Dptdeplainte

Tabledesmatires 1. Responsabilitdelauteurdelattaque 2. Quefaireencasdattaque Linscuritinformatiquenentranepasuniquementdes risquestechniquesetconomiques,elleestgalement unesourcederesponsabilitcivileetpnalepourles auteursdinfractionsinformatiques.

Cette fiche a pour objet de prsenter les risques et sanctionsquipsentsurlesauteursdattaquesinformatiques,ainsiquequelquesconseilsauxvictimessurla marchesuivreencasdattaque. La responsabilit de lauteur dune attaque informatique est dabord dordre pnal. La loi rprime en effet certainsactescommislaidedunordinateur,etnotamment:

Responsabilitdelauteurdelattaque

LACCESILLEGALAUNSYSTEME
Laccs illgal un systme vise le fait de sintroduire et de se maintenir intentionnellementetfrauduleusementdans un systme de traitement ou de transmission automatisdedonnes(STAD),parexemple: (A) en utilisant directement un ordinateur (aprs stre introduit dans les locaux dune entrepriseparexemple);o (B)distance,enentrantdansunrseaufermou prenant le contrle dune machine situe dans un telrseau. Cetteincriminationvisenotammentlefaitpourun employ dutiliser un ordinateur mis disposition Cequeditletexte:Quiconque,frauduleusement,auraaccdouseseramaintenudanstoutoupartiedun systme de traitement ou de transmission automatis de donnes sera puni dun emprisonnement de deux moisdeuxansetduneamendede500euros25000eurosoudelunedecesdeuxpeines(article5091 duCodepnal). par son employeur pour accder des donnes confidentiellessansrelationavecsesfonctions,ou encore pour commettre un dlit (par exemple, utiliser les ressources de lentreprise pour diriger uneattaquecontredestiers).

LAMODIFICATIONOUSUPPRESSIONDEDONNEES
La modification ou suppression de donnes est le fait de modifier ou de supprimer des donnes lors dun accs illgal est une circonstance aggravante. Les peines minimales encourues sont donc encore plusimportantes.Sonticivissparexemple: (A) le vandalisme informatique, cestdire laccs un systme en vue den dtruire les donnes;ouencore (B) ltudiant qui accde illgalement au serveur de son cole ou universit et change ses notes ou cellesdesescamarades. Le fait dintroduire, de modifier les donnes dun systme ou son mode de traitement ou de transmission sans quil y ait eu accs illgal au Cequeditletexte: Pour la modification ou suppression de donnes lors dun accs illgal un systme : Lorsquil [] serarsult[delaccsillgalausystme]soitlasuppressionoulamodificationdedonnescontenues danslesystme,soitunealtrationdufonctionnementdecesystme,lemprisonnementseradequatre moisdeuxansetlamendede1250euros25000euros(article5091,alina2duCodepnal). Pour la modification ou suppression de donnes sans accs illgal un systme : Quiconque aura, intentionnellement et au mpris des droits dautrui, directement ou indirectement, introduit des donnes dans un systme de traitement ou de transmission automatis ou supprim ou modifi les donnes quil contient ou leurs modes de traitement ou de transmission, sera puni dun emprisonnementdetroismoistroisansetduneamendede1250euros12500eurosoudelunede cesdeuxpeines(article5093duCodepnal). systme est galement passible de sanctions pnales.

LENTRAVEAUFONCTIONNEMENTDUNSYSTEME
Lentrave au fonctionnement dun systme est galement passible de sanctions pnales. Sont ici vissparexemple: (A) le fait de bloquer un systme en sarrogeant des droits dadministrateur et en utilisant ces privilges pour empcher lutilisateur lgitime dutiliserlesystmedansdesconditionsnormales; (B) le fait de modifier ou daltrer le fonctionnementdusystmeetdeprovoquerainsi unebaissedesperformances,unealtrationdes rsultats, etc. (par exemple par lintroduction volontaireetconscientedunvirusdanslesystme) ;ouencore

(C)lefaitdedtrioreroudtruireunsystme (auniveaumatrielet/oulogiciel).

