1. Introduction
Alors que, il y a vingt ans, les réseaux informatiques n'étaient l'apanage que d'une poignée de chercheurs, ils sont désormais omniprésents et indispensables à notre société. Les individus communiquent avec leurs amis sur des réseaux sociaux, les partis politiques et les mouvements religieux ont leur site web et les entreprises se sont lancées dans le commerce en ligne.
Ce lien de dépendance qui unit la société aux réseaux informatiques n'a pas échappé aux cybercriminels en tous genres qui se sont empressés de l'exploiter au moyen des techniques les plus diverses.
Aucune des attaques informatiques inventées au cours des vingt dernières années n'est cependant aussi simple à réaliser et aussi dévastatrice que l'attaque par déni de service distribué, aussi appelée Distributed Denial of Service attack (abrégé DDoS attack). Techniquement, cette attaque consiste à ordonner à une multitude d'ordinateurs préalablement infectés (réseau de zombies ou botnet) d'envoyer à un système informatique pris pour cible une quantité innombrable de demandes informatiques, afin de le saturer et d'obtenir ainsi son ralentissement, voire son blocage complet1. A ce jour, il n'existe encore aucune technique efficace permettant de bloquer une pareille attaque.
Lorsqu'une attaque DDoS est lancée contre les infrastructures vitales d'un Etat, contre des grandes entreprises actives uniquement sur le web ou encore contre un serveur DNS2, les conséquences peuvent, selon la durée et l'ampleur de l'attaque, être dévastatrices. Cette situation est parfaitement illustrée par l'attaque qui a été dirigée contre l'Estonie, l'un des pays les plus connectés à internet en Europe. En effet, à la suite de la décision du Gouvernement estonien de faire déplacer un monument érigé en mémoire d'un «soldat inconnu» (russe) du centre-ville de Tallinn dans un cimetière de banlieue, le 27 avril 2007, une attaque DDoS de grande ampleur a été lancée contre les sites web du président, du premier ministre, du Parlement et de presque tous les ministères, ce qui a eu pour effet de les rendre totalement inaccessibles. A partir du 30 avril 2007, les attaques se sont intensifiées et étendues aux fournisseurs de services internet, aux serveurs de messagerie du Parlement estonien, à la presse, aux universités, à l'e-banking et à divers autres services internet. Pour tenter de maîtriser l'attaque, l'Estonie a interrompu ses communications internationales, afin de bloquer les multitudes de requêtes qui lui parvenaient d'ordinateurs disséminés dans plus de soixante pays. Cette manœuvre n'a eu que peu d'effet et les attaques ont continué. Elles ont atteint leur paroxysme le 9 mai, jour de la commémoration de la victoire russe sur l'Allemagne nazie. L'attaque a pris fin le 10 mai 2007, laissant derrière elle un pays extrêmement fragilisé. Ces attaques ont été un véritable désastre économique, dont le montant se chiffre en milliards de dollars.
Sur le moment, les autorités estoniennes étaient persuadées que cette attaque avait été lancée par l'Etat russe. Il s'est toutefois avéré, quelques mois plus tard, qu'il s'agissait d'une bande de jeunes hackers. La peine qui leur a été infligée a été une amende d'environ 1500 dollars - une broutille au regard des dommages occasionnés.
2. Au niveau international
L'ampleur prise par le phénomène cybercriminel a incité les organisations internationales, notamment le Conseil de l'Europe, Interpol, l'Union européenne et le G8 à s'accorder sur la manière de lutter contre cette forme de criminalité en pleine expansion. C'est ainsi que le Conseil de l'Europe a élaboré la Convention sur la cybercriminalité du 23 novembre 2001 (CCC) dont le but était de définir un standard minimum des comportement punissables ainsi que les mesures d'instruction et d'entraide indispensables à une lutte efficace contre la cybercriminalité.
S'agissant en particulier de l'attaque DDoS, elle tombe sous le coup de l'art. 5 CCC qui réprime «l'entrave grave, intentionnelle et sans droit, au fonctionnement d'un système informatique, par l'introduction, la transmission, l'endommagement, l'effacement, la détérioration, l'altération ou la suppression de données informatiques».
L'entrave au sens de cette disposition désigne tout comportement - faisant partie de la liste exhaustive des comportements réprimés - propre à affecter la bonne marche du système.
