[Focus] Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel

Partager sur facebook
Partager sur google
Partager sur twitter
Partager sur linkedin

Le développement de l’activité numérique, au-delà de ses aspects positifs, constitue également le terreau fertile d’une criminalité « violente ». L’utilisation d’un rançongiciel en est une manifestation. La question de sa qualification pénale, en apparence assez simple, recèle en vérité à l’issue d’une analyse du mécanisme du rançongiciel, de redoutables difficultés. Les qualifications envisageables sont nombreuses, mais les règles qui gouvernent les conflits de qualifications semblent pourtant commander de n’en retenir qu’une seule. Au terme de l’analyse, c’est la qualification d’extorsion (C. pén., art. 312-1 N° Lexbase : L7189ALT) qui semble devoir être préférée à des qualifications dont le caractère numérique est pourtant davantage marqué (C. pén., art. 323-1 et s. N° Lexbase : L0870KC9).

1. Le 4 septembre dernier, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), en partenariat avec le ministère de la Justice, a publié un guide de sensibilisation intitulé « Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ? » [1]. Cette publication témoigne d’une réalité inquiétante : la criminalité « astucieuse » n’est pas la seule à avoir fait de l’outil numérique une arme nouvelle [2]. Celui-ci est également le terreau fertile d’une criminalité « violente » [3]. L’utilisation d’un rançongiciel – ransomware en anglais – évoque en effet, toute proportion gardée, l’enlèvement et la séquestration, infraction dont la demande de rançon est érigée par la loi en circonstance aggravante [4]. En effet, après s’être introduit dans le système informatique de la victime (par l’entremise d’un courriel piégé par exemple), le rançongiciel prend en otage les données du système en les chiffrant, ce qui les rend inutilisables. S’en suit une demande de rançon dont doit s’acquitter la victime (généralement en Bitcoins) si elle souhaite obtenir la clé de déchiffrement. Comme l’indique fort bien le titre du guide publié par l’ANSSI, nul n’est à l’abri d’une telle menace. Depuis 2018, la tendance est toutefois à une multiplication des attaques contre de « grosses prises ». Les offensives sont dites « Big Game Hunting » pour insister sur l’importance financière et parfois institutionnelle de ceux qui en sont désormais souvent la cible : entre autres exemples, le Groupe M6, l’entreprise Fleury Michon et le CHU de Rouen figurent parmi les victimes de rançongiciels qui exigent parfois des rançons chiffrées en millions d’euros. À la fin du mois de décembre, la ville de La Rochelle et l’agglomération d’Annecy ont elles aussi été frappées. Plus récemment encore, à la mi-janvier, c’est la ville d’Angers, qui se veut précurseur des « territoires connectés », qui a été la cible d’un logiciel de cette nature [5]. Le préjudice engendré par de telles attaques est important puisque ces dernières peuvent entraîner la déstabilisation de services essentiels, un arrêt de la production, une chute du chiffre d’affaires, la perte de confiance des clients et même des risques juridiques [6].  La crise sanitaire actuelle, parce qu’elle a entraîné un accroissement substantiel du télétravail, a d’ailleurs contribué à renforcer le niveau de la menace. La multiplication des liaisons entre agents et réseaux internes ainsi que l’utilisation à domicile d’équipements personnels peu sécurisés ont ouvert de nouvelles brèches dans la sécurité des entreprises ou des collectivités.

2. Si le guide publié par l’ANSSI est riche de recommandations non seulement destinées à réduire le risque d’attaque (cloisonner le système d’information, limiter les droits des utilisateurs et les autorisations des applications, etc.), mais aussi à guider les victimes en cas d’infection (ne pas payer la rançon exigée, déconnecter les supports de sauvegarde, etc.), il ne répond pas à l’une des questions qui intéressent au premier chef les juristes : celle de la qualification pénale de l’utilisation d’un rançongiciel. Le document de l’ANSSI contient certes un développement consacré au dépôt de plainte, mais il ne précise pas sur quel fondement juridique pourront prospérer les poursuites consécutives à ce dépôt. Tout au plus indique-t-il que le dépôt de plainte pourra être réalisé en ligne sur la plateforme « THESEE » ouverte par le ministère de l’Intérieur « en matière d’escroquerie sur Internet », qualification qui est d’ailleurs impropre s’agissant d’une attaque par rançongiciel puisque la victime n’est pas trompée, mais contrainte à remettre une certaine somme d’argent. Où l’on voit que la question de la qualification mérite une attention particulière, et ce d’autant plus qu’en apparence assez simple, elle recèle de redoutables difficultés.

3. Juridiquement, il est vrai que la menace constituée par les rançongiciels n’intéresse pas seulement les juridictions répressives. Elle pose également des questions sur le terrain du droit civil. Ainsi, certaines cours d’appel ont pu admettre que l’infection par un rançongiciel était susceptible de constituer un cas de force majeure justifiant que la partie au procès qui en a été victime n’ait pas déposé ses conclusions dans le délai prévu par l’article 905-2 du Code de procédure civile (N° Lexbase : L7036LEC[7].

4. Si cet aspect de la problématique ne manque pas d’intérêt, il reste que c’est surtout du point de vue du droit pénal que l’utilisation d’un rançongiciel suscite les interrogations les plus naturelles. On s’intéressera ici à la plus évidente d’entre elles : comment qualifier pénalement l’utilisation [8] d’un rançongiciel [9] ?

