CA Paris, Pôle 4 ch. 10, 5 février 2014

O. L. été convoqué le 11 février 2013 devant le tribunal de grande instance de Créteil par officier de police judiciaire sur instructions du procureur de la République pour :

1/ avoir à Maisons-Alfort, Orléans, dans le département du Val de Marne, du 1er août 2012 au 3 septembre 2012, en tout cas sur le territoire national et depuis temps non prescrit, accédé frauduleusement à tout ou partie d’un système de traitement automatisé de données, en l’espèce de l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail (Anses), infraction prévue par l’article 323-1 al. 1 du code pénal et réprimée par les articles 323-1 al. 1, 323-5 du code pénal,

2/ s’être à Maisons-Alfort, Orléans, dans le département du Val de Marne, du 1er août 2012 au 3 septembre 2012, en tout cas sur le territoire national et depuis temps non prescrit, maintenu frauduleusement dans tout ou partie d’un système de traitement automatisé de données, en l’espèce de l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail (Anses), infraction prévue par l’article 323-1 al. 1 du code pénal et réprimée par les articles 323-1 al. 1, 323-5 du code pénal,

3/ avoir à Maisons-Alfort, Orléans, dans le département du Val de Marne, du 1er août 2012 au 3 septembre 2012, en tout cas sur le territoire national et depuis temps non prescrit, frauduleusement soustrait des documents sur l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail (Anses), données téléchargées puis fixées et enregistrées sur plusieurs supports (média center et disque dur), au préjudice de l’Anses,
infraction prévue par les articles 311-1, 311-3 du code pénal et réprimée par les articles 311-3, 311-14 1°, 2°, 3°, 4°, 6° du code pénal.

Le jugement

Le tribunal de grande instance de Créteil, 11ème chambre, par jugement contradictoire, en date du 23 avril 2013, a relaxé O. L. des fins de la poursuite.

[…]

FAITS

Rendue après en avoir délibéré conformément à la loi,

Statuant sur l’appel régulièrement interjeté par le ministère public à l’encontre du jugement déféré.

Les faits à l’origine des poursuites sont les suivants :

Le 6 septembre 2012, l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses), opérateur d’importance vitale (OIV), déposait une plainte auprès des services de police de Maisons-Alfort, après la détection, le 3 septembre 2012, d’un accès frauduleux sur son serveur extranet.

Cette détection faisait suite à la découverte d’un article relatif aux nano-matériaux mis en ligne sur le site d’information alternatif “reflets info”, article accompagné d’un document de travail “powerpoint” appartenant à l’agence destiné uniquement à un usage restreint.

Cet article consacré à la dangerosité des nano-matériaux était signé d’une personne utilisant le pseudonyme “Yovan M.”.

Les enquêteurs relevaient qu’un extranet constitue une extension d’un réseau interne à une entité, à la différence d’un site internet, vers des partenaires situés hors du réseau. Cet accès se fait via internet par une connexion sécurisée avec un mot de passe dans la mesure où cela offre un accès au système d’information à des personnes situées en dehors de l’entité, à la différence d’un intranet.

L’Anses constatait que de nombreux documents (8000 fichiers) situés dans un dossier “lecture” avaient été exfiltrés les 27 et 28 août 2012 vers une adresse IP d’un VPN (réseau privé Virtuel) localisée au Panama. Leur auteur avait profité d’une faille de sécurité dans les paramètres du serveur extranet concernant l’identification en permettant l’accès. L’accès était ainsi rendu possible par l’utilisation de l’URL complète.

Les investigations menées permettaient la découverte d’un second article relatif à la légionellose signé par un individu utilisant le surnom “Bluetouff », accompagné d’un fichier compressé contenant des documents provenant dudit serveur extranet. Le même “Bluetouff” indiquait aussi être en possession de 7,7 gigaoctets de documents traitant de questions de santé publique.

L’analyse des journaux de connexion du serveur extranet et du firewall de l’Anses confirmait la primo-analyse réalisée par l’Anses concernant la localisation des adresses IP ayant exfiltré un volume important de fichiers appartenant à l’agence. Si une adresse correspondait à un service VPN suédois dont le propriétaire ne pouvait être identifié, une seconde adresse IP ayant effectué un téléchargement de 82 Go de données entre le 27 et le 28 août 2012 était localisée au Panama. Cette adresse IP provenait d’un serveur informatique hébergeant une solution VPN de la société “Toonux.net”, fondée et dirigée par O. L.

Celui-ci était par ailleurs identifié comme étant l‘internaute utilisant l’alias “Bluetouff”.

