Par Elodie MAUMONT, avocat associé et Bastien CUEFF, stagiaire

La cybermalveillance est un des enjeux majeurs pour les services de sécurité pour les années à venir.

MDMH avocats a appris de ce chef la création du Groupement d’intérêt public ACYMA (Action contre la cybermalveillance).

Programme mené en coopération de plusieurs ministères dont le ministère de l’Intérieur, il vise à accompagner les particuliers et les professionnels dans leurs démarches de protection et d’éducation.

Un site internet accessible à l’adresse www.cybermalveillance.gouv.fr

met à disposition du public de nombreux documents dont des fiches sur les bons réflexes à adopter en cas de cyber-attaque.

Ainsi un kit de sensibilisation peut être téléchargé depuis le site internet

La cybermalveillance se décline en différents procédés qui visent autant les professionnels que les particuliers

Le déni de service

Le déni de service est le fait pour un malfaiteurs de surcharger volontairement le service du site internet de requête jusqu’à endommager, mettre hors-service ou exploiter une faille de sécurité.

Juridiquement il s’agit d’une entrave à un système de traitement automatisé de données prévus par les articles 323-1 à 323-7 du Code pénal. L’auteur de l’infraction s’expose à 5 ans de d’emprisonnement et 100 000 euros d’amende. Cette peine monte à 7 ans et 300 000 euros d’amendes si le site visé appartient à l’Etat.

La requalification en tentative d’extorsion est possible. En effet, lorsque l’attaque n’a pas lieu mais que des menaces sont exercées contre le paiement d’une somme d’argent, l’article 312-1 du Code pénal prévoit 7 ans d’emprisonnement et 100 000 euros d’amende.

La défiguration

La défiguration vise à porter atteinte à l’aspect visuel du site internet piraté. Souvent le site apparait d’une couleur bleue, blanche ou noire et peut porter une mention « owned » ou « hacked » signifiant le passage à l’acte du pirate.

Les impacts d’une telle attaque peuvent être significatives pour le propriétaire tant en termes d’images que de revenus. C est pourquoi le code pénal prévoir l’infraction d’entrave à un système de traitement automatisé de données (articles 323-1 à 323-7 du Code pénal).

Les peines encourues varient de 2 à 7 ans d’emprisonnement et de 60 000 à 300 000 euros d’amende.

Les particuliers peuvent aussi être visées par des techniques d’hameçonnage ou de rançongiciels.

L’hameçonnage

Connue également sous le nom de « fishing », cette technique vise à leurrer la cible et l’inciter à communiquer des données personnelles, le plus souvent des données bancaires.

Les canaux d’approches sont variés : SMS, courriel, messages sur les réseaux sociaux, etc.

Les qualifications juridiques sont alors multiples. Il peut s’agir d’une escroquerie (Article 313-1 du Code pénal), d’usurpation d’identité (article 226-4-1 du Code pénal), de la collecte de données par moyens frauduleux (article 226-18 du Code pénal), de contrefaçon et usage frauduleux de moyen de paiement (article L. 163-3 et suivants du Code monétaire et financier) ou bien de la contrefaçon de marque (article L. 713-2 et suivants du Code de la propriété intellectuelle).

Le rançongiciel

Le rançongiciel est l’installation d’une application qui neutralise le système de fonctionnement de l’appareil et saisit les données stockées. Le rançonneur exige alors le paiement d’une somme d’argent pour que la victime retrouve l’accès à ses fichiers et l’usage de son terminal.

Le code pénal retiendra la qualification d’extorsion de fond plus que d’escroquerie. En effet, le blocage de l’ordinateur est considéré comme une contrainte physique forçant la remise de la somme.

Il également possible de qualifier cet acte comme une atteinte à un système de traitement automatisé de données.