Investigation & transformation numériques

Juridique

Lancement des cyber-patrouilles

In English anglais

Cadre juridique

La loi sur la prévention de la délinquance de mars 2007 a introduit dans la législation française la possibilité pour des enquêteurs spécialement formés à cet effet de rentrer en contact avec des personnes soupçonnées de commettre des infractions de traite des êtres humains, de proxénétisme ou d’atteintes aux mineurs sur Internet et ainsi de collecter les preuves de ces infractions, sans que les actions des enquêteurs ne puissent constituer de la provocation.

Il s’agit des articles 706-35-1 et 706-47-3 du code de procédure pénale.

Un décret de mai 2007 est venu préciser les conditions d’application de ce texte et a introduit les articles D47-8, D47-9 et D47-11 du code de procédure pénale encadrant strictement la façon dont les cyber-patrouilleurs sont autorisés à échanger des contenus illicites sur Internet.

L’arrêté du 30 mars 2009, publié la semaine dernière, fixe les conditions de désignation des cyber-patrouilleurs. Il détermine aussi les missions du centre national d’analyse des images de pédopornographie, chargé de recueillir les contenus illicites collectés lors d’investigations judiciaires, en vue de faciliter l’identification des auteurs et des victimes de ces méfaits.

Que vont faire les cyber-patrouilleurs ?

Il s’agit dans un premier temps d’enquêteurs de la gendarmerie nationale et de la police nationale affectés dans des unités centrales (service technique de recherches judiciaires et de documentation – division de lutte contre la cybercriminalité pour la gendarmerie), afin d’éprouver les conditions d’action, avant de fournir cette formation à d’autres enquêteurs dans les régions.

Ils vont se rendre sur les mêmes forums, groupes d’échanges et de discussion que les pédophiles présumés et dialoguer avec eux. Il était en effet invraisemblable que des pédophiles puissent échanger impunément dans des forums dédiés à leurs pratiques (notamment en ce qui concerne l’échange d’images et de vidéos pornographiques mettant en scène des mineurs) et surtout comme c’est le cas de plus en plus souvent aller à la rencontre des mineurs sur les espaces où ces jeunes échangent en toute confiance.

Ces gendarmes et ces policiers, agissant sous pseudonyme, pourront ainsi collecter les preuves de ces infractions, notamment celles de sollicitations sexuelles à des mineurs de 15 ans, mais aussi toutes celles visées par les articles 706-35-1 et 706-47-3 du code de procédure pénale, et ainsi permettre l’interpellation de ces supposés pédophiles avant qu’ils n’aient pu rencontrer des enfants ou alors qu’ils échangent quotidiennement des contenus illicites.

Ces dangers pour les enfants sont réels, comme le rappelle la campagne actuellement menée par Action Innocence, dont vous pouvez voir un extrait ci-dessous :

[vodpod id=Groupvideo.2322791&w=425&h=350&fv=file%3D%7B279f0fa4-0b07-472f-b2a8-a1b1138ee451%7D%2F%7B6921b485-a19c-4db2-9b40-75bb070b33a0%7D%2Fmessageries_VP6_1Mbps_Strea.flv%26amp%3Btype%3Dvideo%26amp%3Bvolume%3D100%26amp%3Bstreamer%3Drtmp%3A%2F%2Ffl.interoute.com%2Fstreamrt%26amp%3Bimage%3Dhttp%3A%2F%2Fwww.actioninnocence.org%2Fimg%2Fwebcast%2Fmessageries.jpg]

5 avril 2009 by Cybercriminalité Juridique 4

Création et Internet : reprise des débats

Les débats relatifs à la loi Création sur Internet reprennent lundi 30 mars à partir de 16 heures, vraisemblablement jusqu’au 2 avril et peut-être jusqu’à lundi 6 avril. L’Assemblée Nationale va ainsi examiner les dispositions essentielles de ce texte qui sera voté définitivement après une commission mixte paritaire, l’urgence ayant été déclarée sur ce texte.

