Pas d’infraction pour la seule détention de clés d’activation de logiciels

Des certificats d’authenticité porteurs de clés d’activation de logiciels et des CD Rom reproduisant des logiciels obtenus par peer-to-peer avaient été découverts dans les locaux d’une société au cours d’une perquisition. Par un arrêt du 4 avril 2018, la Cour de cassation a confirmé sa relaxe du chef de vente ou mise en vente de produits sous une marque contrefaisante concernant les certificats d’authenticité puisqu’il n’avait pas été établi que ces clés “avaient servi, pas plus qu’il n’[avait] pu être déterminé les circonstances dans lesquelles elles auraient pu être utilisées”, la “seule détention de ces clés (…) n’[étant] pas constitutive d’une infraction”, nécessitant, “s’agissant de logiciels, qu’il ait été porté atteinte (…) aux droits d’exploitation de l’auteur, notamment par reproduction ou mise sur le marché de ces logiciels”.

Pour lire l’arrêt sur Legalis.net

Hameçonnage : caractérisation de la négligence grave de la victime

Une banque avait été assignée par un client en remboursement de paiements effectués frauduleusement par carte bancaire et virement sur deux comptes ouverts à son nom. Par un arrêt du 28 mars 2018, la Cour de cassation a cassé le jugement qui l’avait condamnée en ce sens, estimant que “manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage”.

Pour lire l’arrêt sur Légifrance

Constitutionnalité du délit de refus de transmission ou de mise en œuvre d’une convention secrète de déchiffrement d’un moyen de cryptologie

Par une décision du 30 mars 2018, le Conseil constitutionnel s’est prononcé sur le recours formé contre le premier alinéa de l’article 434-15-2 du code pénal, qui sanctionne le refus de remettre ou de mettre en œuvre à la demande des autorités judiciaires la convention secrète de déchiffrement d’un moyen de cryptologie “susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit”. Le Conseil a déclaré cette disposition conforme à la Constitution, estimant qu’elle ne portait pas atteinte au “droit de ne pas s’accuser ni au droit au respect de la vie privée et au secret des correspondances”, et qu’elle ne méconnaissait pas non plus “les droits de la défense, le principe de proportionnalité des peines et la liberté d’expression, ni aucun autre droit ou liberté que la Constitution garantit”.

Pour lire la décision du Conseil constitutionnel

Caractérisation d’une atteinte à un STAD par utilisation d’un keylogger

Par un arrêt du 16 janvier 2018, la Cour de cassation a confirmé la condamnation prononcée par la Cour d’appel d’Aix-en-Provence à l’encontre d’un individu sur le fondement notamment de l’article 323-1 du Code pénal, qui incrimine l’introduction et le maintien frauduleux dans un système de traitement automatisé de données (STAD). La Cour a considéré que les juges du fond avaient bien caractérisé le délit en relevant que “la détention d’un keylogger, sans motif légitime par [le prévenu], que celui-ci ne contest[ait] pas avoir installé (…) pour intercepter (…) par l’espionnage de la frappe du clavier les codes d’accès et accéder aux courriels échangés (…) caractéris[ai]ent suffisamment sa mauvaise foi et le[s] délit[s] tant dans [son] élément matériel qu’intentionnel”.

Arrêt non publié

Délit de refus de transmission ou de mise en œuvre d’une convention secrète de déchiffrement d’un moyen de cryptologie

Par un arrêt du 10 janvier 2018, la Cour de cassation a transmis au Conseil constitutionnel une QPC portant sur la constitutionnalité de l’article 434-15-2 du code pénal au regard du principe de la présomption d’innocence et du droit au procès équitable, en ce qu’il ne permettrait pas au mis en cause de faire usage de son droit au silence et du droit de ne pas s’auto-incriminer. Cet article incrimine en effet “le fait, pour [une personne] ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre sur les réquisitions de ces autorités”.

