Cour d’appel de Paris
pôle 4 – Ch. 10
(6 pages)
n° RG 13/4833
Prononcé publiquement le mercredi 5 février 2014, par le Pôle 4 – Ch 10 des appels correctionnels,
Sur appel d’un jugement du tribunal de grande instance de Creteil – 11ème chambre – du 23 avril 2013, (CI30720000059).
PARTIES EN CAUSE :
Prévenu
X. Y.
Né le ………………, Demeurant … Prévenu, non appelant, Libre, comparant, assisté de Maître ITEANU Olivier, avocat au barreau de PARIS, vestiaire D 1380
Ministère public
appelant principal
Composition de la cour
lors des débats et du délibéré ;
président : Bruno LAROCHE,
conseillers : Françoise MOLINA, présidente de chambre
Muriel JOSIE,
Greffier
Nathalie COCHAIN-ALIX aux débats et Véronique RAYON au prononcé,
Ministère public
représenté aux débats et au prononcé de l’arrêt par Laurence VICHNIEVSKY,
avocat général.
LA PROCEDURE :
La saisine du tribunal et la prévention
X. Y. a été convoqué le 11 février 2013 devant le tribunal de grande instance de Créteil par officier de police judiciaire sur instruction du procureur de la République pour :
1/ avoir à Maisons-Alfort, Orléans, dans le département du Val de Marne, du 1er août 2012 au 3 septembre 2012, en tout cas sur le territoire national et depuis temps non prescrit, accédé frauduleusement à tout ou partie d’un système de traitement automatisé de données, en l’espèce de l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail (ANSES),
infraction prévue par l’article 323-1 AL 1 du Code pénal et réprimée par les articles 323-1 al.1, 323-5 du Code pénal,
2/ s’être à Maisons-Alfort, Orléans, dans le département du Val de Marne, du 1er août 2012 au 3 septembre 2012, en tout cas sur le territoire national et depuis temps non prescrit, maintenu frauduleusement dans tout ou partie d’un système de traitement automatisé de données, en l’espèce de l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail (ANSES),
infraction prévue par l’article 323-1 AL.1 du Code pénal et réprimée par les articles 323-1 AL.1, 323-5 du Code pénal,
3/ avoir à Maisons-Alfort, Orléans, dans le département du Val de Marne, du 1er août 2012 au 3 septembre 2012, en tout cas sur le territoire national et depuis temps non prescrit, frauduleusement soustrait des documents sur l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail (ANSES), données téléchargées puis fixées et enregistrées sur plusieurs supports (média center et disque dur), au préjudice de l’ANSES,
infraction prévue par les articles 311-1, 311-3 du Code pénal et réprimée par les articles 311-3, 311-14 1°, 2°, 3°, 4°, 6° du Code pénal.
Le jugement
Le tribunal de grande instance de Creteil – 11eme chambre – par jugement contradictoire, en date du 23 avril 2013, a relaxé X. Y. des fins de la poursuite.
L’appel
Appel a été interjeté par M. le procureur de la République, le 29 avril 2013 contre Monsieur X.Y.
DEROULEMENT DES DEBATS :
A l’audience publique du 18 décembre 2013, le président a constaté l’identité du prévenu, assisté de son avocat qui dépose des conclusions visées du Président et du Greffier :
L’appelant a sommairement indiqué les motifs de son appel,
Françoise MOLINA a été entendue en son rapport.
Le prévenu a été interrogé et entendu en ses moyens de défense.
Ont été entendus :
Le ministère public en ses réquisitions ;
Maître ITEANU, avocat du prévenu, en ses conclusions et plaidoirie ;
Le prévenu qui a eu la parole en dernier.
Puis la cour a mis l’affaire en délibéré et le président a déclaré que l’arrêt serait rendu à l’audience publique du 5 février 2014.
Et ce jour, le 5 février 2014, en application des articles 485, 486 et 512 du code de procédure pénale, et en présence du ministère public et du greffier, Bruno LAROCHE, président ayant assisté aux débats et au délibéré, a donné lecture de l’arrêt.
DECISION :
Rendue après en avoir délibéré conformément à la loi,
Statuant sur l’appel régulièrement interjeté par le ministère public à l’encontre du jugement déféré.
Les faits à l’origine des poursuites sont les suivants :
Le 6 septembre 2012, l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES), opérateur d’importance vitale (OIV), déposait une plainte auprès des services de police de Maisons-Alfort, après la détection, le 3 septembre 2012, d’un accès frauduleux sur son serveur extranet.
Cette détection faisait suite à la découverte d’un article relatif aux nano-matériaux mis en ligne sur le site d’information alternatif « reflets.info », article accompagné d’un document de travail «powerpoint » appartenant à l’agence destiné uniquement à un usage restreint.
Cet article consacré à la dangerosité des nano-matériaux était signé d’une personne utilisant le pseudonyme « Yovan Menkevick »,
Les enquêteurs relevaient qu’un extranet constitue une extension d’un réseau interne à une entité, à la différence d’un site internet, vers des partenaires situés hors du réseau. Cet accès se fait via internet par une connexion sécurisée avec un mot de passe dans la mesure où cela offre un accès au système d’information à des personnes situées en dehors de l’entité, à la différence d’un intranet.
L’ANSES constatait que de nombreux documents (8.000 fichiers) situés dans un dossier « lecture » avaient été exfiltrés les 27 et 28 août 2012 vers une adresse IP d’un VPN (réseau privé virtuel) localisé au Panama. Leur auteur avait profité d’une faille de sécurité dans les paramètres du serveur extranet concernant l’identification en permettant l’accès. L’accès était ainsi rendu possible par l’utilisation de l’URL complète.