En vérité, si plusieurs infractions du Code pénal semblent dotées d’éléments constitutifs qui correspondent à l’utilisation d’un rançongiciel, il convient de n’en retenir qu’une seule afin de ne pas sanctionner deux fois le même fait. Autrement dit, de plusieurs qualifications envisageables (I) doit être dégagée la qualification applicable en vertu des règles qui régissent le concours idéal de qualifications (II).

I. Les qualifications envisageables

5. L’utilisation d’un rançongiciel semble réunir les éléments constitutifs de plusieurs infractions qui, bien que réunies pour la plupart d’entre elles dans le même livre du Code pénal « Des crimes et délits contre les biens », présentent des éléments constitutifs très différents : l’extorsion (A) et les atteintes aux systèmes de traitement automatisé de données (B).

A. L’extorsion

6. Pour l’homme de la rue, retenir la clé de déchiffrement des données tant qu’une rançon n’aura pas été payée apparaît comme une forme de « chantage ». L’incrimination qui porte ce nom est néanmoins définie restrictivement par l’article 312-10 du Code pénal (N° Lexbase : L1879AMK). L’auteur doit menacer « de révéler ou d’imputer des faits de nature à porter atteinte à l’honneur ou à la considération ». Ce n’est donc qu’un procédé particulier de contrainte – la menace de diffamer ou de calomnier – que sanctionnent les peines du chantage. La pression exercée par le cybermalfaiteur grâce au rançongiciel n’est point de cette nature, sauf dans le cas particulier où il menacerait sa victime d’utiliser une partie des données afin de jeter le discrédit sur celle-ci ou de faire engager des poursuites à son encontre [10].

L’incrimination de l’article 312-12-1 du Code pénal (N° Lexbase : L0663DHZ), dite « de la demande de fonds sous contrainte », n’est pas davantage envisageable. Le texte précise en effet que cette infraction doit être commise « sur la voie publique », ce que le réseau Internet n’est qu’en métaphore.

7. Il est nécessaire de remonter quelques articles en amont pour découvrir une incrimination qui semble épouser les contours de l’utilisation d’un rançongiciel. Définie par l’article 312-1 du Code pénal (N° Lexbase : L7189ALT), l’extorsion « est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque ». Certes, dans sa conception la plus traditionnelle, l’infraction d’extorsion suppose l’exercice d’une violence physique, ou du moins la menace de violences physiques, ce qui ne peut, à proprement parler, être reproché à l’utilisateur d’un rançongiciel. Cette conception stricte était celle du professeur Garçon, appuyée sur une analyse minutieuse de l’article 400 de l’ancien Code pénal [11]. Elle est néanmoins aujourd’hui dépassée par la formulation de l’article 312-1 du Code pénal : en mentionnant distinctement la « contrainte » par rapport à la « violence » et à la « menace de violences », le nouveau texte permet d’élargir l’incrimination à des procédés tenant davantage de la pression morale que de la violence physique. L’interprétation contraire rendrait en effet le terme de « contrainte » redondant par rapport aux deux autres : s’il désignait uniquement des menaces de violences, quelle aurait été son utilité puisque le texte, par ailleurs, vise déjà expressément les menaces de cette nature ? Il est vrai qu’un tel élargissement d’une incrimination historiquement violente a pu être critiqué par un auteur dans la mesure où il conduirait à un « affadissement de la définition de l’infraction » ; il a même été suggéré de scinder l’incrimination d’extorsion en deux incriminations distinctes, l’une – criminelle – sanctionnant l’usage de la violence physique, l’autre – délictuelle – frappant celui qui n’exerce qu’une contrainte d’ordre moral sur la victime [12]. Il demeure qu’en l’état du droit positif, la contrainte morale est susceptible de constituer l’infraction d’extorsion, même lorsqu’elle ne s’accompagne d’aucune forme de violence physique. La jurisprudence s’est engagée dans cette voie, sanctionnant par exemple sur le fondement de l’extorsion la menace de ne pas remettre un médicament à une personne qui en a un besoin impérieux [13] ou celle de causer des difficultés professionnelles [14]. Les exemples peuvent, en vérité, être multipliés [15].

L’utilisateur d’un rançongiciel se rend donc bel et bien coupable d’extorsion lorsqu’il obtient le paiement d’une rançon grâce à la pression exercée sur sa victime puisque celle-ci est « contrainte » de payer si elle souhaite obtenir la clé de déchiffrement de ses données [16]. Et lorsque la victime n’a point cédé, des poursuites peuvent être envisagées sur le fondement de l’article 312-9 du Code pénal (N° Lexbase : L7153ALI) qui incrimine la tentative d’extorsion. L’extorsion est en effet une infraction matérielle qui suppose, pour être consommée, la réalisation du résultat redouté : en l’occurrence, la remise de fonds. N’échappe donc pas à une sanction pénale le cybermalfaiteur dont la victime a pu découvrir la clé de déchiffrement par elle-même ou avec l’aide d’une entreprise spécialisée, ou qui a pu restaurer ses données à partir d’une sauvegarde.

