleux. Le fait qu’un webmestre ou un particulier imprudent (com)mette sur Internet un site non sécurisé ne justifie pas que tout internaute passant par là le modifie, en connaissance de cause, a fortiori, lorsqu’il endosse ainsi l’identité du titulaire du site et lui fait tenir des propos ridicules.
Le Monde rapporte qu’une fois la faille dévoilée, en 2 heures de temps, 300 communiqués de presse ont été publiés par des internautes facétieux.
Le premier délit pénal qui pourrait éventuellement être reproché aux internautes serait l’usurpation d’identité au sens des articles 434-23(1)L’article 434-23 du Code pénal dispose que « Le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75000 euros d’amende.
Nonobstant les dispositions des articles 132-2 à 132-5, les peines prononcées pour ce délit se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l’infraction à l’occasion de laquelle l’usurpation a été commise« . En l’espèce, le faux communiqué de presse contient des propos qui pourraient s’analyser comme une diffamation à l’encontre d’un élu local. et 226-4-1 du Code pénal(2)L’article 226-4-1 dispose désormais que « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne ».. Toutefois, le « droit » de parodie et surtout la liberté d’expression, régulièrement mis en œuvre de façon poussée par des comiques comme les Guignols de l’Info, rend possible le fait de détourner l’image d’un personnage public, fusse pour s’en moquer. L’usurpation d’identité au sens du Code pénal vise à réprimer les emprunts « sérieux »(3)Sur l’imprécision du terme d’usurpation, cf. Laurent SAENKO, Le nouveau délit d’usurpation d’identité numérique, Revue Lamy Droit de l’Immatériel 2011, 72., lorsque l’auteur entend tirer un profit quelconque de l’utilisation de l’identité d’autrui. En l’espèce, ce n’était pas le cas puisque les internautes étaient informés dès le départ de ce qu’il s’agissait d’une parodie.
Le deuxième délit qui pourrait éventuellement être reproché aux internautes est l’accès et le maintien frauduleux dans un système de traitement automatisé de données, ainsi qu’une modification des données, faits réprimés par les articles 323-1 et 323-3 et s. du Code pénal(4)L’article 323-1 du Code pénal indique que « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende« . . Cette qualification est cependant discutable car le cross site scripting est basé sur l’échange d’instructions entre le serveur du site internet et le navigateur des internautes, qui a pour effet de modifier l’affichage du site sur le navigateur, mais non d’altérer ou de modifier le site(5)Dans le cas du XSS ou « cross site scripting« , « le code malicieux est interprété par le navigateur de la victime » (http://venom630.free.fr/geo/tutz/securite_informatique/xss/). Explication également fournie par le CERTA: http://www.cert.ssi.gouv.fr/site/CERTA-2002-INF-001/ qui donne un exemple de modification de l’affichage dans le navigateur et précise que « L’exploitation malveillante ne se contente évidemment pas de cet affichage bénin« .. L’échange d’instructions informatiques entre différentes machines est à la base du fonctionnement d’internet, difficile dès lors de considérer que le procédé est en lui-même frauduleux, sauf à rendre juridiquement risqué toute navigation sur internet, et donc à en interdire l’utilisation aux non spécialistes puisque tout ordinateur connecté au réseau échange des instructions avec ses congénères et qu’il faudrait alors que chaque utilisateur soit en mesure d’exercer un contrôle de chaque instant sur le comportement de sa machine.
Il est vrai que le droit pénal français n’exige pas que l’accès frauduleux soit le résultat d’une puissante maîtrise de l’informatique: s’introduire dans un système en utilisant les mots de passe laissés sur le post-it collé à côté de l’écran fait encourir la même peine que s’y introduire en utilisant des procédés informatiques de haut vol. Cependant, d’un pur point de vue technique, il n’y a ici ni accès frauduleux, le site étant public, ni maintien frauduleux, pour la même raison.
Un troisième délit aurait éventuellement pu être envisagé sur le fondement de l’article 323-3 du Code pénal, à savoir l’introduction ou à la modification de données. Cependant, l’élément matériel de ces infractions ne saurait résulter d’un échange d’instructions informatiques non persistantes ayant pour effet de modifier l’affichage dans le navigateur de l’internaute connecté, sans modifier en aucune façon le site lui-même. La modification de l’affichage dans le navigateur lui-même n’est pas non plus juridiquement punissable puisque dans cette affaire, l’internaute était parfaitement au courant de ce qu’il faisait et de l’affichage qui allait en résulter.
Le seul réel recours de Madame Dati reste donc la mise en jeu de la responsabilité professionnelle de celui ou de ceux qui ont réalisé son site internet et surtout, qui ont laissé perdurer une faille XSS signalée de longue date(6)Le gag ayant été signalé le 3 janvier 2012, la faille a été comblée dans la journée, mais ZATAZ.COM l’avait signalé quelques mois auparavant sans réaction de la part de l’administrateur sur site : http://suaudeau.fr/dati-candidate-dans-notre-circonscription.html..
References
| ↑1 | L’article 434-23 du Code pénal dispose que « Le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. Nonobstant les dispositions des articles 132-2 à 132-5, les peines prononcées pour ce délit se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l’infraction à l’occasion de laquelle l’usurpation a été commise« . En l’espèce, le faux communiqué de presse contient des propos qui pourraient s’analyser comme une diffamation à l’encontre d’un élu local. |
|---|---|
| ↑2 | L’article 226-4-1 dispose désormais que « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne ». |
| ↑3 | Sur l’imprécision du terme d’usurpation, cf. Laurent SAENKO, Le nouveau délit d’usurpation d’identité numérique, Revue Lamy Droit de l’Immatériel 2011, 72. |
| ↑4 | L’article 323-1 du Code pénal indique que « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende« . |
| ↑5 | Dans le cas du XSS ou « cross site scripting« , « le code malicieux est interprété par le navigateur de la victime » (http://venom630.free.fr/geo/tutz/securite_informatique/xss/). Explication également fournie par le CERTA: http://www.cert.ssi.gouv.fr/site/CERTA-2002-INF-001/ qui donne un exemple de modification de l’affichage dans le navigateur et précise que « L’exploitation malveillante ne se contente évidemment pas de cet affichage bénin« . |
| ↑6 | Le gag ayant été signalé le 3 janvier 2012, la faille a été comblée dans la journée, mais ZATAZ.COM l’avait signalé quelques mois auparavant sans réaction de la part de l’administrateur sur site : http://suaudeau.fr/dati-candidate-dans-notre-circonscription.html. |