Cequeditletexte:Quiconqueaura,intentionnellementetaumprisdesdroitsdautrui,entravoufaussle fonctionnement dun systme de traitement ou de transmission automatis de donnes sera puni dun emprisonnementdetroismoistroisansetduneamendede1250euros12500eurosoudelunedeces deuxpeines(article5092duCodepnal).

LATENTATIVE
Il ny a pas que lorsque lattaque russit que des sanctionspnalessontencourues.Lesimplefaitde tenter de commettre les infractions cidessus, mmesansyparvenir,estrprhensible.Lesscriptkiddies etautreshackersdbutantsencourentdonc lesmmespeinesqueleshackersprofessionnels. Cequeditletexte:Latentativedesdlitsprvuspar les articles 5091 5095 est punie des mmes peines queledlitluimme(article5096duCodepnal).

LASSOCIATION

DE

MALFAITEURS

INFORMATIQUES: le fait pour des personnes de sassocier ou de sentendre en vue de commettre une des infractions cidessus est galement puni, indpendamment du fait quune attaque ait finalement eu lieu ou pas. Cest le cas par exemple deceuxquischangentdesmoyensdecommettre uneattaque(unordinateur,unaccsunrseauou mme des logiciels, scripts ou informations permettant de commettre une attaque informatique) et planifient une attaque concerte suruntiers. Cequeditletexte:Quiconqueauraparticipuneassociationformeouuneententetablieenvuedela prparation, concrtise par un ou plusieurs faits matriels, dune ou de plusieurs infractions prvue par les articles 5091 5095 sera punie des peines prvues pour linfraction ellemme ou pour linfraction la plus svrementrprime(article5097duCodepnal). Laresponsabilitdelauteurduneattaqueinformatiqueestensuitedordrecivil.Eneffet,lanceruneattaque informatiquecontrequelquunoucontreuneentrepriseconstitueunefauteetouvreledroitpourlavictime larparationduprjudicequelleasubienrelationaveccettefaute.Larparationdeceprjudicesefaitselon lesrglesdelaresponsabilitcivile(articles1382etsuivantsduCodecivil).

 2 La premire chose faire pour la victime est de recueillir des preuves en vue des suites judiciaires quelle entend donner lattaque dont elle a fait lobjet. Si la victime fait appel une entreprise spcialiseenvuederparerlesdommagescauss par lattaque (par exemple, rcuprer les fichiers dtruits), le rapport de cette intervention pourra savrerprcieuxlorsdelaphasejudiciaire.Ildevra donctreleplusdtaillpossible. Une fois les preuves recueillies, la victime peut envisagerdessuitesjudiciaires.Acetitre,lavictime duneattaqueinformatiquealachoixentre: (a)porterplainteetlaisserauMinistrePublicle soindepoursuivrelesauteurs; (b) se constituer partie civile en vue dobtenir rparationduprjudicesubi;et (c) poursuivre ellemme les auteurs (si ceuxci sontconnus)enprocdantunecitationdirecte.