8. Deux circonstances aggravantes peuvent être envisagées. En premier lieu, il est possible que les juges retiennent dans ce genre d’hypothèse la circonstance de recours à un moyen de cryptologie que l’article 132-79 du Code pénal (N° Lexbase : L9877GQU) érige en circonstance aggravante générale. Il est vrai toutefois que l’analyse la plus rigoureuse du principe non bis in idem pourrait au contraire conduire à écarter cette circonstance aggravante, argument pris de ce que l’auteur de l’extorsion par rançongiciel n’a pu précisément obtenir la remise convoitée que par le recours à ce procédé de cryptologie : l’utilisation du moyen de cryptologie serait donc déjà constitutive de la contrainte prise en compte par la qualification d’extorsion. En second lieu, de nombreuses espèces permettront de retenir la circonstance aggravante résultant de la réalisation de l’infraction en bande organisée (C. pén., art. 312-6 N° Lexbase : L1936AMN) car l’utilisation d’un rançongiciel suppose généralement la réunion de nombreuses compétences, de la conception du logiciel à la collecte de la rançon en passant par l’injection [17].

B. Les atteintes aux systèmes de traitement automatisé de données

9. Le Titre II du Livre III du Code pénal comporte un chapitre consacré aux atteintes aux systèmes de traitement automatisé de données (STAD). Plusieurs incriminations y sont définies. Si elles supposent toutes une intention coupable, elles se distinguent par leurs éléments matériels. Sont notamment incriminés l’introduction et le maintien frauduleux dans un STAD (C. pén., art. 323-1 N° Lexbase : L0870KC9), le fait d’entraver ou de fausser le fonctionnement d’un STAD (C. pén., art. 323-2 N° Lexbase : L0871KCA) et le fait d’introduired’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données d’un STAD (C. pén., art. 323-3 N° Lexbase : L0872KCB). À laquelle de ces infractions l’utilisation d’un rançongiciel correspond-elle ?

10. La réponse à cette question n’est pas évidente, et cela pour au moins deux raisons. La première tient à l’état du droit positif qui distingue trois infractions dont la frontière est parfois délicate à tracer. La doctrine s’est d’ailleurs fait l’écho de ces difficultés : ainsi, la modification ou suppression de données est parfois le moyen d’entraver le fonctionnement du système [18]. Mais à la subtilité de la loi, se superpose la complexité du rançongiciel lui-même. C’est la seconde raison : véritable couteau suisse, le rançongiciel se borne rarement à une seule action. Il chiffre, mais doit d’abord pour cela accéder au système visé. Les plus redoutables d’entre eux réalisent même la suppression des copies cachées des fichiers pris en otage afin d’empêcher leur restauration par la victime [19]. Certains captent également des informations du système infecté, comme les mots de passe ou des données qu’ils menacent de rendre publics pour accroitre la pression sur la victime [20]. Et puisque le rançongiciel doit également donner à la victime des instructions pour le paiement de la rançon, il procède généralement à la création d’un fichier porteur du message ou à la modification du fond d’écran pour afficher sa demande, parfois grâce à une imagerie tirée d’une œuvre horrifique [21]. Le rançongiciel pousse parfois le vice jusqu’à empêcher purement et simplement les utilisateurs de se connecter aux machines infectées [22].

Même réduite à la fonction principale du rançongiciel (le chiffrement) la question de la qualification idoine demeure délicate. Chiffrer un fichier, est-ce entraver le fonctionnement du système ou plutôt modifier des données ? La réponse est tributaire de la conception même de la notion de « données » utilisée par le Code pénal, mais qui n’y est pas définie [23]. D’un premier point de vue, la donnée pourrait être considérée comme une information [24]. Cette conception conduit donc à considérer que le chiffrement de la donnée n’emporte pas, à proprement parler, sa transformation, mais en entrave plutôt l’accès, de la même manière que le cryptage d’un texte (par exemple en remplaçant chaque lettre par celle qui la suit dans l’alphabet) n’en modifie pas le sens. L’intégrité de l’information n’est en effet pas atteinte par le chiffrement ; celle-ci est simplement rendue inaccessible. Agissant comme une « enveloppe scellée numérique » [25], le chiffrement cache plutôt qu’il ne modifie l’information. La qualification applicable au chiffrement serait donc celle d’entrave au fonctionnement du système. Un second point de vue est néanmoins possible, refusant l’assimilation pure et simple entre la donnée et l’information pour regarder plutôt dans la première une forme de représentation de la seconde [26]. Dans cette configuration, le fait que l’information cachée demeure identique après le chiffrement n’empêche pas de considérer que la donnée qui la porte a, quant à elle, bel et bien été modifiée, car la manière de représenter l’information a effectivement été changée (ainsi, le rançongiciel modifie généralement l’extension ou la taille du fichier). La qualification adéquate serait donc celle de modification de données [27]. La question de la qualification envisageable à l’égard du chiffrement est donc redoutable puisque sa résolution dépend d’une inconnue : la définition de la donnée, à propos de laquelle le Code pénal est resté silencieux.

11. En définitive, il apparaît que les trois qualifications précitées peuvent être envisagées à l’égard de l’utilisation du rançongiciel dont la diversité des fonctions, de l’introduction dans le système jusqu’à la sollicitation de la rançon, en passant par le chiffrement lui-même, épouse les contours de chacun des trois textes d’incriminations [28]. Ces textes prévoient d’ailleurs une circonstance aggravante commune tenant dans la qualité du système visé : lorsque celui-ci est un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, le quantum des peines fulminées est relevé.

