Contrer les atteintes du système d'information

09/02/2007 à 00h00

Les entreprises sont de plus en plus nombreuses à porter plainte. Une stratégie payante car, la plupart du temps, les procédures aboutissent, et l'auteur des délits est identifié.

Un danger bien réel

L'attaque de phishing dont a été victime le site sncf.com à la mi-janvier, et les intrusions illicites sur les systèmes informatiques de diverses entreprises et organismes gouvernementaux (dont le ministère de l'Ecologie et de l'Agriculture) en juin 2006^(*) montrent que la menace criminelle d'intrusion informatique devient une réalité quotidienne, dont les conséquences peuvent être d'une extrême gravité.Dans l'affaire des intrusions illicites sur des serveurs gouvernementaux, le pirate (hacker) a pris le contrôle du serveur d'une société, à partir duquel il a lancé des attaques systématiques vers des centaines de sites gouvernementaux pour, dit-il, ' explorer leurs failles '. Pour cela, il a introduit divers programmes dans le serveur, en particulier un outil d'administration à distance appelé Dameware, l'autorisant à contrôler le serveur à distance, et le scruteur de vulnérabilités SSS (Shadow Security Scanner), un logiciel commercial capable de tester plus de 1 200 vulnérabilités. Le pirate a ensuite introduit la liste des cibles choisies, ainsi que sa revendication, et un message d'alerte aux administrateurs sur l'insécurité de leur système. Au total, pas moins de 394 serveurs gouvernementaux (dont celui du Casier judiciaire national) ont été attaqués, ainsi que 63 autres serveurs publics ou privés (des sites d'entreprises ou de grandes écoles).

La réponse de la loi

La ligne de défense du hacker consistait à affirmer que son unique but était d'alerter les administrateurs sur des failles de sécurité. Il a été condamné par le tribunal correctionnel de Paris au titre de la loi Godfrain sur la fraude informatique (notamment, accès frauduleux et entrave au fonctionnement d'un Stad (système de traitement automatisé de données) à quatre mois d'emprisonnement avec sursis, ainsi qu'à l'indemnisation des parties civiles à hauteur de 1 500 euros chacune. Le tribunal, faisant preuve d'une certaine exemplarité, a de même refusé la demande du prévenu de non-inscription de la décision sur son casier judiciaire. Cette décision illustre la capacité des tribunaux à apporter une véritable réponse judiciaire à ce type de criminalité ; elle doit inciter les entreprises victimes à porter plainte pour être indemnisées.(*) TGI Paris, 12^e ch., 2 juin 2006, Minist. Public, Minist. de l'Ecologie et de l'Agriculture.

À retenir

La procédure pénale française accorde à la victime un rôle majeur dans l'enquête pénale : plus elle sera acteur de la procédure, plus elle aura donc de chances de voir aboutir sa plainte. Ceci est d'autant plus vrai en matière d'atteinte aux systèmes d'information, car c'est un domaine où les victimes disposent de vrais moyens juridiques pour faciliter la prévention et la répression des infractions.
Parmi ces moyens, les requêtes de recherches aident, grâce à des investigations techniques, à identifier rapidement et efficacement les auteurs des attaques en remontant aux ordinateurs qui en sont à lorigine.
Les expertises menées par les services spécialisés sont en mesure de localiser très rapidement les attaques et de remonter aux ordinateurs qui en contiennent des traces précises.

Alain Bensoussan

Votre opinion