Cyber et légitime défense.
Par Olivier Kempf le jeudi 6 décembre 2012, 21:36 - Cyber - Lien permanent
J'ai assisté ce jour au colloque du CDSE sur les cybermenaces. Tout le milieu était là, c'était assez sympa : une des grandes utilités de ce genre de réunion, ce sont quand même le pauses café qui permettent de faire le point avec tel ou tel, et d'échanger les cartes. Après, il faut les exploiter, ce qu'on n'a pas toujours le temps de faire...! Il reste que les échanges en séance ont permis de glaner pas mal de petites idées. J'évoquerai les thèmes et l'ambiance, pour développer la notion de cyber légitime défense, sujet d'une table ronde qui m'a laissé sur ma faim.
Je signale la revue "Sécurité et stratégie" qui publie aujourd'hui son numéro sur "les cyber-menaces, mythes ou réalités?".
1/ Plusieurs tables rondes, donc :
- Quelles « cybermenaces » pour l’entreprise, une enquête éclairante (CDSE et FRS)
- Les réponses institutionnelles et les solutions de Partenariat Public Privé
- Démonstration sur les capacités de cyberattaque par un représentant de la DCRI
- Vers une cyber légitime défense ?
- Evolution de la fonction sécurité face aux cybermenaces
- Un avenir incertain : La sécurité face au défi de la culture du partage Milad Doueihi,
- et en guest stars, Thierry Breton (Président Directeur Général d’ATOS) le matin et Patrick Pailloux (Directeur de l’ANSSI) pour conclure.
2/ Cloud, boyd, botnets, identité et surtout réseaux sociaux ont été les grands thèmes revenus tout au long de la journée. Et puis on a senti de la part tant des intervenants que des auditeurs une sorte de circonspection et de manque d'assurance : comme si chacun avait bien conscience que le cyber ne peut plus être cantonné à la seule SSI, mais que les directeurs de sécurité étaient un peu désemparés devant l'ampleur du champ sécuritaire à appréhender.
3/ Toutefois, quelques principes de bon sens ont été rappelés :
- tout d'abord, l'hygiène numérique répétée par P. Pailloux (je commence à le plaindre, à devoir ressasser pour la vingtième fois le même discours).
- Ensuite, la compréhension que les solutions hiérarchiques ne marcheront plus : mais qu'en même temps, il faut conserver "l'assurance", ce qui nécessite d'anticiper et de préparer les mesures
- concilier la nécessaire gêne apparente avec la prise de conscience que le non-choix de cybersécurité est un surcoût dans la durée
- comprendre qu'il y a deux types d’entreprises : celles qui sont piratées, et celles qui savent qu'elles sont piratées.
- l'importance du facteur humain dans le choix de toute solution cybersécuritaire : autrement dit, la solution n'est pas forcément l'outil technique, et elle n'est pas forcément dispendieuse
- la nécessité d'inventorier le patrimoine informationnel de l'entreprise, afin de choisir ce qu'on va protéger, et ce qu'on va moins protéger (que voici un beau principe stratégique : définir des points forts, c'est choisir les endroits que l'on accepte, éventuellement, de sacrifier : du Foch !)
- la conviction que désormais, le directeur de la sécurité exerce plus un métier d'influence que d'autorité
4/ Le débat sur la légitime défense en matière cyber a été assez confus. C'est dommage, car le thème mérite qu'on s'y attarde et était une vraie innovation (c'est d'ailleurs à cause de sa nouveauté qu'il a tâtonne : c'est l'inconvénient, mais aussi l'avantage, des débats défricheurs).
5/ En effet, on n'a pas trop su distinguer à qui s'adressait cette LD : à l'entreprise ou à l'Etat ? de même, on a eu du mal à distinguer LD et "vengeance" et réaction à l'attaque. Des dimensions éthiques, politiques, juridiques sont venues ajouter à la complication.
6/ Que puis-je en dire ? Tout d'abord, rappeler que cette LD ne s'applique pas (sauf une exception) aux personnes morales privées. Et que les Etats l'invoquent, depuis qu'elle est dans la charte des NU. Que ses principes sont classiques, puisque la riposte doit être nécessaire, proportionnée et concomitante. Examinons cela au regard du cyberespace :
- nécessité : Y a-t-il nécessité à riposter ? Y a-t-il surtout possibilité ? Non, à cause du principe d'inattribution qui domine le cyberespace. Déjà qu'il est difficile de savoir à l'instant T que l'on est attaqué, identifier l'agresseur apparaît comme inatteignable
- proportionnalité : cela suppose que l'on est capable d'évaluer les dégâts causés, mais aussi la structure de l'attaque. Or, les cyberarmes sont uniques, et leur degré de complexité varie. Comment donc savoir que l'on va faire un mal "équivalent" à son agresseur pour qu'il cesse son action ?
- concomitance : à l'évidence, l'autre caractère le plus difficile. D'une part à cause de la difficulté déjà mentionnée d'identifier le moment de l'attaque ; et surtout, par la difficulté d'élaborer une riposte qui passe donc par la construction d'une arme adaptée à la cible. Je suis en effet très sceptique avec les annonces de rétrovirus (cf. l'annonce japonaise d'un système qui "remonterait" la trace du virus d'origine pour venir frapper dans l'originataire).
Autant de difficultés qui rendent la notion de légitime défense inappropriée pour les entreprises (sans même parler de l'aspect légal). Quant aux États, remarquons que dans la plupart des cas, ils invoquent la LD une fois qu'ils ont lancé leur action. La légalité de l'acte apparaît en fait comme un processus de légitimation a posteriori.
Il reste que cette notion constitue un excellent thème d'étude : utiliser des catégories d'analyse à la nouveauté du cyberespace permet de mieux le comprendre. Et en cela, ce genre de débat est fort utile. Toutefois, je remarque que tout le monde dit que "l'agression, c'est pas bien, mais que les agresseurs, se sont toujours les autres". Au fond, l’entreprise est victime, jamais agissante. Ainsi, on n'observe pas le débat sur "l'offensive" qui anime, pourtant le débat de cyberdéfense. En cela, cette notion de légitime défense était une manière détournée de l'évoquer sans le dire. Un jour, évoquera-t-on tranquillement les limites aux cyberoffensives des entreprises ? Pas politiquement correct, mais si on est réaliste...
NB : je signale l'intervention de l'expert cyber de l'OCDE, qui nous accueillait, et qui a évoqué deux choses :
- la parution récente d’une comparaison des cyberstratégies nationales
- et le lancement de la révision des directives 2002 de cybersécurité.
O. Kempf
Commentaires
"celles qui sont piratées, et celles qui savent qu'elles sont piratées."
En général on dit plutôt "celles qui sont piratées, et celles qui ne le savent pas encore."
