vendredi 4 octobre 2013

Ces lois qui régissent l'industrie de la sécurité de l'information

Par: Marc Séguin, GCFA, GWAPT, CCNA
  

Mise en contexte

Des gens me demandent régulièrement de leur expliquer les lois qui régissent mes actions dans le cadre de mon emploi en tant que spécialiste en enquêtes informatiques. Je tenterai de faire un survol de ce thème par le biais de ce document. Je jetterai aussi un regard sur les actions qui peuvent être prises (ex. poursuites) contre les les pirates informatiques et autres cybercriminels.

Afin d'avoir une définition commune de la cybercriminalité, nous allons utiliser la définition suivante :
« La cybercriminalité est généralement définie comme une infraction criminelle ayant l’ordinateur pour objet (piratage informatique, hameçonnage, pollupostage) ou pour instrument de perpétration principal (pornographie juvénile, crime haineux, fraude informatique). Des criminels peuvent également utiliser des ordinateurs à des fins de communication et de stockage de documents ou de données. »



Les lois canadiennes

Dans les lois canadiennes actuelles, le Code criminel contient plusieurs articles sur des crimes de nature purement informatique. Certains délits sont mêmes considérés comme étant assistés par la technologie et dans ce cas, là où les lois sanctionnant l'activité illégale d'origine s'appliqueront, l'élément technologique deviendra une preuve importante. De plus, l'expertise de ces preuves servira à démontrer la commission de l'acte ou l'intention du délinquant. Plusieurs articles du Code criminel canadiens concernant les crimes purement informatiques ont été écrits en 1985.

Dans le cas des crimes de nature purement informatique dans le Code criminel canadien, les articles de loi suivants peuvent s'appliquer:
  • Article 342.1 - Utilisation non-autorisée d’ordinateur
  • Article 342.2 - Possession de moyens permettant d’utiliser un ordinateur
  • Article 430 (1.1) - Méfait concernant des données
  • Article 327 - Possession de moyens permettant d’utiliser des installations ou d’obtenir un service en matière de télécommunication
  • Article 184 - Interception des communications
  • Article 191 - Possession
N.B. Pour une lecture approfondie de ces articles de loi, veuillez vous référer à l'annexe de ce document.

Afin de mieux comprendre la différence entre ce que sont des crimes purement informatiques et des crimes assistés par la technologie, voici quelques exemples de chaque catégorie:

Crimes purement informatiques :
  • Défiguration de sites Web
  • Piratage ou utilisation illicite de systèmes informatiques
  • Infractions propres aux réseaux électroniques (attaques visant les systèmes d'information, le déni de service, etc.)
  • Création et propagation malveillante de virus informatiques

Crimes assistés par la technologie (avec les articles de lois ou règlements applicables):
  • Pornographie juvénile (article 163.1 du Code criminel canadien)
  • Fraude (article 380 du Code criminel canadien)
    - Télémarketing frauduleux via Internet
    - Vol d’identité
    - Infractions économiques
  • Incitation publique à la haine (article 319(1) du Code criminel canadien)
    - Diffusion de contenus illicites par voie électronique
  • Harcèlement criminel (article 264 du Code criminel canadien)
    - Appels indécents
  • Trafic de drogue (Loi réglementant certaines drogues et autres substances)
    - Vente de substances ou de produits illicites via Internet
  • Falsifications informatiques – Faux documents (article 366 du Code criminel canadien)
    - Escroqueries
    - Fausses cartes de paiement
  • Atteintes à la vie privée (article 183 du Code criminel canadien)
    - La collecte, le stockage, la modification, la divulgation et la diffusion illicites de données à caractère personnel
    - Espionnage informatique
  • Sabotage (article 52 du Code criminel canadien)
    - Piratage informatique
    - Diffusion de virus
  • Atteintes à la propriété intellectuelle (Loi sur le droit d’auteur)
    - Atteinte à la protection juridique des programmes d'ordinateur et des bases de données, du droit d'auteur et des droits voisins
Sachez que la liste ci-dessus s'applique au niveau canadien, mais qu'au niveau provincial, il y a plusieurs infractions aux règlements et lois de la province du Québec qui peuvent s'ajouter et ne s'appliquent qu'à cette dernière. Par exemple, pour le code civil du Québec, plusieurs articles peuvent être enfreins tels que le respect de la réputation et de la vie privé (article 35). Dans les cas où ces articles s'appliquent, le plaignant doit avoir recours aux tribunaux civil. Ces lois ou règlements supplémentaires qui s'applique uniquement au niveau de la province ne sont pas purement informatique. Tous les articles des lois et règlements provincial peuvent s'appliquer à l'infraction et ces infractions sont considérées comme étant assistées par la technologie. Elles n'ont donc pas d'article de loi précis qui s'applique, car selon le type d'acte, c'est l'article d'origine qui va s'appliquer .


