• Auteur : Christophe Espern
  • Date : 20 novembre 2004 (20 novembre 2004)
  • Licence : "Verbatim" link_license
  • Site : EUCD.INFO

La mauvaise réputation

Tout homme est presumé innocent jusqu’a ce qu’il ait été déclaré coupable. Dans le contexte très particulier de la LCEN, Loi pour la Confiance dans l’Économie Numérique, il semblerait bien que cette présomption d’innoncence soit quelque peu mise à mal...

Cet article est aussi l’occasion pour nous de mettre en lumière l’initiative EUCD.INFO autour de la défense de la copie privée.

« Graver ses propres compilations à partir de ses CD, extraire son morceau favori d’un disque pour l’écouter sur son ordinateur, transférer son contenu vers un baladeur MP3, ou encore dupliquer un DVD pour en disposer à la fois chez soi et dans sa maison de campagne : autant de pratiques très répandues, et parfaitement légales, que le gouvernement s’apprête à proscrire de fait. Le projet de loi sur le droit d’auteur rédigé par le ministère de la culture - qui doit être étudié par le Parlement à la rentrée 2004 - légitime en effet les dispositifs techniques installés par les éditeurs et les producteurs sur les CD et DVD pour en limiter la duplication. Surtout, il interdit de les faire sauter, menaçant ainsi directement la copie privée. »

La mauvaise réputation.
Ou quand savoir devient faire.
Sans motif légitime.

« Dada est un microbe vierge »
Tristan Tzara

La loi pour la confiance dans l’économie numérique (LCEN) a été publiée au Journal Officiel le 22 juin 2004. Loi liberticide pour les uns, simplement imparfaite pour les autres, la LCEN a déchaîné les passions pendant plus de dix-huit mois, dans et hors hémicycle. La création d’une nouvelle responsabilité pour les intermédiaires techniques a focalisé l’attention et déjà fait couler beaucoup d’encre [1]. La réserve d’inteprétation émise par le Conseil constitutionnel à ce sujet alimentera sans doute encore longtemps les chroniques juridiques.

Au regard du changement que constitue l’introduction d’une justice asymétrique sur Internet, [2] et des difficultés de mise en oeuvre qui en découlent, [3] tout cela est compréhensible. Il n’en reste pas moins qu’il existe une autre disposition de la LCEN, qui fut beaucoup moins médiatisée, mais dont l’impact pourrait être encore plus important, tout du moins pour les programmeurs français. Car, si l’article 6 de la LCEN introduit une obligation pour les intermédiaires techniques de juger du caractère « manifestement illicite » d’un contenu, l’article 46 de la LCEN transforme lui un grand nombre de logiciels en armes, et fait de tout utilisateur d’informatique personnelle un peu trop curieux un présumé coupable. [4]

En effet, à la suite à une adaptation très stricte [5] de l’article 6 de la Convention sur la cybercriminalité rédigée par le Conseil de l’Europe [6] et signée à Budapest en novembre 2001, notre code pénal héberge un nouvel article « L.123-3-1 ». Cet article prévoit que si une personne physique ou morale détient un moyen permettant de commettre une fraude informatique, « sans motif légitime », elle commet un délit pénal. Est considéré comme un moyen permettant la fraude informatique « un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés » pour commettre une fraude informatique. [7] Mais qu’est ce qu’un « motif légitime » ? Ce qui n’est pas « illégitime » certainement. Et nous ne sommes pas plus avancés ...

Résultat ? La charge de la preuve vient d’être renversée. Le Ministère Public n’a plus à apporter la preuve de votre implication dans une fraude informatique pour que soyez passible d’une des peines prévues pour la fraude informatique aux articles 323-1 à 323-3 du Code pénal en matière de fraude informatique. En clair, il n’a plus à démontrer que vous vous êtes introduit frauduleusement dans un système de traitement automatisé de données, ou que vous avez aidé intentionnellement un tiers à le faire. Il doit simplement apporter la preuve d’une détention de moyens « spécialement adaptés ». A vous ensuite de démontrer l’existence d’un « motif légitime ». La belle affaire. Savoir devient faire. La détention à domicile d’une tronçonneuse et d’un manuel de close-combat fait risquer coups et blessures.

