0

Dossier n°13/04833

Arrêt n°9

PACSESTAR

COUR D’APPEL DE PARIS

Extrait des minutes du Greffe Pôle 4 – Ch.10 de la Cour d’Appel de Paris (6 pages)

Prononcé publiquement le mercredi 5 février 2014, par le Pôle 4 – Ch.10 des appels correctionnels,

Sur appel d’un jugement du tribunal de grande instance de Creteil – 11ème chambre – du 23 avril 2013, (C13072000059).

PARTIES EN CAUSE:

Prévenu

X Y

Né le filiation non précisée De nationalité française

Demeurant

Prévenu, non appelant Libre, comparant

assisté de Maître ITEANU Y, avocat au barreau de PARIS, vestiaire D 1380

Ministère public appelant principal

Composition de la cour lors des débats et du délibéré : président : Bruno LAROCHE, conseillers Z A, présidente de chambre Muriel JOSIE,

Greffier

B C-D aux débats et Véronique RAYON au prononcé,

Ministère public représenté aux débats et au prononcé de l’arrêt par Laurence VICHNIEVSKY, avocat général,

BL. 12

Cour d’Appel de Paris – pôle 4 – chambre 10 – n° rg 13/4833 – arrêt rendu le 5 février 2014 – Page 1

La saisine du tribunal et la prévention

X Y a été convoqué le 11 février 2013 devant le tribunal de grande instance de Créteil par officier de police judiciaire sur instructions du procureur de la République pour :

1/ avoir à Maisons-Alfort, Orléans, dans le département du Val de Marne, du 1er août 2012 au 3 septembre 2012, en tout cas sur le territoire national et depuis temps non prescrit, accédé frauduleusement à tout ou partie d’un système de traitement automatisé de données, en l’espèce de l’extranet de l’Agence Nationale de Sécurité Sanitaire de

l’Alimentation, de l’Environnement et du Travail (ANSES),

infraction prévue par l’article 323-1 AL.1 du Code pénal et réprimée par les articles 323-1 AL.1, 323-5 du Code pénal,

2/ s’être à Maisons-Alfort, Orléans, dans le département du Val de Marne, du 1er août 2012 au 3 septembre 2012, en tout cas sur le territoire national et depuis temps non prescrit, maintenu frauduleusement dans tout ou partie d’un système de traitement automatisé de données, en l’espèce de l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail (ANSES),

infraction prévue par l’article 323-1 AL.1 du Code pénal et réprimée par les articles

323-1 AL.1, 323-5 du Code pénal,

3/ avoir à Maisons-Alfort, Orléans, dans le département du Val de Marne, du 1er août

2012 au 3 septembre 2012, en tout cas sur le territoire national et depuis temps non prescrit, frauduleusement soustrait des documents sur l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail (ANSES), données téléchargées puis fixées et enregistrées sur plusieurs supports (média center et disque dur), au préjudice de l’ANSES,

infraction prévue par les articles 311-1, 311-3 du Code pénal et réprimée par les articles

311-3, 311-14 1°,2°,3°,4°,6° du Code pénal.

Le jugement

Le tribunal de grande instance de Creteil – 11eme chambre – par jugement contradictoire, en date du 23 avril 2013, a relaxé Y X des fins de la

poursuite.

L’appel

Appel a été interjeté par M. le procureur de la République, le 29 avril 2013 contre Monsieur X Y.

L B 4

Cour d’Appel de Paris – pôle 4 – chambre 10 – n° rg 13/4833- arrêt rendu le 5 février 2014 – Page 2

À l’audience publique du 18 décembre 2013, le président a constaté l’identité du prévenu, assisté de son avocat qui dépose des conclusions visées du Président et du Greffier;

L’appelant a sommairement indiqué les motifs de son appel,

Z A a été entendue en son rapport.

Le prévenu a été interrogé et entendu en ses moyens de défense,

Ont été entendus :

Le ministère public en ses réquisitions ;

Maître ITEANU, avocat du prévenu, en ses conclusions et plaidoirie ;

Le prévenu qui a eu la parole en dernier.

Puis la cour a mis l’affaire en délibéré et le président a déclaré que l’arrêt serait rendu à l’audience publique du 5 février 2014.