Cas vécus

En janvier 2001, Michael Demon Calce, connu sous son alias Mafiaboy, a plaidé coupable à 56 chefs d'accusations pour avoir lancé des attaques de déni de service contre des sites Web d'importance comme CNN, Ebay Yahoo et d'autres. Ces cibles ont souffert d'interruption de leurs services et leurs utilisateurs légitimes, qui se comptent dans les millions, n'ont pas pu avoir accès à leur contenu. Pour mener ses attaques, Mafiaboy a eu accès à 75 ordinateurs sur 52 réseaux différents dans 4 pays. Un fait intéressant à noter est que 48 des 52 réseaux appartenaient à des universités.Une fois l'accès au réseau acquis, il implantait un outil de déni de service dans leurs systèmes. Ensuite, il pouvait exécuter des commandes sur ces systèmes a partir de son ordinateur afin de lancer l’attaque sur les sites Web cible. La majorité des chefs d'accusation contre Mafiaboy étaient liés à l'utilisation non-autorisée d'un ordinateur et en moindre proportion, pour méfait contre des sites Web. Finalement, Mafiaboy a reçu une sentence de huit mois en centre de détention jeunesse, un an de probation après sa sortie ainsi qu'une amende de 250.00$ à une œuvre de charité. Durant sa détention, il a été autorisé à aller à l'école et à avoir un emploi à temps partiel.

En 2012, Janvier Doyon-Tremblay, alors âgé de 28 ans, a été arrêté pour avoir commis une suite d'attaques sur le site Web principal du gouvernement du Québec le 27 avril 2012 lors de la grève étudiante. Pendant qu’il travaillait à la Chambre des communes, M. Doyon-Tremblay aurait infiltré le réseau, obtenu des privilèges administratifs, puis il aurait téléchargé un programme malveillant qui aurait ciblé le site Web en question. Ces actes auraient fait en sorte que le site Web aura été inaccessible au public pendant plus de deux jours. Doyon-Tremblay a été accusé de deux chefs d'utilisation non-autorisée d'ordinateur (article 342.1) et d'un chef de méfait concernant des données en vertu de l'article 430(1.1) du Code criminel. Il a plaidé coupable et a reçu une sentence conditionnelle de huit mois de détention, dont la moitié à domicile. De plus, l'accusé ne peut pas utiliser d'ordinateur sauf dans le cadre de son emploi.

Tout récemment, un cas de poursuite au civil a été conclu au Québec. En janvier 2012, la Cour d'appel du Québec a reconnu le site Canoë coupable de propos diffamatoires contre Me Susan Corriveau. En 2007, un article a été publié sur le site Canoë par le journaliste Richard Martineau. Malgré que cet article contenait des propos jugés diffamatoires, il a tout de même été publié sans aucune modération de la part des propriétaires du site Web. À la suite de ces événements, Me Corriveau a fait parvenir une mise en demeure à Canoë et Richard Martineau et a déposé une poursuite pour dommages-intérêts. Richard Martineau fut écarté de la procédure, car dans son contrat avec le site internet, il n'était pas tenu personnellement de modérer les commentaires faits sur son blogue. Suite aux procédures, la Cour a accordé la somme de 107 000$ à Me Corriveau. Donc, la plus haute Cour de la province a confirmé que le site Web peut être tenu responsable du contenu diffamatoire même ci ce dernier n'en est pas l'auteur !


Conclusion

Dans le Code criminel du Canada, plusieurs articles s'appliquent à des crimes purement informatiques, mais plusieurs cybercrimes sont considérés comme assisté par la technologie et ainsi, les articles originaux du crime sont appliqués. Ces lois sont écrites d'une façon générique qui englobe plusieurs actions et ne sont pas spécifiques à une action unique.

Ensuite, selon la région où l'acte a été commis, d'autres lois et règlements peuvent s'appliquer comme dans le cas de la province du Québec où le Code civil du Québec et la Charte des droits et libertés de la personne s'appliquent uniquement dans cette Province.

De plus, l'informatique est sans frontières. Cela veut donc dire qu'un acte peut avoir été commis dans un autre pays ou province ce qui ne facilite pas la tâche pour les enquêteurs. Pis encore, d'autres lois que celle présentée dans ce document pourraient être impliquées.

