Quelles qualifications pénales pour l’ingénierie sociale ?

Nous avons pu voir que la mise en place de techniques d’ingénierie sociale dans la cadre d’une escroquerie nécessite l’adoption d’une identité inspirant la confiance et le recueil d’informations sur la ou les cibles choisies avant de commencer l’exécution du scénario. Nous commencerons par étudier la répression de l’usurpation d’identité puis nous aborderons le vol d’informations pour finir sur l’infraction d’escroquerie à proprement parlé.

Il ne s’agit pas ici de faire un état exhaustif des qualifications possibles mais plutôt de montrer que les outils juridiques existent pour lutter contre ces pratiques.

Quelles qualifications pénales pour l'ingénierie sociale ?

Le droit pénal contemporain français repose sur le principe de la légalité criminelle. Ce principe veut qu’il ne peut y avoir de répression sans texte prévoyant une incrimination et une peine. De ce principe général découlent les corollaires inscrits dans les articles 111-3 et 111-4 du code pénal qui veulent qu’il ne peut y avoir nul crime, nulle peine sans loi et que la loi pénale est d’interprétation stricte. Le juge ne peut donc pas créer de nouvelles incriminations, ni se faire une conception large de celles existantes. Dans le domaine des technologies numériques, le juge pénal pourra, pour apporter une solution aux problèmes qui lui sont posés, raisonner par analogie et avoir recours à une interprétation téléologique des textes.

Usurpation d’identité

Usurpation du nom d’un tiers dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales

Élément légal

Il s’agit d’un délit prévu et réprimé par l’article 434-23 du code pénal :

Le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75000 euros d’amende.
Nonobstant les dispositions des articles 132-2 à 132-5, les peines prononcées pour ce délit se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l’infraction à l’occasion de laquelle l’usurpation a été commise.
Est punie des peines prévues par le premier alinéa la fausse déclaration relative à l’état civil d’une personne, qui a déterminé ou aurait pu déterminer des poursuites pénales contre un tiers.

Élément matériel

  • Faire usage d’une identité différente de la sienne mais correspondant à celle d’un tiers ;
  • Que cet usage soit fait dans des circonstances qui ont déterminé ou auraient pu déterminer contre le tiers des poursuites pénales.

Élément moral

  • L’intention coupable de l’auteur réside dans sa connaissance de la fausseté de l’identité qu’il utilise.

L’application de cette incrimination dans le cadre de la répression d’un processus d’ingénierie sociale nécessite que l’identité d’une personne physique ou morale soit usurpée et utilisée pour effectuer une action criminelle. Dans le cas concret appliqué à l’entreprise que nous avons présenté précédemment, le nom du dirigeant a effectivement été utilisé pour solliciter un échange commerciale avec les sociétés ciblées. Cette sollicitation n’est pas en elle même susceptible d’entraîner des poursuites pénales contre le dirigeant dont le nom a été usurpé. De ce fait la qualification pénale résultante de l’article 434-23 du code pénale ne semble pas applicable.

Usurpation d’identité d’un tiers en vue de porter atteinte à son honneur

Élément légal

Il s’agit d’un délit prévu et réprimé par l’article 266-4-1 du code pénal :

Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende.
Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.

Élément matériel

  • Faire usage de l’identité d’un tiers ou utiliser des données de toute nature permettant de l’identifier ;
  • Que cet usage soit fait en vue de troubler sa tranquillité, celle d’autrui, de porter atteinte à son honneur ou à sa considération.

Élément moral

  • L’intention coupable de l’auteur résulte dans son intention malveillante envers le tiers dont l’identité est usurpée.