Et ce jour, le 5 février 2014, en application des articles 485, 486 et 512 du code de procédure pénale, et en présence du ministère public et du greffier, Bruno LAROCHE, président ayant assisté aux débats et au délibéré, a donné lecture de l’arrêt.

DÉCISION:

Rendue après en avoir délibéré conformément à la loi,

Statuant sur l’appel régulièrement interjeté par le ministère public à l’encontre du jugement déféré.

Les faits à l’origine des poursuites sont les suivants:

Le 6 septembre 2012, l’Agence Nationale de sécurité sanitaire de l’alimentation, de

l’environnement et du travail (ANSES), opérateur d’importance vitale (OIV), déposait une plainte auprès des services de police de Maisons-Alfort, après la détection, le 3 septembre 2012, d’un accès frauduleux sur son serveur extranet. Cette détection faisait suite à la découverte d’un article relatif aux nano-matériaux mis en ligne sur le site d’information alternatif « reflets. info », article accompagné d’un document de travail « powerpoint » appartenant à l’agence destiné uniquement à un usage restreint.

Cet article consacré à la dangerosité des nano-matériaux était signé d’une personne utilisant le pseudonyme « Yovan Menkevick ». Les enquêteurs relevaient qu’un extranet constitue une extension d’un réseau interne à une entité, à la différence d’un site internet, vers des partenaires situés hors du réseau. Cet accès se fait via Internet par une connexion sécurisée avec un mot de passe dans la mesure où cela offre un accès au système d’information à des personnes situées en dehors de l’entité, à la différence d’un intranet.

L’ANSES constatait que de nombreux documents (8.000 fichiers) situés dans un dossier « lecture » avaient été exfiltrés les 27 et 28 août 2012 vers une adresse IP d’un VPN

(réseau privé Virtuel) localisée au Panama. Leur auteur avait profité d’une faille de sécurité dans les paramètres du serveur extranet concernant l’identification en permettant l’accès. L’accès était ainsi rendu possible par l’utilisation de l’URL complète.

BL

Cour d’Appel de Paris – pôle 4 – chambre 10 – n° rg 13/4833 – arrêt rendu le 5 février 2014 – Page 3

de questions de santé publique. L’analyse des journaux de connexion du serveur extranet et du firewall de l’ANSES confirmait la primo-analyse réalisée par l’ANSES concernant la localisation des adresses IP ayant exfiltré un volume important de fichiers appartenant à l’agence. Si une adresse correspondait à un service VPN suédois dont le propriétaire ne pouvait être identifié, une seconde adresse IP ayant effectué un téléchargement de 8.2 Go de données entre le 27 et le 28 août 2012 était localisée au Panama. Cette adresse IP provenait d’un serveur informatique hébergeant une solution VPN de la société « Toonux.net », fondée et dirigée par Y X. Celui-ci était par ailleurs identifié comme étant l’internaute utilisant l’alias « Bluetouff ».

Lors de ses auditions par les enquêteurs, Y X reconnaissait avoir récupéré via son VPN panaméen l’ensemble des données litígieuses stockées sur le serveur extranet de l’ANSES. Il déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google. S’il affirmait être arrivé « par erreur » au coeur de l’extranet de l’ANSES, il reconnaissait néanmoins avoir parcouru l’arborescence des répertoires de celui-ci et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté la présence de contrôles d’accès (authentification par identifiant et mot de passe). Il précisait ne pas avoir diffusé l’archive de 7,7 gigaoctets qu’il avait générée et en avoir seulement fait une extraction de 250 megaoctets qu’il avait utilisée pour argumenter son article sur la légionellose. Il admettait avoir communiqué des documents à un autre rédacteur du site « Reflets.info », à savoir « Yovan Menkevick », identifié comme étant

Les investigations techniques menées lors de la perquisition réalisée au domicile d’Y X permettaient la récupération de l’archive complète de 7.7 Go. Il acceptait par ailleurs de retirer les fichiers et liens de téléchargement en rapport avec les documents appartenant à l’ANSES sur l’ensemble des serveurs et supports.

confirmait avoir eu accès aux données de l’ANSES et avoir utilisé un fichier sur la thématique des « nano-argents » pour illustrer un article. Il reconnaissait en outre avoir rendu public ce fichier sur un site de téléchargement, sachant que les documents provenaient de la documentation de l’ANSES. Mais il indiquait ignorer qu’ils avaient été collectés sur un espace privé. Il retirait le fichier « Nano Etat des Lieux 2012 » de l’espace d’hébergement en ligne utilisé.

