CA Paris, ch. corr. 5 février 2014, RG n°13/4833

L’affaire « Bluetouff »

Faites-z’y gaffe : Désormais, télécharger des fichiers confidentiels mais pas encore protégés par son « propriétaire » qui les met en ligne par erreur, vous mènera droit devant les tribunaux correctionnels !

Texte de l’arrêt d’Appel :

Cour d’appel de Paris pôle 4 – Ch. 10 (6 pages) n° RG 13/4833

 

Prononcé publiquement le mercredi 5 février 2014, par le Pôle 4 – Ch 10 des appels correctionnels,

Sur appel d’un jugement du tribunal de grande instance de Créteil – 11^ème chambre – du 23 avril 2013, (CI30720000059).

 

PARTIES EN CAUSE :

Prévenu

X. Y.

Né le ………………, Demeurant … Prévenu, non appelant, Libre, comparant, assisté de Maître ITEANU Olivier, avocat au barreau de PARIS, vestiaire D 1380

 

Ministère public appelant principal

 

Composition de la cour lors des débats et du délibéré ; président : Bruno LAROCHE, conseillers : Françoise MOLINA, présidente de chambre, Muriel JOSIE, Greffier, Nathalie COCHAIN-ALIX aux débats et Véronique RAYON au prononcé,

Ministère public représenté aux débats et au prononcé de l’arrêt par Laurence VICHNIEVSKY, avocat général.

 

LA PROCEDURE :

 

La saisine du tribunal et la prévention, X. Y. a été convoqué le 11 février 2013 devant le tribunal de grande instance de Créteil par officier de police judiciaire sur instruction du procureur de la République pour :

 

1/ avoir à Maisons-Alfort, Orléans, dans le département du Val de Marne, du 1^er août 2012 au 3 septembre 2012, en tout cas sur le territoire national et depuis temps non prescrit, accédé frauduleusement à tout ou partie d’un système de traitement automatisé de données, en l’espèce de l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail (ANSES),

infraction prévue par l’article 323-1 AL 1 du Code pénal et réprimée par les articles 323-1 al.1, 323-5 du Code pénal,

 

2/ s’être à Maisons-Alfort, Orléans, dans le département du Val de Marne, du 1^er août 2012 au 3 septembre 2012, en tout cas sur le territoire national et depuis temps non prescrit, maintenu frauduleusement dans tout ou partie d’un système de traitement automatisé de données, en l’espèce de l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail (ANSES), infraction prévue par l’article 323-1 AL.1 du Code pénal et réprimée par les articles 323-1 AL.1, 323-5 du Code pénal,

 

3/ avoir à Maisons-Alfort, Orléans, dans le département du Val de Marne, du 1^er août 2012 au 3 septembre 2012, en tout cas sur le territoire national et depuis temps non prescrit, frauduleusement soustrait des documents sur l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail (ANSES), données téléchargées puis fixées et enregistrées sur plusieurs supports (média center et disque dur), au préjudice de l’ANSES, infraction prévue par les articles 311-1, 311-3 du Code pénal et réprimée par les articles 311-3, 311-14 1°, 2°, 3°, 4°, 6° du Code pénal.

 

Le jugement : Le tribunal de grande instance de Créteil – 11^ème chambre – par jugement contradictoire, en date du 23 avril 2013, a relaxé X. Y.  des fins de la poursuite.

 

L’appel : Appel a été interjeté par M. le procureur de la République, le 29 avril 2013 contre Monsieur X.Y.

 

DEROULEMENT DES DEBATS :

 

À l’audience publique du 18 décembre 2013, le président a constaté l’identité du prévenu, assisté de son avocat qui dépose des conclusions visées du Président et du Greffier :

L’appelant a sommairement indiqué les motifs de son appel,

Françoise MOLINA a été entendue en son rapport.

Le prévenu a été interrogé et entendu en ses moyens de défense.

 

Ont été entendus : Le ministère public en ses réquisitions ;

Maître ITEANU, avocat du prévenu, en ses conclusions et plaidoirie ;

Le prévenu qui a eu la parole en dernier.

 

Puis la cour a mis l’affaire en délibéré et le président a déclaré que l’arrêt serait rendu à l’audience publique du 5 février 2014.

Et ce jour, le 5 février 2014, en application des articles 485, 486 et 512 du code de procédure pénale, et en présence du ministère public et du greffier, Bruno LAROCHE, président ayant assisté aux débats et au délibéré, a donné lecture de l’arrêt.

 

DECISION :

 

Rendue après en avoir délibéré conformément à la loi,

Statuant sur l’appel régulièrement interjeté par le ministère public à l’encontre du jugement déféré.

Les faits à l’origine des poursuites sont les suivants :

 

Le 6 septembre 2012, l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES), opérateur d’importance vitale (OIV), déposait une plainte auprès des services de police de Maisons-Alfort, après la détection, le 3 septembre 2012, d’un accès frauduleux sur son serveur extranet.

