La loi du 28 novembre 2000, entrée en vigueur en février 2001, a introduit dans le code pénal diverses infractions en matière de criminalité informatique.
Ainsi, l’article 550 bis du Code pénal sanctionne le hacking ou accès non-autorisé à un système informatique. L’infraction de hacking est le fait de s’introduire ou se maintenir dans le système informatique d’un tiers sans disposer d’une autorisation, d’une habilitation. Il peut être externe – lorsqu’il est réalisé par une personne étrangère au système – ou interne si la personne a un accès au système mais outrepasse les droits qui lui sont consentis.
Il importe dès à présent de rappeler que l’infraction de hacking externe ne nécessite qu’un dol général et donc qu’aucune intention de nuire ne doit exister ni être démontrée.
Par un arrêt du 5 février 2014, la Cour d’appel de Paris s’est prononcée sur la notion de hacking externe et de maintien illégal dans un système automatisé de données.
Bluetoof, surnom du blogueur L. Olivier, sur base de résultats d’une recherche Google accède à l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’Alimentation qui contient un nombre important de documents. En raison d’une erreur de sécurité interne, ces documents et l’accès au site ne sont pas protégés. Bluetoof copie l’un des documents et le publie sur son blog. L’ANSES s’en aperçoit et dépose plainte.
La Cour d’appel de Paris estime que bien que l’accès nétait pas sécurisé, Bluetoof s’est rendu coupable de l’infraction non pas d’accès illicite à un système informatique – puisque l’accès n’était pas sécurisé – mais de maintien frauduleux dans ce système dès lors que le prévenu reconnaît que, au fil de sa visite de l’extranet, il est remonté jusqu’à la page d’accueil et a pu constater que normalement l’extranet n’est accessible qu’au moyen d’un login et d’un password. En conséquence, il appartenait alors au blogueur de cesser sa visite de l’extranet et le quitter immédiatement, sans rien emporter.
L’enseignement de cette décision française pour l’ordre juridique belge est important compte tenu de la similitude des infractions (transposition de la Convention du Conseil de l’Europe du 23 novembre 2001) et du peu de décisions prononcées sur cette question à ce jour. L’infraction de maintien dans un système informatique tiers est établie dès lors que le hacker peut constater qu’il a pénétré dans un système sécurisé alors même que, en raison d’une défaillance de sécurité du système, aucun contrôle d’accès n’a été opéré.