Par: Marc Séguin, GCFA, GWAPT, CCNA
Mise en contexte
Des gens me demandent régulièrement
de leur expliquer les lois qui régissent mes actions dans le cadre
de mon emploi en tant que spécialiste en enquêtes informatiques. Je
tenterai de faire un survol de ce thème par le biais de ce document.
Je jetterai aussi un regard sur les actions qui peuvent être prises
(ex. poursuites) contre les les pirates informatiques et autres
cybercriminels.
Afin d'avoir une définition commune
de la cybercriminalité, nous allons utiliser la définition
suivante :
« La cybercriminalité est
généralement définie comme une infraction criminelle ayant
l’ordinateur pour objet (piratage informatique, hameçonnage,
pollupostage) ou pour instrument de perpétration principal
(pornographie juvénile, crime haineux, fraude informatique). Des
criminels peuvent également utiliser des ordinateurs à des fins de
communication et de stockage de documents ou de données. »
Les lois canadiennes
Dans
les lois canadiennes actuelles, le Code criminel contient plusieurs
articles sur des crimes de nature purement informatique. Certains
délits sont mêmes considérés comme étant assistés par la
technologie et dans ce cas, là où les lois sanctionnant
l'activité illégale d'origine s'appliqueront, l'élément
technologique deviendra une preuve importante. De plus, l'expertise
de ces preuves servira à démontrer la commission de l'acte ou
l'intention du délinquant. Plusieurs articles du Code criminel
canadiens concernant les crimes purement informatiques ont été
écrits en 1985.
Dans
le cas des crimes de nature purement informatique dans le Code
criminel canadien, les articles de loi suivants peuvent s'appliquer:
Article 342.1 -
Utilisation non-autorisée d’ordinateur
Article 342.2 -
Possession de moyens permettant d’utiliser un ordinateur
Article 430 (1.1) -
Méfait concernant des données
Article 327 -
Possession de moyens permettant d’utiliser des installations ou
d’obtenir un service en matière de télécommunication
Article 184 -
Interception des communications
Article 191 -
Possession
N.B. Pour une lecture
approfondie de ces articles de loi, veuillez vous référer à
l'annexe de ce document.
Afin de mieux comprendre
la différence entre ce que sont des crimes purement informatiques et
des crimes assistés par la technologie, voici quelques exemples de
chaque catégorie:
Crimes purement
informatiques :
Défiguration de sites
Web
Piratage ou utilisation
illicite de systèmes informatiques
Infractions propres aux
réseaux électroniques (attaques visant les systèmes
d'information, le déni de service, etc.)
Création et propagation
malveillante de virus informatiques
Crimes assistés par la
technologie (avec les articles de lois ou règlements applicables):
Pornographie
juvénile (article 163.1 du Code
criminel
canadien)
Fraude
(article 380 du Code
criminel
canadien)
- Télémarketing frauduleux via Internet
- Vol
d’identité
- Infractions économiques
Incitation
publique à la haine (article 319(1) du Code
criminel
canadien)
- Diffusion de contenus illicites par voie électronique
Harcèlement
criminel (article 264 du Code
criminel
canadien)
- Appels indécents
Trafic
de drogue (Loi
réglementant certaines drogues et autres substances)
-
Vente de substances ou de produits illicites via Internet
Falsifications
informatiques – Faux documents (article 366 du Code
criminel
canadien)
- Escroqueries
- Fausses cartes de paiement
Atteintes
à la vie privée (article 183 du Code
criminel
canadien)
- La collecte, le stockage, la modification, la
divulgation et la diffusion illicites de données à caractère
personnel
- Espionnage informatique
Sabotage
(article 52 du Code
criminel
canadien)
- Piratage informatique
- Diffusion de virus
Atteintes
à la propriété intellectuelle (Loi
sur le droit d’auteur)
-
Atteinte à la protection juridique des programmes d'ordinateur et
des bases de données, du droit d'auteur et des droits voisins
Sachez que la liste
ci-dessus s'applique au niveau canadien, mais qu'au niveau
provincial, il y a plusieurs infractions aux règlements et lois de
la province du Québec qui peuvent s'ajouter et ne s'appliquent qu'à
cette dernière. Par exemple, pour le code civil du Québec,
plusieurs articles peuvent être enfreins tels que le respect de la
réputation et de la vie privé (article 35). Dans les cas où ces
articles s'appliquent, le plaignant doit avoir recours aux tribunaux
civil. Ces lois ou règlements supplémentaires qui s'applique
uniquement au niveau de la province ne sont pas purement
informatique. Tous les articles des lois et règlements provincial
peuvent s'appliquer à l'infraction et ces infractions sont
considérées comme étant assistées par la technologie. Elles
n'ont donc pas d'article de loi précis qui s'applique, car selon le
type d'acte, c'est l'article d'origine qui va s'appliquer .