Le dossier est accessible sur le site de la chambre des députés et les débats y seront diffusés en direct. Il reste environ 400 amendements à examiner, dont une large partie porte sur l’article 2, qui détaille le fonctionnement de la future Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet.

29 mars 2009 by Juridique 0

Condamnation d’un gestionnaire de site Web pour complicité de contrefaçon

Emule (GPL)

Emule (GPL)

Un jeune internaute de la région lyonnaise a été condamné le 05 mars 2009 (article sur Zataz.com) à près de 130.000 euros de dommages et intérêts, 1 an de prison avec sursis et 3.000 euros d’amende. Il avait été interpellé le 19 juin 2007.

Les faits allégués: la diffusion sur plusieurs sites Web de références facilitant le téléchargement de films grand public (pour son premier site Web « Station DivX ») et pornographiques (pour les autres). Cette activité lui permettait grâce à des accords publicitaires de gagner un peu d’argent. Il a d’ailleurs été poursuivi pour fraude aux allocations chômage.

Il ne s’agissait pas ici de liens directs permettant de télécharger sur Emule ou autres logiciels pair à pair (le protocole Edonkey introduit des liens rapides qui commencent par ed2k://), mais d’indications techniques permettant de faciliter les recherches. Juridiquement, il n’y a effectivement pas de raison de faire de différence entre une URL ou le titre précis du fichier à rechercher. C’est en effet parfois la difficulté rencontrée par les amateurs de téléchargements (légaux ou illégaux) sur ce type de réseaux que de trouver facilement la référence du document que l’on cherche.

En visitant le site Web objet de ce jugement (dont des traces existent encore sur Internet), on s’aperçoit qu’il ne s’agissait pas uniquement de simples informations techniques, mais qu’en plus on y trouvait des conseils sur la bonne façon de télécharger, la qualité des films, etc. D’ailleurs un lien trouvé en page d’accueil de ce site indiquait clairement « comment télécharger sur station divx ? ». Il s’agit donc bien d’aider les internautes visiteurs de ce site à télécharger des contenus sur des réseaux pair à pair.

Cette page contenait même un avertissement « il suffit tout d’abord pour être en règle de posséder l’original ». Ce genre d’avertissement ne permet d’éviter aucune sorte de responsabilité, bien évidemment, ce que confirme d’ailleurs le jugement. Un forum permettait aux utilisateurs d’échanger sur leurs expériences de téléchargement.

D’autres mentions sur le site Web étaient tout aussi inquiétantes: CAM ou TS indiquaient que ces films avaient été enregistrés illégalement dans des salles de cinéma. Il y a donc un aveu ici de la connaissance de l’origine illicite de ces contenus.

Les enseignements: ce jugement confirme d’abord, s’il en était besoin, que le téléchargement de musique ou de vidéos sur des réseaux pair à pair, sans rémunération ou accord des ayants droit constitue un acte de contrefaçon. Il confirme surtout que tout site Web aidant manifestement à ce type de téléchargements constitue une complicité de cette infraction. La sévérité de la peine prononcée en première instance montre clairement les risques qui pèsent sur ceux qui se risqueraient à ce type d’activités. Il est possible que cette affaire alimente les débats de la fin du mois sur la loi création et Internet.

22 mars 2009 by Actualité judiciaire Juridique 1

Loi création sur Internet (1ère étape)

Assemblée nationale (Photo: GPL)

Assemblée nationale (Photo: GPL)

La loi création sur Internet est en cours de discussion à l’Assemblée nationale depuis cette semaine. Il n’y a pas grand chose à commenter sur le texte voté jusqu’à présent, étant donné que seuls quelques articles ont pu être discutés et aucun portant sur les dispositions centrales de ce texte, créant la haute autorité (HADOPI) ou décrivant ses missions.

La suite donc à la fin du mois (du 31 mars au 02 avril 2009 normalement) lors de la reprise de la discussion sur ce texte.

