S’il est illégal de réutiliser des fuites de données, il existe cependant des cas dans lesquels il est possible de les exploiter. Afin de savoir exactement comment et quand, il est nécessaire de connaître le droit du numérique. Marc-Antoine Ledieu, Avocat au barreau de Paris, spécialisé en ingénierie contractuelle et en droit du numérique, est revenu sur cette question épineuse dans une conférence qui s’est tenue à l’École de Guerre Economique le 7 décembre 2022.
Vocabulaire et droit pénal en cybersécurité
Aujourd'hui, de nombreuses informations et données sont disponibles, notamment grâce aux leaks (fuites de données). Bien que ces informations soient techniquement librement accessibles – en open source (sources ouvertes) -, il n’est pas pour autant légal de les réutiliser. Il est notamment important pour les professionnels du penetration testing – un test de sécurité du système d’information par la simulation d’une cyberattaque – de comprendre cette limite. Les entreprises pratiquant le pen-test doivent donc strictement encadrer cette pratique pour éviter une potentielle sanction pénale.
D’où proviennent les leaks ? Lorsqu’un cyberattaquant identifie une vulnérabilité, il peut s’introduire dans le système d’information. Il y installe un malware (maliciel en français) ou pratique une « exécution de code arbitraire » qui peut modifier – sans l’accord du propriétaire – ce que fait le système d’information cible. Lors de son exploit, le cyberattaquant peut copier, modifier ou supprimer des données. S’il décide de partager ces données en les mettant en (plus ou moins) libre accès sur un réseau, il « fabrique » un leak.
Il existe de nombreuses incriminations en droit pénal susceptibles d’incriminer l’auteur d’un leak. Les deux plus importantes sont le « vol de données (sans support) » ainsi que l’ « atteinte à un Système de traitement automatisé de données (STAD) » (article 323-1 du Code pénal), le vol étant la « soustraction frauduleuse de la chose d’autrui » (article 311-1 du Code pénal). Si le vol d’information sur support (photocopier un document) est traditionnellement réprimé par la jurisprudence, le vol d’informations numériques, dit « sans support » (copier des données sur une disquette, ou les télécharger sur un disque dur) est beaucoup plus récent.
Toujours en droit pénal, une cyberattaque se définit comme un accès et/ou un maintien par un tiers sans autorisation dans un STAD. Une intrusion faite par un pentester – un professionnel de la sécurité informatique opérant un test d’intrusion – rentre donc dans cette catégorie si ce dernier ne dispose pas d’une autorisation écrite officielle. Le Code pénal prévoit de nombreuses incriminations pour cette pratique : accès et maintien frauduleux dans un STAD, suppression ou modification de données, altération du fonctionnement, introduction, détention, extraction, reproduction et transmission de données. Les peines encourues s’étendent de deux à cinq ans de prison, et de 60 000 € à 150 000 € d’amende.
Qu’est-ce qu’un leak ?
On peut faire une distinction entre deux types de leaks : l’internet leak – la diffusion d’informations « volées » directement via Internet – et le news leak – la divulgation d’informations confidentielles par les médias – qui bénéficie de la protection du secret des sources. Aujourd’hui, c’est l’internet leak qui domine, puisque la fuite de données est accessible sur le web via des réseaux de communications électroniques, tel TOR qui permet d’atteindre une ressource cible par rebonds sur des « nœuds » successifs, ce qui permet d’offrir un relatif anonymat. Cependant, il existe un vide juridique autour des malwares ou des leaks, dont il n’existe aucune définition légale. Il devient alors nécessaire de réfléchir par analogie avec des textes juridiques s’en rapprochant le plus possible.
La définition officielle de leak est également sujette à débat. Traduit littéralement comme une « fuite de données », il serait plus approprié de la caractériser comme « fuite d’information ». En effet, une donnée n’est en réalité que la représentation technique en format binaire de tout ou partie d’une information, alors qu’une information est un savoir, une connaissance ou un renseignement subjectif qu’une personne humaine obtient ou transmet. Bien évidemment, grâce à un leak, il est possible d’accéder à des données, mais ce qui compte réellement ce sont les informations que cette fuite contient, à l’instar d’informations trouvables dans des données personnelles.
