LOPPSI : le délit d'usurpation d'identité, l'anti Seedfuck - IPFuck ?
De l'avenir du statut de l'IP
Dans son rapport parlementaire fait au nom de la Commission des lois, le sénateur Courtois revient sur le délit s’usurpation d’identité sur un réseau de communications électroniques, une autre des nombreuses mesures de la LOPPSI, projet examiné en septembre au Sénat.
Dans sa dernière version, le texte réprime d’un an de prison et 15 000 euros d’amende « le fait d'usurper l'identité d'un tiers ou une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération (…). Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne. »
Ce texte peut-il s’imbriquer avec la Hadopi ? On le sait, la loi oblige l’abonné à sécuriser son accès sous peine de sanction en traquant les traces d’adresses IP laissées sur les réseaux P2P. Or déjà des solutions sont élaborées pour injecter de fausses IP, et donc faire accuser des tiers inconnus. C’est Seedfuck (P2P) et Ipfuck (web).
La LOPPSI pourrait bien offrir des armes pour sanctionner l’usage de ces dispositifs. Ils reviennent à usurper une IP, et donc « une donnée de toute nature permettant d'identifier », et en bout de course à troubler la « tranquillité » d’une personne. Depuis plusieurs semaines, la question avait été soulevée notamment sur e-juristes) où on montre que le rapprochement entre IP et donnée personnelle n’est pas si simple.
Le droit pénal est d’ailleurs d’interprétation stricte, et il n’évite pas les flottements. Mais le rapporteur Courtois annonce la couleur : il dresse ainsi un état des nouvelles formes d’usurpation sur le net. Il cite à cette fin le phishing, ou hameçonnage, ou ces « individus qui utilisent l'adresse e-mail d'un tiers pour en diffamer un autre et, de cette façon, nuire aux deux intéressés », ou encore… « Lorsque des personnes usurpent l'adresse IP d'un tiers afin de pratiquer le téléchargement illégal sans qu'il soit possible de remonter jusqu'à eux ».
« Si le droit pénal punit déjà sévèrement, au moyen de plusieurs infractions, poursuit-il un peu plus loin, les usurpations d'identité, ces dernières ne sont que partiellement adaptées aux usurpations commises sur Internet ». Un argument qu’il empoigne pour justifier l’adoption de cette nouvelle sanction.
Le rapporteur insiste bien : « la possibilité d'identifier une personne sur Internet ne se résume pas nécessairement à la connaissance de son état civil», voilà pourquoi le texte a un champ d’application très vaste, celui des « données de toute nature permettant » l’identification.
Un champ « plus large que la notion de données à caractère personnel définie à l'article 2 de la loi informatique et libertés » du 6 janvier 1978. Toujours en ce sens, le sénateur démultiplie les références avec le rapport Escoffier et Détraigne sur la vie privée à l’heure des mémoires numériques. Là, dans une recommandation n°10, on pose que l’adresse IP « constitue un moyen d’identifier un internaute » (contrairement à ce que soutiennent des députés UMP).
Deux derniers détails : par le fait d’un déplacement du texte de la partie du Code pénal consacré aux violences aux personnes, vers celle consacrée aux atteintes à la personnalité et à la vie privée, le dispositif permettra de réprimer la simple tentative de ces infractions (article 226-5 du Code pénal). D’autre part, l’infraction ne sera constituée que lorsque l'usurpation d'identité aura eu un caractère intentionnel. Il faudra donc apporter cette démonstration avant toute condamnation.
Dans sa dernière version, le texte réprime d’un an de prison et 15 000 euros d’amende « le fait d'usurper l'identité d'un tiers ou une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération (…). Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne. »
Ce texte peut-il s’imbriquer avec la Hadopi ? On le sait, la loi oblige l’abonné à sécuriser son accès sous peine de sanction en traquant les traces d’adresses IP laissées sur les réseaux P2P. Or déjà des solutions sont élaborées pour injecter de fausses IP, et donc faire accuser des tiers inconnus. C’est Seedfuck (P2P) et Ipfuck (web).
