Attaque par déni de service - DoS Attack : la conscience qu'avait le prévenu de participer à une entente ayant pour but d'entraver le fonctionndement d'un système informatique (articles 323-2 et 323-4 du Code pénal) est démontrée par ses actes : diffusion de l'adresse de son raccourcisseur d'url dans des documents d'Anonymous, mise à disposition des internautes d'un webIRC dont il était locataire et gestionnaire, etc.
Cour de cassation, chambre commerciale
7 novembre 2017, pourvoi 16-84.918
LA COUR DE CASSATION, CHAMBRE CRIMINELLE, a rendu l'arrêt suivant :
Statuant sur le pourvoi formé par :
- M. Pierrick X...,
contre l'arrêt de la cour d'appel de PARIS, chambre 4-11, en date du 30 juin 2016, qui, pour participation à une entente établie en vue de la préparation d'une entrave au fonctionnement d'un système automatisé de données, l'a condamné à une peine de deux mois d'emprisonnement assortis du sursis avec mise à l'épreuve et a prononcé sur les intérêts civils ;
La COUR, statuant après débats en l'audience publique du 26 septembre 2017 où étaient présents dans la formation prévue à l'article 567-1-1 du code de procédure pénale : M. Soulard, président, M. Lavielle, conseiller rapporteur, M. Pers, conseiller de la chambre ;
Greffier de chambre : Mme Hervé ;
Sur le rapport de M. le conseiller LAVIELLE, les observations de la société civile professionnelle ZRIBI et TEXIER, de la société civile professionnelle SEVAUX et MATHONNET, avocats en la Cour, et les conclusions de M. l'avocat général LEMOINE ;
Vu les mémoires en demande, en défense et les observations complémentaires produits ;
Sur le moyen unique de cassation, pris de la violation des articles 6 de la Convention européenne des droits de l'homme, 121-3, 323-4, 323-2, 323-5 du code pénal, préliminaire, 591 et 593 du code de procédure pénale, défaut de motifs, manque de base légale ;
"en ce que l'arrêt attaqué a déclaré M. Pierrick X... coupable du délit de participation à une entente établie en vue de la préparation d'entrave au bon fonctionnement de systèmes de traitement automatisé de données et de l'avoir condamné à une peine de deux mois d'emprisonnement avec sursis mise à l'épreuve pendant une durée de dix-huit mois avec l'obligation d'accomplir un stage de citoyenneté ;
"aux motifs que les faits de participation à une entente formée en vue de conduire des entraves par déni de service contre des distributeurs d'énergie et notamment contre la société EDF par mise à disposition des moyens techniques ou d'informations permettant de réaliser les dénis de services, sont établis par les pièces de la procédure ; qu'en effet, le service enquêteur a mis en évidence que M. X... a mis à disposition des internautes un WebIRC dont il est locataire et gestionnaire permettant plus simplement à ces derniers d'accéder à des sites de discussion ; que ces usagers d'internet devaient, à défaut, installer préalablement et paramétrer un logiciel dédié à l'IRC ; que le fait de bénéficier de cette passerelle technique, constitue incontestablement une facilité permettant à un nombre plus important d'internautes, en particulier non férus d'informatiques, d'accéder aux sites IRC ; que les centres d'intérêts du prévenu notamment sur internet ont permis de lister parmi les sites référencés sur son domaine, des sites utilisés par la nébuleuse des "anonymous" ; qu'à ce titre, est apparu le site « irc.lc/anonops/operationgreenrights » dédié aux discussions sur les modalités concrètes d'opérations du mouvement, le terme « anonops » étant un raccourci d'anonymous et d'opérations et l'intitulé « greenrights » visant les sujets cibles par le mouvement ; que M. X... s'il indiquait ne pas partager la philosophie de la nébuleuse, et en l'espèce, ne pas être contre le nucléaire, ajoutait toutefois ne pas être éloigné de ses préoccupations et surtout s'intéresser régulièrement à ses publications et à ses actions, au moins depuis plus d'un an avant les faits, et connaissait parfaitement le sens des intitulés Greenrights et surtout « anonops » dédié à la logistique des opérations ; qu'il précisait également avoir lui-même constaté qu'EDF était une cible du mouvement, dans le cadre des positions contre le nucléaire, et n'ignorait pas qu'un des moyens d'action des Anonymous était les entraves par déni de services, par attaques massives d'internautes, méthodes qu'à l'audience, il disait désapprouver ; qu'il confirmait, lors de son interrogatoire devant le juge d'instruction, avoir diffusé l'adresse de son raccourcisseur d'url