home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / KAOS1_02.ZIP / KAOS1-02
Encoding:
Text File  |  1993-03-31  |  28.2 KB  |  686 lines
  1. Chaos Digest              Lundi 11 Janvier 1993            Volume 1 : Numero 2
  2.  
  3.        Editeur: Jean-Bernard Condat (jbcondat@attmail.com)
  4.        Archiviste: Yves-Marie Crabbe
  5.        Co-Redacteurs: Arnaud Bigare, Stephane Briere
  6.  
  7. TABLE DES MATIERES, #1.02 (11 Janv 1993)
  8. File 1--Virus, les Implications Legales
  9.  
  10. Chaos Digest is a weekly electronic journal/newsletter. Subscriptions are
  11. available at no cost from jbcondat@attmail.com. The editors may be contacted
  12. by
  13. voice (+33 1 40101775), fax (+33 1 40101764) or S-mail at: Jean-Bernard
  14. Condat,
  15. Chaos Computer Club France [CCCF], 47 rue des Rosiers, 93400 St-Ouen, France
  16.  
  17. Issues of Chaos-D can also be found on some French BBS. Back issues also may
  18. be
  19. obtained from the mail server at jbcondat@attmail.com: all incoming messages
  20. containing "Request: ChaosD #x.yy" in the "Suject:" field are answered (x is
  21. the volume and yy the issue).
  22.  
  23. CHAOS DIGEST is an open forum dedicated to sharing French information among
  24. computerists and to the presentation and debate of diverse views.  ChaosD
  25. material may be reprinted for non-profit as long as the source is cited.  Some
  26. authors do copyright their material, andthey should be contacted for reprint
  27. permission.  Readers are encouraged to submit reasoned articles in French,
  28. English or German languages relating to computer culture and telecommunica-
  29. tions.  Articles are preferred to short responses.  Please avoid quoting
  30. previous posts unless absolutely necessary.
  31.  
  32. DISCLAIMER: The views represented herein do not necessarily represent
  33.             the views of the moderators. Chaos Digest contributors
  34.             assume all responsibility for ensuring that articles
  35.             submitted do not violate copyright protections.
  36.  
  37. ----------------------------------------------------------------------
  38.  
  39. From: Maitre Olivier ITEANU, Avocat a la Cour d'Appel de Paris
  40. Date: Mon Nov 4 12:16:00 EDT 1992
  41. Subject: File 1--Virus, les Implications Legales
  42. Copyright: Avec l'aimable autorisation de l'auteur
  43.  
  44. "Les virus informatiques existent: il ne s'agit pas d'OVNI, il s'agit de la
  45. vie,
  46. de la chair et du sang de nos ordinateurs".
  47.  
  48. La violence des propos tenus dans le livre de Richard B. LEVIN, "The computer
  49. virus handbook", illustre parfaitement l'attitude generalisee constatee,
  50. dans les societes industrialisees, a l'encontre de ce nouveau mal du 20eme
  51. siecle, le virus informatique.
  52.  
  53. Le virus informatique fascine. L'identite terminologique avec le virus
  54. biologique, qui fait que les termes medicaux abondent en la matiere--on evoque
  55. ainsi regulierement, a propos des virus informatiques, les "infections", les
  56. "vaccins" ou "antidotes", certaines grandes entreprises evoquant meme a propos
  57. des mesures de securite "des mesures d'hygiene"--est sans doute une des
  58. explications de cette fascination, repercutee et amplifiee par les medias.
  59.  
  60. Le virus informatique fascine tous les agents economiques de notre societe,
  61. des
  62. developpeurs de logiciels aux utilisateurs en passant par les editeurs, tant
  63. les individus que les entreprises, et les moyens de defense pour le combattre
  64. sont avant tout techniques, avec au premier rang, les anti-virus.
  65.  
  66. Existe t'il cependant une reponse juridique a la propagation des virus
  67. informatiques? Quelles sont les consequences juridiques, les implications
  68. legales, de la diffusion d'un virus? Le porteur sain, celui qui transmet un
  69. logiciel infecte en toute bonne foi, verra t'il sa responsabilite engagee?
  70.  
  71. Telles sont, en substance, les principales questions auxquelles nous allons
  72. tenter de repondre, aux vues du droit positif francais et, notamment, des cas
  73. juges interessant la fraude informatique et les virus.
  74.  
  75.  
  76. 1.  QUELLE REACTION LEGALE FACE AU VIRUS INFORMATIQUE?
