Est-ce qu’un “test” (au sens de quelques connexions par des bots, de manière récurrente, sur un même site, mais avec très peu de conséquences pour les utilisateurs, peut-être quelques dizaines de millisecondes de lenteur supplémentaires) peut être qualifié d’entrave/altération du fonctionnement d’un système, avec un risque juridique et contractuel réel ? Notamment, en droit français, “entraver ou fausser le fonctionnement d’un système de traitement automatisé de données” est incriminé (art. 323-2 du droit pénal), et la tentative est punie des mêmes peines (art. 323-7 du droit pénal).
Y a-t-il eu des condamnations pour ces raisons avec des “tests” ”légers” (donc rien à voir avec des DDoS ou autre pratique de piratage) ? Qu’est-ce que ces articles signifient, exactement, en pratique ?
Doit-on comprendre que vous avez « tester » ainsi (même « légèrement ») un système qui ne vous appartient pas et sur lequel vous n’avez aucun droit ? Alors oui pour moi vous êtes concerné par l’art 323-2 et passible de l’art 323-7 (qui fixe un maximum).
Je ne sais absolument pas s’il ya eu des condamnations au titre de ces articles pour des intrusions « légères » comme vous dites de ce genre.
Si je fais un parallèle avec le vol, voler un oeuf ou un voler boeuf c’est un vol dans les deux cas, même si voler un oeuf peut vous paraître plus « léger », ce qu’un juge pour apprécier en terme de condamnation.
Oui, c’est exactement ce que j’entendais par là. En fait, je ne saisis pas trop la différence entre moi (avec un script), et un utilisateur lambda qui passerait par là, du coup, puisque mon script ne surchargera pas plus le serveur qu’un (ou deux) utilisateur(s), d’où ma question. Je ne parle pas de “test” au sens informatique “puissant” du terme (très très loin du DDoS), mais littéralement comme un humain qui naviguerait un peu énergiquement sur le site (si je puis dire), ce qui doit arriver souvent spontanément. Un bot de scraping pourrait avoir plus d’impact que mon bot. Donc on est loin de “qui vole un oeuf vole un boeuf”, que ce soit dans l’intention ou dans la réalisation (l’équivalent serait plus un androïde qui rentre dans une boutique, regarde les produits dans plein d’étals, et s’en va sans rien acheter, plutôt qu’un “voleur”).
Le fait d’utiliser un script plutôt qu’un navigateur « normal » ne change rien en soi : ce qui compte, c’est de savoir si votre comportement entre dans la définition de l’article 323‑2 du Code pénal, qui réprime le fait « d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ».
En droit pénal, une infraction suppose en principe trois éléments :
– un élément légal : ici, l’article 323‑2 (et, le cas échéant, l’article 323‑7 pour la tentative) ;
– un élément matériel : un comportement qui a pour objet ou pour effet réel d’entraver ou d’altérer le fonctionnement du système (même de façon limitée) ;
– un élément moral : le fait d’agir sciemment, en sachant que l’on teste ou sollicite de manière anormale un système qui ne nous appartient pas et sans y être autorisé.
Si ces trois éléments sont réunis, l’infraction peut être constituée, même en l’absence de dommages spectaculaires ; à l’inverse, si le test reste dans un usage strictement comparable à celui d’un utilisateur ordinaire, sans volonté d’entraver le système ni effet concret sur son fonctionnement, la qualification pénale sera plus discutable. Seule une analyse au cas par cas (contexte, intensité des tests, éventuels logs et conséquences techniques) permet de se prononcer de manière fiable.
Oui, je comprends. C’est un script qui mesure les performances d’un site, de l’extérieur, en simulant un (ou deux) utilisateur(s) qui se balade(nt) sur différentes pages du site, et en récupérant la latence, le débit, etc. Pour effectuer mes propres statistiques, sur des sites qui ne m’appartiennent pas. Rien de plus.
Est-ce suffisant ? Ou y a-t-il des informations supplémentaires auxquelles vous pensez ou desquelles vous auriez besoin à côté desquelles je passe ?
Sans rentrer dans le volet (cf mon incompétence alors))… il faut aussi s’intéresser à la réaction du propriétaire du site dans lequel vous vous introduisez sans son accord au-delà de la manière d’un simple lecteur du site. Porterait-il plainte contre votre intrusion qu’il n’a pas autorisée ?
En tout cas l’art 323-1 du code pénal condamne le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données.