S'agissant du qualificatif «grave», il n'a pas été déterminé précisément, de façon que chaque Etat puisse le définir comme il l'entend. Ainsi, l'entrave grave pourra se rapporter à un dommage minimum engendré par cette entrave ou à l'importance de l'entrave. A titre d'exemple, les auteurs du rapport explicatif «ont jugé «grave» l'envoi à un système informatique de données dont la forme, le volume ou la fréquence portent un préjudice important à la capacité du propriétaire ou de l'exploitant d'utiliser le système en question ou de communiquer avec d'autres systèmes (c'est le cas des programmes qui portent atteinte à des systèmes sous la forme d'un «déni de service», des codes malveillants, tels que les virus, qui interdisent ou ralentissent sensiblement le fonctionnement du système, ou des programmes qui envoient un énorme volume de courrier électronique à un destinataire, afin de paralyser les fonctions de communication du système)»3.
Si l'auteur a agi dans le but d'obtenir sans droit un bénéfice économique pour lui-même ou pour un tiers, il peut également se rendre coupable de fraude informatique au sens de l'art. 8 let. b CCC, qui sanctionne les atteintes au fonctionnement d'un système informatique dans un but préjudiciable aux intérêts pécuniaires d'autrui4. Le dessein spécial exigé par cet article est présent lorsque, par ses manipulations frauduleuses, l'auteur espère faire perdre de la clientèle à son concurrent et, ainsi, faire augmenter la sienne. En revanche, comme l'indique le rapport explicatif de la convention, «les activités commerciales relatives à la concurrence qui peuvent causer un préjudice économique à une personne et apporter un bénéfice à une autre, mais qui ne sont pas pratiquées dans une intention frauduleuse ou malhonnête, ne constituent pas une infraction au titre de l'article 8»5.
3. En droit suisse
3.1. Qualifications juridiques
Lors de la révision du titre 2 du Code pénal, entrée en vigueur le 1er janvier 19956, le législateur n'a pas estimé nécessaire de créer de dispositions réprimant les atteintes à l'intégrité du système informatique. Depuis lors, les articles relatifs à la criminalité informatique n'ont jamais été adaptés, si bien qu'il n'existe, encore aujourd'hui, aucune norme topique réprimant les atteintes au bon fonctionnement des systèmes informatiques. L'Arrêté fédéral portant approbation et mise en œuvre de la Convention sur la cybercriminalité - adopté par les Chambres fédérales le 18 mars 20117 - ne changera d'ailleurs rien à cette situation, puisqu'il ne prévoit que l'ajout d'un second alinéa à l'art. 143bis CP réprimant la mise à disposition de données permettant d'accéder indûment à un système informatique. Pour tenter de combler la lacune laissée dans la loi, la doctrine propose différentes solutions.
Moreillon8 suggère que l'auteur, qui utilise un moyen de communication pour mettre hors d'usage le système informatique d'autrui, se rend coupable d'utilisation abusive d'une installation de télécommunication au sens de l'art. 179septies CP. Pour que cette infraction soit réalisée sur le plan subjectif, l'auteur doit cependant avoir agi par méchanceté ou par espièglerie, c'est-à-dire pour se procurer de la satisfaction9, respectivement par bravade ou sans scrupule, dans le but de satisfaire un caprice momentané10. Or, tel n'est pas le cas de la plupart des auteurs qui poursuivent surtout des buts économiques ou idéologiques11. L'infraction d'utilisation abusive d'une installation de télécommunication ne saurait donc entrer en ligne de compte. En outre, même si cette infraction pouvait être retenue à l'encontre de son auteur, celui-ci ne s'exposerait qu'à une amende d'un montant maximal de 10000 fr. (art. 106 al. 1 CP), sanction qui est absolument grotesque au regard des dommages que peut engendrer une attaque DDoS.
Certains auteurs12 voient en revanche dans l'attaque DDoS une détérioration de données au sens de l'art. 144bis ch. 1 CP, en raison du fait que l'utilisateur est momentanément empêché d'accéder à ses données, ce qui constitue, à leur avis, une mise hors d'usage des données.
Une mise hors d'usage des données n'est cependant envisageable que si elles subissent une détérioration - comme l'indique la note marginale - ayant pour conséquence qu'elles ne sont momentanément ou définitivement plus utilisables. Quelques auteurs citent d'ailleurs comme exemple le fait de changer le mot de passe de l'ayant droit des données13. Or, l'attaque DDoS n'a strictement aucun effet direct sur les données. Elle ne fait que ralentir le système informatique contre lequel elle est dirigée. Pour illustrer cette situation, on peut imaginer une personne voulant utiliser l'ascenseur pour rentrer à son appartement situé au quarantième étage d'une tour. En temps normal, l'ascenseur arrive dans les secondes, voire les minutes, qui suivent. L'attaque DDoS lancée contre le système informatique, serait, dans ce cas, comparable à des dizaines de personnes appelant l'ascenseur simultanément à chaque étage de la tour. Comme le montre cet exemple, seul l'ascenseur - c'est-à-dire le processeur - est atteint. Le contenu des appartements de chaque étage - correspondant aux données stockées dans le système informatique - n'est cependant absolument pas touché par l'attaque.
