La loi du 28 novembre 2000, entrée en vigueur en février 2001, a introduit dans le code pénal diverses infractions en matière de criminalité informatique.
Ainsi, l’article 550 bis du Code pénal sanctionne le hacking ou accès non-autorisé à un système informatique.
L’infraction de hacking est le fait de s’introduire ou se maintenir dans le système informatique d’un tiers sans disposer d’une autorisation, d’une habilitation.
Il peut être externe – lorsqu’il est réalisé par une personne étrangère au système – ou interne si la personne a un accès au système mais outrepasse les droits qui lui sont consentis.
Hacking externe
L’infraction de hacking externe ne nécessite qu’un dol général et donc qu’aucune intention de nuire ne doit exister ni être démontrée :
Par un arrêt du 5 février 2014, la Cour d’appel de Paris s’est prononcée sur la notion de hacking externe et de maintien illégal dans un système automatisé de données.
Bluetoof, surnom du blogueur L. Olivier, sur la base de résultats d’une recherche Google accède à l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’Alimentation qui contient un nombre important de documents. En raison d’une erreur de sécurité interne, ces documents et l’accès au site ne sont pas protégés. Bluetoof copie l’un des documents et le publie sur son blog. L’ANSES s’en aperçoit et dépose plainte. La Cour d’appel de Paris estime que bien que l’accès n’était pas sécurisé, Bluetoof s’est rendu coupable de l’infraction non pas d’accès illicite à un système informatique – puisque l’accès n’était pas sécurisé – mais de maintien frauduleux dans ce système dès lors que le prévenu reconnaît que, au fil de sa visite de l’extranet, il est remonté jusqu’à la page d’accueil et a pu constater que normalement l’extranet n’est accessible qu’au moyen d’un login et d’un password. En conséquence, il appartenait alors au blogueur de cesser sa visite de l’extranet et le quitter immédiatement, sans rien emporter.
« L’infraction de maintien dans un système informatique tiers est établie dès lors que le hacker peut constater qu’il a pénétré dans un système sécurisé alors même que, en raison d’une défaillance de sécurité du système, aucun contrôle d’accès n’a été opéré. »
Et en Belgique ?
L’enseignement de cette décision française pour l’ordre juridique belge est important compte tenu de la similitude des infractions (transposition de la Convention du Conseil de l’Europe du 23 novembre 2001) et du peu de décisions prononcées sur cette question à ce jour.
Par ailleurs, depuis le 15 février 2023, la Belgique a introduit une nouveauté si un hacker blanc est poursuivi pénalement en Belgique pour s’être introduit dans un système informatique : il pourra invoquer une cause de justification s’il remplit les conditions pour être considéré comme « auteur de signalement d’une vulnérabilité ».
Notre conseil :
La plus grande vigilance doit être de mise concernant l’accès au système informatique d’un tiers. Ainsi, sur la base des indications de l’arrêt commenté, on pourrait considérer que le simple accès à un réseau sans fil d’une autre personne sans y avoir été autorisé par le titulaire du réseau concerné constitue une infraction de hacking externe.
Si vous accédez, même involontairement, à un système informatique protégé ou qui devrait l’être, quittez le donc sans le moindre délai.
Par ailleurs, il est important de rappeler que dans l’hypothèse où votre système informatique contiendrait des données à caractère personnel, vous devez, en vertu du RGPD, veiller à la sécurité de ces données. Vous avez donc l’obligation légale de limiter et sécuriser l’accès à votre système informatique.