  77.  
  78. 1.1  Droit civil / droit penal
  79.  
  80. Dans un Etat de droit, notamment en France, la societe et les individus qui la
  81. composent, disposent toujours, lorsqu'ils subissent une atteinte a leurs biens
  82. ou a leur personne, d'une alternative entre la voie penale et la voie civile
  83. pour obtenir la condamnation du coupable et une eventuelle reparation.
  84.  
  85. Les deux voies, ou plutot les deux droits, civil et penal, different
  86. fondamentalement quant a l'objectif recherche.
  87.  
  88. Le droit civil a un caractere strictement compensatoire puisqu'il regit les
  89. interets prives et organise la reparation des prejudices individuels subis par
  90. les individus ou sujets de droit.
  91.  
  92. Le droit penal, au contraire, defend l'ordre social, la societe, et expose,
  93. celui qui a commis l'acte, a une peine ou a une mesure de surete.
  94.  
  95. C'est le droit penal qui precise les elements, legal materiel et moral, dont
  96. la
  97. reunion est indispensable pour qu'une infraction soit legalement constituee.
  98.  
  99. En France, la classification des infractions est fondee sur la rigueur de la
  100. peine et non sur la gravite de l'acte.
  101.  
  102. L'infraction est, soit une contravention si elle est punie d'une peine
  103. contraventionnelle, soit un delit si elle est punie d'une peine
  104. correctionnelle,
  105. soit un crime si elle est punie d'une peine de reclusion a perpetuite ou a
  106. temps, de detention criminelle ou a temps, d'un bannissement ou de la
  107. degradation civique.
  108.  
  109. Chaque infraction a son Tribunal: le Tribunal de Police pour les
  110. contraventions,
  111. le Tribunal correctionnel, compose de magistrats professionnels, pour les
  112. delits, la Cour d'assise, composee d'un jury populaire, pour les crimes et la
  113. procedure prealable au jugement, devant ces Tribunaux, differe selon le type
  114. d'infractions.
  115.  
  116. Ainsi, l'instruction, phase au cours de laquelle le juge dit d'instruction
  117. rassemble les preuves de l'infraction, est obligatoire pour les crimes,
  118. facultative pour les delits, a la seule requete du Procureur de la Republique
  119. pour les contraventions.
  120.  
  121. Enfin, le fond des regles de droit differe selon le type d'infractions. C'est
  122. ainsi, que, par exemple, la complicite est toujours punie en matiere de crime
  123. et de delit, jamais en matiere de contravention. La tentative est toujours
  124. punie
  125. en matiere de crime, lorsque la loi le prevoit expressement en matiere de
  126. delit,
  127. jamais en matiere de contravention.
  128.  
  129. La diffusion de virus peut-etre source de responsabilite civile et penale,
  130. dans
  131. des conditions que nous allons ci-apres exposees.
  132.  
  133. 1.2  Pas de sanctions penales sans textes
  134.  
  135. En France, le droit penal est gouverne par, notamment, un principe
  136. fondamental,
  137. le principe de la legalite des delits et des peines qui fait de la loi un
  138. element de l'infraction.
  139.  
  140. En application de ce principe, un acte ne peut etre penalement reprime s'il
  141. n'est deja vise et sanctionne par une loi penale existante.
  142.  
  143. Le droit francais differe ici fondamentalement du droit anglo-saxon et de la
  144. "common law" qui confere au juge un pouvoir createur.
  145.  
  146. En France, il ne peut y avoir de sanctions penales sans textes deja existant
  147. au
  148. moment de la commission de l'infraction.
  149.  
  150. De meme, un acte contraire a l'ordre social, non prevu par la loi, n'est pas
  151. punissable par voie d'analogie avec un acte similaire ou identique, comme dans
  152. certaines autres legislations penales comme la loi Danoise (Code Penal Danois
  153. de 1930, article 1).
  154.  
  155. Ce principe doit conduire le legislateur a anticiper les nouveaux actes anti-
  156. sociaux puisque, de surcroit, en vertu du principe de non retroactivite de la
  157. loi, le texte repressif doit exister au moment de la commission de
  158. l'infraction.
  159.  
  160. Avec un tel systeme, les risques "d'accidents", du fait d'un vide juridique,
  161. sont toujours possibles.
  162.  