Le citoyen français s’intéressant à la sécurité informatique, ayant donc sur son ordinateur quelques articles sur le sujet, [8] et détenant un ou deux codes sources permettant d’exploiter une faille de sécurité [9], peut dès lors être mis en examen, jugé puis condamné à une peine puvant aller jusqu’à cinq ans de prison et/ou 75 000 euros d’amende, et ce, même si rien ne prouve qu’il s’est rendu coupable de fraude informatique, ou qu’il en ait jamais eu l’intention. Il suffit simplement qu’il ait eu conscience du fait qu’il détenait ces outils [10], qu’il n’ait pas de « motif légitime » convaincant, et que ces outils soit jugés « spécialement adaptés » à la fraude.

Cette mesure est censée permettre de mieux lutter contre le trafic de moyens qui engendrerait un « marché noir » des « outils de piratage » [11]. Le risque de mise en examen et de condamnation augmente donc sensiblement si l’individu en question a déjà, ne serait-ce que, discuté devant témoins avec des programmeurs condamnés pour ou soupconnés de fraude informatique. A dire vrai, c’est mon cas. Et vous  ?

Si vous ne ne vous sentez pas concerné par cette mesure, et que vous ne souhaitez pas en faire les frais - ou si vous doutez qu’un juge d’instruction admette spontanément qu’un ordinateur hébergeant nmap, telnet et sadoor [12] n’est pas « spécialement adapté » pour commettre une fraude informatique, et qu’il est « légitime » que vous vous intéressiez à votre « sécurité informatique personnelle » [13] - je ne saurais trop vous conseiller de ne pas (ou de ne plus) chercher à comprendre ce qui se passe quand vous vous connectez à internet, et ce que l’on peut faire à distance de votre ordinateur, sauf si vous êtes militaire ou professionnel « accrédité » par le fournisseur du système d’exploitation vendu avec cet ordinateur. [14]

Par prudence, je vous déconseille tout autant de rechercher des failles de sécurité dans les programmes qui s’éxecutent sur ce système, ou de les auditer pour voir si ils respectent vos données personnelles. A titre préventif, je vous déconseille également de copier sur un baladeur Apple un fichier téléchargé sur le site de la FNAC, de lire un DVD Disney avec un logiciel libre, [15] ou tout simplement de me rencontrer.

Il semble en effet que je dispose d’un savoir à double tranchant - les textes diraient à double usage - sur mon disque dur, que j’ai des centres d’interêts à priori suspects, et certaines fréquentations malvenues, qui font « manifestement » de moi un délinquant informatique. Comme disait l’autre, j’ai mauvaise réputation. Demain, je serai contrefacteur. [16] Faites attention, il paraît que c’est contagieux.

Christophe Espern
(Initiative EUCD.INFO)

La reproduction exacte et la distribution intégrale de cet article sont permises sur n’importe quel support d’archivage, pourvu que cette notice soit préservée.

[1] « Faut-il créer un nouveau code d’erreur HTTP qui spécifie clairement le statut litigieux d’un site selon le FC agissant sur notification d’un tiers ? Sans ce nouveau code d’erreur, comment avertir les visiteurs d’habitude d’un site frappé d’une décision de retrait, qui auraient téléchargé des fichiers ou copié les pages web du site, qu’ils sont receleurs de contenus illégaux ? [...] Je propose dans la série des codes de redirection HTTP, le code 306 (contenu illégal retiré temporairement sur information d’un tiers), 307 (contenu illégal retiré définitivement sur décision de justice). » - La loi pour la confiance dans l’économie numérique - N. Chazot (http://nicolas.chazot.free.fr/len.htm)

[2] « Le dispositif de l’article 6 est structurellement asymétrique. [...] D’un côté une procédure directe entre personnes (physiques ou morales), de l’autre une action en justice. [...] Il est étonnant que le FC [Fournisseur de Contenu] ne soit pas tenu de saisir le propriétaire du contenu litigieux afin d’entendre ses arguments avant de couper la mise à disposition au public. Il est vrai que cela ressemblerait alors aux procédures contradictoires des tribunaux, or les hébergeurs ne sont pas des tribunaux. » - « La loi pour la confiance dans l’économie numérique » - N. Chazot (http://nicolas.chazot.free.fr/len.htm)

[3] « L’encadrement du commerce électronique par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique », JCP 2004, éd. G, act. 405 (« Principes généraux »)et 414 (« La publicité et les obligations souscrites par voie électronique »). Cyril Rojinsky et Guillaume Teissonnière

[4] « Art. 323-3-1. - Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. »

[5] Les Etats Membres n’avaient pas obligation de pénaliser la détention et pouvaient prévoir un nombre d’éléménts à détenir supérieur à « un » pour que soit engagée la responsabilité. Ces options n’ont pas été retenues par la France.

