Résumé : En matière d’investigation dans le cadre des enquêtes policières portant sur les crimes et délits informatiques, l’actualité récente, aussi bien que la fiction (avec notamment les séries policières des unités d’élite en tous genres), nous renvoient encore aujourd’hui à la fameuse notion d’« IP source » pour remonter au suspect, alors « présumé coupable » du méfait. Pour donner quelques clés de lecture, le présent article se bornera à dresser un état des lieux synthétique sur la sphère publique de l’Internet, en s’intéressant tout d’abord au dispositif législatif et à l’interprétation juridique de la chose. Un second article abordera alors la question sous l’angle opérationnel de l’Infrastructure Internet.
En ce début d’année, une certaine affaire de téléchargement illégal de données, que nous qualifierons d’« exception Hadopi-Elyséenne » (confirmant en quelque sorte la règle en vigueur pour tous …), s’est avérée particulièrement intéressante, car assez révélatrice du malaise, sinon des zones d’ombre, encore persistant à l’égard de l’exploitabilité admise, pour les institutions comme de l’opinion publique, d’éléments techniques relatifs aux communications électroniques. Ce cas d’école amène légitimement, et en toute objectivité, à s’interroger sur le bien fondé de considérer l’IP (Internet Protocol) publique source, couplée ou non à un identifiant utilisateur au niveau applicatif (plus ou moins certifié), comme élément de preuve fiable, nécessaire et suffisant pour confondre, avec certitude, la personne physique (internaute) ou morale (organisation) s’avérant de facto associée à ladite adresse.
En effet, du point de vue législatif, force est de constater que la plupart des articles de lois (transposées ou non sur le plan national à partir de directives européennes), sont mis en application en s’appuyant sur certains critères estimés pertinents, dont la nature reste sujette à interprétation par les coopérants intéressés et souvent fonction des jurisprudences. Au regard des obligations notamment définies (sinon rappelées) par la loi sur les conditions d’établissement et d’exploitation des réseaux et à la fourniture de services de communications électroniques (1) et des précisions apportées par la loi relative à la conservation des données des communications électroniques (2), les données de connexion que les fournisseurs de services Internet (FAI (3) par connexion point à point ou hotspot WiFi, hébergeurs de contenu et tiers de confiance, en premier lieu) ont pour obligation d’enregistrer et de conserver pendant un an exactement, pour mise à disposition des enquêteurs de police sur réquisition judiciaire, doivent in fine permettre d’identifier l’utilisateur, le ou les destinataire(s) de la communication(dans le texte). Dans les faits, et conformément à l’esprit des Lois, ces informations seront typiquement (ou disons plutôt idéalement …) constituées des éléments suivants :
- adresse IP publique allouée comme IP source (qu’elle soit fixe ou dynamique)
- compte de connexion utilisateur associé (au sens compte internet pour les FAI, compte applicatif pour les hébergeurs)
- horodatage (début et fin, provoquée ou non par délai d’inactivité dépassé) de la communication (pour les connexions Internet à la demande, type hotspot WiFi, téléphone mobile / clé USB par connexion GPRS/2,5G ou UMTS/3G, …)
- horodatage de la connexion [réseau] (entendu au sens protocolaire de niveau 4 du modèle OSI comme TCP, voire 5 avec les sessions http/https), expressément pour les accès Internet destinés au grand public
- adresse (IP et/ou URL(4)) des sites visités (destinataires de la connexion), expressément pour les accès Internet destinés au grand public
Ces données pourront ainsi être exploitées en cas d’infractions de différentes natures, constatées par les autorités judiciaires. On pourra en particulier citer la loi sur la lutte contre le terrorisme (5), la loi création et Internet (6) (dite Hadopi (7))* adressant le téléchargement illégal d’œuvres soumises à droits d’auteurs (protection de la propriété intellectuelle oblige), ou encore la loi pour la confiance dans l’économie numérique (8) définissant notamment un cadre pour le commerce électronique et veillant également au caractère licite des pages web hébergées. Ces lois sont en effet toutes susceptibles de recourir à une investigation auprès des fournisseurs de services en ligne pour tenter d’identifier l’auteur présumé de l’infraction pénale et déclencher une mise en demeure ou engager les poursuites judiciaires en son encontre. Selon la nature et la gravité des infractions considérées et selon que son auteur soit une personne physique ou morale, les sanctions pourront aller de la simple contravention de « négligence caractérisée » avec amende contraventionnelle, éventuellement couplée à une suspension de l’accès Internet de l’abonné, à une lourde amende assortie d’une peine d’emprisonnement ferme ou avec sursis pour les délits les plus graves.
Sur le plan règlementaire, il pourrait paraître moralement malhonnête de reprocher au législateur, auquel on accordera volontiers le mérite d’essayer de formaliser un cadre aussi évolutif et intelligible que possible, sur l’usage de l’Internet dans le respect du Droit français, de ne pas donner plus de précisions sur les modalités d’application, compte tenu de la technicité inhérente au domaine de l’informatique et des évolutions technologiques permanentes. Les approximations ainsi relevées sont appelées, comme il se doit, à être levées, présomptions à l’appui, et ce, toujours dans l’esprit des lois, au fil des jurisprudences prononcées.
En revanche, du point de vue conceptuel en matière de sécurité de l’information, l’emploi de certaines notions par le législateur pourra paraître discutable, en particulier si ces mêmes notions sont mises en balance avec d’autres articles de loi s’appliquant à des domaines connexes … Prenons typiquement la notion « d’identification » à laquelle la plupart des décrets précités font explicitement référence. Compte tenu des enjeux et notamment des risques encourus de sanction pénale, on est tout de même théoriquement en droit de s’interroger sur le fait que la valeur probante de données de connexions comme l’adresse IP portant sur l’authenticité du suspect ou encore la non répudiation des communications liées aux « faits juridiques » reprochés, puisse être recevable devant un tribunal, alors que parallèlement, concernant les « actes juridiques » établis par voie électronique, les lois portant notamment sur la preuve numérique (9) imposent de s’appuyer a minima sur les concepts de signature électronique (de niveau « simple » ou « présumé fiable ») et de « certificat [électronique] qualifié » pour garantir, au sens général, l’imputabilité de l’opération.
* Le dispositif de « réponse graduée » mis en place par l’Hadopi :
(1) Loi n° 2005-862 (LFSCE) du 26 juillet 2005
(2) Loi n°2006-358 (LCDE) du 24 mars 2006
(3) Fournisseurs d’Accès Internet
(4) Uniform Resource Locator
(5) Loi n° 2006-64 (LCT) du 23 janvier 2006
(6) Lois n° 2009-669 (Hadopi) du 12 juin 2009 et 2009-1311 (Hadopi 2) du 28 octobre 2009, partiellement censurée par le Conseil constitutionnel
(7) Haute Autorité pour la Diffusion des Œuvres et la Protection des droits sur Internet, autorité publique indépendante française, instituée par la loi n°2009-1773 du 29 décembre 2009
(8) Loi n° 2004-575 (LCEN) du 21 juin 2004
(9) Lois n° 2000-230 du 13 mars 2000 et Loi n° 2002-535 du 18 avril 2002
Suivez-Nous!