 

Cette détection faisait suite à la découverte d’un article relatif aux nanomatériaux mis en ligne sur le site d’information alternatif « reflets.info », article accompagné d’un document de travail «PowerPoint » appartenant à l’agence destiné uniquement à un usage restreint.

 

Cet article consacré à la dangerosité des nanomatériaux était signé d’une personne utilisant le pseudonyme « Yovan Menkevick »,

 

Les enquêteurs relevaient qu’un extranet constitue une extension d’un réseau interne à une entité, à la différence d’un site internet, vers des partenaires situés hors du réseau. Cet accès se fait via internet par une connexion sécurisée avec un mot de passe dans la mesure où cela offre un accès au système d’information à des personnes situées en dehors de l’entité, à la différence d’un intranet.

 

L’ANSES constatait que de nombreux documents (8.000 fichiers) situés dans un dossier « lecture  » avaient été exfiltrés les 27 et 28 août 2012 vers une adresse IP d’un VPN (réseau privé virtuel) localisé au Panama. Leur auteur avait profité d’une faille de sécurité dans les paramètres du serveur extranet concernant l’identification en permettant l’accès. L’accès était ainsi rendu possible par l’utilisation de l’URL complète.

 

Les investigations menées permettaient la découverte d’un second article relatif à la légionellose signé par un individu utilisant le surnom « Bluetouff », accompagné d’un fichier compressé contenant des documents provenant dudit serveur extranet. Le même « Bluetouff » indiquait aussi être en possession de 7,7 giga-octets de documents traitant de questions de santé publique.

 

L’analyse des journaux de connexion du serveur extranet et du firewall de l’ANSES confirmait la primo-analyse réalisée par l’ANSES concernant la localisation des adresses IP ayant exfiltré un volume important de fichiers appartenant à l’agence. Si une adresse correspondait à un service VPN suédois dont le propriétaire ne pouvait être identifié, une seconde adresse IP ayant effectué un téléchargement de 8,2 Go de données entre le 27 et le 28 août 2012 était localisée au Panama. Cette adresse IP provenait d’un serveur informatique hébergeant une solution VPN de la société « ….net », fondée et dirigée par X.Y.

 

Celui-ci était par ailleurs identifiée comme étant l’internaute utilisant l’alias « Bluetouff ».

 

Lors de ses auditions par les enquêteurs, X.Y. reconnaissait avoir récupéré via son VPN panaméen l’ensemble des données litigieuses stockées sur le serveur extranet de l’ANSES, il déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google.

 

S’il affirmait être arrivé « par erreur » au cœur de l’extranet de l’ANSES, il reconnaissait néanmoins avoir parcouru l’arborescence des répertoires de celui-ci et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté la présence de contrôles d’accès (authentification par identifiant et mot de passe).

 

Il précisait ne pas avoir diffusé l’archive de 7,7 giga-octets qu’il avait générée et en avoir seulement fait une extraction de 250 mégaoctets qu’il avait utilisée pour argumenter son article sur la légionellose.

 

Il admettait avoir communiqué des documents à un autre rédacteur du site « Reflets.info », à savoir « Yovan Menkevick », identifié comme étant W. Z.

 

Les investigations techniques menées lors de la perquisition réalisée au domicile d’X.Y. permettaient la récupération de l’archive complète de 7,7 Go. Il acceptait par ailleurs de retirer les fichiers et liens de téléchargement en rapport avec les documents appartenant à l’ANSES sur l’ensemble des serveurs et supports.

 

W.Z. confirmait avoir eu accès aux données de l’ANSES et avoir utilisé un fichier sur la thématique des « nano-argent » pour illustrer un article. Il reconnaissait en outre avoir rendu public ce fichier sur un site de téléchargement, sachant que les documents provenaient de la documentation de l’ANSES. Mais il indiquait ignorer qu’ils avaient été collectés sur un espace privé. Il retirait le fichier « Nano état des Lieux 2012 » de l’espace d’hébergement en ligne utilisé.

 

À l’audience publique de la Cour, X.Y. comparaît assisté. Il indique vivre en concubinage, être père d’un enfant âgé de 5 ans, percevoir, comme développeur informateur salarié un revenu mensuel de 2.011 €.

 

Le ministère public requiert l’infirmation du jugement et la condamnation du prévenu à une peine d’amende de 5.000 euros en partie assortie du sursis.

 

Le conseil du prévenu développe les conclusions de relaxe qu’il a déposées et qui ont été visées par le président et le greffier. Il demande, estimant que les infractions ne sont pas caractérisées, de confirmer le jugement sur les relaxes prononcées en première instance, à titre subsidiaire de prononcer un ajournement du prononcé de la peine et, en cas de condamnation, de dire que la décision ne sera pas mentionnée au casier judiciaire.