Cordialement
Légitime défense informatique, le débat est-il bien posé ou n'est-il pas symptomatique de l'inadaptation de la réflexion juridique à ce nouveau monde, tant les tenants que les détracteurs de la légitime défense cybernétique ne faisant que transposer les conditions de la légitime défense de la vie réelle au cyber espace.
Or plusieurs points devraient faire l'objet de réflexions préalables :
- quelles sont les infractions commises dans le cyber espace pour lesquelles la légitime défense pourrait s'appliquer ? Car dans le monde réel, il n'y a pas de légitime défense en matière d'abus de biens sociaux, ni en matière sexuelle (elle existe en cas de vol). L'occultation de ce point laisse penser que toute cyber infraction serait justificatrice d'une cyber légitime défense.
- la concomitance entre l'agression et la légitime défense. Quel serait, en effet, le moment pris comme point de départ temporel pour la réponse ? Le moment de commission de l'infraction ? Mais un des objectifs des cyber attaques est de rester cachées le plus longtemps possible, ce qui rend la légitime défense inopérante. Alors, pour justifier la concomitance de la défense et de l'attaque, il faudrait que le point de départ temporel autorisé pour riposter soit le moment de découverte de l'infraction, de même que le point de départ de la prescription pour les abus de biens sociaux est celui de leur découverte. Ce point fera-t-il consensus ?
- la nécessité de la riposte : la justice pourrait être victime de sa bonne volonté, comme elle l'est parfois en matière de blanchiment d'argent. En effet, considérons 2 complices d'une affaire de blanchiment. L'un attaque l'autre (pour un motif quelconque, convenu à l'avance) devant les tribunaux qui condamnent l'autre à de substantiels dommages et intérêts à verser à l'un. L'argent issu du blanchiment que l'autre verse alors à l'un vient donc, par décision de justice, de retrouver sa pureté originelle, tant que l'un et l'autre ne sont pas condamnés pour blanchiment. Transposons maintenant au cyber espace. Deux entreprises A et B veulent mutuellement se voler des données. A sachant (par complicité interne par exemple) s'introduire dans le SI de B et accéder à ses données, leurre B en lui faisant croire que ses données intéressantes sont peu protégées. Donc B attaque A, vole ces données de valeur médiocre, mais A est alors fondé à voler B de ses données importantes au titre de la légitime défense.
Réel problème ou biais de raisonnement ?
egea : questionnement stratégique, tout simplement.
Et "byod" au lieu de "boyd".
egea : of crouse. Pardons : of courseBravo ! En tant que juriste en herbe, je suis ravi de voir apparaître des connexions entre ma passion et ma futur profession.
1/ Pour donner un simple exemple (réel) par rapport à cette question sensible de la concomitance : si l'or d'une soirée un peu arrosée quelqu'un vous frappe, et que vous décidez d'aller chercher votre fusil pour tuer la personne qui vous a portée atteinte, ce ne sera pas de la légitime défense. Certes, tout le monde le conçoit, mais le constat est plus subtil qu'il n'y parait:
Toutes réactions une fois que l'infraction est consommée ne peut être couvert par le fait justificatif que constitue la légitime défense.
Il faudrait, réagir alors que l'infraction est en cour d'exécution.
Si l'on raisonne par analogie, ce qui pour un juriste tiens du blasphème, il faudrait réagir alors que la cyber attaque est en cours...
2/ De la même manière qu'il y a une relecture/révision tous les 6 ans, des lois sur la bioéthique ; il faudrait qu'un groupe de parlementaire se penche sur la question pour commencer à introduire la notion de cyberespace puis veille à la faire évoluer avec son temps !
Il faut cesser d'être en réaction alors que dans ces domaines hautement stratégiques il faut de l'anticipation !
Trop souvent l'Homme politique oublie que "Gouverner c'est prévoir"...
Des nouvelles du rapport Bockel ?
Bonsoir,
Dans la vision du législateur, la "légitime défense" ne visait-elle pas initialement à invoquer l'irresponsabilité pénale de l'assailli ? Les conditions d'une telle clause sont la simultanéité de sa réaction, et sa relative proportionnalité à l'action. Le juge tranche.
Ce qui était visé dans la clause était de ne pas faire endosser, le cas échéant, de responsabilité en cas de conséquence néfaste à la réaction.
Donc une légitime défense serait une clause d'irresponsabilité, en cas de réponse (forme à définir) à une attaque cyber engageant une conséquence pénale pour l'assailli qui a réagi simultanément (acte réflexe, procédure automatique) ex abrupto.
Rien à quoi une équipe de cols blancs lisant des logs pour étudier la signature d'une intrusion ne puisse prétendre.
Bien que la légitime défense soit très vite devenue une invocation de facto après les faits si j'ose dire, elle a ensuite glissé en une incantation permanente dès qu'il s'agit de se défausser de ses actes ; le préemptif est en embuscade "si je ne l'avais pas fait le premier, il m'aurait eu".
La légitime défense dont le CDSE a bruissé quelques minutes est une quête de certification de pratiques offensives qui seraient amalgamées par le législateur à de la défense active.
Cela pourrait éventuellement s'envisager.
Il ne faut pas s'empêcher d'y penser. L'(apparente) absence de létalité du cyber semble se prêter à une réflexion prometteuse autour d'une conflictualité d'affaires et d'actifs mobiliers.
Mais de là à espérer, en plus, l'irresponsabilité pénale pour des pratiques offensives, il y a clairement malhonnêteté intellectuelle, ou absence de sens juridique, dans la démarche.
Mieux vaudrait aborder le question de l'irresponsabilité pénale pour une "légitime défense" qui s'inspirerait plus du droit de retrait (ne pas confondre avec le duty to retreat).
Par exemple si une infrastructure critique-publique venait à engager sa responsabilité pénale du fait d'automatismes de défense se déclenchant dans le cadre d'une attaque : coupure massive de fourniture électrique dans la cadre d'une mise à l'arrêt d'urgence d'une centre de production déstabilisé, ou gel du transport aérien en cas d'attque sur les réseaux d'aiguillage aérien, etc.
Là, l'irresponsabilité pénale me paraît plus à fouiller, dans cette époque où le premier mécontent venu vous intente un procès... ou une action collective./.
Bien à vous,
Colin./.
Bonjour
@Ph Davadie
Par rapport à l'exemple que vous proposez concernant les entreprises A et B, on sait qu'en France, la Police n'a pas le droit d'utiliser des moyens illégaux pour rassembler des preuves contre un prévenu, ou du moins, tout élément de preuve doit avoir été acquis ou produit de manière légale. Si A est l'état francais, je suppose que son acte, anticipant le vol de B, est illégal. Donc il ne peut servir d'élément de preuve pour justifier de la légitime défense si B se plaint ensuite de l'attaque de A ou si des dommages autres que cybernétiques s'ensuivent de la cyberdispute entre A et B.