Pour lire l’arrêt de la Cour de cassation

Vol de fichiers informatiques librement accessibles

Par un arrêt du 28 juin 2017, la Cour de cassation a confirmé la condamnation pour vol d’une personne qui avait effectué et récupéré des photographies de courriers reçus par son associée et secrètement édité des doubles de courriers rédigés par elle, qui étaient contenus dans des fichiers informatiques stockés sur les serveurs de leur société et auxquels il avait donc accès par le biais du système informatique de cette dernière sans avoir à entrer un quelconque code d’accès propre à son associée. En l’espèce, la Cour a souligné que la victime n'avait pas entendu donner à son associé la disposition de ces documents personnels, dont elle “avait seule, en tant que propriétaire, le pouvoir [de] disposer”, et que le prévenu les avait “consultés officieusement, ce, à l’insu et contre le gré de celle-ci, et à des fins étrangères au fonctionnement de [leur société]”. La Cour de cassation a ainsi affirmé que “le libre accès à des informations personnelles sur un réseau informatique d'une entreprise [n’était] pas exclusif de leur appropriation frauduleuse par tout moyen de reproduction”.

Pour lire l’arrêt sur Légifrance

Peine d’emprisonnement pour attaque par déni de services distribués  

Par un jugement du 28 septembre 2016, le Tribunal correctionnel de Paris a condamné un individu à six mois d’emprisonnement avec sursis et à verser à la société EDF la somme de 29 000 euros de dommages et intérêts pour accès frauduleux dans un système de traitement automatisé de données (STAD), entrave et entente en vue de l’entrave au fonctionnement d’un STAD, commis à l’encontre de ladite société. L’attaque par déni de services distribués contre le serveur hébergeant le site internet de la société EDF, à laquelle avait participé l’intéressé, tout en diffusant une vidéo sur internet incitant les internautes à s’y rallier, avait entraîné le blocage du site.

Pour lire le jugement sur Legalis.net

Blocage administratif de sites diffusant des contenus pédopornographiques ou provoquant à des actes de terrorisme

Un décret du 5 février 2015 est venu préciser la procédure de blocage administratif des sites incitant à la commission d’actes de terrorisme, en faisant l’apologie ou diffusant des contenus pédopornographiques prévue par la loi du 13 novembre 2014. La liste des adresses à bloquer sera établie par l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, et transmise aux fournisseurs d’accès à internet. Ces derniers auront vingt-quatre heures pour empêcher l’accès à ces sites “par tout moyen approprié”. Le décret prévoit également les modalités de la compensation financière allouée par l’Etat aux FAI à raison des charges que cette procédure fait peser sur eux.

Pour lire le décret sur Légifrance

Condamnation pour usurpation d’identité numérique et introduction frauduleuse de données dans un STAD

Par un jugement du 18 décembre 2014, le Tribunal Correctionnel de Paris a condamné un prévenu au paiement d’une amende de 3 000 euros pour usurpation d’identité ainsi que pour introduction frauduleuse de données dans un STAD. En l’espèce, le prévenu, exploitant une faille informatique du site d’une députée-maire, avait créé un site internet permettant à tout internaute de générer des communiqués de presse semblables aux communiqués officiels de la députée-maire. Le Tribunal a considéré que le site litigieux opérait une confusion avec le site officiel de la députée-maire et que compte tenu de la teneur des communiqués générés, il y avait lieu de constater un trouble à la tranquillité et une atteinte à l’honneur et à la considération de la députée-maire. Le Tribunal a également condamné à 500 euros d’amende pour complicité d’usurpation d’identité le prévenu ayant mis à disposition l’espace de stockage qui avait permis de créer le site litigieux.

Pour lire le jugement sur Legalis.net

Rapport sur l’élaboration d’une stratégie globale de lutte contre la cybercriminalité

Le 30 juin 2014, un rapport du groupe de travail interministériel sur la lutte contre la cybercriminalité a été remis à la Garde des Sceaux. Le rapport contient 55 propositions et préconise une réponse répressive plus effective, reposant notamment sur davantage de prérogatives policières, sur une meilleure coopération avec les fournisseurs d’accès internet et autres prestataires, et sur la création d’un "centre d’alerte et de réaction aux attaques informatiques". Le rapport formule également des recommandations visant à aider les "cyber-victimes", notamment par la prévention de la cybercriminalité et la généralisation du dépôt de plainte en ligne à l’ensemble des infractions réalisées via internet.

Pour lire le rapport sur le site du Ministère de la Justice