Vous avez le droit
Vous êtes ici : Accueil » Divers droits » informatique » Sécurité informatique » Cour d’appel de Montpellier, 12 mars 2009

Cour d’appel de Montpellier, 12 mars 2009

D 12 mars 2009     H 14:44     A Sébastien Canévet     C 0 messages


CA Montpellier, 3 ch. corr., 12 mars 2009, n°08/01431

prononcé publiquement le Jeudi douze mars deux mille neuf, par la troisième Chambre des appels correctionnels, par Madame WEISBUCH, en application des dispositions de l’article 485 dernier alinéa du code de procédure pénale.
et assisté du greffier : Madame LILE PALETTE
qui ont signé le présent arrêt
en présence du ministère public près la Cour d’Appel
sur appel d’un jugement du Tribunal de Grande Instance de MONTPELLIER du 30 JUIN 2008


COMPOSITION DE LA COUR, lors des débats et du délibéré :
Présidente : Madame WEISBUCH
Conseillers : Madame LECA
Madame HEBRARD vice-présidente placée désignée par ordonnance de madame la Première Présidente du 19 décembre 2008


présents lors des débats :
Ministère public : Madame BRIGNOL
Greffier : Madame LILE PALETTE


PARTIES EN CAUSE DEVANT LA COUR :

PREVENU
X… Y….
né le … (ALGERIE), fils de X… Y…. A… et de Y… Z…, consultant informatique, de nationalité algérienne…
Libre
Prévenu, intimé
Comparant
Assisté de Maître MONELLI Yvan, avocat au barreau de MONTPELLIER

LE MINISTERE PUBLIC, appelant


RAPPEL DE LA PROCEDURE :
Par jugement contradictoire en date du 30 juin 2008 le tribunal correctionnel de MONTPELLIER statuant à la suite d’une ordonnance de renvoi du juge d’instruction en date du 14 juin 2007 a :
Sur l’action publique : renvoyé Monsieur X… Y…. des fins de la poursuite pour :
* avoir à MONTPELLIER, courant 2005 et 2006, en tout cas sur le territoire national et depuis temps n’emportant pas prescription, mis à disposition sans motif légitime des programmes ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé des données, infraction prévue par les articles 323-3-1, 323-2 du Code pénal et réprimée par les articles 323-3-1, 323-2, 323-5 du Code pénal.

APPEL :
Par déclaration au greffe en date du 4 juillet 2008 le Ministère Public a formé appel principal de ce jugement.

DEROULEMENT DES DEBATS :
A l’appel de la cause, à l’audience publique du 29 JANVIER 2009, Madame la Présidente a constaté l’identité du prévenu.
Madame HEBRARD, Vice-Présidente placée, déléguée aux fonctions de conseiller, a fait le rapport prescrit par l’article 513 du code de procédure pénale.

Le prévenu, présent, assisté de Maître MONELLI, a été entendu en ses explications.

Le Ministère Public a été entendu en ses réquisitions.

Maître MONELLI Yvan pour Monsieur X… Y…. X… Y…. a été entendu en sa plaidoirie.

Le prévenu a eu la parole en dernier.

A l’issue des débats, la Cour a mis l’affaire en délibéré et Madame la Présidente a averti les parties que l’arrêt serait prononcé à l’audience publique du 12 MARS 2009.