Selon Maître Marc-Antoine Ledieu, un data leak se définit comme « le traitement – soit la collecte, le stockage et/ou l’utilisation sans autorisation – d’informations au format numérique ». Du point de vue du règlement général sur la protection des données (RGPD), qui s’applique aux 27 États membres de l’Union européenne (UE), la définition de ce qu’est un « traitement de données à caractère personnel » est extrêmement large. Pour remédier à cela, l’UE a adopté, le 30 mai 2022, le Règlement Data Governance Act qui organise le droit de réutilisation de données en sources ouvertes. Le texte fixe notamment une définition légale de la notion de donnée : « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels ».
Que trouve-t-on dans un leak ?
Le point assez paradoxal lors de la découverte d’un leak est qu’il faut regarder son contenu afin de savoir le risque pénal encouru pour sa possession. Cependant, ouvrir un leak signifie être de mauvaise foi pour la justice, puisqu’il est très probable que cette consultation conduise à prendre connaissance des données appartenant à un tiers. Juridiquement, il est ainsi possible de trouver quatre catégories d’informations dans une fuite de données : des données à caractère personnelles (mot de passe, adresse e-mail) plus ou moins sensibles (données de santé, données bancaires, etc.), des données commerciales, industrielles (brevet, plan, savoir-faire) et des données protégées par le droit d’auteur (code source qui n’est pas en open source, production intellectuelle). Ces deux dernières catégories nécessitent une surveillance accrue des entreprises, puisqu’elles intéressent particulièrement les cyberattaquants.
Une fuite de données, ce n’est pas de la source ouverte !
Une « donnée ouverte » est définie par le fait d’être librement accessible, utilisable, modifiable et diffusable et ce, quel que soit son but. Malgré une idée reçue et largement répandue, un leak ne devient pas « disponible » légalement par le simple fait qu’il est « techniquement » disponible. Les data d’un leak ne sont pas de l’open data. Le Règlement adopté le 30 mai 2022 par l’UE permet de clarifier cette différence. Selon l’article 2.2, la « réutilisation » d’une donnée en sources ouvertes est « l’utilisation, par des personnes physiques ou morales, de données détenues par des organismes du secteur public, à des fins commerciales ou non commerciales autres que l’objectif initial de la mission de service public ». Les données produites par les services publics peuvent donc être réutilisées à titre professionnel ou privé, sans exclusivité, avec ou sans redevance, au contraire de données personnelles non issues de ces services et disponibles sur Internet. À titre d’illustration, une entreprise ne peut pas utiliser les données d’un de ses concurrents provenant d’un leak, au risque d’encourir des poursuites pénales.
Les différents risques de poursuite pénale en cas de réutilisation d’un leak
Réutiliser un leak consiste donc à copier, stocker puis réutiliser des données en libre accès technique. En fonction de la nature des informations exploitées, le risque pénal n’est évidemment pas le même. Les peines varient si la personne qui réutilise un leak a porté atteinte à un secret protégé par la loi, à un STAD, aux droits du producteur du contenu d’une base de données, commis un acte de contrefaçon d’un logiciel propriétaire ou traité illicitement des données personnelles.
Pour tous ces cas, les peines encourues vont de trois à sept ans d’emprisonnement et de 100 000 € à 750 000 € d’amende.
Une législation apparemment sévère et des solutions partielles
Il apparaît ainsi très dangereux – au sens pénal – pour une entreprise de réutiliser des leaks, bien que la jurisprudence soit extrêmement rare en la matière. Cette situation peut s’expliquer par la grande nouveauté du phénomène, mais également par la volonté des entreprises de ne pas vouloir donner leur nom à la première jurisprudence dans le domaine.
Cependant, il apparaît comme légal de conserver un leak de données personnelles si ces dernières sont anonymisées, ce qui est impossible pour les autres types de données (secrètes, industrielles et d’auteur). Parallèlement à cela, il est aussi possible d’utiliser des fuites de données en pratiquant la RIFI (recherche sur Internet de fuites d’information), dont la CNIL a encadré la pratique le 11 janvier 2022. L’opération peut être légale en cas de contrat liant les deux entreprises (cliente et prestataire), qui précise les obligations de chaque partie et doit reprendre les exigences de l’article 28 du RGPD. Ce type de prestation de recherche ciblée peut notamment permettre à une entreprise de détecter une fuite de données accidentelle ou intentionnelle dont elle serait victime.
De ce compte rendu, il faut retenir que les professionnels doivent être très prudents en cas d’accès et de copie d’un leak afin de ne pas encourir (trop ?) de risques pénaux.
Ronan Le Goascogne pour les clubs OSINT & Veille, Cyber et Droit de l'AEGE
Pour aller plus loin :