Par ailleurs, l'exemple que vous proposez semble relever de la frappe préemptive (ou préventive?), puisqu'il s'agit d'une intrusion, à défaut d'une attaque , dans le système adverse avant qu'il n'ait agi. C'est même pire car elle est associée à un piège pour appâter l'agresseur, car vous présentez A comme donnant à la sécurité de ses données l'apparence de la fragilité.
Tout cela ressemble donc à la guerre d'Irak 2, où au nom d'une menace hypothétique on a agressé un pays "innocent" et laissé croire que ce pays pourrait se raccrocher à la nécessité de l'assentiment de l'ONU, ce qui n'en a rien été malgré le veto de la France.
En tout cas, ca ne ressemble pas à de la légitime défense. Un tour sur legifrance.gouv.fr fournit:
Article 122-5
N'est pas pénalement responsable la personne qui, devant une atteinte injustifiée envers elle-même ou autrui, accomplit, dans le même temps, un acte commandé par la nécessité de la légitime défense d'elle-même ou d'autrui, sauf s'il y a disproportion entre les moyens de défense employés et la gravité de l'atteinte.
N'est pas pénalement responsable la personne qui, pour interrompre l'exécution d'un crime ou d'un délit contre un bien, accomplit un acte de défense, autre qu'un homicide volontaire, lorsque cet acte est strictement nécessaire au but poursuivi dès lors que les moyens employés sont proportionnés à la gravité de l'infraction.
On doit donc attendre d'être attaqué pour se défendre. C'est du reste l'un des grands problèmes diplomatiques lorsqu'il s'agit de déclencher une guerre. Juridiquement parlant, la France a déclaré la guerre à l'Allemagne en 1870, 1914 et 1939. Qui était le danger et qui était l'agresseur?
Cordialement
Je précise mes propos.
A et B sont deux entreprises, puisque c'est le cas qui nous intéresse. Il ne s'agit donc nullement d'une provocation policière. Les actes, tant de A que de B sont illégaux, car sinon la légitime défense n'est pas invoquée.
Il ne s'agit ni d'une action préemptive ni préventive, puisque tout l'intérêt est d'invoquer la légitime défense.
Dans le cas évoqué, A attend l'attaque de B pour, outragée dans sa vertu, riposter en invoquant la légitime défense. C'est un piège, bien sûr, mais on s'en rend compte lorsqu'on connaît les tenants et aboutissants de l'histoire; ce qui n'est pas nécessairement le cas d'un tribunal (sinon, le débat sur les erreurs judiciaires n'existerait pas).
Ce que je veux dire, avec cet exemple, c'est que se contenter de transposer le droit dans le cyber espace est un premier pas, mais ne peut suffire. Il faut trouver un droit adapté au cyber espace, notamment si l'on veut que la légitime défense puisse s'y appliquer. Sinon, je me renseigne sur les horaires d'analyse des logs, et j'attaque x heures avant, afin que la riposte ne puisse se prévaloir d'une commission dans le même temps, invalidant ainsi la légitime défense.
Mais tout ceci n'est qu'un élément d'une réflexion plus longue sur le droit et ses manifestations dans le cyber monde.
@Ph Davadie.
Je vous renvoie à la lecture de l'article 122-6 et au premier énoncé de votre cas de figure.
Non seulement A a attaqué en premier puisqu'il a eu vent de la volonté de B d'attaquer A, donc ce n'est pas de la légitime défense. Mais passons en admettant que vous faîtes l'analogie avec le cas du blanchiment d'argent et que la justice ne saura jamais que A a commencé.
Mais de plus la contre-attaque contre B ne permet pas du tout d'interrompre le vol de données contre lui-même. Il s'agit de vengeance, tout simplement. Et c'est pour empêcher ce genre de vengeance qu'on a inventé le concept de légitime défense. Et ceci n'est pas concerné par la définition de la légitime défense (art 122-6).
Finalement, la combine que vous présentez ne fonctionne que si la justice manque un éléphant dans un couloir. C'est déjà le cas mais malheureusement, aucune actualisation du droit ne peut y remédier.
J'ajoute qu'il faudrait que l'entreprise B soit assez incompétente pour ne pas remarquer qu'on la leurre avant l'attaque. C'est en soi contradictoire puisque B semble assez sûr de soi pour aller en justice à cause de l'attaque de A alors que B a elle-même attaqué A et est consciente que A pourra le faire valoir.
Oui, bon, en fait, se ridiculiser devant un tribunal par trop grande confiance en soi, c'est tout à fait possible quand on se rappelle des histoires du crédit lyonnais ou les affres des entreprises publiques.
Mais encore cette fois, le défaut est plutôt du coté de la direction plutôt que du droit.
Cordialement
@ Davadie.
Toutefois, même si je reste sur ma position, il est vrai qu'on aurait besoin d'une modernisation du droit. J'aimerais bien savoir dans quelle mesure les machines peuvent être rendues responsables de malveillance. L'art 121-6 du code pénal indique:
"
Il n'y a point de crime ou de délit sans intention de le commettre.
Toutefois, lorsque la loi le prévoit, il y a délit en cas de mise en danger délibérée de la personne d'autrui.
"
Dans la mesure où notre vie quotidienne est réglée par des automates et que ceux-ci sont de plus en plus connectés en réseaux, qu'on développe en plus des systèmes dits "intelligents", peut on rendre responsable un automate, un ordinateur responsable, voire coupable, d'un délit?
Exemple: un pacemaker qui tombe en panne, un sytème de freinage assisté qui se bloque, les robots-chiens qui attaqueraient, un ordinateur impliqué dans un botnet.
Je crois que la réponse est "non" dans l'état actuel du droit et que ceci est la marque d'un retard du droit qui nous pénalise tous. En effet, à la différence de la bioéthique qui doit limiter la recherche sur le vivant, le cyber lui a déjà envahi et modifié la société.
Actuellement, on s'en prend au fabriquant ou au vendeur, quand on peut retrouver la cause originelle de l'accident. Mais la réticulation des systèmes automatiques permet de pirater d'autant plus facilement un système qu'on y a accès à distance.
Rendre une machine responsable de ses actes, pour faire simple, responsabiliserait de fait plus son (ou sa) possesseur et l'inciterait à plus de prudence.
La loi Hadopi fut un sujet de réflexion pour cela. Une des critiques était qu'un ordinateur pouvait être "piraté" Par WiFi et donc télécharger pour quelqu'un d'autre des oeuvres (plus ou moins) artistiques. On a répondu que tout internaute qui ne crypterait pas son réseau au moins avec une clé "WEP3" se rendrait coupable de négligence et donc de complicité si il arrivait à prouver qu'il n'a pas lui même téléchargé. Outre le fait qu'un clé WEP3 n'est pas imparable et qu'un hacker peut agir en plusieurs étapes pour contrôler un ordinateur, on voit ici une mesure qui de fait, rend l'internaute responsable des actes de son ordinateur.