SUR QUOI LA COUR

Sur la recevabilité de l’appel
L’appel du Ministère public, interjeté dans les formes et délais de la loi, est recevable.
Les faits :
Monsieur X… Y…. X… Y…. a créé en 2004 la société XYZ spécialisée dans le conseil en sécurité informatique et notamment la surveillance des menaces et vulnérabilités des systèmes informatiques, sous la forme d’une SARL dont il était le gérant salarié.
Le 26 octobre 2005, les services de l’Office Central de Lutte contre la Criminalité liée aux Technologies de L’Information et de la Communication avisait le Parquet de Montpellier que la société XYZ diffusait sur son portail internet www…..com des scripts permettant d’exploiter des failles de sécurité informatique, directement visibles sur le site et accessibles à tous. Le rapport précisait que si le site n’incitait pas au piratage, néanmoins la diffusion des scripts permettait leur utilisation malveillante aux fins de piratage de Systèmes de Traitement Automatisé de Données et qu’elle était susceptible de tomber sous le coup des dispositions de l’article 323-3-1 du code pénal réprimant le mise à disposition d’équipement, d’instrument ou de programme informatique conçus ou adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données.
Le Parquet diligentait une enquête confiée aux services de la DST.
L’enquête confirmait que le site web… diffusait des codes d’exploitation de failles non corrigées, en particulier, et parmi d’autres, un code d’exploitation d’une faille dans le moteur graphique WINDOWS qui avait donné lieu à une alerte du CERTA (Centre d’Expertise gouvernemental de Réponse et traitement des Attaques informatiques) publiée le 28 décembre 2005 et avant que MICROSOFT y remédie le 5 janvier 2006 ;
Monsieur X… Y…. était entendu le 14 mars 2006.
Il indiquait que son travail consistait à informer ses clients de la découverte de menaces pouvant affecter leurs systèmes d’informations et que pour cela il effectuait une veille sur internet, collectant et analysant quotidiennement les informations et les exploits publiés par les éditeurs et les chercheurs en sécurité informatique. Il indiquait tester les données recueillies et les publier sur son site web qui était en ligne depuis deux ans, et ce dans le but à la fois de permettre aux administrateurs et aux responsables informatiques de tester la sécurité de leurs systèmes et d’informer et sensibiliser la communauté de la sécurité informatique aux risques réels encourus.
Il indiquait avoir contacté MICROSOFT sur son adresse e-mail aux USA afin de les prévenir de l’exploit le concernant et avoir procédé à plusieurs reprises de la sorte, les contactant à cette adresse sans procéder à une publication , ce qui lui avait valu les remerciements officiels de la société sur le site de MICROSOFT.
Il indiquait n’avoir aucun intérêt à la publication des exploits et ne pas avoir réalisé la portée de ses actes, pensant avoir agi pour le bien de la sécurité informatique, disant néanmoins se rendre compte qu’il aurait dû rendre privé l’accès à ces exploits.

L’épouse de Monsieur X… Y…., qui aidait son mari dans la comptabilité de la société, était entendue le 14 mars 2006 (D21). Il résulte de son audition que les revenus financiers de la société XYZ provenaient de deux sources, la régie publicitaire, et le service de veille. D’une part la société louait de l’espace sur les pages web du site ….COM à deux sociétés de régie publicitaire qui leur trouvaient des annonceurs en fonction des centres d’intérêt des visiteurs du site, les revenus financiers ainsi générés par la publicité était estimée par son épouse de 30.000 à 40.000 € en 2005 correspondant à 15.000 visiteurs par jour. D’autre part monsieur X… Y…. avait mis en place un service de veille qui proposait des abonnements annuels aux sociétés qui désiraient recevoir des informations sur les failles potentielles, ce service consistant à envoyer des bulletins d’alerte en temps réel et à proposer des correctifs aux abonnés dont le nombre était estimé par son épouse à une dizaine.

Mis en examen, et entendu par le magistrat instructeur le 28 août 2006, Monsieur X… Y…. s’engageait à cesser la publication des failles et exploits sur son site, limitant la diffusion de ces programmes à une clientèle d’abonnés par un accès spécifique. Il faisait remarquer au magistrat que la partie publique du site constituant sa vitrine, en diffusant à la fois les failles et les exploits testés et avalisés, il avait un site complet ce qui démontrait les compétences de sa société.

