L’année 2017 a été marquée par les rançongiciels (Ransomware en anglais), comme NotPetya, Petya ou encore WannaCry qui s’est diffusé en mai 2017 dans 150 pays, faisant des centaines de milliers de victimes avec pour message « payez ou perdez l’accès à vos données ». 0,1% des victimes se seraient acquittées de la rançon.

Qu’est-ce qu’un rançongiciel ou ransomware ?

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) définit le rançongiciel comme une « forme d’extorsion imposée par un code malveillant sur un utilisateur du système ». Il s’agit d’une technique d’attaque, couramment utilisée par la cybercriminalité, qui consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données (fichiers clients, comptabilité, factures, plans, messagerie, etc.) et lui demande le paiement d’une rançon en échange de la clé de déchiffrement.

Les rançongiciels peuvent se présenter sous deux formes : « les virus gendarmerie » faisant croire à la présence d’activités illicites sur l’ordinateur bloqué et imposant le paiement d’une « amende » et « les cryptowares » qui chiffrent les données figurant sur l’ordinateur, parfois de manière irréversible.

Lorsque les données sont chiffrées, la victime ne peut plus y accéder sauf à payer la rançon demandée. Mais parfois, même s’acquitter de la rançon n’est pas synonyme de récupération des données car le « hacker » peut ne jamais communiquer la clé privée de déchiffrement. De plus, effectuer le paiement est perçu comme encourageant les « pirates » informatiques à utiliser ce moyen pour extorquer des fonds et à continuer de développer des méthodes plus performantes.

Face au rançongiciel, comment une entreprise peut-elle réagir ? Le ransomware est-il appréhendé par le droit ?

Quelles sont les qualifications juridiques applicables au rançongiciel ?

Contraction des termes « rançon » et « logiciel », le rançongiciel est un logiciel malveillant.

Or, l’offre, l’importation, la détention, la mise à disposition ou la cession d’un tel programme est susceptible de constituer une infraction. En effet, l’article 323-3-1 du Code pénal dispose que « Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. ». Précisons que les articles 323-1 à 323-3 du Code pénal prohibent l’accès, le maintien dans un système de traitement automatisé de données, l’entrave ou le faussement du fonctionnement d’un tel système ainsi que l’extraction, la reproduction, la transmission, la suppression ou la modification frauduleuse des données qu’il contient.

Mais au-delà de l’appréhension du rançongiciel par des délits propres au droit pénal des nouvelles technologies, cette pratique est susceptible de revêtir les éléments de délits plus classiques du droit pénal.

C’est le cas de l’extorsion qui se définit comme l’obtention par violence, menace ou contrainte d’une signature, d’un engagement, d’une renonciation, la révélation d’un secret, la remise de fonds ou d’un bien (article 312-1 du Code pénal). En l’espèce, le ransomware s’apparente à une extorsion de fonds en ce que les données du système d’information sont monnayées par ceux qui les ont chiffrées contre le versement d’une somme d’argent. Ainsi, ils menacent et contraignent les utilisateurs à leur remettre des fonds.

De la même façon, le procédé du rançongiciel pourrait s’apparenter à du chantage en ce qu’il cherche à obtenir, en menaçant de révéler ou d’imputer des faits de nature à porter atteinte à l’honneur d’une entreprise ou d’une personne, la remise de fonds (article 312-10 du Code pénal).

Pareillement, la qualification de remise de fonds sous contrainte est envisageable en ce qu’elle suppose de solliciter, en réunion et de manière agressive la remise de fonds (article 312-12-1 du Code pénal). Il conviendra en pareil cas de démontrer notamment la participation d’au moins deux personnes à la commission de l’infraction.

Parfois, le but du ransomware est de transmettre les données à des tiers, via des montages particuliers. Ainsi, la qualification de recel peut s’appliquer car elle consiste notamment en la transmission d’une chose dont la personne sait qu’elle provient d’un crime ou d’un délit (article 321-1 du Code pénal).

De même, du fait de la soustraction des données, définitivement ou parfois temporairement, le rançongiciel permet un vol de données.

Ainsi, le rançongiciel est susceptible de revêtir plusieurs qualifications juridiques tant dans le cadre des délits liés aux atteintes aux systèmes d’information, que dans le cadre des délits les plus classiques. A noter sur ce dernier point que l’extorsion de fonds notamment est plus sévèrement sanctionnée.