Le domaine légale en est un qui est très complexe, truffé de nuances. Vous comprendrez que cet article n'est qu'un aperçu des lois et règlement qui peuvent s'appliquer. Pour plus d'informations ou dans le doute, veuillez consulter votre avocat.

Références :

Crimes technologiques - Les instruments légaux au Canada “
Hacker gets house arrest for crippling Quebec website” http://www.sunnewsnetwork.ca/sunnews/canada/archives/2013/06/20130612-185850.html
« Un cyberpirate ayant travaillé aux Communes arrêté »
« Hacker Charged by RCMP »
« Laws of Canada as they Pertain to Computer Crime »
« 'Mafiaboy' Sentenced to 8 Months »
« Diffamation dans les commentaires de blogue : confirmation de la Cour d’Appel »
« Canoë inc. c. Corriveau 2012 QCCA 109»
« Code criminel (L.R.C. (1985), ch. C-46) »

Annexe

Article 184

Interception des communications
  • 184. (1) Est coupable d’un acte criminel et passible d’un emprisonnement maximal de cinq ans quiconque, au moyen d’un dispositif électromagnétique, acoustique, mécanique ou autre, intercepte volontairement une communication privée.
    (2) Le paragraphe (1) ne s’applique pas aux personnes suivantes :
    • a) une personne qui a obtenu, de l’auteur de la communication privée ou de la personne à laquelle son auteur la destine, son consentement exprès ou tacite à l’interception;
    • b) une personne qui intercepte une communication privée en conformité avec une autorisation ou en vertu de l’article .4, ou une personne qui, de bonne foi, aide de quelque façon une autre personne qu’elle croit, en se fondant sur des motifs raisonnables, agir en conformité avec une telle autorisation ou en vertu de cet article;
    • c) une personne qui fournit au public un service de communications téléphoniques, télégraphiques ou autres et qui intercepte une communication privée dans l’un ou l’autre des cas suivants :
      • (i) cette interception est nécessaire pour la fourniture de ce service,
      • (ii) à l’occasion de la surveillance du service ou d’un contrôle au hasard nécessaire pour les vérifications mécaniques ou la vérification de la qualité du service,
      • (iii) cette interception est nécessaire pour protéger ses droits ou biens directement liés à la fourniture d’un service de communications téléphoniques, télégraphiques ou autres;
    • d) un fonctionnaire ou un préposé de Sa Majesté du chef du Canada chargé de la régulation du spectre des fréquences de radiocommunication, pour une communication privée qu’il a interceptée en vue d’identifier, d’isoler ou d’empêcher l’utilisation non autorisée ou importune d’une fréquence ou d’une transmission;
    • e) une personne - ou toute personne agissant pour son compte - qui, étant en possession ou responsable d’un ordinateur - au sens du paragraphe 342.1(2) -, intercepte des communications privées qui sont destinées à celui-ci, en proviennent ou passent par lui, si l’interception est raisonnablement nécessaire :
      • (i) soit pour la gestion de la qualité du service de l’ordinateur en ce qui concerne les facteurs de qualité tels que la réactivité et la capacité de l’ordinateur ainsi que l’intégrité et la disponibilité de celui-ci et des données,
      • (ii) soit pour la protection de l’ordinateur contre tout acte qui constituerait une infraction aux paragraphes 342.1(1) ou 430(1.1).
            • Note marginale :Utilisation ou conservation
    (3) La communication privée interceptée par la personne visée à l’alinéa (2) e) ne peut être utilisée ou conservée que si, selon le cas :
    • a) elle est essentielle pour détecter, isoler ou empêcher des activités dommageables pour l’ordinateur;
    • b) elle sera divulguée dans un cas visé au paragraphe 193(2).
  • L.R. (1985), ch. C-46, art. ;
  • 1993, ch. 40, art. 3;
  • 2004, ch. 12, art. 4.

