Inscrivez-vous gratuitement à la Newsletter BFM Business
Les entreprises sont de plus en plus nombreuses à porter plainte. Une stratégie payante car, la plupart du temps, les procédures aboutissent, et l'auteur des délits est identifié.
Un danger bien réel
L'attaque de phishing dont a été victime le site sncf.com à la mi-janvier, et les intrusions illicites sur les systèmes informatiques de diverses entreprises et organismes gouvernementaux (dont le ministère de l'Ecologie et de l'Agriculture) en juin 2006(*) montrent que la menace criminelle d'intrusion informatique devient une réalité quotidienne, dont les conséquences peuvent être d'une extrême gravité.Dans l'affaire des intrusions illicites sur des serveurs gouvernementaux, le pirate (hacker) a pris le contrôle du serveur d'une société, à partir duquel il a lancé des attaques systématiques vers des centaines de sites gouvernementaux pour, dit-il, ' explorer leurs failles '. Pour cela, il a introduit divers programmes dans le serveur, en particulier un outil d'administration à distance appelé Dameware, l'autorisant à contrôler le serveur à distance, et le scruteur de vulnérabilités SSS (Shadow Security Scanner), un logiciel commercial capable de tester plus de 1 200 vulnérabilités. Le pirate a ensuite introduit la liste des cibles choisies, ainsi que sa revendication, et un message d'alerte aux administrateurs sur l'insécurité de leur système. Au total, pas moins de 394 serveurs gouvernementaux (dont celui du Casier judiciaire national) ont été attaqués, ainsi que 63 autres serveurs publics ou privés (des sites d'entreprises ou de grandes écoles).
La réponse de la loi
La ligne de défense du hacker consistait à affirmer que son unique but était d'alerter les administrateurs sur des failles de sécurité. Il a été condamné par le tribunal correctionnel de Paris au titre de la loi Godfrain sur la fraude informatique (notamment, accès frauduleux et entrave au fonctionnement d'un Stad (système de traitement automatisé de données) à quatre mois d'emprisonnement avec sursis, ainsi qu'à l'indemnisation des parties civiles à hauteur de 1 500 euros chacune. Le tribunal, faisant preuve d'une certaine exemplarité, a de même refusé la demande du prévenu de non-inscription de la décision sur son casier judiciaire. Cette décision illustre la capacité des tribunaux à apporter une véritable réponse judiciaire à ce type de criminalité ; elle doit inciter les entreprises victimes à porter plainte pour être indemnisées.(*) TGI Paris, 12e ch., 2 juin 2006, Minist. Public, Minist. de l'Ecologie et de l'Agriculture.
Votre opinion