Lors de ses auditions par les enquêteurs, O. L. reconnaissait avoir récupéré via son VPN panaméen l’ensemble des données litigieuses stockées sur le serveur extranet de l’Anses. Il déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google.

S’il affirmait être arrivé “par erreur” au cœur de l’extranet de l‘Anses, il reconnaissait néanmoins avoir parcouru l’arborescence des répertoires de celui-ci et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté la présence de contrôles d’accès (authentification par identifiant et mot de passe).

II précisait ne pas avoir diffusé l’archive de 7,7 gigaoctets qu’il avait générée et en avoir seulement fait une extraction de 250 megaoctets qu’il avait utilisée pour argumenter son article sur la légionellose.

Il admettait avoir communiqué des documents à un autre rédacteur du site “Reflets. info”, à savoir “Yovan M.”, identifié comme étant Pascal H.

Les investigations techniques menées lors de la perquisition réalisée au domicile d’O. L. permettaient la récupération de l’archive complète de 7,7 Go. Il acceptait par ailleurs de retirer les fichiers et liens de téléchargement en rapport avec les documents appartenant à I’Anses sur l’ensemble des serveurs et supports.

Pascal H. confirmait avoir eu accès aux données de l’Anses et avoir utilisé un fichier sur la thématique des “nano-argents” pour illustrer un article. Il reconnaissait en outre avoir rendu public ce fichier sur un site de téléchargement, sachant que les documents provenaient de la documentation de I’Anses. Mais il indiquait ignorer qu’ils avaient été collectés sur un espace privé. II retirait le fichier “Piano Etat des Lieux 2012” de l’espace d’hébergement en ligne utilisé.

A l’audience publique de la cour, O. L. comparait assisté. Il indique vivre en concubinage, être père d’un enfant âgé de 5 ans, percevoir, comme développeur informateur salarié un revenu mensuel de 2011 €.

Le ministère public requiert l’infirmation du jugement et la condamnation du prévenu à une peine d’amende de 5000 € en partie assortie du sursis.

Le conseil du prévenu développe les conclusions de relaxe qu’il a déposées et qui ont été visées par le président et le greffier. Il demande, estimant que les infractions ne sont pas caractérisées, de confirmer le jugement sur les relaxes prononcées en première instance, à titre subsidiaire de prononcer un ajournement du prononcé de la peine et, en cas de condamnation, de dire que la décision ne sera pas mentionnée au casier judiciaire.

DISCUSSION

Considérant qu’il n’est pas établi suffisamment par les pièces de la procédure que le prévenu s’est rendu coupable d’accès frauduleux dans un système de traitement automatisé de données ; que l’accès, qu’il ne conteste pas, lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail ; que dans ces conditions l’infraction n’est pas caractérisée ; qu’il y aura lieu de confirmer le jugement de ce chef ;

Considérant, pour ce qui concerne les faits commis de maintien frauduleux dans un système de traitement automatisé de données et de vol, qu’il est constant que le système extranet de l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail n’est normalement accessible qu’avec un mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé “par erreur” au cœur de l’extranet de l’Anses, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées ; que les investigations ont démontré que ces données avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers ; qu’il est, en tout état de cause, établi qu’O. L. a fait des copies de fichiers informatiques inaccessibles au publie à des fins personnelles à l’insu et contre le gré de leur propriétaire ; que la culpabilité d’O. L. sera donc retenue des chefs de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques au préjudice de l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses) ;

Considérant que tenant compte de la nature et de la gravité des faits commis, de l’absence d’antécédent judiciaire du prévenu et des éléments connus de sa personnalité, la cour prononcera à son encontre une peine délictuelle de 3000 € ;

Que la demande du prévenu de non inscription au bulletin n°2 de son casier judiciaire de la condamnation sera rejetée, ce dernier ne justifiant pas actuellement de la nécessité d’une telle dispense ;

DÉCISION

Statuant publiquement et contradictoirement à l’encontre d’O. L., prévenu,

. Déclare recevable l’appel du ministère public,

. Infirme partiellement le jugement sur la déclaration de culpabilité,

. Déclare O. L. coupable des faits qui lui sont reprochés de maintien frauduleux dans un système de traitement automatisé de données et de vol dans les termes de la prévention,

. Confirme pour le surplus sur la culpabilité,

En répression,

. Le condamne à une amende délictuelle de 3000 €,

. Rejette la demande de dispense d’inscription de la présente condamnation au bulletin n°2 du casier judiciaire d’O. L.