Un événement à noter toutefois : l’hébergeur du site « jaimelesartistes.fr » a baissé les bras. En effet, le site web financé par le ministère de la culture pour promouvoir la création et défendre le projet de loi a apparemment été l’objet d’une attaque en déni de service. C’est le moyen le plus simple d’empêcher un site web de fonctionner et cela reste d’ailleurs illégal comme moyen d’action si c’est réalisé volontairement (article 323-2 du code pénal).

15 mars 2009 by Juridique 0

Notification obligatoire d’incidents de sécurité

parlement_europeenLe « Paquet télécom » est actuellement amplement débattu au sujet d’amendements relatifs à la riposte graduée. Mais attardons-nous sur une disposition particulièrement intéressante.

Il s’agirait d’introduire dans la directive Européenne 2002/21/CE relative à un cadre règlementaire commun pour les réseaux et services de communications électroniques (directive « cadre ») une disposition prévoyant que tout opérateur de réseau ou de services de communication électronique au public doive avertir leur autorité de contrôle nationale des incidents de sécurité ou de la perte de l’intégrité des données de leurs abonnés, ayant eu un impact significatif.

Aucun texte – jusqu’à présent – au niveau Européen n’impose une telle obligation. En France, il en est de même et les dépôts de plainte des opérateurs ou de tout autre professionnel gérant des données personnelles sont extrêmement rare, alors que toutes les études démontrent que de tels incidents existent (on peut citer par exemple l’étude menée par le Clusif tous les deux ans).

Du point de vue des services d’enquête, une telle mesure serait particulièrement intéressante, car sans ces signalements ou dépôts de plainte, il n’est pas possible de mener des investigations sur ces faits, d’en collecter les preuves et d’espérer en arrêter les auteurs ou de poursuivre, le cas échéant, les investigations avec les collègues d’autres pays.

Du point de vue des clients, une telle mesure permettrait d’avoir une meilleure information sur de tels incidents et, éventuellement, d’envisager des mesures individuelles de sécurisation de ses données personnelles (changer ses mots de passe par exemple). Cela imposera bien entendu de faire une communication précise de ces informations. Mais la notification prévue dans la rédaction actuelle s’arrête à l’autorité de régulation nationale, est-ce suffisant ?

Enfin, il est intéressant de noter que le texte prévoit une sorte de seuil (la notion d’impact significatif), pour éviter d’imposer une obligation de signalement au moindre incident. Peut-être conviendra-t-il dans chaque Etat membre de préciser cette notion, si le texte devait être voté. L’autre élément du débat enfin est de savoir s’il ne faut pas imposer une telle disposition aux professionnels qui ne relèvent pas de la règlementation concernant les opérateurs de communications électroniques.

Le texte est consultable ici, en page 61.

Ce « Paquet télécom » est donc intéressant à suivre dans les mois qui viennent !

5 mars 2009 by Juridique Prospective 2

Doit-on évincer les délinquants sexuels des sites communautaires ?

Bienvenue au Connecticut

Bienvenue au Connecticut

Une information publiée ce week-end pointait l’attention des lecteurs attentifs sur une actualité provenant des Etats-Unis : 5500 utilisateurs de Facebook, délinquants sexuels, ont vu leur compte supprimé. Cette actualité pose la question plus générale du moyen de prévenir l’action de prédateurs sexuels potentiels sur Internet.

Que s’est-il passé exactement ?

Selon les différents articles publiés à ce sujet, assez largement répétitifs, car provenant certainement de la même dépêche d’agence de presse, 5585 comptes d’utilisateurs de Facebook ont été supprimés (sur les 175 millions de comptes existants) entre le 1er mai 2008 et le 31 janvier 2009, suite à des investigations menées notamment par le procureur général de l’État américain du Connecticut, mais aussi sur la base de recoupements opérés par Facebook pour repérer des pratiques suspectes. Et la déclaration du représentant de la société est à ce titre très intéressante : « Notre optique est d’effacer les délinquants sexuels quand ils sont signalés ou identifiés, par tous les moyens ».