Par ailleurs, si les infractions envisagées sont commises en bande organisée, circonstance qui n’est pas rare comme on a pu le dire s’agissant de l’utilisation d’un rançongiciel, l’aggravation prévue par l’article 323-4-1 du Code pénal (N° Lexbase : L0873KCC) est applicable, mais à condition toutefois, précise le texte, que le système visé soit un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État. Voilà qui peut d’ailleurs être considéré comme une faille dans la législation : le législateur n’a envisagé l’aggravation des infractions dites « numériques » commises en bande organisée que dans une mesure très restreinte. La circonstance aggravante de bande organisée n’a d’effet qu’associée à celle précédemment envisagée. Autrement dit, lorsque l’infraction est réalisée contre un système « quelconque », la circonstance qu’elle a été commise en bande organisée est impuissante à en alourdir le quantum des peines. Il semblerait plus logique que la bande organisée soit prise en compte pour elle-même, indépendamment de la qualité du système ciblé.

La circonstance aggravante générale de cryptologie semble en revanche devoir être écartée dans la mesure où le fait qu’elle saisit – le chiffrement – est déjà pris en compte à titre d’élément constitutif, du moins s’agissant de l’entrave au fonctionnement du système et de la modification de données. Or, un même fait ne devrait pas être retenu tout à la fois comme un élément constitutif d’une infraction et comme circonstance aggravante de celle-ci [29]. Retenir à la fois la qualification de modification de données et la circonstance aggravante consistant précisément dans l’utilisation d’un « moyen matériel ou logiciel conçu ou modifié pour transformer des données […] à l’aide de conventions secrètes » [30] ce serait courir le risque de sanctionner un seul fait à deux titres différents.

12. Cette étude des qualifications envisageables ne serait pas complète si n’était pas mentionnée l’incrimination de sabotage définie dans le Livre IV du Code pénal « Des crimes et délits contre la nation, l’État et la paix publique ». Lorsque l’utilisation du rançongiciel est de nature à porter atteinte aux intérêts fondamentaux de la nation, elle réalise en effet les éléments constitutifs de cette infraction définie par l’article 411-9 du Code pénal (N° Lexbase : L1746AMM).

13. Un conflit de qualifications semble donc se faire jour. Il est nécessaire d’en entreprendre la résolution.

II. La qualification applicable

14. Déterminer la qualification applicable parmi toutes celles qui ont été envisagées (B) suppose préalablement de s’assurer que les règles du droit pénal obligent véritablement à n’en retenir qu’une seule (A).

A. La nécessaire unicité de qualification

15. Un principe gouverne la résolution d’un conflit de qualifications : non bis in idem. Nul ne peut être puni deux fois pour le même fait. Autrement dit, un même fait susceptible de plusieurs qualifications pénales ne saurait pour autant donner lieu à plusieurs déclarations de culpabilité. L’unicité de qualification doit prévaloir sur un cumul. Le juge ne doit en retenir qu’une [31].

16. S’agissant de l’utilisation d’un rançongiciel, on pourrait chercher à repousser ces règles en expliquant que les différentes qualifications qui ont été précédemment envisagées ne s’appliquent pas toutes à un seul et même fait. Chiffrer les données serait un fait ; ordonner à la victime de s’acquitter de la rançon en serait un autre. Les qualifications de modification de données et d’extorsion pourraient donc par exemple se cumuler puisque chacune d’entre elles s’appliquerait à un fait distinct.

17. Cette argumentation n’est pas nécessairement convaincante. D’une part, il est possible d’en stigmatiser la subtilité. Le rançongiciel est programmé pour réaliser les tâches successives nécessaires à l’enrichissement du malfaiteur. Après avoir pénétré le système ciblé, il n’a en principe guère besoin d’une nouvelle intervention de son auteur. Un seul fait est donc nécessaire au chiffrement des données et à l’exigence de la rançon. Surtout, la sollicitation de la rançon se conçoit difficilement sans le chiffrement des données qui est alors partie intégrante de la contrainte constitutive de l’extorsion.

D’autre part, l’argument de la pluralité de faits se heurte aux solutions récentes de la Cour de cassation. La Haute Juridiction semble aujourd’hui adopter une conception plus exigeante encore du principe non bis in idem que celle qui a été exposée. Plusieurs de ses arrêts reproduisent la formule suivante : « attendu que les faits qui procèdent de manière indissociable d’une action unique caractérisée par une seule intention coupable ne peuvent donner lieu, contre le même prévenu, à deux déclarations de culpabilité de nature pénale, fussent-elles concomitantes » [32]. Cette formule n’est pas sans ambiguïtés [33]. Il est toutefois possible d’y déceler la règle suivante : désormais, même en présence de faits différents, le principe non bis in idem peut faire obstacle à une pluralité de qualifications lorsque ces faits s’unissent au sein d’une seule action « globale », c’est-à-dire derrière une même intention coupable. L’unicité de qualification ne s’imposerait donc plus seulement à l’hypothèse d’une unicité de fait, mais également à celle d’une pluralité de faits composant une action unique caractérisée par une seule intention. Le critère essentiel apparaît alors comme étant celui de l’intention : son unicité fait celle de l’action. La pluralité de faits serait ramenée à l’unité d’une action globale susceptible d’une seule qualification pénale, argument pris de ce que ces faits seraient étroitement tenus par une seule intention coupable qui les relie. Cela revient en quelque sorte à traiter un concours réel comme s’il s’agissait d’un concours idéal. Appliqué au cas de l’utilisation d’un rançongiciel, le nouveau principe jurisprudentiel conduit au raisonnement suivant : à admettre que le chiffrement des données et la sollicitation de la rançon soient deux faits ontologiquement distincts, il est possible de penser qu’ils procèdent l’un et l’autre de manière indissociable d’une action unique de l’agent, caractérisée par une seule intention coupable. L’unité d’intention est en effet évidente puisque c’est elle qui relie le chiffrement des données à l’exigence de la rançon : l’agent ne conçoit la modification de données et l’entrave au fonctionnement du système que pour extorquer. Partant, ces faits ne devraient recevoir qu’une seule qualification pénale [34].