[6] La Convention sur la cyber-criminalité (http://conventions.coe.int/Treaty/f...)

[7] Depuis la loi Godfrain du 5 janvier 1988, le droit pénal français sanctionne notamment (i) l’accès, (ii) le maintien, et (iii) l’entrave à un système automatisé de traitement de données lorsqu’il a un caractère frauduleux.

[8] Par exemple : « Recherches de vulnérabilités par désassemblage » - N. Brulez - MISC - Mars/Avril 2004 ou « Récupérer une clé DES avec un voltmètre » - MISC - Septembre/Octobre 2003

[9] Par exemple : le code assembleur du ver Sapphire exploitant un trou de sécurité dans Microsoft SQL Server. Lire « Analyse d’un ver ultra-rapide : Sapphire / Slammer » - N. Brulez / E.Filiol - MISC - Juillet / Août 2003 - Description en langage naturel du trou de sécurité concerné : (http://www.nextgenss.com/advisories...)

[10] « Il n’est point de crime ou de délit sans intention de le commettre » - Article 121-3 - Code pénal

[11] « Dans la mesure où la commission desdites infractions nécessite souvent la possession de moyens d’accès ("outils de piratage ") ou d’autres outils, il existe une forte motivation d’en acquérir à des fins délictueuses, ce qui peut déboucher sur la création d’une sorte de marché noir de la production et de la distribution de tels outils. Pour parer plus efficacement ces risques, le droit pénal devrait interdire des actes spécifiques potentiellement dangereux à la source, avant la commission des infractions visées aux articles 2 à 5. » (http://conventions.coe.int/Treaty/f...)

[12] Pour en savoir plus sur ces programmes et leurs utilisations possibles, lire « Techniques d’attaque : l’art du cybercamouflage  » - Y. Fourastier - MISC - Septembre/Octobre 2003

[13] D’où la précense de nombreux MISC dans votre appartement car « MISC propose des articles complets et pédagogiques afin d’anticiper au mieux les risques liés au piratage et les solutions pour y remédier, présentant pour cela des techniques offensives autant que défensives, leurs avantages et leurs limites, des facettes indissociables pour considérer tous les enjeux de la sécurité informatique ». MISC, journal « 100% sécurité informatique », est en vente libre dans tout bon kiosque - (http://www.miscmag.com/)

[14] « Filiol [collaborateur à MISC, et chef du laboratoire de virologie et de cryptologie de l’école militaire des transmissions] n’y va pas par quatre chemins. L’article 46 de la loi, déjà montré du doigt par les professionnels avant son adoption, « est une catastrophe... ». « Je n’ai jamais vu autant de rejets face à un article de loi », dit-il, en le qualifiant sans retenue de « danger pour les intérêts et la souveraineté de l’État, qui pourrait donner des armes à nos adversaires pour qu’ils s’attaquent à notre patrimoine scientifique, industriel et universitaire ». Et d’illustrer son propos : « Un gros éditeur de logiciels, disposant d’une batterie d’avocats, pourra porter atteinte à la recherche française, à des intérêts commerciaux, à une petite société très pointue qui le gênerait... » - « Quand un officier supérieur de l’armée tire à boulets rouges sur la LCEN » - JM. Manach - ZDNet (http://www.zdnet.fr/actualites/tech...)

[15] Avec Video-Lan par exemple, un logiciel initié et hébergé par l’Ecole Centrale de Paris (http://videolan.org) et dont les auteurs ont été menacé par Apple au titre de l’EUCD car il diffusent un code source permettant la lecture sur un ordinateur d’une oeuvre encodée par une technologie Apple sans passer par un logiciel Apple. (http://eucd.info/lettre-rddv.pdf).

[16] Voir « Le contournement de mesures techniques de protection : contrefaçon ou criminalité informatique » - I.Vaillant - eucd.info (http://eucd.info/documents/transpos...)

Commentaires

<< Poster un message >>
:: question :: précision :: avis :: commentaire :: bug ::

> Suis-je coupable ? J’ai utilisé BitTorrent pour .... , le 23 novembre 2004 par André Cotte (0 rép.)

me procurer l’iso d’un cédérom sous licence Creative Commons. BitTorrent pourrait me permettre d’aller chercher du contenu illégal. Dois-je me présenter volontairement aux autorités judiciaires dans l’espoir de voir réduire ma peine.

