Ensuite, il y a le versant « nouveautés » : la mise en cause d’EDF, en tant que personne morale pour accès frauduleux et recel. C’est la première fois qu’une entreprise écope d’une sanction aussi importante pour complicité d’accès et maintien frauduleux.
EDF a été condamnée à 1.5 million d’euros pour piratage informatique
C’est également la première fois, à notre connaissance, que la possession de biens issus d’un accès frauduleux (un CDROM contenant les données de Greenpeace) a été sanctionnée pour recel.
Derrière ce jugement se dresse le spectre d’une véritable mise sous tutelle de l’activité des responsables sécurité, car il ressort de cette décision que si l’organisation n’est pas en mesure d’assurer un contrôle efficace de la légalité des opérations mises en œuvre, sa responsabilité pourra alors se voir engagée. Au-delà d’un rappel des faits, cette affaire exceptionnelle appelle à s’interroger sur les facteurs qui ont permis un tel écueil.
1. Un contrat de veille sauvage
Le premier point frappant de cette affaire est qu’elle est découverte totalement par hasard. En effet, l’OCLCTIC enquêtait sur une intrusion informatique dont avait été victime le laboratoire national de dépistage contre le dopage. Les services de police sont allés chercher l’auteur des accès frauduleux au Maroc, sur commission rogatoire internationale. Voilà déjà qui sort de l’ordinaire. Mais c’est l’analyse détaillée des disques durs saisis, et déchiffrés par le CTA, qui révèle l’existence d’une diversité d’intrusions informatiques, dont celle des systèmes de Greenpeace.
L’interrogation du pirate en question révèlera les détails du piratage de Greenpeace, réalisé afin de permettre à EDF d’être informé régulièrement sur les actions de l’association. L’opération avait été mise au point sous couvert d’un contrat de veille stratégique (~4.600€ par mois) signé par le responsables de la mission de sécurité d’EDF et exécuté par l’intermédiaire d’une société d’intelligence économique, alors gérée par un ancien de la DGSE.
2. La condamnation d’EDF à 1.5 million d’euros d’amende
Une fois passé le détail des faits totalement abracadabrant, le point le plus original de la décision tient sans aucun doute à la reconnaissance de la culpabilité d’EDF en tant que personne morale. D’un point de vue juridique, ici, deux infractions lui étaient reprochées : la complicité d’accès et de maintien frauduleux, et le recel de biens provenant de cette infraction ; en substance voici les dispositions en question :
Article 323-1 : Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.
Article 321-1 : Le recel est le fait de dissimuler, de détenir ou de transmettre une chose, ou de faire office d’intermédiaire afin de la transmettre, en sachant que cette chose provient d’un crime ou d’un délit.
Constitue également un recel le fait, en connaissance de cause, de bénéficier, par tout moyen, du produit d’un crime ou d’un délit.
Le recel est puni de cinq ans d’emprisonnement et de 375000 euros d’amende.
Somme toute il faut dire que dans la décision, la reconnaissance de la culpabilité de la société est assez liminaire ; d’abord, le Tribunal constate que la société a bien conclu (et payé) un contrat avec un sous-traitant, tendant à réaliser un accès frauduleux dans les systèmes de Greenpeace ; celui-ci était bien passé pour la protection des intérêts d’EDF (et non les intérêts personnels des responsables sécurité). Il n’en faut guère plus pour démontrer la complicité d’accès frauduleux (« Est complice d’un crime ou d’un délit la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation. Est également complice la personne qui par don, promesse, menace, ordre, abus d’autorité ou de pouvoir aura provoqué à une infraction ou donné des instructions pour la commettre« , art. 121-7 c. pen. – il est néanmoins permis de s’interroger quant à la reconnaissance de la responsabilité pénale de la société en tant que complice et non comme auteur).
Il ne reste plus alors qu’à démontrer le recel. Pour ce faire, le Tribunal fera le simple constat qu’EDF a conservé volontairement dans ses locaux les biens produits par l’accès frauduleux ; en l’occurrence, un CDROM contenant des fichiers, emails et documents de Greenpeace. Légalement, il n’en faut pas plus pour caractériser l’infraction, puisque le recel est le fait de détenir volontairement une chose, sachant que celle-ci provient d’un crime ou d’un délit.
Il suffisait enfin de s’assurer que la personne morale agissait bien pour son compte et au travers de ses représentants, puisque ces deux conditions sont essentielles à la reconnaissance de la culpabilité d’une personne morale (art. 121-2 du Code pénal : « Les personnes morales, à l’exclusion de l’Etat, sont responsables pénalement, selon les distinctions des articles 121-4 à 121-7, des infractions commises, pour leur compte, par leurs organes ou représentants« ) ; c’est ce que note le Tribunal, constatant une absence de contrôle effectif et réel des contrats d’intelligence économique dans la pratique :
X et Y dans le cadre de leur mission, ont eu en quelque sorte carte blanche pour mettre en place les moyens d’assurer la sécurité du parc nucléaire dans le contexte sensible de la construction de l’EPR. Ils n’ont évidemment pas agi pour leur compte personnel mais dans l’intérêt exclusif d’EDF qui seule en a tiré bénéfice sous la forme concrète du CD Rom frauduleux détenu dans les locaux d’EDF.
