Piratage informatique dans une société

Cas concret : une affaire judiciaire mais aussi économique

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Philippe LAURIER

Mafias des pays de l’Est, petits génies du cla­vier, dji­ha­distes… notre repré­sen­ta­tion ima­gée du pirate infor­ma­tique tient à la fois de la cri­mi­no­lo­gie et de la mytho­lo­gie. Loin du roma­nesque de cette repré­sen­ta­tion, la pré­sen­ta­tion d’un cas concret de pira­tage infor­ma­tique per­met de repla­cer les choses à leur juste proportion.

Un coup de pro­jec­teur sur la face cachée du pira­tage infor­ma­tique est appor­té par une récente affaire, qui s’est sol­dée par une faillite d’entreprise fran­çaise et a conduit au chô­mage la majo­ri­té de ses employés, c’est-à-dire près de soixante au moment de sa liqui­da­tion judi­ciaire. Un matin de 2014, les infor­ma­ti­ciens de cette PME inter­ve­nant dans le mar­ke­ting direct constatent une intru­sion sur son sys­tème d’information, avec copie frau­du­leuse de volu­mi­neux fichiers de don­nées nomi­na­tives confiés par un gros client pour exé­cu­tion d’une tâche (quoique la liste des OIV – opé­ra­teurs d’importance vitale – ne soit pas publique, ce client sera dési­gné ici par ce titre). Elle porte plainte et pré­vient ce client, lequel en informe sa propre clien­tèle, dans un effet boule de neige qui média­tise l’affaire, au-delà peut-on pen­ser de ce que jus­ti­fie­rait la valeur intrin­sèque des don­nées seule­ment consti­tuées de noms et adresses. Appli­quant sa poli­tique de sécu­ri­té de manière dra­co­nienne, l’OIV engage la rup­ture du contrat de pres­ta­tion qui le lie à la PME, perte majeure pour cette der­nière, ajou­tée à l’impact de noto­rié­té contre son image de marque, qui l’asphyxie com­mer­cia­le­ment et la mène irré­mé­dia­ble­ment au dépôt de bilan.


REPÈRES

La foca­li­sa­tion sur des évé­ne­ments osten­sibles, pla­cés au centre de la scène, laisse en cou­lisses trois types d’attaque moins per­cep­tibles. Tout d’abord elle minore l’activisme des très gros acteurs d’État en matière d’interception ou de péné­tra­tion infor­ma­tique. De fait, il est plus aisé et moins détec­table de pas­ser à l’acte, pour qui est concep­teur et ven­deur de l’électronique ou des logi­ciels déployés chez les vic­times. Consi­dé­ra­tion qui replace les USA et la Chine dans le groupe de tête des sus­pects. Ensuite le décompte sous-estime-t-il l’espionnage infor­ma­tique, infi­ni­ment plus dis­cret par nature que le hame­çon­nage ou les ran­çon­gi­ciels dont la voca­tion est de prendre contact avec la victime.
Enfin pri­vi­lé­gie-t-elle de loin­taines ori­gines, mys­té­rieuses et sul­fu­reuses, cer­tai­ne­ment fourbes et cruelles, alors que l’Orient, qui certes abrite bien des pirates, sert aus­si de pivot pour des attaques par rebond dont l’origine nous est par­fois voi­sine (concur­rent, ancien employé…). Addi­tion de ces deux der­nières faces, l’espionnage de proxi­mi­té s’en trouve gom­mé, pas vu pas pris, pas tra­cé pas loca­li­sé ; et avec lui ses préjudices. 