Heureusement, je ne suis pas citoyen français ni américain. À quand le tour du Canada ...

-----> Mon carnet Web où j’aborde, à l’occasion, des sujets de cette nature.

Répondre à ce message

> La mauvaise réputation , le 22 novembre 2004 (1 rép.)

Cette loi témoigne de la méconnaissance totale des réalités de nos politiques.

Réaction totalement inadaptée des politiques à un problème de société qu’est la révolution dans l’informatisation, je me demande si nos députés savent vraiment ce que font leurs propres petits enfants du pc qu’ils leur ont acheté à Noël...

Encore une fois, l’attitude de l’Espagne pour la copie et P2P est bien plus intelligente et ce pays montre bien comment le dynamisme d’un peuple peut mettre en échec les "mauvaises réputations". Il y a 20 ans l’Espagne était un voisin sous développé : aujourd’hui l’Espagne est bien plus développée que la France et surtout bien plus intelligente, opportuniste et dynamique.

Bref, cette loi doit être supprimée et n’aurait même jamais dûe exister : elle n’est que le reflet de l’ignorance et des peurs de nos représentants sur l’informatique et l’internet.

J’avais écrit à ce sujet à mon député Alain Juppé : sa réponse était affligeante. Document Word relayé en pièce jointe via Outlook express encadré de charabia adminsitratif sur le caractère privé de cette "correspondance". J’y apprenais que cette loi n’était pas économique comme son titre pouvait le laisser croire mais que c’était une loi qui allait nous protéger (nous les bons citoyens) du fascisme et des pédophiles.

Tiens ? Les éléctions c’était hier à Bordeaux pour élir le député qui a succédé à Juppé. J’ai voté blanc.

> La mauvaise réputation , le 8 août 2005 par Clm

Encore une fois, l’attitude de l’Espagne pour la copie et P2P est bien plus intelligente

Je ne résiste pas à la tentation de pointer vers un autre article que je viens de lire...

-----> Un enseignant d’une université espagnole censuré pour avoir défendu les réseaux P2P

Répondre à ce message

> La mauvaise réputation , le 21 novembre 2004 par Wald Sébastien (1 rép.)

Ce durcissement des lois est le témoignage de l’impuissance des gouvernements à contrôler Internet. Pour beaucoup, toutes les nouvelles inventions ont été créées pour faire de plus en plus de commerce. L’ordinateur puis le web n’étaient rien de plus que des outils pour satisfaire une demande marchande...

Cependant, aujourd’hui, les industriels, les administratiobs aimeraient débrancher la machine... Mais qui peut débrancher internet ?

De ce fait, tout ceci devient trop génant puisque les failles des produits informatiques (mais aussi les combines politiques, les accords commerciaux peu scrupuleux) se voient plubliés sur internet à vitesse grand V. On dit alors que cela menance "la sécurité du web", en fait, ça empêche surtout le contrôle de ce mouvement, le web par les grands acteurs de l’industrie informatique.

La LCEN leur permet d’impliquer n’importe qui, dans n’importe quelles circonstances si cette personne géne de trop près "la sécurité du réseau" mais surtout certaines firmes influentes.

> La mauvaise réputation , le 22 novembre 2004 par PhiX

contrôler internet ? non merci. Internet est le seul espace de communication libre et je souhaite qu’il le reste encore longtemps.

Si on commence à poser des limites à la liberté d’expression sur internet, comme on le fait en France en dehors de cet espace numérique, on est perdant sur toute la ligne (lire Noam Chomsky sur le sujet est instructif).

Internet n’a pas été conçu pour être un espace marchand et n’est pas un espace marchand, c’est un espace de liberté. Une des libertés est la liberté de commerce, mais ce n’est ni la seule ni la plus importante.

Répondre à ce message

Informations complémentaires

Faire un don ? (défiscalisé)

Aidez-nous à atteindre notre objectif de 1080 donateurs récurrents pour assurer notre pérennité et notre développement !

Je soutiens Framasoft
pour 10€/mois

Informations générales

Juste une image

Pennsylvania Ave - Old Post Office to the Capitol at Night Pennsylvania Ave - Old Post Office to the Capitol at Night
Creative Commons BY-SA