Intrusion sur un réseau Wi-Fi : le point juridique

Une connexion Wi-Fi c'est très simple mais...cela peut mener en prison !

Imaginez vous êtes au café, vous avez un PDA, un ordinateur portable et vous vous dites que vous consulteriez bien vos mails dans l'espoir de vérifier que votre rendez-vous est bien à 15h30 place de la République. Vous lancez Windows, et celui-ci vous connecte automatiquement au réseau Wi-Fi le plus proche, vous attribue une adresse IP et vous commencez à récuperer vos mails. A cette seconde, vous êtes devenu...un Hors-la-Loi !

En France les intrusions de ce type tombent sous le coup du code pénal, puisque vous l’aurez deviné, il s’agit d’un délit . En effet pour imager très simplement le concept, le législateur a perçu l’ensemble informatique un peu comme un tout et similaire à votre domicile : vous laissez ouverte votre porte certes mais ce n’est pas pour autant que n’importe qui peut rentrer dans votre habitation.

Bien que vous n'ayez été convaincu d'intention de nuire, d'animus injuriendi  comme le dise les juristes,  il n’en reste pas moins que cette intrusion est encadrée par l’article 323-1 du code pénal qui dispose :

"Art.323-1(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002). (Loi nº 2004-575 du 21 juin 2004 art. 45 I Journal Officiel du 22 juin 2004). Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende."

Que cela veut-il dire ?

La loi française est extrêment claire mais mérite malgré tout un petit historique: la loi du 5 janvier 1988, dite la loi Godfrain, à mise en place le délit d'accès frauduleux à un Sytème de Traitement Automatisé de Données, autrement dit un STAD.

Ce qu'il faut bien comprendre, c'est que même si vous ne faites rien, pas même une simple requête dans votre navigateur, le fait de simplement s'être connecté constitue l'infraction et vous place en situation de...délinquant !
D'accord mais quelle relation entre un STAD et une connexion Wi-Fi, cette technologie rentre-t-elle vraiment dans ce champs "lexical" ?

Si aujourd’hui il n’y a eu à notre connaissance aucune instruction relative à une affaire d’intrusion sur système WiFi dans notre pays, cette technologie correspond bien à un STAD (système automatisés de données). En effet diverses décisions de justice tendent à le penser.

Ainsi voici par exemple ce qu’entendent les magistrats par STAD :

  • Un réseau, réseau France Telecom, réseau Carte Bancaire (Tribunal correctionnel de Paris, 25 février 2000)
  • Un disque dur (Cour d’appel de Douai, 7 oct 1992) ;
  • Un radio-téléphone (Cour d’appel de Paris, 18 nov 1992)

Et ceci n’est qu’une petite palette d’exemples .....

 


La connexion automatique sous Windows, à double tranchant...

 
Dans la partie administration, services, comment désactiver sous Xp la connexion automatique

 

Que risque-t-on vraiment alors ?

L'article 321-1 du code Pénal est parfaitement clair en cas d'intrusion : Jusqu'a 2 ans d'emprisonnement et 30 000 euros d'amende.
De plus, l'arsenal mis à dispositon des juges, vous allez le constater, est plutôt bien fourni. Outre la peine énoncée précèdement, vous pourrez être condamné, selon l'article 323-5 du Code Pénal : à l'interdiction d'exercer vos droits civiques et familiaux pour une période pouvant aller jusqu'à 5 ans, d'occuper un emploi public ou encore une activité professionnelle dans le domaine concerné, à savoir l'informatique, à l'instar de la peine prononcée à l'encontre de Kevin Mitnick, le célèbre hacker.

Bien entendu, si vous comptiez garder votre matériel informatique....changez de hobbie :)

Néanmoins on ne s'est attaché ici qu'à énoncer les peines pour une simple "intrusion" et vous l'imaginez déjà, lorsqu'il y a manipulation ou autre modification sur le réseau en question, que les peines sont aggravées.
La chose est simple, en cas de modification, altération, effacement etc..., involontaire il va de soit d'ailleurs, on écope alors d'une peine de prison pouvant aller jusqu'à 3 ans d'emprisonnement et 450000 euros d'amende: la modification n'entraine pas la nécessité de "l'avoir fait exprès" puisque vous étiez déjà en infraction en vous connectant.

En cas de connexion dans le but de détériorer volontairement le STAD, les conséquences sont plus importantes, deux articles venant très clairement alourdir les peines encourues:

L'article 323-2 du Code pénal:

"Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende."

Et l'article 323-3

"Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende."

Que les plus jeunes soient bien conscients des risques encourus, la loi est particulièrement dure en la matière.

