Bruxelles veut sanctionner plus durement le hacking et les attaques DDOS

La commission des libertés publiques (LIBE) du Parlement Européen a adopté il y a quelques jours à 50 voix contre 3 une proposition de directive européenne sur la lutte contre les « cyberattaques ». Le texte, élaboré en 2010 par la Commission européenne, vise à renforcer les sanctions pénales contre les individus ou les organisations qui se prêtent à des attaques informatiques de toute nature, en particulier la diffusion de virus, les attaques DDOS contre des infrastructures stratégiques, ou le piratage de bases de données.

Même s’il est beaucoup plus mesuré que la proposition de loi contre les Anonymous déposée en France par Muriel Marland-Militello, le texte européen prévoit aussi des sanctions pour la production, la diffusion ou la simple possession d’outils comme LOIC ou des dictionnaires de mots de passe, qui peuvent être utilisés pour attaquer. Un point qui devrait faire polémique.

Dans le détail, les Etats membres devront prévoir une peine maximale d’au moins deux ans d’emprisonnement pour :

• L’accès illicite à tout ou partie d’un système d’information ;
• L’atteinte à l’intégrité d’un système, définie comme « le fait de provoquer intentionnellement une perturbation grave ou une interruption du fonctionnement d’un système d’information, en introduisant, transmettant, endommageant, effaçant, détériorant, modifiant, supprimant ou rendant inaccessibles des données informatiques » (cette dernière proposition visant spécifiquement les attaques DDOS) ;
• L‘atteinte à l’intégrité de données, définie comme « le fait d’effacer, d’endommager, de détériorer, de modifier, de supprimer ou de rendre inaccessibles des données informatiques d’un système d’information de manière intentionnelle » ;
• L’interception illégale de « transmissions non publiques de données informatiques vers un système d’information ou à partir ou à l’intérieur d’un tel système, y compris d’émissions électromagnétiques à partir d’un système d’information contenant des données informatiques » ;
• La production, vente, acquisition d’outils utilisés pour commettre les infractions, soit un dispositif (« notamment un programme informatique ») essentiellement conçu pour les faits reprochés ; soit même la simple possession d’un mot de passe ou code d’accès « grâce auxquelles il est possible d’accéder à tout ou partie d’un système d’information » sans autorisation.

Pour les trois premiers délits, le texte demande à ce que les sanctions soient appliquées « au moins dans les cas où les faits ne sont pas sans gravité« , ce qui laisse une marge d’interprétation pour tolérer les attaques DDOS de protestation ou les petits piratages sans gravité réalisés notamment par les Anonymous. En revanche, la possession des outils sera sanctionnée quel que soit le contexte, selon l’appréciation du juge.

Pour lutter contre les « botnets« , le projet de directive prévoit que les sanctions soient portées à 5 ans « si, pour les commettre, leur auteur a dissimulé son identité réelle, causant ainsi un préjudice légitime de l’identité« . Concrètement, le législateur européen vise les cas où un logiciel « zombie » serait installé sur des ordinateurs d’internautes lambdas, via des malwares, pour lancer des attaques en utilisant leur adresse IP pour se dissimuler et multiplier les sources d’attaques.

Enfin, le texte rend responsable des actes de piratage les entreprises qui emploient des hackers pour obtenir, par exemple, l’accès à la base de données d’un concurrent. Elles seront également tenues responsables si, par un défaut de vigilance, un salarié se prête à des attaques au profit de son entreprise.