Piratage informatique dans une société

Cas concret : une affaire judiciaire mais aussi économique

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Philippe LAURIER

Mafias des pays de l’Est, petits génies du clavier, dji­hadistes… notre représen­ta­tion imagée du pirate infor­ma­tique tient à la fois de la crim­i­nolo­gie et de la mytholo­gie. Loin du romanesque de cette représen­ta­tion, la présen­ta­tion d’un cas con­cret de piratage infor­ma­tique per­met de replac­er les choses à leur juste proportion.

Un coup de pro­jecteur sur la face cachée du piratage infor­ma­tique est apporté par une récente affaire, qui s’est sol­dée par une fail­lite d’entreprise française et a con­duit au chô­mage la majorité de ses employés, c’est-à-dire près de soix­ante au moment de sa liq­ui­da­tion judi­ci­aire. Un matin de 2014, les infor­mati­ciens de cette PME inter­venant dans le mar­ket­ing direct con­sta­tent une intru­sion sur son sys­tème d’information, avec copie fraud­uleuse de volu­mineux fichiers de don­nées nom­i­na­tives con­fiés par un gros client pour exé­cu­tion d’une tâche (quoique la liste des OIV – opéra­teurs d’importance vitale – ne soit pas publique, ce client sera désigné ici par ce titre). Elle porte plainte et prévient ce client, lequel en informe sa pro­pre clien­tèle, dans un effet boule de neige qui médi­a­tise l’affaire, au-delà peut-on penser de ce que jus­ti­fierait la valeur intrin­sèque des don­nées seule­ment con­sti­tuées de noms et adress­es. Appli­quant sa poli­tique de sécu­rité de manière dra­coni­enne, l’OIV engage la rup­ture du con­trat de presta­tion qui le lie à la PME, perte majeure pour cette dernière, ajoutée à l’impact de notoriété con­tre son image de mar­que, qui l’asphyxie com­mer­ciale­ment et la mène irrémé­di­a­ble­ment au dépôt de bilan.


REPÈRES

La focal­i­sa­tion sur des événe­ments osten­si­bles, placés au cen­tre de la scène, laisse en couliss­es trois types d’attaque moins per­cep­ti­bles. Tout d’abord elle minore l’activisme des très gros acteurs d’État en matière d’interception ou de péné­tra­tion infor­ma­tique. De fait, il est plus aisé et moins détectable de pass­er à l’acte, pour qui est con­cep­teur et vendeur de l’électronique ou des logi­ciels déployés chez les vic­times. Con­sid­éra­tion qui replace les USA et la Chine dans le groupe de tête des sus­pects. Ensuite le décompte sous-estime-t-il l’espionnage infor­ma­tique, infin­i­ment plus dis­cret par nature que le hameçon­nage ou les rançongi­ciels dont la voca­tion est de pren­dre con­tact avec la victime.
Enfin priv­ilégie-t-elle de loin­taines orig­ines, mys­térieuses et sul­fureuses, cer­taine­ment fourbes et cru­elles, alors que l’Orient, qui certes abrite bien des pirates, sert aus­si de piv­ot pour des attaques par rebond dont l’origine nous est par­fois voi­sine (con­cur­rent, ancien employé…). Addi­tion de ces deux dernières faces, l’espionnage de prox­im­ité s’en trou­ve gom­mé, pas vu pas pris, pas tracé pas local­isé ; et avec lui ses préjudices. 


Une enquête rondement menée

Une enquête de police con­séc­u­tive au dépôt de plainte a abouti, résul­tat rare et pré­cieux, à iden­ti­fi­er un auteur de l’attaque, situé en France égale­ment, en la per­son­ne d’un cadre d’une société – fil­iale d’un grand groupe étranger – par ailleurs con­cur­rente de l’entreprise piratée, notam­ment lors d’un appel d’offres en cours. Lequel cadre a recon­nu les faits, plaidé coupable selon la récente procé­dure inscrite dans le droit français de « com­paru­tion sur recon­nais­sance préal­able de cul­pa­bil­ité » et a été con­damné, mais lui sans guère de pub­lic­ité faute de procès pub­lic (par un para­doxe mor­tel pour l’innocent, la faille tech­nique du piraté a été médi­atisée urbi et orbi, tan­dis que la faute inten­tion­nelle du pirate l’a peu été). L’employeur et l’employé affirmeront aux enquê­teurs qu’il s’agit d’une ini­tia­tive spon­tanée du sec­ond ; point qui demeure l’objet d’interrogations, puisqu’il tend à exonér­er le pre­mier de cer­taines con­séquences juridiques de tels actes.

Quelle est la qualification des faits ? 