Une enquête rondement menée

Une enquête de police consé­cu­tive au dépôt de plainte a abou­ti, résul­tat rare et pré­cieux, à iden­ti­fier un auteur de l’attaque, situé en France éga­le­ment, en la per­sonne d’un cadre d’une socié­té – filiale d’un grand groupe étran­ger – par ailleurs concur­rente de l’entreprise pira­tée, notam­ment lors d’un appel d’offres en cours. Lequel cadre a recon­nu les faits, plai­dé cou­pable selon la récente pro­cé­dure ins­crite dans le droit fran­çais de « com­pa­ru­tion sur recon­nais­sance préa­lable de culpa­bi­li­té » et a été condam­né, mais lui sans guère de publi­ci­té faute de pro­cès public (par un para­doxe mor­tel pour l’innocent, la faille tech­nique du pira­té a été média­ti­sée urbi et orbi, tan­dis que la faute inten­tion­nelle du pirate l’a peu été). L’employeur et l’employé affir­me­ront aux enquê­teurs qu’il s’agit d’une ini­tia­tive spon­ta­née du second ; point qui demeure l’objet d’interrogations, puisqu’il tend à exo­né­rer le pre­mier de cer­taines consé­quences juri­diques de tels actes.

Quelle est la qualification des faits ? 

La qua­li­fi­ca­tion des faits s’entend non pas d’un seul point de vue juri­dique mais éga­le­ment d’un point de vue éco­no­mique et éthique. Étran­ge­ment la jus­tice a rete­nu à décharge le fait que les don­nées copiées n’avaient pas été uti­li­sées par le pirate, pour atté­nuer la sanc­tion encou­rue. Étran­ge­té car, d’une part, cette inuti­li­sa­tion n’a pu s’apprécier que sur le laps de temps tron­qué qui sépare le délit et l’interpellation par la police ; d’autre part le pre­mier pré­ju­dice ne réside pas dans l’usage ou non de don­nées volées, mais dans la poten­tia­li­té de cet usage, qui oblige la vic­time à se com­por­ter en fonc­tion de cette hypo­thèse la pire, c’est-à-dire ici pré­ve­nir sa clien­tèle de la perte de confi­den­tia­li­té de leurs don­nées donc se por­ter gra­ve­ment tort en matière d’image et de répu­ta­tion. Le tort résulte du vol en soi, même sans usage. Il y aurait d’autre part, venant d’un voleur de don­nées, beau­coup de naï­ve­té à uti­li­ser com­mer­cia­le­ment et sous sa marque des fichiers d’adresses après s’en être emparé.

Sans néces­si­té d’utiliser sous son iden­ti­té de telles don­nées, le copieur de fichiers détient de la dyna­mite en ce qu’il se trouve en mesure de faire savoir ano­ny­me­ment à l’OIV les fai­blesses infor­ma­tiques de son sous-trai­tant au cas où celui-ci omet­trait de le pré­ve­nir du pira­tage (et de dévoi­ler en outre l’existence d’une telle réten­tion d’information), puis de la révé­ler aux clients de l’OIV si ce der­nier oubliait de les pré­ve­nir. Ce qu’il a cap­té devient une arme, dont la puis­sance obli­ge­ra A à infor­mer B, puis B à infor­mer C : le pira­tage, par sa seule per­pé­tra­tion, déclenche une méca­nique infer­nale capable de rui­ner la répu­ta­tion infor­ma­tique du pira­té. Tout autant, à l’heure du big data, du KYC (l’art de connaître sa clien­tèle au-delà sou­vent de ce qu’elle croit) et de l’intelligence arti­fi­cielle, dis­po­ser de fichiers de cen­taines de mil­liers de clients, même sans en faire de manière active un outil de démar­chage, pro­cure des infor­ma­tions de pre­mier choix pour pré­pa­rer du géo­mar­ke­ting ou mener des ana­lyses sur la qua­li­té de ces don­nées, et aider à mieux pro­fi­ler à la fois celui qui a fabri­qué cette base de don­nées et ceux qui s’y trouvent cités.

La duplication d’un fichier est-elle un vol ? 