Cas vécus
En
janvier 2001, Michael Demon Calce, connu sous son alias
Mafiaboy, a
plaidé coupable à 56 chefs d'accusations pour avoir lancé des
attaques de déni de service contre des sites Web d'importance comme
CNN, Ebay Yahoo et d'autres. Ces cibles ont souffert d'interruption
de leurs services et leurs utilisateurs légitimes, qui se comptent
dans les millions, n'ont pas pu avoir accès à leur contenu. Pour
mener ses attaques, Mafiaboy a eu accès à 75 ordinateurs sur 52
réseaux différents dans 4 pays. Un fait intéressant à noter est
que 48 des 52 réseaux appartenaient à des universités.Une fois
l'accès au réseau acquis, il implantait un outil de déni de
service dans leurs systèmes. Ensuite, il pouvait exécuter des
commandes sur ces systèmes a partir de son ordinateur afin de lancer
l’attaque sur les sites Web cible. La majorité des chefs
d'accusation contre Mafiaboy étaient liés à l'utilisation
non-autorisée d'un ordinateur et en moindre proportion, pour méfait
contre des sites Web. Finalement, Mafiaboy a reçu une sentence de
huit mois en centre de détention jeunesse, un an de probation après
sa sortie ainsi qu'une amende de 250.00$ à une œuvre de charité.
Durant sa détention, il a été autorisé à aller à l'école et à
avoir un emploi à temps partiel.
En 2012, Janvier
Doyon-Tremblay, alors âgé de 28 ans, a été arrêté pour avoir
commis une suite d'attaques sur le site Web principal du gouvernement
du Québec le 27 avril 2012 lors de la grève étudiante. Pendant
qu’il travaillait à la Chambre des communes, M. Doyon-Tremblay
aurait infiltré le réseau, obtenu des privilèges administratifs,
puis il aurait téléchargé un programme malveillant qui aurait
ciblé le site Web en question. Ces actes auraient fait en sorte que
le site Web aura été inaccessible au public pendant plus de deux
jours. Doyon-Tremblay a été accusé de deux chefs d'utilisation
non-autorisée d'ordinateur (article 342.1) et d'un chef de méfait
concernant des données en vertu de l'article 430(1.1) du Code
criminel. Il a plaidé coupable et a reçu une sentence
conditionnelle de huit mois de détention, dont la moitié à
domicile. De plus, l'accusé ne peut pas utiliser d'ordinateur sauf
dans le cadre de son emploi.
Tout récemment, un cas
de poursuite au civil a été conclu au Québec. En janvier 2012, la
Cour d'appel du Québec a reconnu le site Canoë coupable de propos
diffamatoires contre Me Susan Corriveau. En 2007, un article a été
publié sur le site Canoë par le journaliste Richard Martineau.
Malgré que cet article contenait des propos jugés diffamatoires, il
a tout de même été publié sans aucune modération de la part des
propriétaires du site Web. À la suite de ces événements, Me
Corriveau a fait parvenir une mise en demeure à Canoë et Richard
Martineau et a déposé une poursuite pour dommages-intérêts.
Richard Martineau fut écarté de la procédure, car dans son contrat
avec le site internet, il n'était pas tenu personnellement de
modérer les commentaires faits sur son blogue. Suite aux procédures,
la Cour a accordé la somme de 107 000$ à Me Corriveau. Donc, la
plus haute Cour de la province a confirmé que le site Web peut être
tenu responsable du contenu diffamatoire même ci ce dernier n'en est
pas l'auteur !
Conclusion
Dans le Code criminel du
Canada, plusieurs articles s'appliquent à des crimes purement
informatiques, mais plusieurs cybercrimes sont considérés comme
assisté par la technologie et ainsi, les articles originaux du crime
sont appliqués. Ces lois sont écrites d'une façon générique qui
englobe plusieurs actions et ne sont pas spécifiques à une action
unique.