Article 191

Possesion, etc.
  • 191. (1) Est coupable d’un acte criminel et passible d’un emprisonnement maximal de deux ans quiconque possède, vend ou achète un dispositif électromagnétique, acoustique, mécanique ou autre ou un élément ou une pièce de celui-ci, sachant que leur conception les rend principalement utiles à l’interception clandestine de communications privées.
    (2) Le paragraphe (1) ne s’applique pas aux personnes suivantes :
    • a) un policier en possession d’un dispositif, d’un élément ou d’une pièce visés au paragraphe (1) dans l’exercice de ses fonctions;
    • b) une personne en possession d’un dispositif, d’un élément ou d’une pièce visés au paragraphe (1) qu’elle a l’intention d’utiliser lors d’une interception qui est faite ou doit être faite en conformité avec une autorisation;
    • b.1) une personne en possession d’un dispositif, d’un élément ou d’une pièce d’un dispositif, sous la direction d’un policier, afin de l’aider dans l’exercice de ses fonctions;
    • c) un fonctionnaire ou préposé de Sa Majesté du chef du Canada ou un membre des Forces canadiennes en possession d’un dispositif, d’un élément ou d’une pièce visés au paragraphe (1) dans l’exercice de ses fonctions en tant que fonctionnaire, préposé ou membre, selon le cas;
    • d) toute autre personne en possession d’un dispositif, d’un élément ou d’une pièce visés au paragraphe (1) en vertu d’un permis délivré par le ministre de la Sécurité publique et de la Protection civile.
    (3) Un permis délivré pour l’application de l’alinéa (2)d) peut énoncer les modalités relatives à la possession, la vente ou l’achat d’un dispositif, d’un élément ou d’une pièce visés au paragraphe (1) que le ministre de la Sécurité publique et de la Protection civile peut prescrire.
  • L.R. (1985), ch. C-46, art. ;
  • L.R. (1985), ch. 27 (1er suppl.), art. 26;
  • 2005, ch. 10, art. 34;
  • 2013, ch. 8, art. 4.


Article 327

Possession de moyens permettant d’utiliser des installations ou d’obtenir un service en matière de télécommunication
  • 327. (1) Quiconque, sans excuse légitime, dont la preuve lui incombe, fabrique, possède, vend ou offre en vente ou écoule des instruments ou des pièces particulièrement utiles pour utiliser des installations ou obtenir un service en matière de télécommunication, dans des circonstances qui permettent raisonnablement de conclure qu’ils ont été utilisés, sont destinés ou ont été destinés à l’être à cette fin, sans acquittement des droits exigibles, est coupable d’un acte criminel et passible d’un emprisonnement maximal de deux ans.
    (2) Lorsqu’une personne est déclarée coupable d’une infraction prévue au paragraphe (1) ou à l’alinéa 326(1)b), tout instrument au moyen duquel l’infraction a été commise ou dont la possession a constitué l’infraction peut, après cette déclaration de culpabilité et en plus de toute peine qui est imposée, être par ordonnance confisqué au profit de Sa Majesté, après quoi il peut en être disposé conformément aux instructions du procureur général.
    (3) Aucune ordonnance de confiscation ne peut être rendue en vertu du paragraphe (2) relativement à des installations ou du matériel de communications téléphoniques, télégraphiques ou autres qui sont la propriété d’une personne fournissant au public un service de communications téléphoniques, télégraphiques ou autres ou qui font partie du service ou réseau de communications téléphoniques, télégraphiques ou autres d’une telle personne et au moyen desquels une infraction prévue au paragraphe (1) a été commise, si cette personne n’a pas participé à l’infraction.
  • 1974-75-76, ch. 93, art. 24.

Article 342.1

Utilisation non autorisée d’ordinateur
  • 342.1 (1) Quiconque, frauduleusement et sans apparence de droit :
    • a) directement ou indirectement, obtient des services d’ordinateur;
    • b) au moyen d’un dispositif électromagnétique, acoustique, mécanique ou autre, directement ou indirectement, intercepte ou fait intercepter toute fonction d’un ordinateur;
    • c) directement ou indirectement, utilise ou fait utiliser un ordinateur dans l’intention de commettre une infraction prévue à l’alinéa a) ou b) ou une infraction prévue à l’article 430 concernant des données ou un ordinateur;
    • d) a en sa possession ou utilise un mot de passe d’ordinateur qui permettrait la perpétration des infractions prévues aux alinéas a), b) ou c), ou en fait le trafic ou permet à une autre personne de l’utiliser,
    est coupable d’un acte criminel et passible d’un emprisonnement maximal de dix ans ou d’une infraction punissable sur déclaration de culpabilité par procédure sommaire.
    (2) Les définitions qui suivent s’appliquent au présent article.
    « dispositif électromagnétique, acoustique, mécanique ou autre »
    « dispositif électromagnétique, acoustique, mécanique ou autre » Tout dispositif ou appareil utilisé ou pouvant être utilisé pour intercepter une fonction d’un ordinateur, à l’exclusion d’un appareil de correction auditive utilisé pour améliorer, sans dépasser la normale, l’audition de l’utilisateur lorsqu’elle est inférieure à la normale.
    « données »
    « données » Représentations d’informations ou de concepts qui sont préparés ou l’ont été de façon à pouvoir être utilisés dans un ordinateur.
    « fonction »
    « fonction » S’entend notamment des fonctions logiques, arithmétiques, des fonctions de commande et de suppression, des fonctions de mémorisation et de recouvrement ou de relevé des données de même que des fonctions de communication ou de télécommunication de données à destination, à partir d’un ordinateur ou à l’intérieur de celui-ci.
    « intercepter »
    « intercepter » S’entend notamment du fait d’écouter ou d’enregistrer une fonction d’un ordinateur ou de prendre connaissance de sa substance, de son sens ou de son objet.
    « mot de passe »
    « mot de passe » Donnée permettant d’utiliser un ordinateur ou d’obtenir des services d’ordinateur.
    « ordinateur »
    « ordinateur » Dispositif ou ensemble de dispositifs connectés ou reliés les uns aux autres, dont l’un ou plusieurs d’entre eux :
    • a) contiennent des programmes d’ordinateur ou d’autres données;
    • b) conformément à des programmes d’ordinateur :
      • (i) soit exécutent des fonctions logiques et de commande,
      • (ii) soit peuvent exécuter toute autre fonction.
    « programme d’ordinateur »
    « programme d’ordinateur » Ensemble de données qui représentent des instructions ou des relevés et qui, lorsque traités par l’ordinateur, lui font remplir une fonction.
    « service d’ordinateur »
    « service d’ordinateur » S’entend notamment du traitement des données de même que de la mémorisation et du recouvrement ou du relevé des données.
    « trafic »
    « trafic » Le fait de vendre, d’exporter du Canada, d’importer au Canada ou de distribuer un mot de passe, ou d’en disposer de quelque autre façon.
  • L.R. (1985), ch. 27 (1er suppl.), art. 45;
  • 1997, ch. 18, art. 18.