La LOPPSI pourrait bien offrir des armes pour sanctionner l’usage de ces dispositifs. Ils reviennent à usurper une IP, et donc « une donnée de toute nature permettant d'identifier », et en bout de course à troubler la « tranquillité » d’une personne. Depuis plusieurs semaines, la question avait été soulevée notamment sur e-juristes) où on montre que le rapprochement entre IP et donnée personnelle n’est pas si simple.
Le droit pénal est d’ailleurs d’interprétation stricte, et il n’évite pas les flottements. Mais le rapporteur Courtois annonce la couleur : il dresse ainsi un état des nouvelles formes d’usurpation sur le net. Il cite à cette fin le phishing, ou hameçonnage, ou ces « individus qui utilisent l'adresse e-mail d'un tiers pour en diffamer un autre et, de cette façon, nuire aux deux intéressés », ou encore… « Lorsque des personnes usurpent l'adresse IP d'un tiers afin de pratiquer le téléchargement illégal sans qu'il soit possible de remonter jusqu'à eux ».
« Si le droit pénal punit déjà sévèrement, au moyen de plusieurs infractions, poursuit-il un peu plus loin, les usurpations d'identité, ces dernières ne sont que partiellement adaptées aux usurpations commises sur Internet ». Un argument qu’il empoigne pour justifier l’adoption de cette nouvelle sanction.
Le rapporteur insiste bien : « la possibilité d'identifier une personne sur Internet ne se résume pas nécessairement à la connaissance de son état civil», voilà pourquoi le texte a un champ d’application très vaste, celui des « données de toute nature permettant » l’identification.
Un champ « plus large que la notion de données à caractère personnel définie à l'article 2 de la loi informatique et libertés » du 6 janvier 1978. Toujours en ce sens, le sénateur démultiplie les références avec le rapport Escoffier et Détraigne sur la vie privée à l’heure des mémoires numériques. Là, dans une recommandation n°10, on pose que l’adresse IP « constitue un moyen d’identifier un internaute » (contrairement à ce que soutiennent des députés UMP).
Deux derniers détails : par le fait d’un déplacement du texte de la partie du Code pénal consacré aux violences aux personnes, vers celle consacrée aux atteintes à la personnalité et à la vie privée, le dispositif permettra de réprimer la simple tentative de ces infractions (article 226-5 du Code pénal). D’autre part, l’infraction ne sera constituée que lorsque l'usurpation d'identité aura eu un caractère intentionnel. Il faudra donc apporter cette démonstration avant toute condamnation.
Marc Rees
le 9 juin 2010 à 14:27
(20 875
lectures)
Actualités et brèves relatives
- 09 / 06 / 2010 : Hadopi : Les premiers emails repoussés à septembre ?
- 07 / 06 / 2010 : Générateur d’IP : après SeedFuck, IPFuck tente l'HTTP poisoning
- 18 / 05 / 2010 : Pas Sage en Seine 2010, le hacking en liberté (MàJ 2)
- 06 / 05 / 2010 : Hadopi : "l'admiration pour la fraude" et "le jeunisme" de la presse
- 04 / 05 / 2010 : Hadopi : l'avertissement n'est pas conditionné au verrou logiciel
- 27 / 04 / 2010 : Hadopi : greffé à un PDF ou automatisé, Seedfuck accélère ses ...
- 19 / 04 / 2010 : Anti-Hadopi : malgré les débats juridiques, SeedFuck s'enracine
- 16 / 04 / 2010 : Seedfuck, un générateur de vraies-fausses IP, le mirage d'Hadopi
Il y a 93 commentaires
- Test : le Prada Phone 3.0 de LG est-il le smartphone le plus luxueux sous Android ?
- Soldes : les ventes sur internet ont progressé de 9 % cette année
- (MàJ) Baisse de prix : PlayBook de RIM, 200 € pour la 16 Go et 300 € pour la 64 Go
Apple iMac Intel Core i5 3.1 GHz / 4Go / 1To 27 pouces (MC814F/A)
Ordinateur de bureauA partir de 994.49 €