18. Soulèvera-t-on que malgré cette identité d’action, le cumul de qualifications demeure possible dans la mesure où les différentes incriminations envisagées protégeraient des valeurs sociales distinctes ? Cet argument, qui repose sur une exception au principe non bis in idem dont la pertinence même n’est pas évidente [35], peut être réfuté par le constat qu’à l’exception notable de l’incrimination de sabotage, l’ensemble des incriminations envisagées appartiennent au même livre du Code pénal et semblent destinées à protéger les biens. À l’unité d’intention se superpose donc celle des valeurs sociales protégées. Il est donc bel et bien nécessaire de choisir, ou plus précisément, de déterminer quelle est la qualification applicable [36].

B. La détermination de la qualification applicable

19. La détermination de la qualification applicable est une problématique qui, en l’occurrence, suppose d’être résolue en deux temps. Il est d’abord nécessaire d’identifier au sein même des qualifications d’atteinte à un STAD, celle qui doit être préférée aux autres et qui pourra ainsi « se mesurer » à la qualification d’extorsion. La qualification d’accès frauduleux (C. pén., art. 323-1) doit sans doute s’incliner car elle rend très imprécisément compte de l’action du rançongiciel dans la mesure où elle n’en saisit pas l’action essentielle, le chiffrement [37]. La véritable difficulté concerne les deux autres qualifications, l’entrave au fonctionnement (C. pén., art. 323-2 N° Lexbase : L0871KCA) et la modification de données (C. pén., art. 323-3 N° Lexbase : L0872KCB). La question est complexe, car, comme on a pu le percevoir [38], la réponse dépend de la définition de la notion de « donnée » à propos de laquelle le Code pénal est demeuré silencieux. En vérité, deux considérations permettent de penser que l’incertitude sur ce point n’a qu’un impact négligeable. En premier lieu, les deux infractions sont punies des mêmes peines. En second lieu, que l’on retienne l’une ou l’autre, la conclusion de l’étude n’en sera pas changée car elles semblent devoir toutes les deux s’incliner face à l’incrimination d’extorsion. Le raisonnement qui va suivre et qui sera formellement appliqué à la qualification de modification de données pourrait donc tout aussi bien être envisagé à l’égard de la qualification d’entrave.

20. En effet, trois raisons plaident en faveur de la qualification d’extorsion peu importe celle des deux qualifications qu’on lui oppose. D’abord, on sait que la jurisprudence résout parfois les conflits de qualifications en faisant primer celle qui correspond à l’infraction-fin sur celle applicable à l’infraction-moyen [39]. Or, dans l’hypothèse du rançongiciel, le chiffrement des données n’est qu’un moyen destiné à la réalisation du véritable objectif de l’agent : la remise de la rançon. Ensuite, l’extorsion est l’infraction la plus lourdement sanctionnée, ce qui plaide en sa faveur en vertu du principe dit de « la plus haute expression pénale ». Elle est en effet punie de sept ans d’emprisonnement [40] quand la modification de données est réprimée de 5 ans d’emprisonnement [41]. Enfin, et cet argument nous semble le plus décisif, la qualification d’extorsion est celle qui paraît embrasser les faits dans leur entièreté. Elle seule permet de rendre compte du comportement du cybermalfaiteur sans amputer une partie de celui-ci. En effet, parce que le chiffrement des données est le moyen de contraindre la victime, il s’intègre à l’acte constitutif de l’extorsion [42] tandis que la fin poursuivie – la remise d’une somme d’argent – est appréhendée à travers le résultat dans l’infraction. La qualification de modification de données elle, reste aveugle à ce dernier versant des choses, pourtant essentiel puisqu’il constitue l’ultima ratio de l’action globale de l’utilisateur du rançongiciel. Retenir la qualification de modification de données au détriment de celle d’extorsion, se serait donc priver une partie du comportement délictueux de qualification. La contrainte exercée sur la victime, la remise de la rançon et le dessein d’obtenir celle-ci seraient autant d’éléments passés « sous silence ». L’utilisateur d’un rançongiciel serait alors traité semblablement à un cambrioleur puni uniquement pour le bris d’une vitre et non pour la soustraction des meubles. C’est donc la qualification d’extorsion qui semble devoir être choisie afin que ne puisse être reproché au juge de s’être abstenu de se prononcer sur des éléments de faits dont il a été saisi [43].