J'attends la suite... et voire si d'autres pays ne réguleront rien du tout en la matière, comme en finance, sans responsabilité pour les générations futures.
egea : excellente remarque.... Qu'en disent les juristes ?
J'ajoute qu'autant que je sache, un serveur Web de messagerie qui produit une campagne de spam lie juridiquement (en France) son exploitant. Même si ce spamming résulte d'un piratage, le propriétaire du serveur est responsable du spamming et doit donc payer les amendes et les dommages et intérêts qui peuvent apparaître en cas de plainte. C'est pourquoi il est déconseillé de proposer des services de messagerie quand on crée son site internet.
On voit que les possesseurs d'ordinateurs, de serveurs, d'automates en général doivent, en théorie du moins, répondre d'actes qui ne sont pas les leurs et sur lesquels ils on parfois peu d'emprise. Cela ressemble à la responsabilité des parents pour les actes de leurs enfants ou d'individus pour leurs animaux de compagnie.
Mais imagine t on des lois qui personnifieraient tel ou tel automate? Je ne crois pas. Pourtant, les automates, comme leur nom l'indique ne sont pas passifs mais actifs, à la différence d'une porte ou d'un slip. Ils peuvent donc agir, sans conscience mais avec un but et des conséquences.
A tous les coups, quelqu'un va parler des lois d'Asimov, d'après lesquelles tout programmateur de robots doit respecter des axiomes de base, tels que: "1) un robot ne doit pas tuer d'être humain, 2) Si un robot doit se detruire pour sauver un être humain, alors qu'il le fasse".
Non seulement on a déjà fait le coup avec la déclaration universelle des droits de l'homme et du citoyen et le résultat est que la justice a condamné 11 innocents à Outreau sans respecter les droits de la défense, non seulement ces règles d'Asimov relèvent de la philosophie et ne sont pas incluses dans des normes internationales, mais plus près de nous, les robots les plus avancés actuellement sont justement des robots à usage militaire, souvent appelés drônes, tels le Prédator américain.
Dans ce dernier cas, peut-être qu'un connaisseur rétorquera fièrement que le prédator ne lâche sa bombe qu'après confirmation humaine, néanmoins personne ne peut nier que tout dans ce drône, depuis sa conception jusqu'à son action sur le terrain poursuit un but: combattre à mort un ennemi humain.
C'est pourquoi, oui, je serais curieux moi aussi d'avoir l'avis de juristes, dans quelle mesure ils ont conscience du vide juridique ou en tout cas du problème que pose l'intelligence artificielle comme alternative à l'intelligence humaine. Et comment imaginent ils pouvoir demander aux parlementaires de combler le vide juridique autrement que par des taxes sur la puissance de calcul.
cordialement
égéa : mais les stratégistes ont des choses à dire... Plus sérieusement, je viens de relire les robots d'Asimov, et voulait justement écrire une fiche de lecture, car là est le sujet...... Le cyber, c'est la robotisation !
Ah ! les Robots d'Asimov !
Je me demandais quand on y viendrait dans la conversation.
Et pourquoi pas l'analogie des équations de la psychohistoire de Seldon pour réfléchir à la prospective ? Hein ? Et la survenue du Mulet de Fondation pour illustrer l'accident statistique du cygne noir ?
Je rappellerais cependant que cet excellentissime auteur s'en tirait in fine par la pirouette du grand concepteur pour les humains, et pour les robots, de l'ordinateur originel, le proto I aux facultés télépathiques sublimant machine et humain, et planqué avec son code source sur une lune. Une génèse pour renforcer la boucle de régulation... Cela ne retire rien à l'oeuvre littéraire mais c'est plus mystique qu'opérationnel. Mais cela peut devenir doctrinal dans nos réflexions (une doctrine, après tout, c'est fait pour affirmer avec force des trucs même improbables, hein ?).
Pour en revenir à la question de la responsabilité envers des objets mûs par des process et autres robots en réseaux, il faudrait certainement rechercher des analogies soit du côté de la responsabilité au pénal et au civil pour les chiens d'attaque, soit de la responsabilité civile délictuelle, soit des responsables des dirigeants.
Soit un formidable gloubiboulga des trois.
(et rappellons-nous, pour compliquer la donne, que l'analogie est l'ennemie du droit).
Je pense que nous parlons ici d’une infraction non intentionnelle : coups et blessures involontaires (Art.222-19 CP), homicides involontaires (Art.221-6 CP) et mise en danger délibérée d’autrui (Art.223-1 CP) par exemple.
L'affaire sous-entend généralement que la personne ayant commis l’infraction n’avait pas forcément l’intention de la commettre, qu'elle ne recherchait pas le résultat s'ensuivant ; pourtant il convient de sanctionner un comportement imprudent et-ou négligent, voire la transgression d’une règle de sécurité.
Nemo censetur ignorare legem.
Or cela nécessite d'édicter un corpus de règles de sécurité encadrant les conséquences-matérialisations dans notre sphère humaine (où interviennent le préjudice et l'avis du juge) d'une action initiée, relayée ou amplifiée dans le champ cyber.
Aujourd'hui, ce ne sont pas encore les règles d'hygiène de l'ANSSI et du SGDSN qui tiennent ce rôle. Elles ne sont à ce stade que des préconisations. On demeure plus dans la torsion de l'IM1300 relative à la protection du SDN, aux atteintes au code de la Prop Int ou dans la violation de la propriété privée (en dépit de l'initiative méritoire d'étendre au champ cyber des délits existant comme l'usurpation d'identité électronique).
En outre, de par la transversalité des champs touchés par le cyber, on se retrouve à glisser d'un secteur à l'autre d'un droit initialement cloisonné.
Exemple : la responsabilité pénale es qualité du dirigeant.
L'apport de la preuve du pouvoir qu'il détiendrait sur le fonctionnement du dispositif pourrait permettre de lui reprocher ne n’avoir pas agi ou d’avoir laissé commettre une infraction.
La délégation de ce pouvoir à un tiers, utilisateur final, reporterait sur ce tiers la responsabilité pénale. Dans le cas d'une délégation contractualisée par un acte commercial, on entre dans le droit commercial.
Mais toute preuve de l'infraction commise devra alors établir que c'est la délégation et non un vice caché qui est à l'origine de l'infraction. Sans quoi nous nous replacerions dans les questions de droit du commerce et de la défaillance du produit, reportant la présomption de responsabilité sur le concepteur du dispositif.
Je ne suis pas juriste, et ça se devine : j'abandonne là. Un juriste aurait su poursuivre.
Voire conclure avec brio.
Pour moi, il faut ouvrir ces codes et explorer analogiquement les types et cas de responsabilités et la variété des transferts de ces responsabilités.
