La Cour de cassation a rendu le 16 janvier un arrêt concernant l’usage et la détention d'un keylogger matériel. Ces enregistreurs de frappe installés en douce ont été considérés comme une atteinte à un système de traitement automatisé de données (STAD). Dans le même temps, elle a détaillé le « motif légitime » qui excuse leur détention.

Les faits qui ont conduit à cet arrêt mis en ligne par Doctrine.fr et repéré par Lexradio se sont déroulés à Nice voilà plusieurs années. Le 12 novembre 2013, très exactement, le service informatique du CHU de Nice a découvert la présence d’un keylogger matériel sur les ordinateurs de deux praticiens hospitaliers.

L’enquête s’est rapidement orientée sur un médecin contractuel, en conflit avec un professeur de l’établissement devant l’Ordre des médecins. La perquisition a été fructueuse : un keylogger a été retrouvé à son domicile, tout comme des captures d’écrans réalisées sur les deux ordinateurs en question. Des captures stockées sur une clef USB et dans l’ordinateur portable, tous les deux saisis...

Finalement, le médecin, pris la main dans le sac, a reconnu avoir acheté ce dispositif d’écoute de frappes. Il avoua l’avoir installé dans l’espoir de récupérer des courriels susceptibles de lui être utiles dans le cadre de son litige professionnel.

La cour d’appel d’Aix-en-Provence, le 8 novembre 2016, a conclu à l’atteinte à un système automatisé de données  et détention « sans motif légitime d’équipement, d’instrument de programme ou données conçus ou adaptés » pour un tel piratage. Infractions prévues aux articles 323 - 1 et 323-3-1 du Code pénal.

Il fut alors condamné à quatre mois de prison avec sursis, outre la confiscation de son matériel et des intérêts civils.

Accès à un système informatique par keylogger

Seulement, l’affaire a été portée devant la Cour de cassation. Argument du prévenu : le keylogger « ne permet pas en lui-même l’accès aux données contenues dans un ordinateur, mais seulement la capture des caractères frappés sur le clavier ». Nuance ! Dans son esprit, il n’y aurait donc pas d’accès frauduleux à un STAD (piratage d'un système informatique).

Mieux, soutenait-il, les ordinateurs équipés de cette oreille électronique étaient librement accessibles à tous les employés de service. Les données n’étant pas confidentielles, le critère de la fraude ne pouvait être retenu.

L’argumentaire n’a pas vraiment porté. La Cour de cassation a rejeté son pourvoi en rappelant que le keylogger lui avait permis de prendre connaissance des codes de messagerie des deux autres confrères. 

Dans son analyse, la mauvaise foi, l’élément matériel et l’élément intentionnel de l’infraction ont tous été caractérisés puisque ce dispositif a été installé « pour intercepter à leur insu, par l’espionnage de la frappe du clavier les codes d’accès et accéder aux courriels échangés par les deux praticiens ».

Conclusion : « se rend coupable de l’infraction prévue à l’article 323 - 1 du code pénal la personne qui, sachant qu’elle n’y est pas autorisée, accède à l’insu des victimes, à un système de traitement automatisé de données ».

Se défendre dans un litige professionnel n’est pas un « motif légitime »

Tout aussi intéressant, le Code pénal punit certes le simple fait « d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre un ou plusieurs » actes de piratages.

Toutefois, la disposition empêche toute condamnation dès lors que le prévenu démontre l’existence d’un « motif légitime, notamment de recherche ou de sécurité informatique ».

Les juges du fond, qui n’ont pas été contredits par la Cour de cassation, ont repoussé l’argumentaire de l’apprenti pirate. Selon ce dernier, la défense de sa situation professionnelle devant l’Ordre des médecins outre sa réputation entraient bien dans la liste des motifs légitimes, qui n'est pas limitative dans le marbre de la loi (du fait de l'adverbe notamment).

Pour la justice, au contraire, le « motif » exposé par à l’article 323-3-1 « se limite aux seules personnes habilitées à assurer la maintenance et la sécurité d’un parc informatique ». C’est là une importante précision… ou restriction apportée à cette disposition.