Ensuite, selon la région
où l'acte a été commis, d'autres lois et règlements peuvent
s'appliquer comme dans le cas de la province du Québec où le Code
civil du Québec et la Charte des droits et libertés de la personne
s'appliquent uniquement dans cette Province.
De plus, l'informatique
est sans frontières. Cela veut donc dire qu'un acte peut avoir été
commis dans un autre pays ou province ce qui ne facilite pas la tâche
pour les enquêteurs. Pis encore, d'autres lois que celle présentée
dans ce document pourraient être impliquées.
Le domaine légale en est
un qui est très complexe, truffé de nuances. Vous comprendrez que
cet article n'est qu'un aperçu des lois et règlement qui peuvent
s'appliquer. Pour plus d'informations ou dans le doute, veuillez
consulter votre avocat.
Références :
“Crimes
technologiques - Les instruments légaux au Canada “
« Un
cyberpirate ayant travaillé aux Communes arrêté »
« Hacker
Charged by RCMP »
« Laws
of Canada as they Pertain to Computer Crime »
« 'Mafiaboy'
Sentenced to 8 Months »
« Diffamation
dans les commentaires de blogue : confirmation de la Cour d’Appel »
« Canoë
inc. c. Corriveau 2012 QCCA 109»
« Code
criminel (L.R.C. (1985), ch. C-46) »
Annexe
Article
184
Interception
des communications
184. (1) Est
coupable d’un acte criminel et passible d’un emprisonnement
maximal de cinq ans quiconque, au moyen d’un dispositif
électromagnétique, acoustique, mécanique ou autre, intercepte
volontairement une communication privée.
(2) Le
paragraphe (1) ne s’applique pas aux personnes suivantes :
a) une
personne qui a obtenu, de l’auteur de la communication privée ou
de la personne à laquelle son auteur la destine, son consentement
exprès ou tacite à l’interception;
b) une
personne qui intercepte une communication privée en conformité
avec une autorisation ou en vertu de l’article .4, ou une
personne qui, de bonne foi, aide de quelque façon une autre
personne qu’elle croit, en se fondant sur des motifs
raisonnables, agir en conformité avec une telle autorisation ou en
vertu de cet article;
c) une
personne qui fournit au public un service de communications
téléphoniques, télégraphiques ou autres et qui intercepte une
communication privée dans l’un ou l’autre des cas suivants :
(i) cette
interception est nécessaire pour la fourniture de ce service,
(ii) à
l’occasion de la surveillance du service ou d’un contrôle au
hasard nécessaire pour les vérifications mécaniques ou la
vérification de la qualité du service,
(iii) cette
interception est nécessaire pour protéger ses droits ou biens
directement liés à la fourniture d’un service de
communications téléphoniques, télégraphiques ou autres;
d) un
fonctionnaire ou un préposé de Sa Majesté du chef du Canada
chargé de la régulation du spectre des fréquences de
radiocommunication, pour une communication privée qu’il a
interceptée en vue d’identifier, d’isoler ou d’empêcher
l’utilisation non autorisée ou importune d’une fréquence ou
d’une transmission;
e) une
personne - ou toute personne agissant pour son compte - qui, étant
en possession ou responsable d’un ordinateur - au sens du
paragraphe 342.1(2) -, intercepte des communications privées qui
sont destinées à celui-ci, en proviennent ou passent par lui, si
l’interception est raisonnablement nécessaire :
(i) soit
pour la gestion de la qualité du service de l’ordinateur en ce
qui concerne les facteurs de qualité tels que la réactivité et
la capacité de l’ordinateur ainsi que l’intégrité et la
disponibilité de celui-ci et des données,
(ii) soit
pour la protection de l’ordinateur contre tout acte qui
constituerait une infraction aux paragraphes 342.1(1) ou 430(1.1).
Note marginale :Utilisation ou
conservation
(3) La
communication privée interceptée par la personne visée à
l’alinéa (2) e)
ne peut être utilisée ou conservée que si, selon le cas :
a) elle
est essentielle pour détecter, isoler ou empêcher des activités
dommageables pour l’ordinateur;
b) elle
sera divulguée dans un cas visé au paragraphe 193(2).
Article
191
Possesion,
etc.
191. (1) Est
coupable d’un acte criminel et passible d’un emprisonnement
maximal de deux ans quiconque possède, vend ou achète un
dispositif électromagnétique, acoustique, mécanique ou autre ou
un élément ou une pièce de celui-ci, sachant que leur conception
les rend principalement utiles à l’interception clandestine de
communications privées.