À un niveau plus concep­tuel, la jus­tice s’est long­temps par­ta­gée sur la ques­tion de savoir s’il y avait ou non vol, s’agissant de don­nées infor­ma­tiques qui n’ont pas été sous­traites mais dupli­quées. Or un paral­lèle simple existe avec une camé­ra cachée qui pho­to­gra­phie­rait tel plan confi­den­tiel de réac­teur, com­por­te­ment carac­té­ris­tique de ce que l’homme de la rue qua­li­fie­ra d’espionnage indus­triel plu­tôt que de vol, a for­tio­ri si la com­mis­sion de l’acte est ren­for­cée par le sta­tut de l’auteur, à savoir un concur­rent. Dif­fé­rente est la juris­pru­dence dite Blue­touff en 2015, qui certes a vu la Cour de cas­sa­tion consa­crer la notion de vol de fichier infor­ma­tique lorsqu’il y a copie même sans des­truc­tion, effec­tuée subrep­ti­ce­ment sur le sys­tème d’information d’autrui, mais où l’accusé rele­vait d’un pro­fil assez proche d’un lan­ceur d’alerte sur des dos­siers de san­té publique, et non pas de celui d’un concur­rent. Le droit amé­ri­cain a accru, notam­ment depuis l’Eco­no­mic Espio­nage Act de 1996, sa pré­dis­po­si­tion à mettre en appli­ca­tion l’accusation d’espionnage ou de concur­rence déloyale. Il l’a fait à outrance et s’en sert comme d’un levier géo­po­li­tique ; a contra­rio la pug­na­ci­té amé­ri­caine révèle la timi­di­té de nos propres dis­po­si­tions, avec un code pénal hési­tant à recon­naître cette notion d’espionnage industriel. 

L’intérêt de la pré­sente affaire est de dépas­ser le stade des inter­ro­ga­tions sur une éven­tuelle qua­li­fi­ca­tion d’espionnage indus­triel – l’acte en soi –, car elle aide à mesu­rer les consé­quences d’un tel acte et à réflé­chir au degré de cau­sa­li­té : la consé­quence a‑t-elle été for­tuite ? Ici la vic­time dis­po­sait des moyens de pro­tec­tion nor­maux per­met­tant de détec­ter l’intrusion adve­nue, à la suite de quoi elle ne pou­vait pas, déon­to­lo­gi­que­ment voire juri­di­que­ment, s’abstraire d’informer son client OIV, infor­ma­tion qui a pré­ci­pi­té qua­si méca­ni­que­ment la perte d’un contrat vital, puis sa faillite. Les rouages, une fois engre­nés, ont fait suivre à l’événement un par­cours logique. Jusqu’à quel point un pirate peut-il invo­quer l’imprévisibilité de cette cas­cade de consé­quences, dès lors qu’elles entraient dans le champ des pos­sibles, et de sur­croît par un scé­na­rio d’une plau­si­bi­li­té suf­fi­sante pour en appe­ler à son éthique per­son­nelle ? L’unique maillon de cet enchaî­ne­ment tout à fait inha­bi­tuel au regard des sta­tis­tiques judi­ciaires a été l’identification de l’auteur, œuvre de poli­ciers spécialisés.

“Le piratage, par sa seule perpétration,
déclenche une mécanique infernale.”

Quel recensement des dommages ?