Et parallèlement définir les atteintes préjudicielles, les hiérarchiser, inscrire les infractions y correspondant, et affecter les responsabilités entre concepteur, utilisateur, et intermédiaires du champ cyber.
Ensuite les jurisprudences animeront ce petit microcosme législatif.
Vaste programme, non ?
Mais il est certain que nous parlons d'avenir.
Pour l'heure, nous devons déjà traiter de préjudices et de réparations avec un outil dont la sectorisation thématique ne répond pas à la transversalité du domaine considéré.
Bien à vous,
Colin./.
@ L'Hermet: Question transversalité du droit, demandez à DSK. Il s'y connaît en figures transverses.
Ayant traîné mes guêtres dans un endroit où la connexion à l'internet semble parfois tenir du miracle, et ne disposant que de mon téléphone portable (je n'étais donc pas totalement l'otage des Amish), je peux maintenant répondre aux objections.
- l'article 122-6 prouve bien l'inadaptation de la légitime défense au cyber, puisque la présomption ne vaut que pour repousser de nuit une introduction dans un lieu habité (la nuit a-t-elle un sens dans le cyber, sauf si c'est une panne générale d'électricité ?) et pour se défendre contre les auteurs de vols ou de pillages exécutés avec violence (qui subit une violence dans un cyber-vol ?)
- B incompétente ? Non, bien leurrée par A, tout simplement.
- Rendre une machine juridiquement responsable ? Cela me semble aussi pertinent que de rendre un toit responsable de la chute de tuiles et d'ordonner de ce fait sa destruction. Quel intérêt ? Quant au pacemaker tombant en panne, qui en serait considéré comme propriétaire ? L'utilisateur, le médecin qui l'a posé, l'ingénieur qui l'a conçu ou la société qui l'a commercialisé ? Et Hadopi illustre l'incompréhension du cyber par ceux qui ont rédigé cette loi.
- Ceci dit, je vous abandonne les dépouilles de mon exemple, qui n'est qu'un exemple qu'on peut à l'envie disséquer, critiquer, voire éparpiller façon puzzle... Car là n'est pas le plus important.
Le droit appliqué dans le cyber n'est qu'une transposition inadaptée du droit de la vie réelle à des conditions dans lesquelles il ne fait que montrer ses limites : tant la légitime défense qu'Hadopi en sont de bons exemples.
Car le cyber a transformé les rapports inter personnels du fait de l'ubiquité banalisée qui engendre donc un nouveau rapport au temps.
Il est donc indispensable, non de modifier les principes du droit, mais de réfléchir à la manière dont ils peuvent être appliqués et défendus dans un environnement nouveau et donc peu maîtrisé, afin d'être efficaces.
Lorsqu’on parle de légitime défense on fait référence au droit pénal, c’est-à-dire au respect (ou non-respect) des lois. Or les conflits qui se déroulent dans le cyberespace se situent plutôt dans le domaine du droit civil : le tort que l’on fait, volontairement ou non, à une victime ne constitue pas nécessairement une infraction pénale.
On peut parler de légitime défense seulement s’il existe une loi qui s’impose à tous, avec une autorité qui fait appliquer cette loi et sanctionne les manquements : est-ce le cas dans le cyber, je ne sais pas. En cas d’absence de loi réellement contraignante, on peut toujours évoquer des principes moraux pour justifier la défense, c’est aussi ce qui se fait dans le monde réel.
La notion de légitime défense, dans le monde réel (et aussi, je suppose, dans le cyber) est rarement une approche facile pour analyser des conflits, pour au moins trois motifs. 1 Cet acte de « défense » que l’on cherche à légitimer constitue le plus souvent une contre-attaque, obligatoirement disproportionnée pour être efficace. 2 On cherche à le légitimer précisément parce que sa conformité aux lois n’est pas évidente. 3 On cherche à le légitimer parce que l’on doit rendre des comptes, c’est-à-dire qu’on n’est pas sous le régime de la loi de la jungle.
Ce qui précède concerne le monde réel où l’évocation de la légitime défense est un classique dont on abuse parfois (je pense notamment à la notion de « légitime défense élargie » qui était évoquée pour justifier l’ouverture du feu en opex avant la loi de 2005). Je ne sais pas si la légitime défense s’applique au cyber, il me semble que non dans la mesure où le cyber est encore sous le régime de la loi de la jungle.
Non, le cyber-espace n'est pas un lieu où le droit pénal ne s'applique pas. Les pédo-pornocrates et l'affaire de ventes d'insignes nazis sur yahoo en sont deux éminentes illustrations.
Le problème de la légitime défense dans le cyberespace, lorsqu'elle est évoquée par les entreprises me semble symptomatique du fait que ces dernières sont désemparées face à des cyber-agressions : elles ne peuvent riposter (contre qui, comment, est-ce légal ?) et se rendent compte que l’État ne fait pas grand chose, ni pour les protéger, ni pour les défendre.
D'où cet épouvantail brandi en espérant qu'il fasse bouger les choses.
@ Ph Davadie (n°15). Les exemples que vous citez ne sont pas exactement cyber : ce sont des infractions classiques qui existaient avant internet et qui utilisent désormais ce nouveau moyen de diffusion, ce ne sont pas des infractions spécifiques au cyber. Il en est de même avec la loi de 1881 dite « sur la liberté de la presse » dont on a déjà parlé sur ce blog. Bien qu’elle date du XIXème siècle, elle s’applique à internet parce qu’elle précise qu’elle concerne « tout moyen de publication ». On en a parlé en janvier 2012 (ben ça nous rajeunit pas !) : http://www.egeablog.net/dotclear/in...
Les infractions que vous citez sont, certes, d’ordre pénal et sont, certes, commises à l’aide du cyber mais d’une part elles n’ont rien à voir avec la légitime défense et d’autre part le cyber n’y apporte rien de nouveau juridiquement. Il y a peut-être une petite nouveauté technique : découvrir l’auteur présente des difficultés qui sont nouvelles mais pas fondamentalement différentes de la découverte de l’auteur de photos interdites diffusées sur papier.
Par conséquent je veux bien vous concéder que le cyber n’est pas complètement étranger au droit pénal mais je confirme mon précédent commentaire. Je continue de penser que le cyber est un nouveau terrain sur lequel s’applique la loi de la jungle mais où le droit classique s’imposera probablement un jour comme dans toute jungle après qu’elle est défrichée.
L’évocation de la légitime défense dans la jungle est un mauvais angle d’approche pour cette question, ce qui explique que le débat autour de cette table ronde ait été « assez confus » comme le signalait Olivier Kempf.
Je crois d’ailleurs que nous sommes d’accord, si j’en juge par votre premier commentaire ci-dessus (n°2).