21. Ce choix en faveur de la qualification d’extorsion n’est cependant pas sans inconvénient. Il prive les juridictions parisiennes de la compétence concurrente à laquelle elles auraient pu prétendre si l’une des qualifications des articles 323-2 et 323-3 du Code pénal avait été retenue. En effet, l’article 706-72-1 du Code de procédure pénale (N° Lexbase : L4806K8I) dispose que le procureur de la République, le pôle de l’instruction, le tribunal correctionnel et la cour d’assises de Paris exercent une compétence concurrente à celle qui résulte de l’application des articles 43 (N° Lexbase : L0480LTX), 52 (N° Lexbase : L4919K8P) et 382 (N° Lexbase : L0504LTT) du même code pour la poursuite, l’instruction et le jugement d’un certain nombre d’infractions commises en matière numérique. Parmi elles, sont citées les qualifications d’entrave au fonctionnement et de modification de données, mais non celle d’extorsion.

22. Cet « effet secondaire » du choix de la qualification d’extorsion peut toutefois, dans certaines circonstances, être purgé par le recours au quatrième alinéa de l’article 706-75 du Code de procédure pénale (N° Lexbase : L0563LTZ) qui dispose que « le tribunal judiciaire et la cour d’assises de Paris exercent une compétence concurrente sur l’ensemble du territoire national pour l’enquête, la poursuite, l’instruction et le jugement des crimes et délits mentionnés au premier alinéa du présent article, dans les affaires qui sont ou apparaîtraient d’une très grande complexité, en raison notamment du ressort géographique sur lequel elles s’étendent ». Or, d’une part, il apparaît que l’extorsion commise en bande organisée fait partie des infractions visées par cet article (et on l’a dit, l’utilisation d’un rançongiciel s’opère souvent en présence d’une telle bande). D’autre part, le rançongiciel frappe souvent des cibles dispersées sur l’ensemble du territoire [44] (il est même parfois transnational [45]) : la condition de « très grande complexité » résultant notamment, comme le précise expressément l’article, du « ressort géographique » sur lequel s’étend l’infraction sera donc souvent satisfaite. Perdue sur le fondement de l’article 706-72-1, la compétence concurrente des juridictions parisiennes serait alors regagnée grâce à l’article 706-75.

[1] V. également, pour une étude richement documentée du phénomène lui-même, le rapport de l’ANSSI, État de la menace rançongiciel, publié le 1er février 2021 [en ligne].

[2] Pour une étude de l’une de ces fraudes, v. not. D. Père, D. Forest, L’arsenal répressif du phishing, D., 2006, p. 2666.

[3] Sur la distinction entre criminalité de violence et criminalité d’astuce, v. not. R. Gassin, Ph. Bonfils et S. Cimamonti, Criminologie, Dalloz, 7e éd., 2011, n° 482.

[4] C. pén., art. 224-4, al. 1er (N° Lexbase : L6576IXT).

[5] On lira d’ailleurs dans le guide de l’ANSSI les témoignages de responsables du Groupe M6, de l’entreprise Fleury Michon et du CHU de Rouen. S’agissant de l’attaque contre ce dernier, v. également M. Quéméner, Cyberattaques et santé publique : l’hôpital de Rouen cible d’un rançongiciel, Dalloz IP/IT, 2019, 648. Quant à l’attaque subie par la ville d’Angers, on notera qu’aucune demande de rançon ne semble avoir été rapportée à ce jour.

[6] Certains rançongiciels, des « ransomhack » menacent de faire fuiter les données personnelles, ce qui aurait pour conséquence de dévoiler au grand jour l’insuffisance de protection de ces données et de placer l’entreprise ciblée sous la menace d’une amende fulminée par le RGPD. Sur cette question, v. not. A. Jomni, Le RGPD : un atout ou un frein pour la cybersécurité ? Dalloz IP/IT, 2019, 352.

[7] V. par ex. CA Paris, Pôle 1, 3ème ch., 12 février 2020, n° 19/17629 (N° Lexbase : A68963E7).

[8] La présente étude se donne pour objet la qualification de l’utilisation même du rançongiciel et non des comportements qui y seraient seulement liés plus ou moins étroitement, comme le refus de remettre aux autorités judiciaires la convention secrète de déchiffrement (punissable sur le fondement de l’article 434-15-2 du Code pénal N° Lexbase : L4889K8L).

[9] D’autres questions liées au rançongiciel intéressent la procédure pénale, notamment pour déterminer les meilleurs moyens d’investigation à mettre en œuvre face à ce type de délinquance qui est souvent transnationale et pour lequel le risque de dépérissement des preuves est important.

[10] Ainsi, le virus Agence Nationale de la Sécurité des Systèmes d’Information faisait croire à ses victimes que des services de polices avaient découvert des activités illicites sur leurs ordinateurs pour exiger d’elles le paiement d’une « amende » de 100 €. Par ailleurs, le chantage à la non-conformité au RGPD est le mode de faire des « ransomhack » (v. note n° 6 supra).

[11] L’article employait les termes de « force », de « violence » et de « contrainte », mais non de « menaces de violences ». On pouvait donc, avec le professeur Garçon, légitimement considérer que la référence à la « contrainte » permettait de réprimer les menaces de violences et qu’elle n’avait pas d’autre rôle (E. Garçon, Code pénal annoté, 1re éd., Sirey, 1901, art. 400, n° 24).

[12] M.-L. Rassat, Droit pénal spécial, Infractions du Code pénal, Dalloz, coll. Précis, 8e éd., 2018, n° 207. V. également nôtre Pour un renouvellement du système répressif dit des atteintes juridiques aux biens, préf. E. Verny, LGDJ, coll. Bibliothèque des sciences criminelles, 2021, n° 975 et s. où il est défendu l’idée de recentrer l’incrimination d’extorsion sur la violence physique et la menace de violences physiques en renvoyant la contrainte morale à une incrimination de chantage élargie.