La conclusion alors peut tenir en une phrase : « [les responsables sécurité] ont agi pour le compte et dans l’intérêt de leur employeur ; la personne morale EDF qui est donc déclarée coupable des délits de recel et de complicité d’accès et maintien frauduleux aggravé dans un STAD au préjudice de X et de Greenpeace. En répression elle sera condamnée à une peine de 1 500 000 € d’amende« .
On passera sur les responsabilités des personnes physiques qui, sur le terrain juridique, n’appellent guère à commentaires.
3. Le contexte de la fraude
Toutefois, si la décision est peu prolixe en matière de discussion juridique, le jugement révèle toutefois deux points de faits particulièrement saisissants. Ainsi, l’on peut lire dans le jugement que :
[X admettait que] le piratage pour le compte d’EDF était fait dans un intérêt supérieur même si les moyens utilisés étaient illégaux. [Lui-même] a été un exécutant efficace qui ne s’est pas posé la question du préjudice qu’il pouvait causer en s’attaquant ainsi par le biais du hacking aux ordinateurs et au système informatique de personnes privées (…). Il avait gardé par devers lui au Maroc toutes les copies de ses piratages comme, disait-il à l’audience sur question, une sorte de trophée. Ces trophées furent d’ailleurs fort utiles à la manifestation de la vérité.
Malgré l’intelligence technique dont fait preuve le pirate informatique, d’ailleurs remarquée lors de l’audience (les experts le qualifient de « bon »), celui-ci juge bon de conserver les traces de son infraction, comme une sorte de trophée. Cela peut paraître paradoxal en première approche, mais c’est assez courant dans la réalité. Dommageable pour lui, le sentiment qui lui aura dicté la conservation des preuves de l’infraction sera salutaire pour les juges, car sans traces tangibles l’affaire aurait été plus difficile à démontrer.
Tout aussi édifiante est la manière dont le Tribunal juge l’ancien agent la DGSE, intervenu comme intermédiaire entre EDF et le pirate informatique :
La réalité est que Z n’a pas renoncé à utiliser les moyens et pouvoirs que la loi et sa hiérarchie lui conféraient dans le cadre des missions d’agent de la DGSE au service de l’Etat. Il a voulu, en les vendant au plus offrant sans curiosité ni interrogation sous couvert de missions prétendument conformes à l’intérêt général, utiliser ces prérogatives ne pouvant être exercées que dans l’intérêt national.
En agissant ainsi et donc en transgressant la loi il a porté atteinte à l’Etat de droit, à la vie privée de ses cibles telles que A et B dans un dévoiement des valeurs républicaines.
Voilà qui devrait rappeler aux anciens des services secrets qu’une fois leur service terminé un retour au droit doit s’effectuer.
4. Les fondements d’une telle dérive
Ce que l’on ne remarque guère immédiatement dans cette affaire c’est la loyauté – certes, tout à fait malsaine – des responsables de sécurité d’EDF. Car à aucun moment ceux-ci n’agissent pour leur intérêt personnel, bien au contraire ; ils vont jusqu’à commettre un délit pour tenter de préserver les intérêts de leur entreprise. Il y à là un sens assez pervers du devoir que ces hommes s’imposent.
Toutefois, le véritable point de bascule de cette affaire tient au glissement progressif qui s’opère dans l’esprit des responsables sécurité, et qui finit par rendre ces actions acceptables, voire même souhaitables. C’est là, à ce moment précis, que nait le germe des infractions pénales qui seront ensuite réalisées. Quant aux autres protagonistes, la monétisation de leurs prestations réduit quelque peu la complexité de l’équation. Naturellement, quand certains payent, d’autres trouvent à s’exécuter.
Les enseignements à en tirer :
- EDF en tant que personne morale a écopé d’1.5M d’amende pour avoir été défaillante dans ses contrôles internes. Il est donc impératif de cadrer les prestations d’intelligence économique car elles ont un potentiel de dérive qu’il faut rationnaliser.
- Le contrat est le lieu naturel où imposer des clauses claires détaillant le contenu de la prestation.
- Quelle que soit la situation, il est nécessaire de procéder à des audits indépendants et occasionnels afin de détecter et prévenir d’éventuelles dérives.
Cela vous paraît une bonne décision ? Quels sont vos commentaires…