A l’audience publique de la Cour, Y X comparait assisté

Le ministère public requiert l’infirmation du jugement et la condamnation du prévenu à une peine d’amende de 5.000 euros en partie assortie du sursis.

Le conseil du prévenu développe les conclusions de relaxe qu’il a déposées et qui ont été visées par le président et le greffier. Il demande, estimant que les infractions ne sont pas caractérisées, de confirmer le jugement sur les relaxes prononcées en première instance, à titre subsidiaire de prononcer un ajournement du prononcé de la peine et, en cas de condamnation, de dire que la décision ne sera pas mentionnée au casier judiciaire.

BL

Cour d’Appel de Paris – pôle 4 – chambre 10 – n° rg 13/4833 – arrêt rendu le 5 février 2014 – Page 4

Considérant qu’il n’est pas établi suffisamment par les pièces de la procédure que le prévenu s’est rendu coupable d’accès frauduleux dans un système de traitement automatisé de données; que l’accès, qu’il ne conteste pas, lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail; que dans ces conditions l’infraction n’est pas caractérisée; qu’il y aura lieu de confirmer le jugement de ce chef;

Considérant, pour ce qui concerne les faits commis de maintien frauduleux dans un système de traitement automatisé de données et de vol, qu’il est constant que le système extranet de l’Agence Nationale de sécurité sanitaire de l’alimentation, de

l’environnement et du travail n’est normalement accessible qu’avec un mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé « par erreur » au coeur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil,il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées; que les investigations ont démontré que ces données avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers; qu’il est, en tout état de cause, établi qu’Y X a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire; que la culpabilité d’Y X sera donc retenue des chefs de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques au préjudice de l’l'Agence Nationale de sécurité sanitaire de l’alimentation, de

l’environnement et du travail (ANSES);

Considérant que tenant compte de la nature et de la gravité des faits commis, de l’absence d’antécédent judiciaire du prévenu et des éléments connus de sa personnalité, la Cour prononcera à son encontre une peine délictuelle de 3.000 euros;

Que la demande du prévenu de non inscription au bulletin n°2 de son casier judiciaire de la condamnation sera rejetée, ce dernier ne justifiant pas actuellement de la nécessité d’une telle dispense;

PAR CES MOTIFS

LA COUR,

Statuant publiquement et contradictoirement à l’encontre d’Y X, prévenu,

Déclare recevable l’appel du ministère public,

Infirme partiellement le jugement sur la déclaration de culpabilité,

Déclare Y X coupable des faits qui lui sont reprochés de maintien frauduleux dans un système de traitement automatisé de données et de vol dans les termes de la prévention,

Confirme pour le surplus sur la culpabilité,

En répression,

BL

Cour d’Appel de Paris pole 4- chambre 10 – n° rg 13/4833 – arrêt rendu le 5 février 2014 – Page 5

Rejette la demande de dispense d’inscription de la présente condamnation au bulletin

n°2 du casier judiciaire d’Y X.

Compte tenu de l’absence du condamné au prononcé de la décision, le président n’a pu l’aviser, conformément aux dispositions des articles 707-3 et R 55-3 du code de procédure pénale, que: s’il s’acquitte du montant de l’amende et du droit fixe de procédure mentionné ci dessous, dans un délai d’un mois à compter de ce jour, ce montant est diminué de 20

% (réduction maximale de 1.500 euros), le paiement de l’amende ne prive pas le condamné du droit de former un pourvoi en cassation.

LE PRÉSIDENT LE GREFFIER

C s o an l

o

-

La présente décision est assujettie à un droit fixe de procédure d’un montant de 120 euros dont est redevable le condamné. Ce montant est diminué de 20% en cas de paiement dans le délai d’un mois :

- à compter du jour du prononcé de la décision si celle-ci est contradictoire,

- à compter de la signification si l’arrêt est contradictoire à signifier ou par défaut.

L B

Cour d’Appel de Paris – pôle 4 chambre 10 – n° rg 13/4833- arrêt rendu le 5 février 2014 – Page 6