Qui est vraiment responsable ?

La question de la responsabilité

Vous l’aurez compris, profiter de la connexion du voisin n’est pas sans risques, bien au contraire, d’autant que de nombreux logiciels tant sous Windows (Airsnare ou Wireshark), Linux ( Kismet pour ne citer que lui) voire AppleMac seront à même de renseigner l’utilisateur averti de votre présence indésirable.

Toutefois il faut tempérer notre approche de la question : En effet que penser de l’utilisateur qui à mal sécurisé son réseau alors que la moindre notice de routeur et autres appareils WiFi , quand ce ne sont pas les Faq des fournisseurs d’accès, appellent à sécuriser son réseau soit par cryptage, certes perfectible (WEP, WPA),soit par adressage MAC au minimum ?

Il faut revenir sur un point important : il convient de rappeler que pour être puni ,il faut que l'accès soit intentionnel.En d'autres termes que vous ayez cherché à vous connecter sciemment...Or comment démontrer que Windows vous à connecté de manière automatique grâce à sa fonction "Hopping" c'est à dire de connexion au premier réseau ouvert disponible.
Ensuite et il s'agit d'un point des plus litigieux : démontrer que la connexion à eu lieu sans l'accord de l'entreprise ou du particulier détenteur de l'accès alors que la connexion est "ouverte", non sécurisée !

Bref y'a t-il délit lorsque l'accès se fait sur un point libre, un hotspot ? En effet si la question ne se pose pas pour un accès crypté, même par du WEP, l'animus injuriendi n'est plus à démontrer , puisqu'il à fallu une démarche consciente du contrevenant pour se connecter.En l'espèce cracker le cryptage.

Les juges excuseront-ils alors le prévenu du fait de sa naiveté, de sa faiblesse, ou de son ignorance tout simplement ? Rien n'est moins sûr...

On peut néanmoins raisonnablement penser qu’à défaut de retirer à  l'indésirable toute charge pesant contre lui, la cour pourrait faire preuve de mansuétude.

En effet si l’on examine l’affaire Kitetoa (30/10/2002), où un journaliste avait eu accès à un répertoire de client du groupe TATI en utilisant une simple fonctionnalité de son navigateur Netscape, la cour a retenu que le prévenu avait utilisé une fonctionnalité " accéssible à tout internaute averti, non ingénieur, non technicien, non spécialisé, mais qui sait lire un mode d’emploi ".
Par conséquent le procureur général ne relevait "aucune commission d’infraction".
Là encore il faut nuancer : en l’espèce le journaliste avait prévenu les intéressés de la faille informatique relevée et réalisé une copie d’écran.
On s’éloigne alors de l’individu qui profitera de votre connexion en toute gratuité; toutefois et quand bien même notre système juridique ne génère pas ses décisions sur la base de précédents, on peut estimer que ces éléments factuels pourraient entrer dans la solution retenue pour ce type d'affaire.

Alors finalement l'accusé ne serait-il pas victime malgré lui ?

On pourrait le penser, au regard de l'affaire Kitetoa, puisque c'est la négligence du propriétaire du réseau Wi-Fi qui est a l'origine du trouble par l'utilisateur ignorant que l'on pourra taxé de bonne foi. La responsabilité du propiétaire pourrait être engagée, après tout les messages de mise en garde sont très nombreux, il ne passe pas une semaine sans qu'un site ou un magazine ne communique sur les "dangers" que peuvent représenter les réseaux Wi-Fi ouverts aux quatre vents.


Conclusion

Deux choses à retenir, à notre sens essentielles: Il convient de faire extrêmement attention aux connexions Wi-Fi , notamment lorsqu'un logiciel vous connecte de manière automatique  sur un réseau qui n'est pas le votre. Il est clair après la lecture de loi que le jeu n'en vaut peut être pas la chandelle.. D'aucun diront probablement que oui, mais que le risque est faible, etc..., certes, jusqu'au jour où...

Néanmoins, si aucune ambiguité ne subsiste quant aux responsabilités de chacun sur un réseau crypté, il faut retenir que la justice est clémente pour l'utilisateur de bonne foi qui a accédé à un réseau ouvert par la négligence de son propriétaire.
Il n'en reste pas moins, notamment pour un réseau que vous captez depuis votre domicile, que rencontrer son propriétaire peut être un geste citoyen fort, propice aux rencontres souvent sympathiques et pourquoi pas alors vous rapprocher de structures associatives promouvant le Wi-Fi

Quoiqu'il advienne, protégez votre réseau, au même titre que votre domicile....