PRETENTIONS DES PARTIES

Le Ministère Public requiert l’infirmation du jugement en ce que monsieur X… Y…. ne peut justifier d’un motif légitime à la diffusion de procédés permettant des atteintes aux systèmes de traitement automatisé des données. Il demande en conséquence que le prévenu soit reconnu coupable de l’infraction poursuivie et qu’il soit condamné à une amende délictuelle de 1.000 €.
Monsieur X… Y…. demande la confirmation de la relaxe au motif qu’il a diffusé des failles de sécurité pour un motif légitime, celui d’informer et sensibiliser le public et les professionnels concernés aux problèmes de sécurité informatique et permettre à ces derniers d’y remédier. Il veut pour preuve de sa bonne foi le fait qu’il ait été remercié par des sociétés comme MICROSOFT et ADOBE dans cette démarche.

MOTIFS DE LA DÉCISION

Attendu que le tribunal correctionnel a relaxé Monsieur X… Y…. au motif qu’il est établi que le site www…..com n’incitait en aucune façon à l’utilisation de ces codes à des fins malveillantes ou de piratage informatique, que la seule intention qui ait animé X… Y…. est un souci d’information des menaces existantes non corrigées à destination des utilisateurs de programmes informatiques, qu’il justifie d’ailleurs en avoir été remercié par MICROSOFT, aucune intention délictueuse n’est établie ;
Mais attendu que l’article 323-3-1 du code pénal réprime le fait sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données, sans que le texte n’exige que soit caractérisée une incitation à l’utilisation d’un tel système ;
Attendu que s’agissant du motif légitime exonératoire, la Cour estime que monsieur X… Y…. ne peut valablement arguer d’un motif légitime tiré de la volonté d’information dès lors que par la mise en place d’un service de veille destiné à des abonnés et par la communication d’informations d’alerte directement à MICROSOFT à son adresse email, monsieur X… Y…. a fait la preuve de ce qu’il connaissait les dispositifs permettant de concilier le souci d’information avec la nécessaire confidentialité de ce type d’informations, étant précisé que monsieur X… Y…., selon ses propres déclarations, n’a pas été remercié par MICROSOFT pour avoir publié sur le site web les exploits le concernant mais pour l’avoir avisé directement à son adresse mail des failles existantes ;

Attendu que s’agissant de l’élément intentionnel de l’infraction, monsieur X… Y…. ne peut arguer de sa bonne foi alors que la fréquentation de son site par un public tout venant lui procurait des revenus publicitaires adossés au nombre de visiteurs, qu’en conséquence il est établi qu’il avait un intérêt économique à la diffusion d’informations dont il ne pouvait ignorer, du fait de son expertise en cette matière et de ses antécédents judiciaires, qu’elles présentaient un risque d’utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance ;
Attendu qu’il y a lieu en conséquence d’infirmer le jugement déféré et de déclarer monsieur X… Y…. coupable de l’infraction poursuivie ;
Attendu que sur la peine, la Cour constate que monsieur X… Y…. a développé son activité de conseil en matière de sécurité informatique, qu’eu égard à sa personnalité et à sa progression professionnelle, il y a lieu d’être modéré dans la répression et de le condamner à une peine d’amende de 1.000 €.
 

PAR CES MOTIFS

LA COUR statuant publiquement, par arrêt contradictoire à l’égard de Monsieur X… Y…., en matière correctionnelle, après en avoir délibéré conformément à la loi,

EN LA FORME,

Reçoit l’appel du Ministère Public,

AU FOND,
Infirme le jugement sur l’action publique ;
Statuant à nouveau de ce chef, déclare le prévenu coupable des faits qui lui sont reprochés et en répression le condamne à la peine de 1.000 € d’amende.
Le condamné est informé par le présent arrêt que le montant de l’amende sera diminué de 20 %, sans que cette diminution puisse excéder 1.500 €, s’il s’en acquitte dans le délai d’un mois à compter du prononcé du présent arrêt.
Dit que le condamné sera soumis au paiement du droit fixe de procédure d’un montant de 120 Euros prévu par l’article 1018 A du Code Général des Impôts.
Le tout conformément aux articles visés au jugement et au présent arrêt et aux articles 512 et suivants du code de procédure pénale.

Ainsi jugé et prononcé à l’audience publique les jours, mois et an susdits ; le présent arrêt a été signé par la Présidente et le greffier présents lors de son prononcé.

Un message, un commentaire ?
modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message