Cette infraction a été introduite le 14 mars 2011 dans le code pénal suite à un amendement déposé par Mme Catherine Vautrin, députée de la 2ème circonscription de la Marne, dans le cadre de l’examen du projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI). Ce texte concerne aussi bien l’usurpation d’identité dans la vie de tous les jours que celle effectuée dans le monde numérique. Cette infraction est présentée comme la réponse au problème de plus de 200 000 français par an qui seraient victimes de l’utilisation de leur identité pour ouvrir des compte bancaires, obtenir indûment des aides sociales ou un permis de conduire.

On peut toutefois s’interroger sur la rédaction du texte par rapport au but poursuivi. En effet, dans l’article 434-23 du code pénal le lien fait entre l’usurpation d’identité et la conséquence sur le tiers est formulé avec l’expression « dans des circonstances qui ont déterminé ». Cette formulation entend que l’objectif de l’usurpateur n’était pas spécifiquement d’entraîner des poursuites pénales à l’encontre du tiers victime. Au contraire, l’article 266-4-1 du code pénal implique par la liaison « en vue de » la volonté que l’auteur de l’usurpation doit avoir de nuire au tiers dont l’identité est usurpée. Cette formulation semble limiter le champ d’application de cet article à des cas particuliers comme la mise en place d’un faux profil sur un réseau social pour nuire à la réputation d’une connaissance.

Cette qualification pénale s’applique également à l’usurpation de l’identité d’une personne morale comme l’a estimé M. Eric CIOTTI, rapporteur, lors de la discussion du projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure, le jeudi 11 février 2010 : « […]dans le silence de la loi, les dispositions […] s’appliquent aussi bien aux personnes morales qu’aux personnes physiques. ».

Dans le cas concret appliqué à une entreprise vu précédemment l’objectif de l’assaillant n’est pas de nuire à la société dont l’identité a été usurpée mais de s’en servir pour susciter la confiance de ses cibles. L’élément moral de l’infraction définie par l’article 226-4-1 du code pénal n’est pas présent et elle ne peut donc pas s’appliquer à notre cas concret.

Vol d’informations

Vol simple

Élément légal

Il s’agit d’un délit prévu et réprimé par l’article 311-1 du code pénal :

Le vol est la soustraction frauduleuse de la chose d’autrui.

Élément matériel

  • Soustraction frauduleuse ;
  • Ayant pour objet une chose mobilière ;
  • Chose soustraite appartenant à autrui.

Le vol est un délit d’appropriation. Il nécessite tout d’abord une soustraction qui pourrait se définir par le fait d’ôter la possession d’une chose à celui auquel elle appartient. Cette définition implique l’unicité de la chose soustraite. En effet, la chose dérobée ne peut se trouver à la fois en possession de son légitime propriétaire et de l’auteur du vol.

Cette soustraction doit portée sur un bien meuble. Selon le code civil les biens sont meubles par leur nature ou par la détermination de la loi. En son article 528 il définit les biens meubles par nature comme pouvant se transporter d’un lieu à l’autre. Les meubles incorporels sont définis par la loi. L’information n’en fait pas partie.

Élément moral

  • L’intention coupable se matérialise par la volonté de l’auteur de soustraire une chose sans l’autorisation de son propriétaire en sachant qu’elle appartenait à autrui. Le but de l’auteur est donc de s’approprier la chose soustraite.

La qualification de vol d’informations a déjà été retenu par le passé à la condition que les faits s’accompagnent du vol d’un support matériel : clef USB, disquettes, etc. Pour exemple en 1989 deux salariés ont amené chez eux 70 disquettes appartenant à leur employeur afin de les copier et, dans un second temps en ont copié 47 sur leur lieu de travail. Dans cet arrêt apparaît l’expression de « vol du contenu informationnel de disquettes ». Cependant ce contenu informationnel n’a été obtenu qu’à la suite de l’appropriation frauduleuse et temporaire des disquettes, qualifiée elle, de vol.