  163. C'est ainsi qu'en 1987 et 1988, cinq directeurs de services telematiques
  164. (minitels) offrant chacun un service de messageries interactives dites "roses"
  165. aux minitellistes, promotionnes a grand renfort de publicite, furent
  166. poursuivis
  167. et inculpes par un juge d'instruction, pour "incitation a des occasions de
  168. debauche". Or, la 17eme chambre correctionnelle du Tribunal de Grande Instance
  169. de PARIS ne put que constater l'absence de textes legaux reprimant ce type de
  170. comportement, au moment de la commission des actes, et relaxa, en consequence,
  171. les prevenus par une decision datee du 4 juillet 1988. Le jugement fut
  172. confirme par la Cour d'Appel de PARIS.
  173.  
  174. Pour combattre penalement les virus informatiques il convenait alors que des
  175. textes repressifs soient votes.
  176.  
  177. Face au peril que represente les virus informatiques, et plus generalement la
  178. fraude informatique, le legislateur francais a choisi tres vite de proteger la
  179. societe et son ordre social en dotant le Code Penal de nouveaux textes
  180. repressifs charges de punir, notamment, les auteurs de virus dans certains de
  181. leurs comportements.
  182.  
  183. C'est la loi du 5 janvier 1988, qui ajoute au Code Penal existant huit
  184. nouveaux
  185. articles, numerotes #462-2 a #462-9.
  186.  
  187.  
  188. 1.3  La loi du 5 janvier 1988, sur la fraude informatique
  189.  
  190. La Loi du 5 janvier 1988 sur la fraude informatique, dite loi "Godfrain", du
  191. nom
  192. de son initiateur, le depute de l'Aveyron, Monsieur Jacques GODFRAIN, s'est
  193. fixee pour objectif de reprimer specifiquement les agissements portant
  194. atteinte
  195. aux systemes informatiques, pris au sens large du terme.
  196.  
  197. Cette loi ajoute au Code Penal napoleonien de 1810, huit nouveaux articles,
  198. dont
  199. trois en particulier peuvent concerner les virus.
  200.  
  201. Article #462-2 du Code Penal:
  202. Cet article du Code Penal sanctionne l'intrusion dans un systeme informatique,
  203. c'est a dire l'acces indu, sur la machine ou a distance, et le maintien indu
  204. dans le systeme, prolongement de l'acces indu ou maintien frauduleux apres
  205. acces
  206. par erreur ou maintien dejouant les controles pour ne pas payer le prix par
  207. exemple.
  208.  
  209. Les peines encourues, pour ce type d'infraction, sont de deux mois a un an
  210. d'emprisonnement et/ou une amende de 2.000 F a 50.000 F, portees a une amende
  211. de 10.000 F a 100.000 F et a un maximum d'emprisonnement de deux ans, en cas
  212. de
  213. suppressions ou de modifications de donnees.
  214.  
  215. Les suppressions ou modifications de donnees visees par l'article #462-2 sont
  216. la
  217. consequence de l'acces ou du maintien indu et sont ici entendues comme etant
  218. des
  219. atteintes involontaires aux donnees.
  220.  
  221. Si ces suppressions ou modifications etaient volontaires, il conviendrait de
  222. faire application des articles #462-3 et #462-4 du code Penal.
  223.  
  224. Article #462-3:
  225. "Quiconque aura, intentionnellement et au mepris des droits d'autrui, entrave
  226. ou fausse le fonctionnement d'un systeme de traitement automatise de donnees
  227. sera puni d'un emprisonnement de trois mois a trois ans et d'une amende de
  228. 10.000 F a 100.000 F ou de l'une de ces deux peines."
  229.  
  230. C'est, de maniere evidente, ce texte qu'il convient d'appliquer pour toutes
  231. les
  232. interferences imaginables qui peuvent affectes un systeme informatique, et
  233. notamment, l'insertion de bombes logiques ou, bien evidemment, l'insertion de
  234. virus.
  235.  
  236. Le virus, en effet, "par essence" entrave et meme plutot fausse, c'est a dire
  237. une action positive, le fonctionnement des systemes qu'il incorpore.
  238.  
  239. Article #462-4:
  240. Cet article traite, quant a lui, des atteintes aux donnees.
  241.  
  242. Il faut noter que de nombreux commentaires de la loi mettent l'accent sur le
  243. fait que cet article se chevauche avec le precedent, puisque le fait de porter
  244. atteinte aux donnees participe, indiscutablement, d'une operation tendant a
  245. entraver ou, plutot, fausser le fonctionnement du systeme.