(2) Le
paragraphe (1) ne s’applique pas aux personnes suivantes :
a) un
policier en possession d’un dispositif, d’un élément ou d’une
pièce visés au paragraphe (1) dans l’exercice de ses fonctions;
b) une
personne en possession d’un dispositif, d’un élément ou d’une
pièce visés au paragraphe (1) qu’elle a l’intention
d’utiliser lors d’une interception qui est faite ou doit être
faite en conformité avec une autorisation;
b.1) une
personne en possession d’un dispositif, d’un élément ou d’une
pièce d’un dispositif, sous la direction d’un policier, afin
de l’aider dans l’exercice de ses fonctions;
c) un
fonctionnaire ou préposé de Sa Majesté du chef du Canada ou un
membre des Forces canadiennes en possession d’un dispositif, d’un
élément ou d’une pièce visés au paragraphe (1) dans
l’exercice de ses fonctions en tant que fonctionnaire, préposé
ou membre, selon le cas;
d) toute
autre personne en possession d’un dispositif, d’un élément ou
d’une pièce visés au paragraphe (1) en vertu d’un permis
délivré par le ministre de la Sécurité publique et de la
Protection civile.
(3) Un
permis délivré pour l’application de l’alinéa (2)d)
peut énoncer les modalités relatives à la possession, la vente ou
l’achat d’un dispositif, d’un élément ou d’une pièce
visés au paragraphe (1) que le ministre de la Sécurité publique
et de la Protection civile peut prescrire.
L.R.
(1985), ch. C-46, art. ;
L.R.
(1985), ch. 27 (1er suppl.), art. 26;
2005,
ch. 10, art. 34;
2013,
ch. 8, art. 4.
Article
327
Possession
de moyens permettant d’utiliser des installations ou d’obtenir un
service en matière de télécommunication
327. (1) Quiconque,
sans excuse légitime, dont la preuve lui incombe, fabrique,
possède, vend ou offre en vente ou écoule des instruments ou des
pièces particulièrement utiles pour utiliser des installations ou
obtenir un service en matière de télécommunication, dans des
circonstances qui permettent raisonnablement de conclure qu’ils
ont été utilisés, sont destinés ou ont été destinés à l’être
à cette fin, sans acquittement des droits exigibles, est coupable
d’un acte criminel et passible d’un emprisonnement maximal de
deux ans.
(2) Lorsqu’une
personne est déclarée coupable d’une infraction prévue au
paragraphe (1) ou à l’alinéa 326(1)b),
tout instrument au moyen duquel l’infraction a été commise ou
dont la possession a constitué l’infraction peut, après cette
déclaration de culpabilité et en plus de toute peine qui est
imposée, être par ordonnance confisqué au profit de Sa Majesté,
après quoi il peut en être disposé conformément aux instructions
du procureur général.
(3) Aucune
ordonnance de confiscation ne peut être rendue en vertu du
paragraphe (2) relativement à des installations ou du matériel de
communications téléphoniques, télégraphiques ou autres qui sont
la propriété d’une personne fournissant au public un service de
communications téléphoniques, télégraphiques ou autres ou qui
font partie du service ou réseau de communications téléphoniques,
télégraphiques ou autres d’une telle personne et au moyen
desquels une infraction prévue au paragraphe (1) a été commise,
si cette personne n’a pas participé à l’infraction.
Article
342.1
Utilisation
non autorisée d’ordinateur
342.1 (1) Quiconque,
frauduleusement et sans apparence de droit :
a) directement
ou indirectement, obtient des services d’ordinateur;
b) au
moyen d’un dispositif électromagnétique, acoustique, mécanique
ou autre, directement ou indirectement, intercepte ou fait
intercepter toute fonction d’un ordinateur;
c) directement
ou indirectement, utilise ou fait utiliser un ordinateur dans
l’intention de commettre une infraction prévue à l’alinéa a)
ou b)
ou une infraction prévue à l’article 430 concernant des données
ou un ordinateur;
d) a
en sa possession ou utilise un mot de passe d’ordinateur qui
permettrait la perpétration des infractions prévues aux alinéas
a),
b)
ou c),
ou en fait le trafic ou permet à une autre personne de l’utiliser,
est
coupable d’un acte criminel et passible d’un emprisonnement
maximal de dix ans ou d’une infraction punissable sur déclaration
de culpabilité par procédure sommaire.
(2) Les
définitions qui suivent s’appliquent au présent article.