----------------------------------------------------
@ n°5, n°6 et n°7 : permettez-moi de vous suggérer de dire « préventif » sans le remplacer par « préemptif ». Préemptif tel que vous l’utilisez ici devient peu à peu habituel mais c’est un abus de langage qu’il n’est pas souhaitable de galvauder : il est utilisé par référence au « droit de préemption » qui est une formule courante mais complètement autre chose. Cet abus de langage permet de donner un semblant de légitimité à une agression préventive contestable ou même condamnable. Le glissement sémantique est une pratique courante et malhonnête dans le monde réel et géopolitique. Ce glissement-ci, de plus, est d'actualité et plutôt dangereux. C’est pourquoi je ne manque pas d'y appeler votre attention.
Bonsoir à tous,
@ Y.Cadiou,
Je suis entièrement d'accord avec vos vues, justement : le préventif est en soi déjà bien déshonnête par la porte qu'il ouvre à tous les débordements ("incantation permanente dès qu'il s'agit de se défausser de ses actes ; le préemptif est en embuscade."), le préemptif dans le jargon international est de surcroît une idiotie protéiforme qu'il ne faudrait jamais prononcer.
Sur votre réflexion sur l'attribution des faits ("imputabilité" en jargon jargonnant) cela m'a fait penser à la question de l'identification des sources dans un cadre légal défini.
Partant, j'ai immédiatement pensé aux compromissions du secret par les Wikileaks et leur cortège de poursuites nationales, limites des droits nationaux et mise en oeuvre des entraides judiciaires (le tout saupoudré d'affichage géopolitique dans les relations Equateur-USA).
Bien que (de plus en plus) éloigné du sujet proposé sur la légitime défense, cela illustrerait assez bien le triple mouvement a) d'un souhait de mondialisation du droit b) d'une dilution de facto des frontières par les vecteurs du champ cyber, et c) de réaffirmation des sphères nationales.
Tout cela nous donne finalement un aperçu de l'ampleur de la revisite-retoilettage du droit contemporain pour lui permettre de juger les faits de son temps./.
Bien respectueusement,
CL'H./.
Des faits "exactement" cyber ? La belle affaire ! Y en -a-t-il seulement un ? En y réfléchissant, je n'en ai pas trouvé un seul.
Mais entendons-nous au préalable. Par infraction ou fait "exactement" cyber, j'entends un fait ou une infraction qui n'existerait que dans le cyberespace et n'aurait donc pas d'équivalent dans le monde réel.
Or c'est là que le bât blesse, car tout fait découvert dans le cyberespace a son équivalent dans le monde réel, le cyberespace n'est (actuellement) considéré que comme un lieu particulier de commission de l'infraction, et le confort intellectuel fait que l'on se contente de transposer dans le cyberespace ce qu'on sait du monde réel, alors que ces deux mondes sont radicalement différents (cf. un de mes billets supra). Et on proclame avoir un cyber droit, une cyber pensée, une cyber doctrine (encore que, là, c'est particulièrement osé...).
La loi de la jungle ne s'applique pas dans le cyberespace, mais par conformisme et paresse intellectuels, on se contente de tenter d'y faire régner un droit inadapté ce qui entraîne profusion de comportements aberrants (voire plus).
Or, les conflits et problèmes qui ont lieu dans le cyberespace ne relèvent ni exclusivement ni principalement du droit civil. Car si tel était le cas, quelle serait l'utilité des articles 323-1 à 323-7 du code pénal ? Lesquels articles me semblent omettre la copie frauduleuse de données...
Un des problèmes est que les peines pénales encourues sont ridicules par rapport aux dommages causés (qu'on ne sait, d'ailleurs, pas correctement évaluer : quelle valeur a tel projet de machine qui n'est pas encore opérationnelle ? Sera-ce un succès ou un échec ?) ce qui fait que le droit pénal est peu invoqué par les entreprises lorsqu'un fait est commis dans le cyberespace.
D'où, à mon avis, les appels pressants des entreprises à l’État protecteur, stratège, tout ce que vous voulez, pour que ces qualificatifs ne soient pas que de vaines incantations. Or l’État est démuni... Et le confidentiel entreprise n'est toujours pas voté...
Se focaliser sur la légitime défense ne fera pas avancer les choses. L'édifice n'est pas à ravaler, il est à reconstruire.
« Une infraction qui n'existerait que dans le cyberespace » (n°18), à proprement parler il n’y en a pas, ou du moins il n’y en a pas encore. Pourtant il existe un méfait qui existe seulement dans le cyberespace : la fabrication et la diffusion de virus. C’est un méfait mais ce n’est pas à proprement parler une infraction parce qu’il faudrait, pour ça, qu’une loi dise que c’est contraire à la loi.
A ma connaissance (mais je peux me tromper) aucune loi ne prévoit ni ne réprime la diffusion de virus sur internet. Or il s’agit bien d’un méfait spécifique au cyberespace : la création et la transmission d’un logiciel destiné à mettre en panne des machines mal protégées. C’est un méfait mais ce n’est pas (pas encore, à ma connaissance) une infraction parce qu’aucune loi ne le désigne comme tel.
On imagine déjà la difficulté pour en faire une infraction : il faudra que cette loi soit planétaire, il faudra différencier les complices volontaires des complices involontaires (une situation comparable à celle de la diffusion de fausse monnaie), il faudra identifier l’origine du méfait.
Quoi qu’il en soit, il s’agit bien d'un méfait (il prendra peut-être un jour le nom d’infraction) qui n'existe que dans le cyberespace et qui n’a pas son équivalent dans le monde réel.
Le cas du virus est intéressant, car il pose plusieurs questions.
1° La qualification de l'infraction : nulla pœna sine lege, principe de légalité développé par Beccaria au XVIII°. D'où la nécessité, au début du XX°, de la création du vol d'énergie "La soustraction frauduleuse d'énergie au préjudice d'autrui est assimilée au vol" qui constitue l'actuel 311-2 du CP. Donc, il faudrait créer quelque chose pour réprimer la diffusion ou la fabrication de virus informatique.
2° La loi pénale étant d'interprétation stricte, si le virus (création et propagation) est réprimé, alors le ver informatique (type Stuxnet) ne l'est pas, sauf si la loi englobe tout ce beau monde sous le terme de "maliciel". Encore faudra-t-il définir précisément ce qu'est un maliciel...
3° Faut-il une loi planétaire ? Pas nécessairement, mais il est vrai que ce serait mieux. Or les USA refusant certains avatars de ces "lois planétaires" comme le TPI je crois, la tâche est ardue. La vente d'insignes nazis par Yahoo! en est un exemple : réprimés en France, mais illustration de la liberté d'expression aux USA.
