Nous arrivons donc à la partie plus spécifiquement juridique de cette découverte que j’ai faite sur la technologie Bluetooth et les dangers auxquels sont confrontés les dispositifs qui en sont équipés.
Une fois expliqué le fonctionnement de l’appareil, des protocoles utilisés, et après avoir examiné les dangers auxquels est exposée la personne utilisant ce système de connexion sans fil, il ne reste plus qu’à tenter de démontrer la thèse selon laquelle un smartphone, un PDA, un ordinateur portable et même un casque BT peuvent certainement être considérés comme un système informatique et doivent donc être soumis aux règles concernant l’accès abusif à un système informatique, en particulier à l’article 615 ter de notre Code pénal. Une fois cela démontré, le second objectif sera la qualification éventuelle des actions en dommage ou à l’encontre de ces dispositifs (du simple Toothing pratiqué aujourd’hui même par des profanes en technologie, aux attaques Snarf et Backdoor menées par des crackers « autodidactes » avec la complicité des informations facilement disponibles sur Internet). Le premier point à analyser est donc la possibilité de qualifier les dispositifs Bluetooth comme systèmes informatiques, et leur soumission par conséquent à la discipline introduite par la Loi du 23 décembre 1993 n° 547 avec l’insertion de l’article 615 ter dans notre Code pénal, relatif aux règles concernant l’accès abusif à un système informatique ou téléinformatique, ainsi qu’aux règles régissant les éventuelles effractions commises après l’accès abusif. La norme en question stipule : « Quiconque s’introduit abusivement dans un système informatique ou téléinformatique protégé par des mesures de sécurité ou y reste contre la volonté expresse ou tacite de celui qui a le droit de l’en exclure, est puni d’une peine d’emprisonnement pouvant aller jusqu’à 3 ans. » Mais peut-on considérer un dispositif utilisant la technologie Bluetooth comme un système informatique ? Certainement oui ! En effet, il est désormais un avis bien établi qu’un système informatique n’est pas seulement un éventuel ordinateur personnel ou une base de données, mais « toute pluralité d’appareils destinés à accomplir une fonction utile à l’homme par l’utilisation, même partielle, des technologies informatiques ». À ce propos, il est possible de consulter l’Arrêt de la Cour de cassation n° 3067 de 1999, qui dans ce cas précis considérait même un standard téléphonique ordinaire comme pouvant être qualifié de système informatique. Résolu le premier doute concernant l’applicabilité de l’art. 615 ter aux dispositifs équipés de technologie Bluetooth, il reste à analyser la qualification pénale des actions et attaques examinées dans la section technique précédente. En partant du simple Toothing, que nous avons vu comme l’envoi d’une carte de visite professionnelle (ou carte de visite) d’un smartphone à un autre via la connectivité Bluetooth, celui-ci n’est presque certainement pas qualifiable comme délit d’accès abusif informatique, car cette pratique ne donne pas accès à l’appareil de l’autre : ce sont uniquement les 248 caractères possibles (la carte de visite justement) qui arrivent à destination, sans véritable accès au système informatique de l’autre, donc sans possibilité de manipuler, soustraire ou modifier les données contenues dans le téléphone du destinataire. Il faut naturellement rester prudent, car, comme nous l’avons vu pour le Bluejacking avancé, même ce simple échange de cartes de visite pourrait être un moyen de convaincre la victime d’accepter une connexion « trusted » et donc un accès abusif ultérieur. Pour ce qui est des techniques de Bluesnarfing et Phone Backdoor, nous avons vu qu’elles permettent à l’attaquant un accès inconditionnel à l’intérieur de l’appareil victime, via le protocole de pairing et l’établissement d’une connexion « trusted » qui donne au cracker non seulement l’accès au système, mais aussi un contrôle total sur les données qu’il contient. On pourrait peut-être objecter (de la part d’une hypothétique défense de l’attaquant) l’absence de mesures de sécurité pour protéger le système informatique de ces intrusions. À ce sujet, les considérations suivantes sont certainement valables : tout d’abord, les techniques de « sniffing » et attaques « bruteforce » comme celles menées par les logiciels facilement trouvables sur le WEB, sont sans doute ciblées et destinées à vaincre ou contourner ces mesures de sécurité (mots de passe et PIN). Ensuite, il est désormais une opinion bien arrêtée de la jurisprudence que « la violation des dispositifs de sécurité n’a pas d’importance en elle-même, mais constitue la manifestation de la volonté contraire d’un sujet », comme l’a prononcé la Cour de cassation dans l’arrêt n° 12.732 de 2000, où la Cour a ajouté également en matière d’accès abusif à un système informatique que « l’illégalité est la contravention aux dispositions du titulaire, comme dans le cas de la violation de domicile. » En ce qui concerne la volonté du titulaire, la loi précise qu’elle ne doit pas forcément être explicite mais peut aussi être tacite. Il ne fait aucun doute que la volonté, fût-elle tacite, de toute personne possédant un dispositif Bluetooth est que personne, sans autorisation préalable, ne viole le soi-disant « domicile informatique ». Enfin, concernant un hypothétique accès abusif à un dispositif équipé de Bluetooth, nous avons vu que l’attaque d’un cracker peut lui donner non seulement toutes les données présentes sur le smartphone, mais aussi la possibilité d’utiliser le téléphone comme zombie pour naviguer, appeler ou cloner d’autres dispositifs via le code IMEI, le tout aux dépens de la victime de l’accès abusif. Dans le cas où les actions suivant l’accès abusif informatique enfreignent d’autres dispositions légales contenues dans notre Code civil, rien n’empêche que ces normes coexistent avec la violation de l’article 615 ter dans la commission du délit, et que l’accès abusif soit un élément constitutif d’un délit plus grave.
Pubblicato in Outils numériques
Soyez le premier à commenter