IRC.lc, dans les documents d' «anonymous » (notepad notamment) plus d'un an auparavant ; qu'en outre, il déclarait devant la cour, avoir ressenti de la fierté lorsqu'il avait constaté sur un « flyer » posté sur le site http:/ operationgreenrights.blogspot.com (D214) le 31 mai 2011 appelant à de nouvelles attaques contre EDF le 2 juin, que figurait l'adresse de son WebIRC comme moyen d'accès au forum de discussion opérationnel du groupement pour cette opération, tout comme il avait été satisfait d'avoir été classé « halfop » soit semi-opérateur, par le canal IRC anonops des « anonymous » ; que dès lors, si M. X... indiquait ne pas avoir participé activement à la définition des modalités des actions d'entraves voire ne pas nécessairement les approuver, il n'ignorait rien de ce qui était ainsi mis au point sur le site de discussion qu'il hébergeait et notamment les entraves par déni de services dont il facilitait l'accès, ce qu'il admettait, allant jusqu'à préciser être allé sur le site EDF lors de la première vague d'attaques, « pour voir » ; par ailleurs, qu'il était établi qu'il avait la possibilité de blacklister certains sites, s'il le souhaitait, ce qu'il faisait effectivement en cours d'information sur demande de l'autorité judiciaire à l'égard des sites en cause ; dès lors, que malgré le nombre important de sites qu'il accueillait, M. X..., en mettant et maintenant à disposition, en connaissance de cause, une passerelle informatique permettant d'augmenter le partage d'informations entre les internautes et d'augmenter leur nombre, ce qui avait pour effet de renforcer l'efficacité des opérations de blocages par saturation des sites ciblés, a participé à une entente établie en vue de commettre les délits d'entrave au fonctionnement de systèmes de traitement automatisé de données, en l'espèce, les sites de la société EDF, et ce, par déni de services ; que la cour, en conséquence, infirmant le jugement, déclarera M. X... coupable du délit de participation à une entente établie en vue de la préparation d'entraves au bon fonctionnement de systèmes de traitement automatisé de données ; que sur la peine, la cour condamnera M. X... à une peine de deux mois aves sursis mise à l'épreuve pendant une durée de dix-huit mois avec obligation d'accomplir un stage de citoyenneté, en application des dispositions de l'article 132-45 18° du code pénal ;
"1°) alors que le délit de participation à une entente établie en vue de la préparation d'entrave au bon fonctionnement de systèmes de traitement automatisé de données ne peut être retenue sans que soit caractérisée une résolution d'agir concertée et arrêtée entre deux ou plusieurs personnes ; que la cour d'appel a relevé que M. X... offrait une simple passerelle technique permettant aux internautes d'accéder directement à des sites de discussion, sans être tenus de télécharger un logiciel ; qu'elle a ajouté qu'il permettait ainsi d'accéder à un nombre important de sites ; qu'en entrant en voie de condamnation à l'encontre de M. X..., pour avoir facilité la commission par les membres du collectif « anonymous » du délit d'entrave au bon fonctionnement du système de traitement automatisé de données d'EDF, sans caractériser une entente, qui impliquait une résolution d'agir concertée et arrêtée entre M. X... et les membres de ce collectif, la cour d'appel a violé les dispositions susvisées ;
"2°) alors que le délit de participation à une entente établie en vue de la préparation d'entraves au bon fonctionnement de systèmes de traitement automatisé de données implique que l'entente en cause ait eu pour but la commission du délit d'entrave ; qu'en entrant en voie de condamnation à l'encontre de M. X..., sans relever que l'entente, à la supposée caractérisée, qui aurait existé entre le groupement « anonymous » et lui-même ait eu pour but de préparer une entrave au bon fonctionnement du système de traitement automatisé de données de EDF, la cour d'appel a méconnu les dispositions susvisées ;