En résumé, seul le système de traitement des données, c'est-à-dire le processeur, est atteint par l'attaque. Les données enregistrées dans le système informatique ne le sont en revanche pas du tout, ce qui exclut l'application de l'art. 144bis ch. 1 CP.
Compte tenu des éléments qui précèdent, force est de constater que le droit pénal informatique ne contient pas de dispositions réprimant les attaques DDoS14. Fort heureusement, il existe des «solutions de secours» à ce problème.
La première - qui se trouve dans le titre relatif aux infractions contre la liberté - permet de réprimer le comportement de l'auteur vis-à-vis des utilisateurs du système informatique pris pour cible. Selon Schwarzenegger15, l'attaque DDoS serait en effet constitutive de contrainte au sens de l'art. 181 CP. Bien que cette infraction n'ait pas été prévue à cet effet, il faut admettre que ses éléments constitutifs semblent réunis.
En premier lieu, l'infraction réprimée à l'art. 181 CP suppose qu'une contrainte soit exercée sur la victime. Celle-ci peut prendre la forme de violence, d'une menace d'un dommage sérieux ou de tout autre acte l'entravant dans sa liberté d'action16. La violence doit d'emblée être exclue, car elle ne comprend que les actes utilisant la force humaine pour exercer une influence physique sur autrui17. La menace d'un dommage sérieux est également à écarter en raison du fait que l'auteur ne fait pas redouter à sa victime la survenance future d'un dommage, mais que le préjudice qu'il lui cause est déjà existant18. Reste le fait d'entraver la victime de quelque autre manière dans sa liberté d'action. Selon la doctrine19 et la jurisprudence20, cette notion est à interpréter de façon restrictive. Elle doit donc revêtir une certaine intensité qui soit comparable à celle de l'usage de la violence ou de la menace d'un dommage sérieux21.
Dans le cas de l'attaque DDoS, il convient de souligner l'importance que l'informatique a prise dans notre société. Si l'empêchement d'utiliser ses systèmes informatiques n'aurait sans doute pas suffi à atteindre l'intensité nécessaire à réaliser cet élément constitutif il y a une vingtaine d'années, il en va clairement différemment aujourd'hui. Les systèmes informatiques sont en effet devenus à tel point indispensables au bon fonctionnement de l'Etat et des entreprises que leur blocage doit indiscutablement être considéré comme une entrave dans la liberté d'action de leurs utilisateurs.
Pour que la contrainte soit réalisée, il faut encore que l'auteur ait agi de manière illicite22. Cette notion se rapporte au moyen utilisé ou au but poursuivi par l'auteur. En l'occurrence, ni le moyen - l'attaque DDoS - ni le but - nuire à un concurrent, se venger ou encore propager des opinions politiques ou religieuses23 - ne sont licites.
L'art. 181 CP suppose ensuite que le moyen de contrainte utilisé par l'auteur pousse la victime à adopter un comportement qu'elle n'aurait pas eu si elle avait disposé de toute sa liberté de décision24. In casu, l'attaque DDoS a pour effet de rendre les systèmes informatiques visés totalement ou partiellement inutilisables pour leurs utilisateurs. Ces derniers sont donc dans l'impossibilité de s'opposer aux actes de l'auteur et sont obligés de se servir d'autres moyens de communication ou d'attendre que l'auteur mette un terme à l'attaque.
Enfin, l'auteur de la contrainte doit avoir agi intentionnellement25. Cette condition sera toujours réalisée, car il est inconcevable qu'il ordonne à son réseau de zombies d'attaquer un serveur par négligence.
La seconde solution - qui se trouve à l'art. 239 ch. 1 al. 1 CP - permet quant à elle de sanctionner le comportement de l'auteur vis-à-vis des fournisseurs d'accès et de leurs clients. En effet, en surchargeant inutilement un réseau, il se rend coupable d'entrave aux services d'intérêt général.
D'un point de vue objectif, cette infraction suppose tout d'abord que l'auteur s'en prenne à un service d'intérêt général, c'est-à-dire à une entreprise fournissant un service à la collectivité26. Le législateur n'a cependant pas voulu protéger tous les services publics, mais uniquement ceux dont la collectivité ne pourrait pas ou que difficilement obtenir l'équivalent auprès d'un concurrent27, à savoir les entreprises publiques de transport ou de communications ainsi que les établissements ou installations servant à distribuer au public l'eau, la lumière, l'énergie ou la chaleur (art. 239 ch. 1 al. 1 et 2 CP).