  246.  
  247. Les deux articles, #462-3 et #462-4, sont sanctionnes des memes peines
  248. d'emprisonnement.
  249.  
  250. La encore, le cas des virus peut etre traite par l'article #462-4.
  251.  
  252.  
  253. 1.4  Les regles de la responsabilite civile de droit commun
  254.  
  255. Tout delit penal est un delit civil: le contraire n'est pas forcement vrai.
  256.  
  257. En application de dispositions fondamentales du code civil, les articles 1382
  258. et 1383 du code Civil, la responsabilite civile de toute personne peut etre
  259. engagee si trois conditions sont remplies:
  260. - un prejudice subi par la victime,
  261. - une faute de l'auteur du delit civil,
  262. - un lien de causalite entre le prejudice subi et la faute.
  263.  
  264. Rapporte au virus informatique, il est des lors evident que l'ensemble des
  265. actes vises par la loi penale peuvent donner lieu a action civile devant les
  266. Tribunaux, autonome ou jointe a l'action penale.
  267.  
  268.  
  269.  
  270. 2.  LES VIRUS SOUS LE COUP DE LA LOI PENALE?
  271.  
  272. Comme il a ete vu ci-avant, certains agissements relatifs aux virus sont punis
  273. comme etant des actes criminels.
  274.  
  275. Il s'agit desormais de comprendre dans quelles conditions.
  276.  
  277. Le crime, au sens large du terme, se definit comme etant l'action ou
  278. l'omission
  279. d'un individu, qui, a raison du trouble qu'elle cause a l'ordre social, est
  280. frappee par la societe d'une sanction penale.
  281.  
  282.  
  283. 2.1  L'individu: la typologie des delinquants
  284.  
  285. Le crime est une realite humaine.
  286.  
  287. Ce rappel est d'autant plus important que, s'agissant des virus, l'imagerie
  288. populaire, traduite en cela par les medias, occulte totalement l'auteur du
  289. virus pour ne retenir que son instrument, le programme d'ordinateur baptise
  290. virus, ses performances et ses caracteristiques, .
  291.  
  292. Or, bien combattre un acte antisocial, c'est avant tout bien comprendre ses
  293. causes et les causes de la criminalite relative aux virus se trouvent en
  294. l'homme.
  295.  
  296. On distingue habituellement, d'une part, les facteurs interieurs a l'individu,
  297. dits endogenes, avec les caracteres dits innes (l'heredite, le sexe ... etc)
  298. qui, dans le cas des virus, ne semblent pas determinants.
  299.  
  300. D'autre part, les facteurs exterieurs a l'individu, dits exogenes, tels le
  301. milieu (geographie, climat, etc.), la demographie (la criminalite des villes
  302. n'est pas celle des campagnes), la situation familiale, la situation
  303. economique
  304. et, enfin, l'influence du milieu social et culturel avec l'echelle des valeurs
  305. sociales qu'il implique, lesquels facteurs jouent, s'agissant des virus
  306. informatiques, un role bien plus importants.
  307.  
  308. La typologie des delinquants, auteurs de virus, est, en l'absence d'une
  309. criminalite legale, c'est a dire jugee par les Tribunaux, difficile a brosser.
  310.  
  311. L'on peut cependant, sans hesitation, affirmer que, pour l'entreprise, le
  312. premier danger vient de l'interieur.
  313.  
  314. - Le salarie: ca n'est ici une nouveaute pour personne. Le salarie, ou plus
  315. generalement l'employe mecontent, pourra etre tente d'avoir recours au virus
  316. pour assouvir une vengeance ou une frustration. Il est parfois, de plus, le
  317. mieux place pour detourner les mesures de securite mises en place.
  318.  
  319. Plus generalement, le virus, et ses effets massivement destructeurs, est une
  320. aubaine pour les psychopathes en tout genre nourris d'une rancune globale
  321. contre
  322. la societe.
  323.  
  324. - Les clubs informatique: par le passe, les clubs informatiques se sont
  325. reveles
  326. parfois etre des createurs et diffuseurs de virus.
  327.  
  328. C'est ainsi que le "Chaos computer club" (CCC) de Hambourg a realise en 1988
  329. un
  330. kit de virus pour ATARI ST.
  331.  
  332. Dans la meme categorie de delinquant, peuvent etre egalement classes les
  333. etudiants surdoues jeunes genies de l'informatique en tout genre, aux
  334. motivations essentiellement ludiques. Ceux la font regulierement la une des
  335. medias.
