Asmodeus ? Ce nom ne vous dit rien ? A moi non plus, du moins jusqu'à ce jour. En effet, ce pseudonyme d'un hacker belge deviendra peut-être célèbre : il est le premier à subir les foudres de la nouvelle loi sur la criminalité informatique du 28 novembre 2000.

Les faits

Les faits exacts ne sont pas connus (secret de l'enquête oblige), mais les dépêches permettent de s'en faire une idée.

Certains sites, dont celui des Archives Générales du Royaume, ont été hackés par un pirate répondant au pseudonyme d'Asmodeus. Celui-ci laissait le message suivant :

"Cher administrateur, votre serveur NT est loin d'être sécurisé. Veuillez me contacter (asmodeus@mail.be) pour de plus amples informations. Apparemment vous en avez grandement besoin... . . . . . . . . . PS : Aucun fichier n'a été supprime.

Dear admin, your NT system isn't secured at all. Plese contact me (asmodeus@mail.be) for more information. It seems like you really need some help. PS : No file has been deleted. Asmodeus"

Une simple recherche Google sur "Asmodeus" permet de retrouver certains sites "défacés". Nous en avons retrouvé au moins 4 sur le site Alldas (defacement archive) qui indique que "This site has been hacked the 16th Februray 2001. Ce site a ete pirate le 16 fevrier 2001, jour de la mise en application de la loi contre la cyber-criminalite en Belgique.... Elegant, le site laisse le site d'origine intact, que l'on peut atteindre via un lien hypertexte sur le mot "This site".

Les Archives Générales ont porté plainte. L'enquête a mis en rapport la Computer Crime Unit de Bruxelles, la Federal Computer Crime Unit et la CCU de Mons. Il semble que les pirates ( 3 au total) ont été arrêtés en décembre 2001.

Que dit la loi ?

Rappelons que le nouvel article 550bis §1 du Code pénal punit « celui qui, sachant qu’il n’y est pas autorisé, accède à un système informatique ou s’y maintient ». Il s'agit donc des cas de hacking externe.

L'article 550bis §2 vise quant à lui « celui qui, avec une intention frauduleuse ou dans le but de nuire, outrepasse son pouvoir d’accès à un système informatique». L'hypothèse est celle du hacking interne, c'est-à-dire commis depuis l'intérieur de l'entreprise.

La tentative de commettre l’une des deux infractions précitées est punie des même peines que l’infraction elle-même (§4), et la récidive double les peines (§8).

L’article 550bis §3 prévoit, tant pour le hacking interne qu’externe, des circonstances aggravantes et un accroissement de la peine lorsque celui qui accède de façon non autorisée à un système :

- « reprend, de quelque manière que ce soit, les données stockées, traitées ou transmises par le système informatique » ; ou

- « fait un usage quelconque d’un système informatique appartenant à un tiers ou se sert de ce système informatique pour accéder au système informatique d’un tiers » ; ou

- « cause un dommage quelconque, même non intentionnellement, au système informatique ou aux données qui sont stockées, traitées ou transmises par ce système ou au système informati-que d’un tiers ou aux données qui sont stockées, traitées ou transmises par ce système ».

Conformément à l’article 550bis §5, commet une infraction « celui qui, avec une intention frauduleuse ou dans le but de nuire, recherche, rassemble, met à disposition, diffuse ou commercialise des données qui sont stockées, traitées ou transmises par un système informatique et par lesquelles les infractions prévues par les paragraphes 1er à 4 peuvent être commises ». Cette disposition vise notamment la diffusion frauduleuse de hackertools (outils ou logiciels qui facilitent le hacking). Pour cette infraction, l’intention frauduleuse est requise, et ce afin de ne pas entraver la libre circulation d’informations générales en matière de techniques de protection, en particulier par le web.

La loi punit également celui qui commandite l’infraction (§6) et celui qui opère un recel de données obtenues suite à la commission d’un acte de piratage (§7).

En savoir plus ?

En consultant le dossier spécial relatif à cette loi, en ligne sur notre site.