[13] CA Paris, 27 septembre 1991 : D. Fortin, note, D., 1991, 635 ; P. Bouzat, obs., RSC, 1992, 760.

[14] Cass. crim., 23 mars 2016, n° 15-80.513, F-P+B (N° Lexbase : A3632RAR) : Y. Mayaud, obs., AJCT, 2016, 402 ; E. Dreyer, obs., Gaz. Pal., 2016, 2286.

[15] V. not. Cass. crim., 27 octobre 1999, n° 98-85.729 (N° Lexbase : A3211C4P) (menace de ne pas alimenter en eau un abonné s’il ne s’acquitte pas de la dette du précédent locataire) ; Cass. crim., 12 septembre 2007, n° 06-86.630 (N° Lexbase : A95314HH) (fonctionnaire qui exige un paiement indu à défaut duquel les marchandises de sa victime resteront bloquées en douane) ; Cass. crim., 28 février 2018, n° 17-80.684, F-D (N° Lexbase : A0646XGZ) (gérante d’un organisme de formation qui exige des étudiants ayant déjà entamé leur formation, une participation financière sous menace d’une exclusion du centre ou de refus d’accès aux examens en cas de non-paiement).

[16] V. not. en ce sens J.-N. Robin, La matière pénale à l’épreuve du numérique, Thèse Rennes, 2017, n° 192.

[17] Partageant ce constat, v. M. Quéméner, Cyberattaques et santé publique : l’hôpital de Rouen cible d’un rançongiciel, Dalloz IP/IT, 2019, 648, in fine.

[18] A. Lepage, P. Maistre du Chambon, R. Salomon, Droit pénal des affaires, LexisNexis, coll. Manuel, 5e éd., 2018, n° 647.

[19] Tel est le cas, par ex., des rançongiciels BitPaymer/FriedEx et Clop.

[20] Tel est le cas, par ex., des rançongiciels Maze, Sodinokibi et Egregor.

[21] Tel est le cas du rançongiciel Jigsaw.

[22] Telles les dernières versions du rançongiciel LockerGoga.

[23] Sur cette absence de définition, v. not. J.-N. Robin, La matière pénale à l’épreuve du numérique, Thèse Rennes, 2017, n° 38.

[24] Au soutien de cette thèse, pourrait être invoqué l’article 2 de la loi informatique et libertés, du moins dans sa rédaction antérieure à l’ordonnance n° 2018-1125, du 12 décembre 2018 (N° Lexbase : L3271LNH), et qui disposait que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée… ».

[25] Expression empruntée à la page « Comprendre les grands principes de la cryptologie et du chiffrement » du site Internet de la CNIL à propos de la notion de chiffrement.

[26] Au soutien de cette analyse, on invoquera l’arrêté du 22 décembre 1981 relatif à l’enrichissement du vocabulaire informatique (JO du 17 janvier 1982) selon lequel la donnée est la « représentation d’une information sous une forme conventionnelle destinée à faciliter son traitement ».

[27] On ajoutera au soutien de cette thèse la formulation de l’article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (N° Lexbase : C15764ZE) selon lequel « on entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données ».

[28] Toutefois, aucune de ces infractions n’est constituée lorsque le cybermalfaiteur est appréhendé avant d’avoir pu introduire le rançongiciel dans un STAD. Cela ne signifie pas pour autant que la répression est désarmée. Deux situations peuvent être distinguées. En premier lieu, si l’agent est parvenu à mettre en place son piège (par exemple en envoyant un courriel comportant une pièce jointe piégée), mais que la victime ne s’y est pas laissée prendre, la tentative des infractions envisagées au texte peut être retenue. En second lieu, si l’agent a seulement programmé ou s’est uniquement procuré le rançongiciel sans avoir pris le temps de placer des victimes à sa merci, ce sont les incriminations « obstacles » des articles 323-3-1 (N° Lexbase : L9875GQS) et 323-4 (N° Lexbase : L9875GQS) du Code pénal qui sont envisageables. Ces textes permettent en effet, à certaines conditions, de sanctionner la préparation des infractions précédemment étudiées, c’est à dire en amont de leur mise à exécution.

[29] V. not. en ce sens O. Décima, S. Detraz, E. Verny, Droit pénal général, LGDJ, coll. Cours, 3e éd., 2018, n° 289.

[30] L’article 132-79 du Code pénal (N° Lexbase : L9877GQU) renvoie à l’article 29 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique qui définit ainsi le moyen de cryptologie.

[31] V. déjà J.-L.-E. Ortolan, Éléments de droit pénal, 1886, t.1, n° 1146. Pour une présentation plus contemporaine, v. not. O. Décima, S. Detraz, E. Verny, op. cit., n° 288 et s. Pour une autre lecture du principe qui l’appréhende essentiellement en lien avec la question de l’autorité de la chose jugée, v. not. P.-J. Delage, De l’arrêt Ben Haddadi à l’affaire du Drugstore Publicis, D., 2020, p. 204, n° 5.