  336.  
  337. - Concurrents: la concurrence dans le commerce se doit d'etre loyale. Ce
  338. principe tout theorique souffre malheureusement d'exceptions quotidiennes qui,
  339. pour une large part, sont traitees par les Tribunaux.
  340.  
  341. L'espionnage industriel, le sabotage ou la desorganisation du concurrent
  342. pourraient tres bien etre le fait d'un virus informatique.
  343.  
  344. Terrorisme et activisme politique: enfin, l'interet porte par des services de
  345. contre espionnage, comme en France la DST, montre que le virus peut etre
  346. egalement une arme politique tournee contre les Etats. Le virus Jerusalem
  347. etait
  348. par exemple destine a entrer en action le jour de la proclamation de la
  349. creation
  350. de l'Etat d'Israel.
  351.  
  352.  
  353. 2.2  L'action ou l'omission contraire a l'ordre social et causant un trouble
  354.  
  355. C'est le pouvoir legislatif qui decide souverainement du caractere antisocial
  356. d'un fait.
  357.  
  358. S'agissant des virus, le legislateur francais a decide que l'acces ou le
  359. maintien indu dans un "systeme de traitement automatise de donnees", l'entrave
  360. au fonctionnement, l'introduction de donnees, etaient des actes anti-sociaux.
  361.  
  362. Rapporte aux virus, quelle est la traduction des textes.
  363.  
  364. - ecrire un virus:
  365.  
  366. Ecrire un virus informatique, c'est ecrire un programme d'ordinateur. Aux
  367. termes
  368. des lois francaises sur la propriete litteraire et artistique du 11 mars 1957,
  369. modifiee par la loi du 3 juillet 1985, codifiee par une loi du 1er juillet
  370. 1992 au sein du Code de la Propriete intellectuelle, un logiciel est une
  371. oeuvre de l'esprit protegee comme telle, dans sa forme, par le droit d'auteur.
  372.  
  373. L'auteur, qui peut donc se prevaloir d'un monopole d'exploitation qui lui est
  374. confere par la loi, est la personne physique qui a fait acte de creation.
  375.  
  376. Les salaries, quant a eux, lorsqu'ils ont agi dans l'exercice de leurs
  377. fonctions, deferent leurs droits d'auteur au profit de l'employeur.
  378.  
  379. Ces regles ont ete grandement confirmees au niveau de la communaute
  380. europeenne,
  381. par une directive du Conseil des Communautes europeennes datee du 11 mai 1991,
  382. qui devrait etre prochainement transcrite en droit francais.
  383.  
  384. On peut affirmer que la simple ecriture d'un virus, "dans son coin", n'est pas
  385. en soi un acte reprehensible et passible des sanctions penales edictees par la
  386. loi du 5 janvier 1988.
  387.  
  388. Bien evidemment, cet acte de creation ne doit pas etre un acte preparant
  389. l'execution materielle d'une infraction, au quel cas l'auteur du virus
  390. pourrait
  391. etre poursuivi comme complice ou meme co-auteur de l'infraction s'il est juge,
  392. en fonction du cas d'espece, que l'auteur du virus a pris une part principale
  393. et directe a la commission de l'infraction.
  394.  
  395. - introduire un virus dans un systeme automatise de traitement de donnees:
  396.  
  397. Comme il a ete vu ci-avant, le simple acces ou maintien indu, dans un systeme
  398. informatique, peut donner lieu a application de la loi penale (article #462-2
  399. du code Penal).
  400.  
  401. A fortiori, si cette intrusion aboutit a entraver ou fausser le fonctionnement
  402. du systeme, a porter atteinte aux donnees la loi penale s'appliquera.
  403.  
  404. La loi penale, dans tous les cas, s'appliquera qu'il y ait ou non destruction
  405. de donnees, que le virus ait ete ou non en action, que le systeme soit pourvu
  406. ou non d'un systeme de securite.
  407.  
  408. Egalement, comme il sera expose ci-apres, la simple tentative d'introduction
  409. d'un virus sera punissable.
  410.  
  411. - publier les codes source d'un virus:
  412.  
  413. Cette hypothese n'est pas theorique, elle revet meme un caractere d'actualite
  414. brulante.
  415.  
  416. On annonce, en effet, la parution imminente, en France, de la traduction
  417. francaise du "Black Book of Computer Virus" de Marc Ludwig. Ce livre
  418. permettrait
  419. au commun des informaticiens de realiser, sans difficulte, un virus et
  420. l'activer
  421.  