«
dispositif électromagnétique, acoustique, mécanique ou autre »
«
dispositif électromagnétique, acoustique, mécanique ou autre »
Tout dispositif ou appareil utilisé ou pouvant être utilisé pour
intercepter une fonction d’un ordinateur, à l’exclusion d’un
appareil de correction auditive utilisé pour améliorer, sans
dépasser la normale, l’audition de l’utilisateur lorsqu’elle
est inférieure à la normale.
«
données »
«
données »
Représentations d’informations ou de concepts qui sont préparés
ou l’ont été de façon à pouvoir être utilisés dans un
ordinateur.
«
fonction »
«
fonction » S’entend
notamment des fonctions logiques, arithmétiques, des fonctions de
commande et de suppression, des fonctions de mémorisation et de
recouvrement ou de relevé des données de même que des fonctions
de communication ou de télécommunication de données à
destination, à partir d’un ordinateur ou à l’intérieur de
celui-ci.
«
intercepter »
«
intercepter » S’entend
notamment du fait d’écouter ou d’enregistrer une fonction d’un
ordinateur ou de prendre connaissance de sa substance, de son sens
ou de son objet.
«
mot de passe »
«
mot de passe » Donnée
permettant d’utiliser un ordinateur ou d’obtenir des services
d’ordinateur.
«
ordinateur »
«
ordinateur » Dispositif
ou ensemble de dispositifs connectés ou reliés les uns aux autres,
dont l’un ou plusieurs d’entre eux :
«
programme d’ordinateur »
«
programme d’ordinateur »
Ensemble de données qui représentent des instructions ou des
relevés et qui, lorsque traités par l’ordinateur, lui font
remplir une fonction.
«
service d’ordinateur »
«
service d’ordinateur »
S’entend notamment du traitement des données de même que de la
mémorisation et du recouvrement ou du relevé des données.
«
trafic »
«
trafic » Le fait de
vendre, d’exporter du Canada, d’importer au Canada ou de
distribuer un mot de passe, ou d’en disposer de quelque autre
façon.
Article
342.2
Possession
de moyens permettant d’utiliser un service d’ordinateur
342.2 (1) Quiconque,
sans justification ou excuse légitime, fabrique, possède, vend,
offre en vente ou écoule des instruments, ou des pièces de
ceux-ci, particulièrement utiles à la commission d’une
infraction prévue à l’article 342.1, dans des circonstances qui
permettent de conclure raisonnablement qu’ils ont été utilisés,
sont destinés ou étaient destinés à la commission d’une telle
infraction, est coupable :
(2) Lorsqu’une
personne est déclarée coupable d’une infraction prévue au
paragraphe (1), tout instrument au moyen duquel l’infraction a été
commise ou dont la possession a constitué l’infraction peut, en
plus de toute peine applicable en l’espèce, être par ordonnance
confisqué au profit de Sa Majesté, après quoi il peut en être
disposé conformément aux instructions du procureur général.
-
(3) Aucune
ordonnance de confiscation ne peut être rendue en vertu du
paragraphe (2) relativement à une chose qui est la propriété
d’une personne qui n’a pas participé à l’infraction.
Article
430
430. (1) Commet
un méfait quiconque volontairement, selon le cas :
a) détruit
ou détériore un bien;
b) rend
un bien dangereux, inutile, inopérant ou inefficace;
c) empêche,
interrompt ou gêne l’emploi, la jouissance ou l’exploitation
légitime d’un bien;
d) empêche,
interrompt ou gêne une personne dans l’emploi, la jouissance ou
l’exploitation légitime d’un bien.
(1.1) Commet
un méfait quiconque volontairement, selon le cas :
a) détruit
ou modifie des données;
b) dépouille
des données de leur sens, les rend inutiles ou inopérantes;
c) empêche,
interrompt ou gêne l’emploi légitime des données;
d) empêche,
interrompt ou gêne une personne dans l’emploi légitime des
données ou refuse l’accès aux données à une personne qui y a
droit.
(2) Est
coupable d’un acte criminel et passible de l’emprisonnement à
perpétuité quiconque commet un méfait qui cause un danger réel
pour la vie des gens.
(3) Quiconque
commet un méfait à l’égard d’un bien qui constitue un titre
testamentaire ou dont la valeur dépasse cinq mille dollars est
coupable :
(4) Quiconque
commet un méfait à l’égard d’un bien, autre qu’un bien visé
au paragraphe (3), est coupable :