Dans le cadre de la même commission d’enquête à laquelle participe le procureur général du Connecticut, 90.000 prédateurs sexuels auraient été identifiés parmi les utilisateurs de la communauté en ligne Myspace. La même société avait annoncé en Juillet 2007 la suppression de 29.000 comptes sur la base de Sentinel Safe, une base de données privée recensant les données personnelles de centaines de milliers de prédateurs sexuels américains.

Qu’en conclure et quelles questions cela soulève-t-il ?

Facebook a agi sous l’impulsion et vraisemblablement selon les directives d’un magistrat. D’autre part, Facebook est une société de droit privé qui affiche très clairement la volonté de ne pas voir dévoyé son système au profit de prédateurs sexuels. Peut-on donc leur en vouloir ?

L’autre face de la médaille est la privatisation de l’action répressive. En effet, mener une telle enquête sur des réseaux, collecter des données personnelles et se servir pour cela des services d’une société privée constitue un pas de plus dans cette direction. Avant de continuer, il faut se rappeler qu’aux Etats-Unis, les coordonnées des personnes condamnées pour des délits de nature sexuelle sont librement accessibles, par exemple sur le site national « Dru Sjodin National Sex Offender Public Website« , suite au vote de la loi Megan en 1996, du nom d’une victime d’un prédateur sexuel. En France, de telles informations ne sont pas publiées, mais effectivement collectées, dans le FIJAIS – fichier judiciaire des auteurs d’infractions sexuelles.

Les questions sont donc multiples :

  • les prédateurs sexuels condamnés doivent-ils pouvoir avoir une activité sur Internet ?
  • qui peut contrôler leurs faits et gestes ? est-ce qu’on peut laisser à une société privée le soin de faire le ménage sur les réseaux ?
  • est-ce que la prévention auprès des victimes potentielles est suffisante ? (se méfier des inconnus, …)

Premières pistes de réflexion

Je propose les pistes suivantes pour tenter de réfléchir à ces questions :

  1. La législation française permet depuis 1998 la mise en place de mesures de suivi socio-judiciaires, parmi lesquelles l’interdiction de rentrer en contact avec les personnes susceptibles d’être les victimes de ces méfaits
  2. Seules les personnes chargées de ce suivi socio-judiciaire et les policiers ou gendarmes qui ont accès au FIJAIS peuvent vérifier si quelqu’un est soumis à ces contraintes
  3. Parallèlement, il est important qu’après avoir purgé leur peine les personnes condamnées soient en mesure de se réintégrer, donc il n’est pas raisonnable aujourd’hui de leur interdire à tous l’usage d’une connexion Internet (même si c’est imaginable pour certains cas graves)
  4. En revanche, les gestionnaires de sites reçoivent les plaintes de leurs utilisateurs et peuvent imaginer des modèles de comportements à risques (un homme de plus de 18 ans qui ne chercherait que des profils de jeunes filles de moins de 18 ans, etc…). Qui peuvent-ils contacter pour valider leurs découvertes ? Quelles mesures peuvent-ils prendre de leur propre chef ?

En conclusion, et s’agissant de mesures préventives, prenant en compte les constats effectués lors de ces initiatives américaines – à savoir la réalité de la présence active de prédateurs sexuels sur les réseaux sociaux, il nous revient de trouver une solution adaptée et proportionnelle et cela suppose de faire travailler ensemble des personnes et des services qui ne se croisent généralement qu’une fois qu’un problème est survenu.

24 février 2009 by Cybercriminalité Juridique Prospective 1

Le streaming est il légal ?

Beemotion fermé

Beemotion fermé

Contrefaçon ? Oui, s’il n’y a pas d’autorisation des ayants droit.

Beaucoup de débats courent ces jours-ci suite aux déclarations du célèbre cinéaste Luc Besson sur la responsabilité des hébergeurs, des publicitaires et des éditeurs de sites de diffusion par Internet de musique ou de films qui n’utilisent pas la mise à disposition par téléchargement mais par émission d’un flux de données.

Il est rare qu’une technologie soit déclarée illégale. En l’espèce, les exemples de diffusion légale par ces technologies sont légion : Youtube, Deezer, Dailymotion, … du moment que les ayants droit sont proprement rétribués.