  422.  
  423. Un certain nombre d'ouvrages de ce type sont deja parus en France, comme
  424. "virus,
  425. la maladie des ordinateurs" de Ralf Burger ou "virus protection, Pc et
  426. compatibles" de Pamela Kane.
  427.  
  428. Dispose t'on d'un recours juridique contre cette future parution ?
  429.  
  430. Dans un tout autre genre, en 1986, la publication, en France, d'un ouvrage sur
  431. le suicide intitule "suicide, mode d'emploi", avait emu l'opinion publique du
  432. jour ou il aurait ete etabli qu'il aurait servi de support a un certain nombre
  433. d'agissements commis par des desesperes.
  434.  
  435. Or, l'arsenal repressif francais, en 1986, ne disposait pas des moyens legaux
  436. pour s'opposer a une telle parution. Il aura fallu la promulgation d'une loi
  437. speciale, la loi n! 87-1133 du 31 decembre 1987, qui reprime le delit de
  438. provocation au suicide en un nouvel article #318-1 du code Penal, pour que
  439. l'interdiction de la parution de cet ouvrage soit serieusement envisagee bien,
  440. qu'a ce jour, elle n'ait jamais ete ordonne.
  441.  
  442. - diffuser un virus de bonne foi:
  443.  
  444. Comme tout logiciel, le virus connait dans sa vie deux phases successives
  445. essentielles: la phase de creation et la phase de communication de la creation
  446. au public.
  447.  
  448. Dans sa phase de communication au public, le virus pourra etre concede ou cede
  449. avec le programme qu'il aura contamine.
  450.  
  451. Le cedant ou concedant sera alors un diffuseur du virus de "bonne foi".
  452.  
  453. Encoure t'il alors une sanction?
  454.  
  455. Sur le plan penal, seul l'auteur du virus et ses complices eventuels seront
  456. sanctionnes. Le diffuseur ne sera donc pas inquiete sous reserve que ses
  457. agissements ne caracterisent la complicite.
  458.  
  459. Sur le plan civil en revanche, s'il est prouve que le diffuseur a, en
  460. l'occurrence, fait preuve de negligence, en ne s'assurant pas, par exemple de
  461. la presence eventuelle d'un virus, il pourra encourir une responsabilite
  462. civile.
  463.  
  464. Les professionnels, entre eux, pourront toujours contractuellement limites,
  465. voire exclure, leur responsabilite civile.
  466.  
  467. En revanche, vis a vis des utilisateurs/consommateurs, le professionnel ne
  468. pourra exclure sa responsabilite civile et il devra, en consequence, faire
  469. montre de la plus grande prudence.
  470.  
  471.  
  472. 2.3  les sanctions
  473.  
  474. Sur le plan penal, l'echelle des peines est elevee puisque la peine
  475. d'emprisonnement maximale, pouvant etre prononcee, peut etre portee a trois
  476. ans
  477. si le fonctionnement du systeme est entrave ou fausse ou si des donnees ont
  478. ete
  479. introduites.
  480.  
  481. Le Tribunal peut, en outre, prononcer la confiscation des materiels ayant
  482. servi
  483. a commettre l'infraction (article #462-9 du Code Penal).
  484.  
  485. Sur le plan civil, la sanction consistera en la reparation du prejudice subi
  486. par la victime.
  487.  
  488.  
  489. 3.  L'ABSENCE DE REACTION SOCIALE FACE AU VIRUS
  490.  
  491. 3.1  Les chiffres de la criminalite informatique:
  492.  
  493. On distingue habituellement la criminalite reelle, c'est a dire celle
  494. effectivement commise dans une periode donnee, de la criminalite apparente,
  495. c'est a dire celle traitee par la police ou decelee, et de la criminalite
  496. legale c'est a dire celle ayant donne lieu a condamnation par les Tribunaux.
  497.  
  498. En 1981, la totalite des plaintes et proces verbaux recus par les Parquets
  499. s'elevaient a plus de quinze millions.
  500.  
  501. Pres d'un tiers de ces plaintes ou proces verbaux ont ete classes sans suite,
  502. un peu moins de deux tiers de celles-ci sont des contraventions portees devant
  503. le Tribunal de Police, seules un vingtieme de celles-ci ont ete deferees aux
  504. juridictions criminelles ou correctionnelles et certaines de celles-ci ont
  505. parfois donne lieu a relaxe ou acquittement.