 

SUR CE,

 

Considérant qu’il n’est pas établi suffisamment par les pièces de la procédure que le prévenu s’est rendu coupable d’accès frauduleux dans un système de traitement automatisé de données ; que l’accès, qu’il ne conteste pas, lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail ; que dans ces conditions l’infraction n’est pas caractérisée ; qu’il y aura lieu de confirmer le jugement de ce chef.

 

Considérant, pour ce qui concerne les faits commis de maintien frauduleux dans un système de traitement automatisé de données et de vol, qu’il est constant que le système extranet de l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail n’est normalement accessible qu’avec un mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé « par erreur » au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées, que les investigations ont démontrées que ces données avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers ; qu’il est, en tout état de cause, établi qu’X.Y. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; que la culpabilité d’X.Y. sera donc retenue des chefs de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques au préjudice de l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) ;

 

Considérant que tenant compte de la nature et de la gravité des faits commis, de l’absence d’antécédent judiciaire du prévenu et des éléments connus de sa personnalité, la Cour prononcera à son encontre une peine délictuelle de 3.000 euros ;

 

Que la demande du prévenu de non inscription au bulletin n° 2 de son casier judiciaire de la condamnation sera rejetée, ce dernier ne justifiant pas actuellement de la nécessité d’une telle dispense ;

 

PAR CES MOTIFS

LA COUR,

 

Statuant publiquement et contradictoirement à l’encontre d’X.Y., prévenu,

Déclare recevable l’appel du ministère public,

Infirme partiellement le jugement sur la déclaration de culpabilité,

Déclare X.Y. coupable des faits qui lui sont reprochés de maintien frauduleux dans un système de traitement automatisé de données et de vol dans les termes de la prévention,

Confirme pour le surplus sur la culpabilité,

 

En répression,

Le condamne à une amende délictuelle de 3.000 euros,

Rejette la demande de dispense d’inscription de la présente condamnation au bulletin n° 2 du casier judiciaire d’X.Y.

 

Naturellement, il y a des choses bien plus importantes à rapporter sur ce blog qu’une vague petite-affaire de piratage informatique involontaire…

Surtout par les temps qui courent !

Mais tout de même, soyons un peu sérieux : Si les ingénieurs informaticiens de l’ANSES ne sont pas capables de protéger le travail de leurs chercheurs, à qui la faute, SVP ?

 

Loin de moi de vouloir critiquer une décision de justice passée en force de chose-jugée, autrement dit ayant valeur de loi pour quiconque et tout le monde – et on ne critique jamais, sur le plan juridique, une loi – loi prise dans « l’immense sagesse du législateur » selon la formule consacrée.

D’autant que la Cour de Cassation vient à peine de confirmer l’arrêt d’Appel

(Et je n’ai pas de texte à vous fournir : Désolé…)

 

Mais tout de même, qu’un blogueur tombe par hasard sur des documents publics (l’aspect confidentiel n’étant absolument pas visible puisqu’aucune protection ne les entourait hors la page d’accueil), qui en prend copie et mentionne en plus l’énorme boulette de sécurité sur son blog, soit sanctionné de la sorte, touche à l’ubuesque répression de la « Liberté d’information & d’expression ».

Car l’institution découvre sa bévue après coup et poursuit « Bluetouff », qui sera totalement blanchi, relaxé à l’issue du procès, alors même que l’ANSES ne se porte même plus partie civile, sans doute consciente du ridicule de sa position.

Personnellement, je lui aurais octroyé une prime financée sur des retenues sur salaire du directeur informatique de la boutique pour bourde impardonnable…

Après tout, c’était un « lancement d’alerte » !

 

Conséquence de ce jugement, un internaute qui tombe par hasard sur un document « sensible » qui aurait fuité par l’incompétence d’une institution ou d’une entreprise quelconque pourrait se trouver accusé de « vol » et de « maintien frauduleux dans un système de traitement automatisé de données ».

Et la loi s’applique à tout le monde jusque dans ses décisions jurisprudentielles.

 

Autre conséquence : Quand j’irai – et je vous conseille d’en faire autant – sur Légifrance vérifier les articles du code pénal, ou sur celui du BO fiscal, voire les bulletins de la Cour de Cassation, du Conseil d’État ou du Conseil Constitutionnel, il me (vous) faudra vérifier que « Gogol » ne m’(vous)amène pas directement sur la page idoine sans passer par la page d’accueil du site, vérifier que l’accès est ou non protégé…

Dément.

 

Enfin, ultime conséquence, « Bluetouff », va voir ses audiences bloguesques démultipliées par effet de « buzz » : Un beau pied de nez au « parquet » parigot !

J’adore.

On va le suivre peu ou prou, puisqu’il a annoncé qu’il va devant la Cour Européenne de Justice faire invalider la décision qui le condamne…

Bon courage à lui, parce que l’étau se resserre décidément de plus en plus sur la « Liberté d’expression » de chaque citoyen, dans ce pays que j’aime tant et qui est le mien…