Plus récemment un jugement du tribunal correctionnel de Clermont-Ferrand de 2011 a retenu la qualification de vol de données informatiques. Une employée chargée de prospection commerciale en direction de l’Asie négocie une rupture conventionnelle avec son entreprise. Avant son départ effectif son employeur lui demande une liste mise à jour des clients. Elle s’exécute mais effectue dans le même temps une copie de cette liste sur un clef USB qu’elle conserve dans le but d’ouvrir une société concurrente. Le jugement condamne l’employée pour abus de confiance, qualification régulièrement retenue dans les cas d’informations détournées par un salarié, et pour vol d’informations. En effet, le tribunal considère « que le transfert d’informations, aux fins d’actualisation des fichiers antérieurs sont constitutifs de soustraction frauduleuse ». Cette décision n’a pas fait l’objet d’un recours devant la Cour de Cassation.

La jurisprudence portant sur le vol d’informations ne pallie pas le manque de la loi qui ne prévoit aucune incrimination relative au vol des données immatérielles : les informations. En effet, dans les cas où des techniques d’ingénierie sociale sont mises en place l’assaillant n’est pas un employé de la société visée et il n’y a pas d’appropriation, même temporaire, d’un support physique contenant l’information. De ce fait les qualifications d’abus de confiance ou de vol simple ne pourront être retenues.

Trahison et espionnage

Les infractions de trahison et d’espionnage répriment les atteintes aux intérêts fondamentaux de la nation en temps de paix. L’objectif de ces incriminations est de préserver l’indépendance de la France, l’intégrité de son territoire, sa sécurité et la sauvegarde de sa population. La différence entre l’espionnage et la trahison est définie par l’article 411-1 du code pénal et tient à la qualité de l’auteur des faits. Les faits commis par des français seront qualifiés de trahison, ceux commis par des étrangers d’espionnage.

Le vol d’informations stratégiques est réprimé à plusieurs niveaux par le titre Ier du livre IV du code pénal. Il l’est tout d’abord dans la phase de recherche de l’information à dérober puis dans la phase d’appropriation à proprement parler.

Exercice, pour le compte d’une puissance étrangère, d’une activité ayant pour but l’obtention ou la livraison d’informations

Élément légal

Il s’agit d’un délit prévu et réprimé par l’article 411-8 du code pénal :

Le fait d’exercer, pour le compte d’une puissance étrangère, d’une entreprise ou organisation étrangère ou sous contrôle étranger ou de leurs agents, une activité ayant pour but l’obtention ou la livraison de dispositifs, renseignements, procédés, objets, documents, données informatisées ou fichiers dont l’exploitation, la divulgation ou la réunion est de nature à porter atteinte aux intérêts fondamentaux de la nation est puni de dix ans d’emprisonnement et de 150000 euros d’amende.

Élément matériel

  • Exercer, pour le compte d’une puissance étrangère, une activité ayant pour but l’obtention ou la livraison d’informations ;
  • Informations de nature à porter atteinte aux intérêts fondamentaux de la nation ;
  • Faits commis en temps de paix.

Élément moral

  • L’intention coupable de l’auteur est de porter atteinte aux intérêts fondamentaux de la nation.

Appropriation d’informations en vue de les livrer à une puissance étrangère

Élément légal

Il s’agit d’un délit prévu et réprimé par l’article 411-7 du code pénal :

Le fait de recueillir ou de rassembler, en vue de les livrer à une puissance étrangère, à une entreprise ou organisation étrangère ou sous contrôle étranger ou à leurs agents, des renseignements, procédés, objets, documents, données informatisées ou fichiers dont l’exploitation, la divulgation ou la réunion est de nature à porter atteinte aux intérêts fondamentaux de la nation est puni de dix ans d’emprisonnement et de 150000 euros d’amende.

Élément matériel

  • Appropriation d’informations en vue de les livrer à une puissance étrangère ;
  • Informations de nature à porter atteinte aux intérêts fondamentaux de la nation ;
  • Faits commis en temps de paix.

Élément moral

  • L’intention coupable de l’auteur est de porter atteinte aux intérêts fondamentaux de la nation.