En revanche, la copie en vue d’une diffusion sur des sites de streaming (tels que Beemotion.fr – qui a depuis été fermé) sont des actes de contrefaçon et réprimés par le code de la propriété intellectuelle, si aucune autorisation n’a été obtenue de la part des auteurs, interprètes ou des producteurs, autorisation souvent associée au paiement d’une redevance.

On peut notamment faire référence à l’article L335-3 du code de la propriété intellectuelle qui précise dans son premier alinéa que :

« Est également un délit de contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d’une œuvre de l’esprit en violation des droits de l’auteur, tels qu’ils sont définis et réglementés par la loi. »

(Rappelons que la contrefaçon est punie d’une peine maximale de 3 ans d’emprisonnement de 300.000 euros d’amende).

Responsabilité des hébergeurs ? Non, sauf s’ils ont été dûment informés.

La responsabilité pénale ou civile des hébergeurs de contenus illicites ne saurait être engagée s’ils n’ont pas eu connaissance du caractère illégitime des contenus en question, et ils n’ont pas d’obligation de surveillance de ce type de contenus. C’est ce que précise  – en ce qui concerne le droit français – la loi pour la confiance dans l’économie numérique dans son article 6.

17 février 2009 by Actualité judiciaire Juridique 2

Les rencontres annuelles du droit de l’Internet 2008

Cyberlex

Cyberlex

L’association Cyberlex organisait lundi 01 décembre 2008 après-midi, dans la salle Médicis du Sénat à Paris. Le thème retenu cette année s’intitulait : « Internet et l’Individu : des limites à poser, une harmonie à construire ».

Après l’ouverture par la présidente de l’association Corinne Thiérache, le programme s’est déroulé selon quatre tables rondes :

  1. Données personnelles : des données personnelles à l’Identité Numérique
  2. E-Commerce : Le consommateur au cœur de l’Economie Numérique
  3. Propriété Intellectuelle : Création et Internet, une confiance virtuelle ?
  4. Responsabilité : Une (r)évolution annoncée ?

Parmi les points intéressants, j’ai noté les idées suivantes :

  • Gérard Haas (table ronde n°1) qui posait la question de l’applicabilité des articles 434-23 et 313-1 du code pénal à l’usurpation d’identité sur Internet et a montré l’intérêt de la création d’une nouvelle infraction ;
  • Isabelle Daviaud (table ronde n°1) en se basant sur l’exemple d’une société qui a intégré les fonctionnalités des réseaux sociaux dans son système d’information a souligné l’importance de réguler aujourd’hui les réseaux sociaux ; elle a plus tard évoqué la proposition de loi en cours de discussion au Parlement sur l’allongement de la prescription pour les infractions de presse sur Internet ;
  • En réponse, Gwendal Le Grand (table ronde n°1) a rappelé que le groupe de travail international sur la protection des données dans les télécommunications a publié en mars 2008 une recommandation sur les réseaux sociaux ;
  • Cyril Chabert (table ronde n°2) a mis en avant deux jurisprudences de la cour de cassation sur la vente liée et la vente avec prime, respectivement de mai 2008 et juillet 2008 ;
  • Les débats de la table ronde n°3 ont porté effectivement sur le projet de loi Création & Internet, au cours desquels j’ai noté une présentation très pédagogique de ce texte en cours de débat par Christophe Caron et l’intervention de Lionel Thoumyre sur l’action de sa société (Myspace) dans la lutte contre les atteintes à la propriété intellectuelle commises par ses utilisateurs, et notamment le principe du « Take down stay down » ;
  • Enfin, sur la dernière table ronde, Benoît Tabaka remplaçait au pied levé Alexandre Menais ;
  • Myriam Quéméner a discuté de l’application de la LCEN depuis son vote en 2004, notamment autour du rapport récent de l’assemblée nationale sur ce sujet ;
  • Yoram Elkaïm a fait une présentation exhaustive de la jurisprudence portant sur la distinction éditeur / hébergeur et montre surtout que cette distinction doit se faire au cas par cas, y compris au sein d’un même site Web ;
  • Enfin, Jean-Christophe Le Toquin a évoqué un certain nombre de projets passés et à venir, intéressants à suivre, nouvelle façon de travailler en commun et pour lesquels la France s’est montrée motrice :

Au total une après-midi fort intéressante.