4° Depuis le temps que les spécialistes crient au scandale de la diffusion de systèmes d'exploitation truffés de failles de sécurité, ne serait-il pas temps, plutôt que de tomber uniquement sur les créateurs de virus, vers et autres, demander des comptes aux éditeurs de ces OS ? Si Bill Gates est un génie de l'informatique et un pur philanthrope, pourquoi a-t-il continué de diffuser un OS aussi peu sûr ? N'avait-il pas les moyens (notamment financiers) de le faire ? Pourquoi, à ma connaissance, une seule personne a-t-elle proposé de l'argent à celui qui découvrirait un bug dans son logiciel ? (Ce qui prouve qu'on peut faire quelque chose de correct). Si vous consultez la page de TeX via wiki... vous trouverez :
"Donald Knuth offers monetary awards to people who find and report a bug in TeX. The award per bug started at $2.56 (one "hexadecimal dollar") and doubled every year until it was frozen at its current value of $327.68. Knuth, however, has lost relatively little money as there have been very few bugs claimed. In addition, recipients have been known to frame their check as proof that they found a bug in TeX rather than cashing it. Due to scammers finding scanned copies of his checks on the internet and using them to try to drain his bank account, Knuth no longer sends out real checks, but those who submit bug reports can get credit at The Bank of San Serriffe instead."
Le virus ne soulève donc pas que des questions légales...
5° Enfin, supposons l'existence de l'élément légal, il restera encore à prouver les éléments matériel et moral du fait incriminé. Bonne chance.
A moins que le cyberespace ne permette la Knockification du droit : "tout cybercitoyen est un cyberdélinquant qui s'ignore"
@Davadie (13)
Si vous fournissez des exemples, c'est pour qu'on les dissèque justement, ou alors dispensez-vous si vous êtes trop fier pour qu'on les mette en question.
- Dans votre exemple initial avec A et B, il s'agissait bien d'incompétence puisque vous mettiez en scène une affaire de blanchiment d'argent avec un complice dans B qui agit pour A. C'est la direction de B, ou le service juridique, qui a porté plainte trop vite.
- Dans le 122-6, on parle de présomption etc, mais à l'origine, j'avais cité le 122-5, qui décrit la responsabilité pénale. Mais tant pis car le débat a ensuite été élargi au code civil etc.
- Vous faîtes le parallèle avec le toit. Apparemment, vous avez décidé de tomber dans la mauvaise foi et le dénigrement, comme tant d'autres. Non seulement vous vous mettez vous même en porte-à-faux puisque tout votre propos est de parler de la spécificité du cyber et vous me parlez d'un toit.
Mais de plus, un toit, de même qu'une porte ou un slip, est passif. Or, comme je l'écrivis sur les systèmes cybernétiques, on parle de systèmes actifs, voire intelligents, qui agissent de manière semi-autonome ou autonome. Si vous ne voyez pas la différence avec un toit, je vous suggère d'arrêter de vous présenter comme un spécialiste du cyber.
Pour le reste, je lis les autres commentaires. En ce qui concerne les failles 0-Day, nombreuses sont les entreprises, notamment Google, qui rétribuent maintenant les informaticiens mettant á jour ces failles.
Et enfin, on parle de l'impossibilité de déterminer la limite entre le vol de données et l'échange de données. C'est un problème. Mais une partie du problème pourrait être levée si les entreprises cessaient de connecter leurs machines sensibles à l'internet. Si le déplacement de données stockées sur un ordinateur séparé de l'Internet ne pouvait être possible qu'avec l'utilisation d'un support physique tel qu'une clé USB, on aurait là un moyen de caractériser un vol de données puisque quelqu'un, d'une manière ou d'une autre, aurait obtenu l'accès aux machines sensibles et soustrait des données de manière non-autorisée en passant par un mécanisme physique, l'utilisation de la clé USB piratée.
Bonsoir à tous,
Sur l'idée de légiférer contre la confection de virus et autres malware-likes, une analogie, qui n'est pas raison, certes, mais :
les armes tuent des gens ; ce n'est pas bien ; on n'a pas interdit la confection d'armes utilisées dans les délits, car elles sont aussi employées en défense de l'ordre ; on a souhaité encadrer leur fabrication et les circuits de vente-diffusion-exportation ; on a légiféré sur les contextes d'emploi des armes et sur la responsabilité des auteurs des faits.
On s'achemine, avec les codes de Tallinn et autres cadres génériques, vers des processus de ce genre.
La LIO et la LID sont trop nécessaires aux Etats pour que leurs composants soient bannis, et leur emploi puni indistinctement.
"Guns don't kill people, people kill people" (Guns and People, BO de Subway par E.Serra et C.Marienneau, 1985)
"les gouvernements ne peuvent pas se passer d'espionnage... ils aiment trop cela" (D.Cornwell, aka J.LeCarré, mais je sais plus quel livre, merci de votre aide)
Bien à vous,
CL'H
Un méfait qui n'existe que dans le cyber-espace?
L'usurpation de cyber-identité, pour:
* voler des données,
* utiliser un compte bancaire tiers,
* hacker un site quelconque,
* nuire à l'image d'une personne,
* utiliser l'image d'une personne, bref
* pour tout.
What else?
@Oodbae
Faille ou démonstration de votre part ?
la cyberidentité n'a pas d'existence.
Donc aucun des délits qui en découlent ne lui est juridiquement rattachable.
On bricole sur l'usurpation, la violation de vie privée et de propriété privé, on qualifie le vol qui découle ou l'atteinte à la réputation, on place cela sur le plan des atteintes à la concurrence, etc.
Des rustines.
Je maintiens : ou vous avez voulu pointer la faille de départ, ou vous l'avez présentée de la sorte par hasard.
Mais la conclusion est là : tout est à (re)penser et il faudra au législateur déterminer à quel curseur on place la qualification délinquante ou criminelle, bref désigner l'oeuf pour moins parler de poule.
Lesquelles réflexions peuvent très bien déboucher sur un souhait de statu quo ante, en se contentant d'encadrer et de réprimer les délits, sans créer de nouvelle entité de droit sur laquelle fonder ces atteintes.
Pas d'habeas corpus sans définition du corpus du justiciable.
Et sans parler de corpus delicti, qui pourra très bien ainsi demeurer juridiquement inexistant et de fait virtuel, et ne pas être présentable en cour./.
Cordialement,
CL'H./.
- Les échanges via un forum étant nécessairement brefs pour ne pas lasser les lecteurs, les nuances sont les premières à trinquer, ayant pour résultat que les formes employées peuvent piquer les uns, gêner les autres.
Alors, fierté, mauvaise foi, spécialiste ou non du cyber, si vous voulez.
- Dans un champ de réflexion nouveau comme le cyberespace, les exemples ne me semblent pas le plus important : invalider un exemple n'invalide pas nécessairement la réflexion posée.
- 122-5 ou 122-6 ? Il y a peut-être eu une erreur de frappe à un moment...
- exemple avec A et B : j'ai distingué le blanchiment d'argent (vie réelle) et le vol (ou la copie plutôt) de données (cyberespace).