La qual­i­fi­ca­tion des faits s’entend non pas d’un seul point de vue juridique mais égale­ment d’un point de vue économique et éthique. Étrange­ment la jus­tice a retenu à décharge le fait que les don­nées copiées n’avaient pas été util­isées par le pirate, pour atténuer la sanc­tion encou­rue. Étrangeté car, d’une part, cette inutil­i­sa­tion n’a pu s’apprécier que sur le laps de temps tron­qué qui sépare le délit et l’interpellation par la police ; d’autre part le pre­mier préju­dice ne réside pas dans l’usage ou non de don­nées volées, mais dans la poten­tial­ité de cet usage, qui oblige la vic­time à se com­porter en fonc­tion de cette hypothèse la pire, c’est-à-dire ici prévenir sa clien­tèle de la perte de con­fi­den­tial­ité de leurs don­nées donc se porter grave­ment tort en matière d’image et de répu­ta­tion. Le tort résulte du vol en soi, même sans usage. Il y aurait d’autre part, venant d’un voleur de don­nées, beau­coup de naïveté à utilis­er com­mer­ciale­ment et sous sa mar­que des fichiers d’adresses après s’en être emparé.

Sans néces­sité d’utiliser sous son iden­tité de telles don­nées, le copieur de fichiers détient de la dyna­mite en ce qu’il se trou­ve en mesure de faire savoir anonymement à l’OIV les faib­less­es infor­ma­tiques de son sous-trai­tant au cas où celui-ci omet­trait de le prévenir du piratage (et de dévoil­er en out­re l’existence d’une telle réten­tion d’information), puis de la révéler aux clients de l’OIV si ce dernier oubli­ait de les prévenir. Ce qu’il a cap­té devient une arme, dont la puis­sance oblig­era A à informer B, puis B à informer C : le piratage, par sa seule per­pé­tra­tion, déclenche une mécanique infer­nale capa­ble de ruin­er la répu­ta­tion infor­ma­tique du piraté. Tout autant, à l’heure du big data, du KYC (l’art de con­naître sa clien­tèle au-delà sou­vent de ce qu’elle croit) et de l’intelligence arti­fi­cielle, dis­pos­er de fichiers de cen­taines de mil­liers de clients, même sans en faire de manière active un out­il de démar­chage, pro­cure des infor­ma­tions de pre­mier choix pour pré­par­er du géo­mar­ket­ing ou men­er des analy­ses sur la qual­ité de ces don­nées, et aider à mieux pro­fil­er à la fois celui qui a fab­riqué cette base de don­nées et ceux qui s’y trou­vent cités.

La duplication d’un fichier est-elle un vol ? 

À un niveau plus con­ceptuel, la jus­tice s’est longtemps partagée sur la ques­tion de savoir s’il y avait ou non vol, s’agissant de don­nées infor­ma­tiques qui n’ont pas été sous­traites mais dupliquées. Or un par­al­lèle sim­ple existe avec une caméra cachée qui pho­togra­phierait tel plan con­fi­den­tiel de réac­teur, com­porte­ment car­ac­téris­tique de ce que l’homme de la rue qual­i­fiera d’espionnage indus­triel plutôt que de vol, a for­tiori si la com­mis­sion de l’acte est ren­for­cée par le statut de l’auteur, à savoir un con­cur­rent. Dif­férente est la jurispru­dence dite Blue­touff en 2015, qui certes a vu la Cour de cas­sa­tion con­sacr­er la notion de vol de fichi­er infor­ma­tique lorsqu’il y a copie même sans destruc­tion, effec­tuée sub­rep­tice­ment sur le sys­tème d’information d’autrui, mais où l’accusé rel­e­vait d’un pro­fil assez proche d’un lanceur d’alerte sur des dossiers de san­té publique, et non pas de celui d’un con­cur­rent. Le droit améri­cain a accru, notam­ment depuis l’Eco­nom­ic Espi­onage Act de 1996, sa prédis­po­si­tion à met­tre en appli­ca­tion l’accusation d’espionnage ou de con­cur­rence déloyale. Il l’a fait à out­rance et s’en sert comme d’un levi­er géopoli­tique ; a con­trario la pugnac­ité améri­caine révèle la timid­ité de nos pro­pres dis­po­si­tions, avec un code pénal hési­tant à recon­naître cette notion d’espionnage industriel. 

L’intérêt de la présente affaire est de dépass­er le stade des inter­ro­ga­tions sur une éventuelle qual­i­fi­ca­tion d’espionnage indus­triel – l’acte en soi –, car elle aide à mesur­er les con­séquences d’un tel acte et à réfléchir au degré de causal­ité : la con­séquence a‑t-elle été for­tu­ite ? Ici la vic­time dis­po­sait des moyens de pro­tec­tion nor­maux per­me­t­tant de détecter l’intrusion adv­enue, à la suite de quoi elle ne pou­vait pas, déon­tologique­ment voire juridique­ment, s’abstraire d’informer son client OIV, infor­ma­tion qui a pré­cip­ité qua­si mécanique­ment la perte d’un con­trat vital, puis sa fail­lite. Les rouages, une fois engrenés, ont fait suiv­re à l’événement un par­cours logique. Jusqu’à quel point un pirate peut-il invo­quer l’imprévisibilité de cette cas­cade de con­séquences, dès lors qu’elles entraient dans le champ des pos­si­bles, et de sur­croît par un scé­nario d’une plau­si­bil­ité suff­isante pour en appel­er à son éthique per­son­nelle ? L’unique mail­lon de cet enchaîne­ment tout à fait inhab­ituel au regard des sta­tis­tiques judi­ci­aires a été l’identification de l’auteur, œuvre de policiers spécialisés.