"3°) alors qu'il n'y a point de crime ou de délit sans intention de le commettre ; que les juges du fond ne peuvent entrer en voie de condamnation du chef de participation à une entente établie en vue de la préparation d'entraves au bon fonctionnement de systèmes de traitement automatisé de données sans caractériser l'intention de préparer une telle entrave ou de la faciliter ; que la cour d'appel a relevé que M. X... offrait une simple passerelle technique permettant aux internautes d'accéder directement à des sites de discussion, sans être tenus de télécharger un logiciel ; qu'elle a ajouté qu'il permettait ainsi d'accéder à un nombre important de sites ; qu'en entrant en voie de condamnation à l'encontre de M. X..., en se bornant à énoncer qu'il n'ignorait pas ce qui était mis en place sur le site de discussion qu'il hébergeait, et notamment les entraves par déni de services dont il facilitait l'accès, sans caractériser son intention de préparer ou de faciliter une entrave au bon fonctionnement du système de traitement automatisé des données d'EDF, commise par des membres du collectifs « Anonymous », ayant utilisé l'outil qu'il avait mis en place, la cour d'appel a méconnu les dispositions susvisées" ;
Attendu qu'il résulte de l'arrêt attaqué et des pièces de procédure que le portail Internet de l'Opérateur d'Importance Vitale (O.I.V.) EDF, a fait l'objet en avril 2011 d'une attaque dite par "déni de service distribué", dans le cadre d'une offensive d'envergure menée par l'organisation "Anonymous", et apparaissant sous l'intitulé "opération Greenrights"; que l'enquête a permis notamment d'établir que l'adresse internet IRC ayant servi à relayer les appels aux attaques informatiques, appartenait à un serveur dont M. X... était le titulaire, via le fournisseur de sites OVH ; qu'il avait proposé ses services de passerelle vers le canal IRC dédié à l'opération "Greenrights", sur lequel il a reconnu avoir constaté qu'EDF figurait parmi les cibles ; qu'il a estimé toutefois n'être à cet égard qu'un acteur de mise en relation et n'avoir agi que dans le but de favoriser un usage flexible et libre d'internet, même s'il n'a pas contesté que son serveur en donnant accès au lien internet avait pu renforcer l'ampleur des opérations en cause ; qu'il a insisté sur le fait que les liens rattachés à "Anonymous" n'étaient pas les seuls accessibles par son serveur et qu'il ne maîtrisait pas l'utilisation de ces sites par les internautes qui ne faisaient que passer par son serveur pour échanger entre eux, dans les différents "salons" d'échanges, et en tirer les conséquences en participant ou non à des actions ; que poursuivi du chef de participation à des ententes établies en vue de la préparation d'entraves au bon fonctionnement de systèmes de traitement automatisé de données (S.T.A.D.), M. X... a été renvoyé des fins de la poursuite par le tribunal correctionnel ; que le ministère public a relevé appel de cette décision ;
Attendu que pour dire établie la participation de M. X... à une entente formée en vue de conduire des entraves par déni de service contre des distributeurs d'énergie, en particulier la société EDF, l'arrêt retient la diffusion de l'adresse de son raccourcisseur d'url IRC.lc, dans des documents d'"Anonymous", plus d'un an auparavant, la mise à disposition des internautes, par M. X..., d'un webIRC dont il est locataire et gestionnaire, passerelle technique au fonctionnement simplifié permettant à ses usagers, en particulier non férus d'informatique, d'accéder à des sites de discussion, d'avoir connaissance des modalités concrètes d'opérations du mouvement "Anonymous", le terme "anonops", étant un raccourci des termes "anonymous" et "opérations", et l'intitulé "greenrights" visant les sujets ciblés par le mouvement ; que les juges ajoutent que le prévenu, avait constaté qu'EDF était une cible du mouvement, dans le cadre des positions contre le nucléaire, et n'ignorait pas qu'un des moyens d'action des Anonymous était les entraves par déni de service et que la mise à disposition des moyens techniques et des informations, pour laquelle il avait obtenu le statut de "semi-opérateur", permettait de réaliser ces dénis de service ; que les juges en déduisent la pleine conscience qu'avait l'intéressé du caractère irrégulier de telles attaques, qu'il reconnaissait finalement désapprouver ;
Attendu qu'en statuant par des motifs qui établissent que le prévenu avait conscience de participer à une entente ayant pour but d'entraver le fonctionnement d'un service de traitement automatisé de données, la cour d'appel, qui n'a méconnu aucun des textes visés au moyen, a justifié sa décision ;
D'où il suit que le moyen ne peut qu'être écarté ;
Et attendu que l'arrêt est régulier en la forme ;
REJETTE le pourvoi ;
Ainsi fait et jugé par la Cour de cassation, chambre criminelle, et prononcé par le président le sept novembre deux mille dix-sept ;
En foi de quoi le présent arrêt a été signé par le président, le rapporteur et le greffier de chambre.
Retour à la liste des décisions