[32] V. par ex. Cass. crim., 26 octobre 2016, n° 15-84.552, FS-P+B+R+I (N° Lexbase : A3230SCM) : JCP G 2017, 16, note N. Catelan ; O. Décima, obs., Rev. pénit., 2016, p. 935, G. Beaussonie, obs., ibid, p. 941 ; Ph. Conte, obs., Dr. pén., 2016, comm. 4 – Cass. crim., 25 octobre 2017, n° 16-84.133, F-D (N° Lexbase : A1390WXR) : Ph. Conte obs., Dr. pén., 2018, comm. 1 – Cass. crim., 14 novembre 2019, n° 18-83.122, F-P+B+I (N° Lexbase : A2147ZY8) : P.-J. Delage, note, D., 2020, p. 204 – Cass. crim. 30 septembre 2020, n° 19-81.664 (N° Lexbase : A70083WH).

[33] Ph. Conte, Non bis in idem : bref exercice d’exégèse d’où il résulte que le droit n’est pas la physique, Dr. pén., 2020, étude 10.

[34] V. cependant, un arrêt récent qui laisse entrevoir la possibilité d’une solution différente : Cass. crim., 9 septembre 2020, n° 19-84.301, FS-P+B+I (N° Lexbase : A16753T9) : Ph. Conte, obs., Dr. pén., 2020, comm. 183 : où les qualifications de faux et d’escroquerie sont cumulées dans une hypothèse où les deux faits envisagés semblaient pourtant s’unir par une même intention, le faux ayant été réalisé afin de tromper.

[35] La doctrine critique notamment l’imprécision de la notion de valeur protégée, ainsi que son caractère extra-légal. V. not. O. Décima, S. Detraz, E. Verny, op. cit., n° 293. La jurisprudence continue toutefois à s’y référer : v. par ex. Cass. crim., 31 mars 2020, n° 19-83.938, F-D (N° Lexbase : A90253KH) : Ph. Conte, obs., Dr. pén., 2020, comm. 138.

[36] Un cumul entre la qualification d’extorsion et celles de modification de données apparaîtra encore plus délicat lorsque aura été retenue la circonstance de cryptologie aggravant l’extorsion (v. supra n° 8). Dans ce cas en effet un même fait – le chiffrement – serait alors constitutif à la fois de l’infraction de modification de données et de la circonstance aggravante de cryptologie de l’infraction d’extorsion. Le principe non bis in idem ne saurait permettre de retenir cumulativement l’une et l’autre. V. not. en ce sens Cass. crim., 6 janvier 1999, Bull. crim. n° 6 : « attendu qu’un même fait ne peut entraîner une double déclaration de culpabilité ni être retenu comme élément constitutif d’un crime et comme circonstance aggravante d’une autre infraction ». Plus récemment : Cass. crim., 18 novembre 2020, n° 19-82.767, F-D (N° Lexbase : A506537Q).

[37] Il est vrai que l’article 323-1 aggrave les peines prévues contre l’infraction lorsque de l’accès ou du maintien frauduleux résulte la suppression ou la modification de données contenues dans le système ou l’altération du fonctionnement de celui-ci. La doctrine s’accorde cependant pour considérer que cette circonstance aggravante ne concerne que l’hypothèse où de tels résultats dommageables auraient été produits sans avoir été recherchés par l’auteur de l’accès ou du maintien frauduleux, ce qui n’est pas le cas dans l’hypothèse de l’utilisation d’un rançongiciel.

[38] V. supra n° 10.

[39] Cass. crim., 16 juin 1965, n° 64-91.637, Desbiolles (N° Lexbase : A8676CGG) (en cas de soustraction d’arbre sur pied, la qualification de destruction s’efface au profit de celle de vol).

[40] Peine portée à 10 ans si la circonstance aggravante de cryptologie est retenue.

[41] Certes, la peine d’amende fulminée contre la modification de données est plus sévère que celle encourue par l’auteur d’une extorsion. N’est-il toutefois pas permis de penser que la plus grande sévérité d’une peine d’emprisonnement l’emporte sur la plus grande sévérité d’une peine d’amende ? La privation de liberté n’est-elle pas, en toutes circonstances, plus grave qu’une sanction pécuniaire ?

[42] Il serait possible de renchérir en soulevant que la circonstance aggravante de cryptologie permet elle aussi, et même plus précisément encore, d’appréhender le chiffrement. Mais cet argument pourrait être mis à mal par la réserve formulée supra n° 8, d’autant plus qu’il donne du crédit à cette dernière en révélant au grand jour que retenir la circonstance aggravante de cryptologie, c’est donner une seconde qualification à un fait déjà pris en compte au titre des éléments constitutifs de l’extorsion.

[43] Dans le cas particulier où l’utilisateur aurait employé la contrainte spécifique du chantage (v. supra n° 6), le premier et le troisième argument pourraient être pareillement mobilisés pour plaider en faveur de la qualification de chantage. Quant au cas où les éléments constitutifs de l’infraction de sabotage seraient réunis (v. supra n° 12), on continuerait à plaider en faveur de la qualification d’extorsion qui paraît encore une fois embrasser le plus largement les faits. Les juges pourraient toutefois cumuler les deux qualifications, argument pris de l’atteinte à deux valeurs sociales protégées (sur cet argument discutable, v. supra n°18).

[44] V. not. en ce sens A. Chérif, Lutte contre la cybercriminalité : une traque au sein des réseaux informatiques ! D., 2019, p. 1536.

[45] Ainsi, en mai 2017, le rançongiciel Wannacry, peut-être le plus célèbre de tous, a infecté en une journée au moins 200 000 machines réparties dans environ 150 pays.