REVUE
revue256bd
revue256bd
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
droit<br />
réGImE JurIDIQuE Du rAnSomWArE ou PrISE D'oTAGE numérIQuE<br />
(7) « Lorsque les infractions<br />
prévues aux deux premiers<br />
alinéas ont été commises à<br />
l'encontre d'un système de<br />
traitement automatisé de<br />
données à caractère<br />
personnel mis en œuvre par<br />
l'Etat, la peine est portée à<br />
cinq ans d'emprisonnement<br />
et à 150 000 € d'amende. »<br />
(8) « Lorsque cette infraction<br />
a été commise à l'encontre<br />
d'un système de traitement<br />
automatisé de données à<br />
caractère personnel mis en<br />
œuvre par l'Etat, la peine est<br />
portée à sept ans<br />
d'emprisonnement et à 300<br />
000 € d'amende ».<br />
(9) CA Paris, pôle 4, ch. 10,<br />
5 févr. 2014, n° 13/04833 :<br />
Comm. com. électr. 2014,<br />
comm. 40, éric A. Caprioli. ;<br />
Cass. Crim. 20 mai 2015, n°<br />
de pourvoi : 14-81.336,<br />
JurisData n° 2015-011834 ;<br />
Comm. com. électr.<br />
septembre 2015, comm.<br />
74, éric A. Caprioli.<br />
« le fait d’introduire<br />
frauduleusement des<br />
données » dans un<br />
SI, « d'extraire, de<br />
détenir, de<br />
reproduire, de<br />
transmettre, de<br />
supprimer ou de<br />
modifier<br />
frauduleusement les<br />
données qu'il<br />
contient », puisqu'il y<br />
a modification<br />
lorsque les données<br />
sont chiffrées par un<br />
tiers de sorte<br />
qu’elles soient<br />
inutilisables. L’introduction frauduleuse de<br />
données est réalisée (les données de<br />
chiffrement). En revanche, la qualification<br />
de vol, telle que l’a consacrée la Cour de<br />
cassation le 20 mai 2015 9 n’est pas<br />
possible car en l’espèce, il n’y a ni<br />
soustraction, ni reproduction des<br />
données contenues dans le système.<br />
D’un autre côté, il semble également<br />
envisageable de s’appuyer sur l’article<br />
323-3-1 du Code pénal qui permet de<br />
sanctionner l’offre, l’importation, la<br />
détention, la mise à disposition ou la<br />
cession de programme malveillant si tant<br />
est que l’on puisse saisir « un<br />
équipement, un instrument, un<br />
programme informatique ou toute donnée<br />
conçus ou spécialement adaptés pour<br />
commettre une ou plusieurs des<br />
infractions prévues par les articles 323-1<br />
à 323-3 ».<br />
De plus, ces infractions sont encore plus<br />
sévèrement réprimées dès lors que la<br />
préparation s’effectue en groupe ou<br />
qu’elles sont commises en bandes<br />
organisées, ce qui est souvent le cas des<br />
attaques de type ramsonware (ex : près<br />
de 325 millions de dollars au même<br />
groupe de cybercriminels avec cryptoWall<br />
3.0).<br />
Deux autres délits non spécifiques au<br />
numérique pourraient trouver à<br />
s’appliquer : l’extorsion de fonds et le<br />
chantage. S’agissant du premier, l’article<br />
312-1 du Code pénal dispose :<br />
« L'extorsion est le fait d'obtenir par<br />
violence, menace de violences ou<br />
contrainte soit une signature, un<br />
engagement ou une renonciation, soit la<br />
révélation d'un secret, soit la remise de<br />
fonds, de valeurs ou d'un bien<br />
quelconque. L'extorsion est punie de sept<br />
ans d'emprisonnement et de 100 000<br />
euros d'amende. » La qualification semble<br />
délicate à établir dans la mesure où il sera<br />
difficile de considérer que le fait de chiffrer<br />
des données appartenant à autrui soit de<br />
la violence ou une menace de violence ou<br />
encore une contrainte. L’action réalisée<br />
avec le ransomware est d’un autre type<br />
non prévu par le texte. En ce qui<br />
concerne le chantage, là encore, la<br />
formulation du délit n’est pas adaptée au<br />
cas de prise d’otage de données<br />
numériques. Ce délit est réprimé à l’article<br />
4 e trimestre 2016 Revue de la Gendarmerie Nationale<br />
183