“Le piratage, par sa seule perpétration,
déclenche une mécanique infernale.”

Quel recensement des dommages ?

Tou­jours par référence aux États-Unis, l’Advo­ca­cy Cen­ter, instance chargée de recevoir les doléances de leurs entre­pris­es pour ce qu’elles con­sid­èrent être des agisse­ments de con­cur­rence déloyale étrangère, a eu dès ses orig­ines l’habitude de pub­li­er un rap­port annuel indi­quant le nom­bre d’emplois et de con­trats com­mer­ci­aux sauvés par le sou­tien apporté aux plaig­nants. Or pareil bilan mais ici de non-assis­tance enreg­istr­erait au con­traire une entre­prise défunte, plus d’une cen­taine d’emplois dis­parus (en comp­tant les emplois induits) avec une déperdi­tion du savoir-faire indus­triel, des tax­es que ne percevront plus les col­lec­tiv­ités locales, donc des coupes budgé­taires. Au-delà de ce pre­mier recense­ment appa­raît le fait que l’entreprise morte finançait à cette époque des inno­va­tions et un pro­gramme de R & D – soutenus par un fonds d’investissement région­al – dans le domaine du numérique, aptes à faire franchir un saut qual­i­tatif à son porte­feuille de ser­vices. Un autre seuil franchi, mais à la baisse, tient à l’aggravation de fragilité de l’écosystème local, en l’occurrence un bassin d’emploi déjà touché par la désin­dus­tri­al­i­sa­tion et où l’entreprise piratée fai­sait jusqu’alors fig­ure d’espoir. Un pirate peut-il s’exonérer des con­séquences socio-économiques de son acte, lorsqu’elles sont envis­age­ables ex ante ?

Et l’éthique, dans tout ça ? 

De l’éthique per­son­nelle à celle d’un col­lec­tif, il serait à deman­der à l’entreprise multi­na­tionale ayant déclaré avoir tout ignoré du piratage, pour­tant mené par un de ses cadres, si tout au moins l’ambiance interne et l’atteinte des objec­tifs com­mer­ci­aux atten­due de son per­son­nel n’ont pas primé dans les esprits sur des con­sid­éra­tions de ver­tu. Un tel sujet dépasse la querelle de savoir si elle se con­sid­ère juridique­ment coupable, puisqu’elle clame l’ignorance, mais il oblige à se deman­der si elle s’estime morale­ment et pécu­ni­aire­ment impliquée par les con­séquences sociales de ce qui a été com­mis par un de ses salariés con­tre un de ses con­cur­rents. Se con­sid­ère-t-elle vic­time elle aus­si de son employé ? Et à qui doivent incomber les torts à répar­er, le coût des chômeurs, les man­ques à gag­n­er pour les col­lec­tiv­ités locales, la perte pour les investisseurs ?

Enfin, la liste des vic­times s’allonge encore car le savoir-faire déployé par le pirate n’est guère décon­nectable de sa for­ma­tion d’origine, en l’occurrence ingénieur d’une école qui nous est chère, puis d’une école d’application qui ne l’est pas moins. Cette col­lé­gial­ité souf­fre un peu, souri­ra-t-on, de ce que ce pirate ait été mal­adroit ou mau­vais élève en infor­ma­tique au point de men­er à lui les policiers, mais elle souf­fre bien davan­tage de ce que le ciment com­mun bâti autour d’une éthique deux fois cen­te­naire subisse de telles lézardes.

Pareille sit­u­a­tion mène à deman­der si les cur­sus d’informatique dans l’enseignement supérieur pour­ront demeur­er sans leur néces­saire pen­dant éthique et juridique : l’emploi fait de cet out­il sus­cep­ti­ble de devenir une arme con­tre autrui est aus­si affaire de citoyen­neté. Arme, car un sim­ple ordi­na­teur se mon­tre capa­ble, à coût infime, de provo­quer des préju­dices sans com­mune mesure, en tout lieu sur la planète. Rarement dans l’histoire la capac­ité à nuire à la lib­erté, à l’intégrité, à l’intimité ou à la répu­ta­tion de nos con­tem­po­rains n’a été portée à un point aus­si élevé, par des équipements dont l’ingénieur est sou­vent con­cep­teur ou util­isa­teur, dès lors con­fron­té à ses respon­s­abil­ités et à sa pro­pre morale. La dis­pro­por­tion entre le moyen numérique et sa con­séquence pos­si­ble mérit­erait d’être enseignée et réfléchie.

Poster un commentaire