Maintien frauduleux dans un système informatisé

Assurance audiovisuelle et indemnisation 
Assurance audiovisuelle et indemnisation 

Maintien frauduleux dans un système informatisé : Le fait de se maintenir délibérément dans un système informatisé (intranet) même si l’accès a été permis en raison d’une faille de sécurité, est un délit pénal.

Accès et maintien frauduleux dans un système informatique

En 2012, l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES), opérateur d’importance vitale (OIV), a déposé une plainte auprès des services de police après la détection d’un accès frauduleux sur son serveur extranet. Cette détection faisait suite à la découverte d’un article de presse accompagné d’un document de travail « powerpoint » appartenant à l’agence destiné uniquement à un usage restreint. Le document en question provenait de l’extranet de l’Agence (extension d’un réseau interne à une entité, à la différence d’un site internet, vers des partenaires situés hors du réseau ; l’accès se fait via Internet par une connexion sécurisée avec un mot de passe dans la mesure où cela offre un accès au système d’information à des personnes situées en dehors de l’entité à la différence d’un intranet).

L’ANSES a alors constaté que de nombreux documents (8.000 fichiers) situés dans un dossier « lecture » avaient été exfiltrés vers une adresse IP d’un VPN (réseau privé Virtuel) localisée au Panama. Leur auteur avait profité d’une faille de sécurité dans les paramètres du serveur extranet concernant l’identification en permettant l’accès. L’accès était ainsi rendu possible par l’utilisation de l’URL complète.

L’analyse des journaux de connexion du serveur extranet et du firewall de l’ANSES confirmait  la primo-analyse réalisée par l’ANSES concernant la localisation des adresses IP ayant exfiltré un volume important de fichiers appartenant à l’agence. Si une adresse correspondait à un service VPN suédois dont le propriétaire ne pouvait être identifié, une seconde adresse IP ayant effectué un téléchargement de 8.2 Go de données entre le 27 et le 28 août 2012 était localisée au Panama Cette adresse IP provenait d’un serveur informatique hébergeant une solution VPN.

Le dirigeant de cette société était à l’origine du délit de maintien frauduleux dans le système informatisé de l’Agence. Il  avait reconnu lors des auditions, avoir récupéré via son VPN panaméen l’ensemble des données litigieuses stockées sur le serveur extranet de l’ANSES et  déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google. S’il affirmait être arrivé « par erreur » au coeur de l’extranet de l’ANSES, il reconnaissait néanmoins avoir parcouru l’arborescence des répertoires de celui-ci et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté la présence de contrôles d’accès (authentification par identifiant et mot de passe).

Conditions du délit d’accès frauduleux à un système informatisé

Les juges ont considéré qu’il n’était pas établi suffisamment par les pièces de la procédure que le prévenu s’était rendu coupable d’accès frauduleux dans un système de traitement automatisé de données. L’accès informatique lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système. Dans ces conditions, l’infraction n’était pas caractérisée.

Maintien frauduleux dans un système de traitement automatisé de données

En revanche, pour ce qui concerne les faits commis dc maintien frauduleux dans un système de traitement automatisé de données et de vol, il est constant que le système extranet de l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail n’est normalement accessible qu’avec un mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé « par erreur » au coeur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification Par identifiant et mot de passe. Il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées. Les investigations ont démontré que ces données avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers.

Tenant compte de la nature et de la gravité des faits commis, de l’absence d’antécédent judiciaire du prévenu et des éléments connus de sa personnalité, les juges ont prononcé contre le prévenu une peine délictuelle de 3.000 euros.  Téléchargez cette jurisprudence sur Actoris.com, le Service d’alertes jurisprudentielles sur + 40 secteurs d’activités.   

A Télécharger :

Contrat de conception de Site Internet 

Charte de confidentialité de Site Internet

Contrat de numérisation et d’archivage

Contrat de sauvegarde de données informatiques

Modèle de Mentions légales de Site Internet

Vous avez recherché:

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*