  506.  
  507. En informatique, selon le Club de la securite informatique (CLUSIF), qui fonde
  508. ses chiffres sur les sinistres declares par les entreprises francaises aupres
  509. de leurs compagnies d'assurance, les pertes des entreprises, en 1991, dues a
  510. l'informatique s'eleveraient a pres de 10,4 milliards de francs. Sur cette
  511. somme, les pertes dues aux malveillances representeraient pres de 6 milliards
  512. de francs de pertes, soit 57% des pertes totales. Le chiffre relatif aux
  513. pertes
  514. dues au virus informatique est, sur ce chiffre, difficile a etablir.
  515.  
  516. En tout etat de cause, selon une etude recente publiee par un journaliste
  517. francais, les chiffres des pertes dues a l'informatique devraient augmenter
  518. d'ici l'an 2005 de pres de 2 a 3,3 fois et les pertes consecutives a
  519. l'introduction de virus devraient etre les plus galopantes.
  520.  
  521. Or, en depit de ces chiffres d'une grande importance, qui ne representent
  522. pourtant qu'une partie de la criminalite reelle relative a l'informatique,
  523. tous
  524. les sinistres n'etant pas declares notamment par les particuliers, le nombre
  525. de
  526. saisine des Tribunaux est infime, voie quasi inexistant.
  527.  
  528.  
  529. 3.2 L'explication du phenomene:
  530.  
  531. L'explication la plus couramment avancee en est que les entreprises rechignent
  532. a devoiler leurs faiblesses en les portant sur la place publique par une
  533. plainte
  534. ou toute autre  procedure traitee devant les Tribunaux en audiences publiques.
  535.  
  536. Il est une seconde explication moins souvent invoquee qui me semble etre tout
  537. aussi serieuse pour expliquer le petit nombre de poursuites engagees. Cette
  538. explication tient en la nouveaute de la legislation existante: le dispositif
  539. repressif etant des plus recents, le corps social ne dispose pas encore du
  540. reflexe repressif.
  541.  
  542. Enfin, la mediatisation a outrance du crime informatique est aussi
  543. l'explication
  544. du phenomene. Les medias ont regulierement valorise le delinquant mettant
  545. l'accent sur le caractere intelligent des actes commis. Il est cependant du
  546. plus
  547. grand interet de rappeler que, s'agissant des virus, ceux-ci sont en constante
  548. evolution. Leur caractere destructeur et, depuis peu, furtif, tend a prouver
  549. que
  550. la delinquance evolue et perd son caractere sympathique.
  551.  
  552.  
  553. 3.3  Deux illustrations:
  554.  
  555.  
  556. Ministere Public /B & T: Decision inedite
  557.  
  558. Messieurs B & T sont coauteurs d'un logiciel standardise permettant la gestion
  559. de stocks de medicaments au sein de cliniques et hopitaux.
  560.  
  561. Messieurs B & T ont confie l'edition et la diffusion de leur creation a un
  562. editeur du sud de la France.
  563.  
  564. Un litige survint avec l'editeur qui eut pour consequence de couper les
  565. auteurs
  566. de la cinquantaine de cliniques utilisatrices de leur produit.
  567.  
  568. Or, pour se premunir contre le risque d'appropriation de leur creation, les
  569. auteurs auraient insere, dans le programme d'origine, deux sous-programmes,
  570. qu'ils auraient denommes PIEGE et DEPIEGE, qualifies par le Tribunal
  571. "d'infection informatique a declenchement differe", c'est a dire constituant
  572. une bombe logique.
  573.  
  574. A une date donnee, les sous-programmes devaient entrer en action pour bloquer
  575. les systemes equipes du logiciel.
  576.  
  577. Par une manipulation simple, executee a distance par telephone, en activant le
  578. programme DEPIEGE, les utilisateurs pouvaient debloquer leur systeme.
  579.  
  580. Sur plainte simple de l'editeur du logiciel, par ailleurs en litige commercial
  581. avec les auteurs, le Tribunal correctionnel de CARCASSONNE, sans instruction
  582. prealable, a juge cette affaire en novembre 1991 et un jugement a ete rendu en
  583. janvier 1992, condamnant les auteurs, en application de l'article #462-3 du
  584. Code
  585. Penal, pour entrave au fonctionnement d'un systeme de traitement automatise de
  586. donnees. Les auteurs ont ete condamnes a payer chacun, la somme de 50.000 F
  587. d'amende.