Article 342.2

Possession de moyens permettant d’utiliser un service d’ordinateur
  • 342.2 (1) Quiconque, sans justification ou excuse légitime, fabrique, possède, vend, offre en vente ou écoule des instruments, ou des pièces de ceux-ci, particulièrement utiles à la commission d’une infraction prévue à l’article 342.1, dans des circonstances qui permettent de conclure raisonnablement qu’ils ont été utilisés, sont destinés ou étaient destinés à la commission d’une telle infraction, est coupable :
    • a) soit d’un acte criminel et passible d’un emprisonnement maximal de deux ans;
    • b) soit d’une infraction punissable sur déclaration de culpabilité par procédure sommaire.
    (2) Lorsqu’une personne est déclarée coupable d’une infraction prévue au paragraphe (1), tout instrument au moyen duquel l’infraction a été commise ou dont la possession a constitué l’infraction peut, en plus de toute peine applicable en l’espèce, être par ordonnance confisqué au profit de Sa Majesté, après quoi il peut en être disposé conformément aux instructions du procureur général.
  • (3) Aucune ordonnance de confiscation ne peut être rendue en vertu du paragraphe (2) relativement à une chose qui est la propriété d’une personne qui n’a pas participé à l’infraction.
  • 1997, ch. 18, art. 19.

Article 430


  • 430. (1) Commet un méfait quiconque volontairement, selon le cas :
    • a) détruit ou détériore un bien;
    • b) rend un bien dangereux, inutile, inopérant ou inefficace;
    • c) empêche, interrompt ou gêne l’emploi, la jouissance ou l’exploitation légitime d’un bien;
    • d) empêche, interrompt ou gêne une personne dans l’emploi, la jouissance ou l’exploitation légitime d’un bien.
    (1.1) Commet un méfait quiconque volontairement, selon le cas :
    • a) détruit ou modifie des données;
    • b) dépouille des données de leur sens, les rend inutiles ou inopérantes;
    • c) empêche, interrompt ou gêne l’emploi légitime des données;
    • d) empêche, interrompt ou gêne une personne dans l’emploi légitime des données ou refuse l’accès aux données à une personne qui y a droit.
    (2) Est coupable d’un acte criminel et passible de l’emprisonnement à perpétuité quiconque commet un méfait qui cause un danger réel pour la vie des gens.
    (3) Quiconque commet un méfait à l’égard d’un bien qui constitue un titre testamentaire ou dont la valeur dépasse cinq mille dollars est coupable :
    • a) soit d’un acte criminel et passible d’un emprisonnement maximal de dix ans;
    • b) soit d’une infraction punissable sur déclaration de culpabilité par procédure sommaire.
    (4) Quiconque commet un méfait à l’égard d’un bien, autre qu’un bien visé au paragraphe (3), est coupable :
    • a) soit d’un acte criminel et passible d’un emprisonnement maximal de deux ans;
    • b) soit d’une infraction punissable sur déclaration de culpabilité par procédure sommaire.