Les réactions à l’affaire Megaupload – DDoS etc.

Tout le monde est évidemment au courant des suites de l’affaire Megaupload, sous la forme d’opérations revendiquées par différents groupes se revendiquant ou non de la bannière Anonymous.

Il n’est certainement pas question pour moi de questionner la légitimité d’un débat ou de l’expression publique, dans le respect des lois, y compris de façon particulièrement visible, pour réagir à un tel évènement ou s’opposer à des projets de lois. Toutefois, dans le cas présent, il me semble important de rappeler certaines réalités.

1. Le cas Megaupload

Sur le fond, je vous renvoie à mon article précédent sur le sujet, où vous retrouverez ce qui est reproché par les autorités américaines aux personnes mises ici en cause. Les accusations sont assez graves, tendent à montrer un système organisé visant à contourner la loi. Et bien entendu, encore une fois, les personnes ici mises en cause doivent être présumées innocentes jusqu’à ce qu’une décision judiciaire définitive ait été prise. Il est important que la justice puisse faire son travail sereinement et je ne suis pas certain que l’agitation actuelle y contribue.

Sur la forme, il existe un débat sur la proportionnalité des mesures. C’est celui exprimé souvent par des “Anonymous”, repris dans certaines expressions publiques et par exemple dans l’article de Pierre Col. Soit. Nous n’avons ni vous ni moi en main l’ensemble des éléments qui ont conduit les autorités américaines à saisir l’intégralité des serveurs. Ils vont certainement s’en expliquer dans le détail, mais en tous cas le mandat qu’ils ont reçu par la mise en accusation du grand jury de Virgine les autorisait bien à saisir l’intégralité des biens et matériels de ces entreprises.

2. Sur les moyens d’expression utilisés

En l’état actuel du droit, l’essentiel des actions menées actuellement relèvent de différentes infractions pénales:

  • défacements: l’accès frauduleux dans des systèmes de traitement automatisé de données (article 323-1 du code pénal), puis la modification frauduleuse de données (article 323-3 du code pénal), sont punis en France de 2 à 5 ans d’emprisonnement au maximum et jusqu’à 75.000 € d’amende;
  • DDoS: les attaques en déni de service sont punies, au titre de l’entrave au fonctionnement d’un système de traitement automatisé de données (article 323-2 du code pénal), de 5 ans d’emprisonnement au maximum et jusqu’à 75.000 € d’amende ;
  • “publication” de catalogues entiers de maisons de disques: la diffusion de contrefaçons d’oeuvres de l’esprit peut être punie d’un maximum de 3 ans d’emprisonnement et 300.000 € d’amende.

Différentes analogies sont mises actuellement en avant. On compare ainsi beaucoup les attaques en déni de service à des “sit-in” ou autres “occupations” de l’espace public.

Sur le plan factuel, une attaque en déni de service distribué ne se contente pas d’empêcher les autres de se connecter sur un serveur, mais envoie par exemple sur le serveur un nombre de connexions supérieur à celui qu’il peut encaisser, ou que sa connexion puisse accepter. Parmi les conséquences éventuelles (très variables selon les cas):

  • simples difficultés d’accès, atteintes à l’image de l’organisation visée,
  • serveur arrêté totalement (vulnérabilités documentées ou non des serveurs),
  • dans de rares cas la compromission des données (par exemple, grâce à des requêtes spécialement destinées à s’en prendre aux bases de données sous-jacentes, ce n’est apparemment pas le cas dans l’usage fait aujourd’hui de l’outil LOIC),
  • investissements (au moins en termes d’heures ingénieur / technicien) pour remettre en fonctionnement,
  • coût de la sécurisation contre un type d’attaques non encore pris en compte (pas forcément à la portée financière de n’importe quelle entreprise ou organisation),
  • la perte de clients ou le fait que des clients n’aient pas accès à leurs services légitimes, dédommagement de ces clients ou de ces usagers (flagrant lors de l’attaque de certaines banques en ligne voilà un an),
  • éventuellement une perte de chance pour ces mêmes clients ou usagers (voir article Wikipédia sur les dommages au civil en droit français),
  • des atteintes à la liberté d’expression (cas flagrant de l’Express hier, mais les médias ne sont pas les seuls à disposer de la liberté d’expression),
  • selon la cible et si les services du serveur sont essentiels, mise en danger de la vie d’autrui, etc. (pas rencontré dans les attaques de cette semaine apparemment).

Sur le plan juridique, l’occupation illégale de l’espace public (attroupement), a généralement pour seule conséquence le risque d’un usage de la force pour disperser cet attroupement (article 431-3 du code pénal).

3. Tentative de conclusion

Sur le fond, chacun est évidemment et très heureusement libre d’avoir son avis et de l’exprimer suite à ce qui est advenu à la société Megaupload et ses dirigeants, et nous en apprendrons certainement plus dans les mois qui viennent.

Sur la forme des réactions, alors que nous habitons des pays démocratiques, où la liberté de s’exprimer, de manifester est particulièrement large et même facilitée, l’utilisation de tactiques certes efficaces sur le plan du bruit médiatique telles que des attaques informatiques me semblent à la fois contre-productives et dangereuses. Contre-productives parce que très clivantes et stigmatisantes (il y a forcément une portion non négligeable de la population qui n’adhérera pas), et dangereuses parce que le risque juridique est très mal évalué par ceux qui y participent.

Et comme on le dit très souvent, les conseilleurs ne sont pas les payeurs: expliquer aux jeunes et moins jeunes que participer à des DDoS et autres opérations du même type relèverait de la manifestation ou du sit-in est aujourd’hui factuellement et juridiquement faux.