Les investigations menées permettaient la découverte d’un second article relatif à la légionellose signé par un individu utilisant le surnom « Bluetouff », accompagné d’un fichier compressé contenant des documents provenant dudit serveur extranet. Le même « Bluetouff » indiquait aussi être en possession de 7,7 gigaoctets de documents traitant de questions de santé publique.
L’analyse des journaux de connexion du serveur extranet et du firewall de l’ANSES confirmait la primo-analyse réalisée par l’ANSES concernant la localisation des adresses IP ayant exfiltré un volume important de fichiers appartenant à l’agence. Si une adresse correspondait à un service VPN suédois dont le propriétaire ne pouvait être identifié, une seconde adresse IP ayant effectué un téléchargement de 8,2 Go de données entre le 27 et le 28 août 2012 était localisée au Panama. Cette adresse IP provenait d’un serveur informatique hébergeant une solution VPN de la société « ….net », fondée et dirigée par X.Y.
Celui-ci était par ailleurs identifiée comme étant l’internaute utilisant l’alias « Bluetouff ».
Lors de ses auditions par les enquêteurs, X.Y. reconnaissait avoir récupéré via son VPN panaméen l’ensemble des données litigieuses stockées sur le serveur extranet de l’ANSES, il déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google.
S’il affirmait être arrivé « par erreur » au cœur de l’extranet de l’ANSES, il reconnaissait néanmoins avoir parcouru l’arborescence des répertoires de celui-ci et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté la présence de contrôles d’accès (authentification par identifiant et mot de passe).
Il précisait ne pas avoir diffusé l’archive de 7,7 gigaoctets qu’il avait générée et en avoir seulement fait une extraction de 250 mégaoctets qu’il avait utilisée pour argumenter son article sur la légionellose.
Il admettait avoir communiqué des documents à un autre rédacteur du site « Reflets.info », à savoir « Yovan Menkevick », identifié comme étant W. Z.
Les investigations techniques menées lors de la perquisition réalisée au domicile d’X.Y. permettaient la récupération de l’archive complète de 7,7 Go. Il acceptait par ailleurs de retirer les fichiers et liens de téléchargement en rapport avec les documents appartenant à l’ANSES sur l’ensemble des serveurs et supports.
W.Z. confirmait avoir eu accès aux données de l’ANSES et avoir utilisé un fichier sur la thématique des « nano-argent » pour illustrer un article. Il reconnaissait en outre avoir rendu public ce fichier sur un site de téléchargement, sachant que les documents provenaient de la documentation de l’ANSES. Mais il indiquait ignorer qu’ils avaient été collectés sur un espace privé. Il retirait le fichier « Nano Etat des Lieux 2012 » de l’espace d’hébergement en ligne utilisé.
A l’audience publique de la Cour, X.Y. comparaît assisté. Il indique vivre en concubinage, être père d’un enfant âgé de 5 ans, percevoir, comme développeur informateur salarié un revenu mensuel de 2011€.
Le ministère public requiert l’infirmation du jugement et la condamnation du prévenu à une peine d’amende de 5000 euros en partie assortie du sursis.
Le conseil du prévenu développe les conclusions de relaxe qu’i a déposées et qui ont été visées par le président et le greffier. Il demande, estimant que les infractions ne sont pas caractérisées, de confirmer le jugement sur les relaxes prononcées en première instance, à titre subsidiaire de prononcer un ajournement du prononcé de la peine et, en cas de condamnation, de dire que la décision ne sera pas mentionnée au casier judiciaire.
SUR CE,
Considérant qu’il n’est pas établi suffisamment par les pièces de la procédure que le prévenu s’est rendu coupable d’accès frauduleux dans un système de traitement automatisé de données; que l’accès, qu’il ne conteste pas, lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail ; que dans ces conditions l’infraction n’est pas caractérisée ; qu’il y aura lieu de confirmer le jugement de ce chef.
Considérant, pour ce qui concerne les faits commis de maintien frauduleux dans un système de traitement automatisé de données et de vol, qu’il est constant que le système extranet de l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail n’est normalement accessible qu’avec un mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé « par erreur » au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées, que les investigations ont démontrées que ces données avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers ; qu’il est, en tout état de cause, établi qu’X.Y. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; que la culpabilité d’X.Y. sera donc retenue des chefs de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques au préjudice de l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) ;
Considérant que tenant compte de la nature et de la gravité des faits commis, de l’absence d’antécédent judiciaire du prévenu et des éléments connus de sa personnalité, la Cour prononcera à son encontre une peine délictuelle de 3000 euros ;
Que la demande du prévenu de non inscription au bulletin n°2 de son casier judiciaire de la condamnation sera rejetée, ce dernier ne justifiant pas actuellement de la nécessité d’une telle dispense ;
PAR CES MOTIFS
LA COUR,
Statuant publiquement et contradictoirement à l’encontre d’X.Y., prévenu,
Déclare recevable l’appel du ministère public,
Infirme partiellement le jugement sur la déclaration de culpabilité,
Déclare X.Y. coupable des faits qui lui sont reprochés de maintien frauduleux das un système de traitement automatisé de données et de vol dans les termes de la prévention,
Confirme pour le surplus sur la culpabilité,
En répression,
Le condamne à une amende délictuelle de 3000 euros,
Rejette la demande de dispense d’inscription de la présente condamnation au bulletin n°2 du casier judiciaire d’X.Y.