En l'espèce, les connexions des particuliers à internet se font par le biais de fournisseurs d'accès internet qui disposent d'un accès au réseau. Il s'agit donc d'entreprises publiques au sens de l'art. 239 CP, puisqu'elles fournissent un service indispensable à la collectivité - la possibilité de communiquer à travers le monde - et qu'il ne servirait à rien de s'adresser à un concurrent, étant donné que c'est le réseau tout entier qui est utilisé comme moyen de commission de l'infraction et non pas uniquement un point d'entrée particulier dans ce réseau.
Le comportement réprimé par l'art. 239 CP consiste à entraver le bon fonctionnement d'un service d'intérêt général, c'est-à-dire à empêcher, à troubler ou à mettre en danger l'exploitation du service d'intérêt général. En d'autres termes, il s'agit de tout acte qui entrave le fonctionnement normal du service, sans qu'il soit nécessaire que le service soit entièrement interrompu. L'entrave doit cependant durer un certain temps28 et avoir une certaine intensité29.
Concrètement, il ne fait pas de doute que les attaques DDoS remplissent la condition de temps, étant donné qu'elles durent en général plusieurs heures - voire même, dans certains cas exceptionnels, plusieurs jours. En ce qui concerne l'intensité de l'entrave, il convient de rappeler que les attaques DDoS se caractérisent par le fait que des milliers d'ordinateurs préalablement infectés envoient simultanément une quantité considérable de demandes informatiques à un système informatique pris pour cible. Cet envoi massif de demandes a pour effet de surcharger - et par voie de conséquence de ralentir - à la fois les connexions au réseau mis à disposition par les fournisseurs d'accès internet des ordinateurs infectés, mais aussi celle du système informatique visé par l'attaque.
Sur le plan subjectif, l'auteur est punissable qu'il ait agi intentionnellement (art. 239 ch. 1 CP) ou par négligence (art. 239 ch. 2 CP).
3.2. Qualité pour agir et prétentions civiles
L'auteur d'une attaque DDoS se rend coupable de contrainte (art. 181 CP) et d'entrave aux services d'intérêts publics (art. 239 CP). S'agissant de la contrainte, la qualité de lésé (art. 115 al. 1 CPP) appartient à l'utilisateur du système informatique qui a été entravé dans sa liberté d'action. En ce qui concerne l'infraction d'entrave aux services d'intérêts publics, la situation est en revanche plus complexe. La qualité de lésé doit dans tous les cas être reconnue à l'entreprise dont les services sont entravés. Nous pensons cependant qu'elle doit aussi être reconnue aux bénéficiaires qui ne peuvent pas pleinement bénéficier des services30.
Le lésé qui se constitue partie plaignante peut prendre des conclusions civiles déduites de l'infraction (art. 118 al. 1, 119 al. 2 let. b et 122 al. 1 CPP). Dans le cas de l'attaque DDoS, le préjudice subi par le lésé est généralement très important. Il est d'ailleurs d'autant plus élevé que le lésé est dépendant des systèmes informatiques.
Le montant du dommage tiendra essentiellement compte des frais de remise en service du système informatique après l'attaque et du manque à gagner. En outre, il faudra prendre en compte l'atteinte importante à l'image du lésé et la perte de confiance de sa clientèle.
L'absence de norme topique réprimant l'entrave au bon fonctionnement d'un système informatique a cependant pour conséquence que ni l'ayant droit du système informatique ni même le bénéficiaire des données que le système contient n'ont la qualité de lésé. Ils ne peuvent donc faire valoir le préjudice qu'ils ont subi que par la voie de l'action en responsabilité civile (art. 41ss CO). Une telle action présente cependant de nombreuses difficultés pratiques, notamment parce que les moyens d'instruction à disposition de la partie demanderesse au civil sont bien moins importants que ceux dont disposent les autorités de poursuite pénale. Il sera donc extrêmement difficile, pour la partie demanderesse, de découvrir l'identité de l'auteur de l'attaque DDoS.
4. Conclusion
Nonobstant le fait que la Convention sur la cybercriminalité - qui sera prochainement ratifiée par la Suisse - impose aux Etats parties de réprimer un certain nombre de comportements, notamment l'atteinte à l'intégrité d'un système informatique (art. 5 CCC), le législateur suisse ne semble pas avoir pris conscience de la nécessité de modifier le Code pénal dans ce sens31. L'analyse qui précède a cependant montré que le droit suisse ne contient pas de normes topiques réprimant l'entrave au bon fonctionnement d'un système informatique. Seule une application de normes plus «générales» permet d'éviter que l'auteur échappe entièrement à la répression pénale.