Tou­jours par réfé­rence aux États-Unis, l’Advo­ca­cy Cen­ter, ins­tance char­gée de rece­voir les doléances de leurs entre­prises pour ce qu’elles consi­dèrent être des agis­se­ments de concur­rence déloyale étran­gère, a eu dès ses ori­gines l’habitude de publier un rap­port annuel indi­quant le nombre d’emplois et de contrats com­mer­ciaux sau­vés par le sou­tien appor­té aux plai­gnants. Or pareil bilan mais ici de non-assis­tance enre­gis­tre­rait au contraire une entre­prise défunte, plus d’une cen­taine d’emplois dis­pa­rus (en comp­tant les emplois induits) avec une déper­di­tion du savoir-faire indus­triel, des taxes que ne per­ce­vront plus les col­lec­ti­vi­tés locales, donc des coupes bud­gé­taires. Au-delà de ce pre­mier recen­se­ment appa­raît le fait que l’entreprise morte finan­çait à cette époque des inno­va­tions et un pro­gramme de R & D – sou­te­nus par un fonds d’investissement régio­nal – dans le domaine du numé­rique, aptes à faire fran­chir un saut qua­li­ta­tif à son por­te­feuille de ser­vices. Un autre seuil fran­chi, mais à la baisse, tient à l’aggravation de fra­gi­li­té de l’écosystème local, en l’occurrence un bas­sin d’emploi déjà tou­ché par la dés­in­dus­tria­li­sa­tion et où l’entreprise pira­tée fai­sait jusqu’alors figure d’espoir. Un pirate peut-il s’exonérer des consé­quences socio-éco­no­miques de son acte, lorsqu’elles sont envi­sa­geables ex ante ?

Et l’éthique, dans tout ça ? 

De l’éthique per­son­nelle à celle d’un col­lec­tif, il serait à deman­der à l’entreprise mul­ti­na­tio­nale ayant décla­ré avoir tout igno­ré du pira­tage, pour­tant mené par un de ses cadres, si tout au moins l’ambiance interne et l’atteinte des objec­tifs com­mer­ciaux atten­due de son per­son­nel n’ont pas pri­mé dans les esprits sur des consi­dé­ra­tions de ver­tu. Un tel sujet dépasse la que­relle de savoir si elle se consi­dère juri­di­que­ment cou­pable, puisqu’elle clame l’ignorance, mais il oblige à se deman­der si elle s’estime mora­le­ment et pécu­niai­re­ment impli­quée par les consé­quences sociales de ce qui a été com­mis par un de ses sala­riés contre un de ses concur­rents. Se consi­dère-t-elle vic­time elle aus­si de son employé ? Et à qui doivent incom­ber les torts à répa­rer, le coût des chô­meurs, les manques à gagner pour les col­lec­ti­vi­tés locales, la perte pour les investisseurs ?

Enfin, la liste des vic­times s’allonge encore car le savoir-faire déployé par le pirate n’est guère décon­nec­table de sa for­ma­tion d’origine, en l’occurrence ingé­nieur d’une école qui nous est chère, puis d’une école d’application qui ne l’est pas moins. Cette col­lé­gia­li­té souffre un peu, sou­ri­ra-t-on, de ce que ce pirate ait été mal­adroit ou mau­vais élève en infor­ma­tique au point de mener à lui les poli­ciers, mais elle souffre bien davan­tage de ce que le ciment com­mun bâti autour d’une éthique deux fois cen­te­naire subisse de telles lézardes.

Pareille situa­tion mène à deman­der si les cur­sus d’informatique dans l’enseignement supé­rieur pour­ront demeu­rer sans leur néces­saire pen­dant éthique et juri­dique : l’emploi fait de cet outil sus­cep­tible de deve­nir une arme contre autrui est aus­si affaire de citoyen­ne­té. Arme, car un simple ordi­na­teur se montre capable, à coût infime, de pro­vo­quer des pré­ju­dices sans com­mune mesure, en tout lieu sur la pla­nète. Rare­ment dans l’histoire la capa­ci­té à nuire à la liber­té, à l’intégrité, à l’intimité ou à la répu­ta­tion de nos contem­po­rains n’a été por­tée à un point aus­si éle­vé, par des équi­pe­ments dont l’ingénieur est sou­vent concep­teur ou uti­li­sa­teur, dès lors confron­té à ses res­pon­sa­bi­li­tés et à sa propre morale. La dis­pro­por­tion entre le moyen numé­rique et sa consé­quence pos­sible méri­te­rait d’être ensei­gnée et réfléchie.

Poster un commentaire