Ces deux infractions apportent une protection particulière à des informations à caractère secret relatives aux intérêts fondamentaux de la nation. Le législateur a ainsi mis en place une catégorie particulière d’informations qui doivent être préservées.

Secret des affaires

Une proposition de loi visant à sanctionner la violation du secret des affaires a été adoptée par l’Assemblée Nationale en janvier 2012. Il s’agissait d’introduire un nouveau chapitre sur l’atteinte au secret des affaires des entreprises au sein du titre II du code pénal portant sur les autres atteintes aux biens. Cette proposition définissait les informations à protéger sous ces termes :

Constituent des informations protégées relevant du secret des affaires d’une entreprise, quel que soit leur support, les procédés, objets, documents, données ou fichiers de nature commerciale, industrielle, financière, scientifique, technique ou stratégique ne présentant pas un caractère public dont la divulgation non autorisée serait de nature à compromettre gravement les intérêts de cette entreprise en portant atteinte à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle […]

Cette loi n’a pas été adoptée avant le renouvellement de l’Assemblée Nationale de 2012.

Escroquerie

Élément légal

Il s’agit d’un délit prévu et réprimé par l’article 313-1 du code pénal :

L’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge.
L’escroquerie est punie de cinq ans d’emprisonnement et de 375000 euros d’amende.

Élément matériel

  • Usage d’un faux nom ou d’une fausse qualité, abus d’une qualité vraie ou emploi de manœuvres frauduleuses ;
  • Tromper une personne physique ou morale ;
  • La déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge.

Les techniques d’ingénierie sociale sont mises en œuvre dans le cadre de l’élément matériel de cette infraction.

L’usage d’un faux nom peut être fait verbalement ou à l’écrit. Ce faux nom peut être emprunté à un tiers ou imaginaire. Il peut donc s’agir de l’utilisation dans un courrier électronique du nom du gérant d’une entreprise ou du nom imaginaire d’un conseiller clientèle d’une banque pour susciter la confiance de la cible.

Les manœuvres frauduleuses peuvent consister dans l’intervention de tiers pour fortifier des allégations mensongères. Reprenons l’exemple de l’assaillant ayant pris le soin de faire remplacer les coordonnées de la légitime société par les siennes sur un site de confiance. Le site n’est pas complice de l’action mais participe à son insu à la manœuvre frauduleuse. Ces manœuvres frauduleuses peuvent également prendre la forme de la reproduction d’un site d’une entreprise comme dans l’exemple des campagnes de phishing visant les clients d’EDF où le lien présent dans le mail envoyé dirige la victime vers un site reprenant la charte graphique de celui d’EDF.

La tromperie d’une personne physique ou morale renvoie quant à elle à la définition même de l’ingénierie sociale.

Élément moral

  • L’intention coupable est matérialisée par la volonté d’obtenir une remise par des moyens que l’auteur sait frauduleux.

Ingénierie sociale, vaut-il mieux prévenir que guérir ?

A travers ce panorama des qualifications pénales applicables aux actes d’ingénierie sociale nous avons pu voir qu’il n’existe aucune infraction spécifique à ce phénomène. Le droit, hors cas particuliers, ne reconnaissant pas encore le vol d’informations, les actes employant des techniques d’ingénierie sociale seront généralement qualifiés d’escroquerie quand ils aboutissent à la remise de fonds, de valeurs ou de bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Le problème reste entier si la remise concerne des informations immatérielles. Cette remise ne dépossédera pas son légitime propriétaire et rien dans la législation actuelle ne prend en compte un préjudice de ce type.

La lutte contre l’ingénierie sociale passe-t-elle donc avant tout par des actions d’information et de prévention ? Très certainement !

Avertissement : cet article prend sa source dans un mémoire publié en 2012 et ne prend pas en compte l’évolution législative et jurisprudentielle depuis cette période.