Cette absence de norme topique a également pour conséquence que les personnes atteintes par l'attaque, à savoir notamment les ayants droit des systèmes informatiques touchés, n'ont pas la qualité pour agir au pénal.
Pour ces raisons, il nous paraît indispensable que le législateur crée, au plus vite, une nouvelle disposition réprimant spécifiquement les atteintes à l'intégrité des systèmes informatiques, comme cela lui est d'ailleurs imposé par la ratification de la Convention sur la cybercriminalité.
1Rapport semestriel de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information: MELANI 2005/I, p. 9; MELANI 2009/II, p. 6; http://www.cert. org/homeusers/ddos.html.
2Serveurs contenant des sortes de tables de conversion qui permettent de rattacher une adresse IP à un nom de domaine (p. ex. IP 162.23.39.73 pour www.admin.ch).
3Rapport explicatif sur la CCC, N° 67, p. 12.
4Rapport explicatif sur la CCC, N° 90, p. 15.
5Rapport explicatif sur la CCC, N° 90, p. 15.
6RO 1994 2290 2309; FF 1991 II 933.
7BO 2011 N 558; BO 2011 E 340.
8Moreillon, Nouveaux délits informatiques sur internet, Medialex 2001, pp. 24-25.
9ATF 121 IV 131, c. 5b.
10ATF 121 IV 131, c. 5b.
11MELANI 2010/II, p. 28.
12Weber/Unternährer, Wirtschaftsterrorismus im Internet, in: Ackermann/Donatsch/Rehberg, Wirtschaft und Strafrecht, Festschrift für Niklaus Schmid, Zürich, 2001, pp. 378 ss; Weissenberger, in: Niggli/Wiprächtiger, Basler Kommentar, Strafrecht II, 2. Auflage, Basel, 2007, N° 34 ad art. 144bis CP.
13Corboz, Les infractions en droit suisse, Berne, 2010, N° 5 ad art. 144bis CP; Schmid, Computer sowie Check und Kreditkarten-Kriminalität, Zürich, 1994, § 6 N° 29; Weissenberger, N°. 33 ad art. 144bis CP.
14Dans ce sens: Pfister, Hacking in der Schweiz, Zürich, 2008, N° 488 p. 120.
15Schwarzenegger, E-Commerce - Die Strafrechtliche Dimension, in Arter/ Jörg (Hrsg.), Internet-Recht und Electronic Commerce Law, 1. Auflage, Lachen / St. Gallen, 2001, p. 368.
16Delnon/Rüdy, in: Niggli/Wiprächtiger, NN. 18 ss ad art. 181 CP.
17Delnon/Rüdy, N° 18 ad art. 181 CP. Selon Stratenwerth/Jenny/Bommer, Schweizerisches Strafrecht, Besonderer Teil I: Straftaten gegen Individualinteressen, 7. Auflage, Bern, 2010, § 5 N° 6 - la violence est une atteinte physique à la sphère juridique d'autrui.
18Delnon/Rüdy, N° 27 ad art. 181 CP (a contrario).
19Delnon/Rüdy, N° 41 ad art. 181 CP.
20ATF 134 IV 216, c. 4.1 ; ATF du 05.11.2008 N° 6B.536/2008, c. 3.2.
21ATF 119 IV 301 c. 2a; ATF 119 IV 301, c. 3; ATF 134 IV 216, c. 4.4 et arrêt du 05.11.2008 N° 6B.536/2008, c. 3.
22Delnon/Rüdy, N° 49 ad art. 181 CP.
23Motifs les plus fréquents d'attaque DDoS selon MELANI 2010/II, p. 28.
24Delnon/Rüdy, N° 45 ad art. 181 CP.
25Delnon/Rüdy, N° 48 ad art. 181 CP.
26Corboz, N° 5 ad art. 239 CP.
27Corboz, N° 5 ad art. 239 CP.
28Donatsch/Wohlers, Strafrecht IV, 3. Auflage, Zürich, 2004, p. 98.
29Schwaibold, in: Niggli/Wiprächtiger, N° 13 ad art. 239 CP.
30Dans ce sens, voir aussi: Schwaibold, N° 2 ad art. 239 CP.
31Rapport explicatif de l'avant-projet d'arrêté fédéral portant approbation et mise en œuvre de la Convention du Conseil de l'Europe sur la cybercriminalité, pp. 10-11 (http://www.admin.ch/ch/f/gg/pc/documents/1722/Vorlage_Bericht.pdf)