1 décembre 2008 by Cybercriminalité Juridique Prospective 2

Royaume-Uni: Nouvelle loi contre les attaques DDoS et les outils de piratage

ministry-of-justice-ukUn article du Register nous apprend qu’une nouvelle loi a été promulguée au Royaume-Uni (voir l’acte de promulgation ici) criminalisant les attaques en déni de service et la diffusion d’outils de piratage. Cette loi est valable pour le Pays de Galles et l’Angleterre, un texte semblable ayant déjà été promulgué en Écosse.

La nouvelle infraction du Computer misuse act interdit le fait d’entraver le fonctionnement d’un système d’information. Elle est punie d’une peine maximale de 10 ans d’emprisonnement et d’une amende.

L’accès illicite à un système d’information est maintenant puni d’une peine maximum de 2 ans d’emprisonnement contre six mois auparavant.

La deuxième infraction créée interdit la fabrication, l’adaptation, la fourniture ou l’offre d’un dispositif avec l’intention qu’il soit utilisé pour commettre, aider à commettre les infractions de piratage. Ce qui est intéressant à noter, il est aussi interdit de fournir un dispositif dont on pense qu’il peut servir à commettre ces infractions. Elle est punie d’une peine d’emprisonnement maximale de 2 ans.

Le texte de cette nouvelle loi provient des sections 35 à 38 de la loi sur la Police et la justice de 2006.

Cette promulgation vient compléter le dispositif de ratification par le Royaume-Uni de la convention du Conseil de l’Europe sur la cybercriminalité et notamment son article 6 qui criminalise la diffusion d’outils de piratage.

En France, cette infraction est punie par l’article 323-3-1 du code pénal:

« Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. »

La mention d’un « motif légitime » permet de couvrir la recherche et le travail des spécialistes sur la sécurité des systèmes d’information. C’est une vision un peu différente de ce texte anglais qui évoque l’intention malhonnête, le texte français est donc plus large dans son périmètre, puisqu’il interdit aussi la diffusion par des non professionnels ou hors d’un contexte « légitime ». Il reste à la jurisprudence d’établir progressivement ce qui sera en France considéré comme un motif légitime et à la justice anglaise de prouver l’intention malhonnête de l’une ou l’autre des parties.

Enfin, il faut noter que le texte anglais limite les dispositifs concernés à un programme ou des données stockées sous forme numérique, alors que la convention du conseil de l’Europe parle de tout dispositif, y compris un programme informatique et que la loi française est beaucoup plus large puisque visant aussi bien les matériels.

15 novembre 2008 by Juridique 0

Vote d’une proposition de loi d’allongement de la prescription sur Internet

Le Sénat a voté en première lecture la proposition de loi présentée par Marcel-Pierre CLEACH visant à allonger le délai de la prescription des délits de presse (diffamations, injures ou provocations) commis sur Internet. Cette durée serait ainsi portée de trois mois à un an.

Le texte voté ce soir est le suivant:

Article unique

Le dernier alinéa de l’article 65 de la loi du 29 juillet 1881 sur la liberté de la presse est ainsi rédigé :

« Le délai de prescription prévu au premier alinéa est porté à un an si les infractions ont été commises par l’intermédiaire d’un service de communication au public en ligne. Ces dispositions ne sont toutefois pas applicables en cas de reproduction du contenu d’un message diffusé par une publication de presse ou par un service de communication audiovisuelle régulièrement déclaré ou autorisé lorsque cette reproduction est mise en ligne sous la responsabilité de leur directeur de publication. ». »

Le dossier de cette proposition de loi est accessible ici sur le site du Sénat. Bien entendu, ce texte passera encore devant l’Assemblée Nationale, et si nécessaire en seconde lecture.

5 novembre 2008 by Juridique 0