Quefaireencasdattaque

A. DEPOTDEPLAINTE
La victime dune attaque informatique peut porter plainte, soit en se dplaant dans un commissariat de police, soit par crit au procureur dEtat (voir encadr). Laplaintedoit: (i) noncer clairement les faits, de manire chronologique; (ii) inclure tout dtail utile (par exemple, qui possdaitle motdepassedusystme,qui autilis lesystmeendernier,etc.);et (iii) dcrire (brivement) les dommages causs par lattaque (perte de donnes, systme rendu inutilisable). Il nest pas ncessaire, ce stade, de chiffrer de manireprciseleprjudice,maisilpeuttreutile dinclure une estimation (en prenant soin de prciser que cette estimation est faite sous toutes rserves) par exemple sur la base du temps perdu pourrparerlesystmeetreconstituerlesdonnes endommages. Il nest pas non plus ncessaire de qualifier juridiquement les faits, cestdire de prciser quellesinfractionsonttcommisesouquelstextes sont applicables : ces tches reviennent au Ministre Public. Le plaignant peut nanmoins mentionnerluneoulautreincriminationoulunou lautre texte quil considre applicable (en prenant soin de prciser que cette indication est faite sous toutesrserves). Ilnestenfinpasncessairepourporterplainte de connatre lidentit de lauteur de lattaque, nimmedavoirdessouponssurtelleoutelle personne. En vertu du principe dopportunit des poursuites,ilrevientensuiteauMinistrePublicde dcidersiuneinstructionetdespoursuitesdoivent tre inities. Le cas chant, le Ministre Public peutdciderdeclasserlaffairesanssuites.

IlfautporterplainteauprsduprocureurdEtatdulieuolinfractionatcommise: Pour larrondissement judiciaire de Luxembourg (cantons de Luxembourg, Capellen, Esch,Grevenmacher,MerschetRemich) ProcureurdEtat PalaisdeJusticedeLuxembourg B.P.15 L2010Luxembourg Pour larrondissement judiciaire de Diekirch (cantons de Diekirch, Clervaux, Echternach, Redange,ViandenetWiltz) ProcureurdEtat TribunaldArrondissementdeDiekirch B.P.164 L9202Diekirch

B. PLAINTEAVECCONSTITUTIONDEPARTIECIVILE
La constitution de partie civile est un acte formel par lequel la victime manifeste son intention de rclamerrparationpourledommagequelleasubi enrelationavecuneinfraction.Celapeuttrelecas, par exemple, lorsquun pirate informatique est parvenu dtruire des donnes sur le systme informatiqueduneentrepriseetquilenestrsult un prjudice pour celleci. Le plaignant qui se prtend ls par une attaque informatique et qui dsire provoquer louverture dune instruction pour amener les autorits enquter sur les faits dont il a t la victime peut dposer un plainte avec constitution de partie civile.

Ilfautseconstituerpartiecivileauprsdujugedinstruction(article56duCodedinstruction criminelle). Pourlarrondissementjudiciairede Luxembourg(cantonsdeLuxembourg,Capellen, Esch,Grevenmacher,MerschetRemich) CabinetdinstructionPalaisdeJusticede Luxembourg B.P.15 L2010Luxembourg (i)elleapoureffetdedclencherlactionpublique; (ii)elleobligeleplaignant(cestdire,lavictime) consigner une somme que le juge dinstruction dtermine,correspondantauxfraisprsumsdela procdure;et PourlarrondissementjudiciairedeDiekirch (cantonsdeDiekirch,Clervaux,Echternach, Redange,ViandenetWiltz) CabinetdinstructionTribunaldArrondissementde Diekirch B.P.164 L9202Diekirch

Laconstitutiondepartiecivilediffredudptdeplainteenceque: (iii) si le plaignant succombe, cestdire nobtient pas gain de cause, il peut se voir condamner supporter les frais de procdure (en toutoupartie).

C. CITATIONDIRECTE
La citation directe est la procdure par laquelle la victime et laction publique en mouvement et saisit directementlajuridictiondejugement.Enprocdantparvoiedecitationdirecte,lavictimepoursuitlauteur prsumduneinfractiondevantletribunal,sansenquteniinstructionpralablesduMinistrePublicoudu jugedinstruction. Uneconsquencepratiqueimportantedelabsencedinstructiondelaffaireestqueleplaignantdoitapporter luimmelensembledespreuvesautribunal.Ilimportedoncdeprparerundossiercompletetconvaincant, cequipeutsavrercomplexe. Evidemment,lacitationdirectenestpossiblequelorsquelauteurprsumdelattaqueestconnu. Il est important de noter quil nest plus possible de procder par voie de citation directe lorsquune constitutiondepartiecivileadjteffectue.

CASES2008/09