  588.  
  589. Surtout, il a ete frappant de constater que sur la cinquantaine de cliniques
  590. touchees par la bombe logicique, aucune n'a porte plainte ni meme ne s'est
  591. constituee partie civile a l'audience.
  592.  
  593.  
  594. L'affaire SOFT & MICRO
  595.  
  596. Dans cette affaire, un magazine de la presse informatique diffusait en mai
  597. 1991
  598. un numero accompagne d'une disquette gratuite stockant un logiciel de gestion.
  599.  
  600. Il devait s'averer, par la suite, que la disquette etait infectee du virus
  601. FRODO
  602. 4086.
  603.  
  604. L'affaire n'est pas encore jugee mais des a present, l'on peut constater que
  605. sur
  606. des milliers de lecteurs, dont certains n'ont sans doute pas manque d'executer
  607. le logiciel contamine, deux seulement ont porte plainte.
  608.  
  609.  
  610.  
  611. 4.  MISE EN PLACE D'UNE POLITIQUE JURIDIQUE DE LUTTE CONTRE LES VIRUS AU SEIN
  612.     DE L'ENTREPRISE
  613.  
  614. 4.1  La formation du personnel
  615.  
  616. La lutte contre les virus passe obligatoirement par la mise en place, au sein
  617. des entreprises, d'une politique coherente de securite face au risque
  618. informatique.
  619.  
  620. Cette politique coherente doit etre orientee vers l'homme, facteur de risque
  621. numero un.
  622.  
  623. Aussi, la reponse passe, notamment, par une bonne formation du personnel qui
  624. devra etre rompu aux questions juridiques relatives aux virus.
  625.  
  626. Les textes repressifs existent, ils fixent la norme au dela de laquelle un
  627. acte
  628. sera considere comme antisocial et susceptible d'etre reprime: c'est ici le
  629. caractere preventif des textes qui doit etre mis en avant.
  630.  
  631. Les salaries doivent egalement connaitre les droits des entreprises et la
  632. procedure a suivre en cas de survenance d'un virus: ils devront avoir
  633. parfaitement conscience du fait que cette question peut egalement avoir pour
  634. l'entreprise, une reponse juridique.
  635.  
  636.  
  637. 4.2  Une reaction sociale vigoureuse
  638.  
  639. La question des virus n'est pas une question ineluctable et les entreprises ne
  640. sont pas condamnees a attendre de pied ferme, l'eventuelle attaque d'un virus.
  641.  
  642. La meilleure reponse defensive consiste a reagir avec vigueur a toute
  643. agression
  644. ou tentative d'agression exterieure.
  645.  
  646. En effet, les textes repressifs francais, la loi du 5 janvier 1988, permettent
  647. a l'agresse de reagir judiciairement en cas d'attaque manquee et meme de
  648. simple
  649. tentative.
  650.  
  651. L'article #462-7 du Code Penal dispose que "la tentative des delits prevus
  652. (...)
  653. est punie des memes peines que le delit lui meme".
  654.  
  655. Aussi, en cas de simple tentative d'intrusion d'un virus, l'agresse pourra
  656. t'il
  657. porter plainte aupres du Parquet, lequel dispose de moyens d'investigations
  658. tres
  659. etendus devant lui permettre de retrouver la trace du delinquant.
  660.  
  661. La question des virus a une reponse juridique, c'est une certitude et personne
  662. ne pourra pretendre qu'il existe, a ce jour, en la matiere, en France, un vide
  663. juridique.
  664.  
  665. La reponse juridique est encore peu usitee par les victimes de virus, parce
  666. qu'elle est crainte ou peu connue.
  667.  
  668. En depit de ce relatif succes, le legislateur francais a confirme sa volonte
  669. de
  670. sanctionner de tels agissements.
  671.  
  672. C'est ainsi que le nouveau Code Penal qui, selon les plus optimistes, devrait
  673. entrer en application en avril 1993, a repris pour l'essentiel la loi Godfrain
  674. du 5 janvier 1988, pour la completer meme par de nouvelles infractions
  675. relatives
  676. aux systemes informatiques.
  677.  
  678. Il ne tient donc plus, desormais, qu'aux sujets de droit, de faire valoir
  679. leurs
  680. droits.
  681.  
  682. ------------------------------
  683.  
  684. End of Chaos Digest #1.02
  685. ************************************
  686.