- le toit : rendre un robot juridiquement responsable de ses "actes" est pour moi tout aussi pertinent que de rendre un toit responsable des chutes de ses tuiles, ou juger des animaux comme cela s'est déjà fait. Les animaux sont actifs mais cela fait bien longtemps qu'on a arrêté de les juger.
- déconnecter les machines sensibles de l'internet est louable en soi, mais pas toujours réaliste, comme pour les productions de fluide (eau, gaz, électricité).
- caractériser le vol de données par l'emploi d'un moyen physique tel la clé USB, pourquoi pas, mais cela laisse alors le champ libre à l'utilisation de cartes WiFi installées par défaut dans certains matériels pour lesquels l'utilité de cette fonction ne saute pas aux yeux.
- usurpation de cyber-identité. Qu'est-ce qu'une cyber-identité ? Et l'exemple ressemble furieusement à l'assassinat de Doumer par Gorgulof qui invoquait des motifs politiques, repoussés par la Cour de Cassation au motif qu'un assassinat est "par sa nature et quels qu'en aient été les motifs[...] un crime de droit commun." Une usurpation d'identité, quel que soit le milieu ou elle a été commise (terre, mer, espace pour les astronautes taquins par exemple ou cyber) reste une usurpation d'identité. Pour reprendre les propos d'Yves Cadiou, et à moins que la cyber-identité soit un jour définie, "ce sont des infractions classiques qui existaient avant internet et qui utilisent désormais ce nouveau moyen de diffusion."
@ Colin L'Hermet.
La réponse est parfois dans la question. Quies quiam angelom etorum ?
@ Davadie
En attendant de développer les miens, de propos, j'essaie de vous répondre rapidement pour ne pas cesser le débat.
Les animaux ne sont pas pénalement responsables de leurs actes parce qu'on considère que leurs actes sont guidés par un instinct irrépressible. En lisant le CHAPITRE II du code pénal," Des causes d'irresponsabilité ou d'atténuation de la responsabilité", on lit l'article 122-2:
"N'est pas pénalement responsable la personne qui a agi sous l'empire d'une force ou d'une contrainte à laquelle elle n'a pu résister". Les animaux ne peuvent se retenir.
Ceci explique que les animaux ayant attaqué l'homme sont euthanasiés, puisqu'ils ne peuvent se retenir d'attaquer l'homme, et que leurs maîtres sont punis, puisqu'ils n'ont pas dressé l'animal de manière à le rendre socialement intégrable. Tout a sa logique.
Maintenant, en arrivant aux robots, on a affaire à des systèmes, je ne dis plus "machines", qui peuvent réfléchir, qui peuvent apprendre, qui peuvent se mettre à jour, qui peuvent effectuer des choix. Prenez un drône, il ne se comportera jamais de la même manière sur la même mission effectuée deux fois. Pourquoi? Parce qu'il s'adapte, parce qu'il fait des estimations, qu'il optimise ses choix. Bref, il réfléchit.
Vous avez entendu parler de Jeopardy, le robot d'IBM qui a battu tous les américains à "Questions pour un champion" version locale? C'est de ce genre de robot que je parle, pas de votre frigo connecté á internet ou de vos tuiles qui tombent parce que quelqu'un essaie de voler vos panneaux solaires.
Pour en finir avec votre exemple du toit, vous savez que "cyber" vient du grec pour la "commande" (source wikipedia). Un système cyber est un système de commande, de contrôle. Qu'est ce qui fait agir un robot? Son logiciel. Qu'est-ce qui fait tomber une tuile ? le Saint-Esprit? peut-être, mais plus probablement la force de gravité, elle-même irrépressible donc irresponsable. Tout a sa logique.
Pour le reste, et notamment la cyber-identité, j'y reviendrai.
Cordialement.
Hello, oodbae, je vous croyais perdu dans le cyberespace ;-)
Totalement d'accord avec vous, notamment pour le 122-2. Mais ce qui me turlupine est qu'il vise des personnes ("n'est pas pénalement responsable la personne...") et non les robots et autre créatures artificielles. Comme tout le corpus juridique d'ailleurs. Ah, et les personnes morales, me direz-vous ? La réponse est dans la question, puisqu'on les qualifie de personnes. Morales certes, mais personnes quand même.
Alors va-t-on définir des personnes robotes ?
La laideur du terme milite pour sa disparition immédiate avec le concept qu'il sous-entend.
Je boucle donc encore une fois sur l'inadaptation du droit au cyberespace : ce n'est pas en préfixant cyber à tous les termes qu'on obtiendra un droit adapté au cyberespace.
Pour la cyber-identité, j'ai proposé au grand-maître de ce blog un billet, encore sous embargo jusqu'à la fin janvier, car cela dépend d'une éventuelle invitation à le communiquer oralement.
Meilleurs vœux pour l'année qui vient.
égéa : et pour la cyber-identité, un autre billet de ma pomme qui devrait être publié courant janvier. Comme quoi, le sujet suscite beaucoup d'intérêt...
@ Oodbae
Je suis un peu trop jeune pour connaître toutes les blagues de cornichons sur la bonne Pauline à la gare, et autres blagues du 19eme s.
Aussi, avec mon cerveau lent, j'ai d'abord cru voir des fautes dans ce sabir latinisant avant d'y voir votre pirouette.
La réponse était sous mes yeux ébaubis, Bobby : Angelam !
Angelam angelom etorum.
D'aucun lui préfèrent d'helvètes coupables : "Cae de quidam fumam cum de suis!" mais j'aime trop Leman pour les incriminer.
Quant à imaginer un instant que "caela saltant de millia", je ne nourrirai pas le soupçon d'infamie d'affirmer qu'elle voulut affamer la fameuse Emilia.
Et tandis que Monclar milite, je l'imite et milite à mon tour. Militons à millions, sur ce, dernier sursaut, je cesse mes vers de mirliton (*).
(*) "Le vers de mirliton est un art distingué et subtil, qui permet de passer pour un crétin aux yeux des imbéciles" (Pierre Semal, Festival des Comiques agricoles de Beauquesne 07/2010)
Cela fait plusieurs années que je martèle que la cyberidentité devra (devrait, mais j'en suis manifestement convaincu mais pas encore vaincu) passer par la définition d'un "cybercorpus" permettant à l'usager-utilisateur de savoir ce qu'il est, où il est, ce qui se passe autour de lui, les termes de son interaction avec ce "milieu", les conséquences en terme de responsabilité et de préjudice-atteinte.
Ensuite en découleront les possibilités de a) pouvoir refuser et b) rendre compte devant un tiers d'une situation donnée.
C'est ce que les chercheurs Antoinette Rouvroy et Thomas Berns pointent comme risque d'une gouvernementalité algorithmique.
renvois pas inutiles :
Thomas Berns, in Gouverner sans gouverner, une archéologie politique de la statistique, PUF 2009
Antoinette Rouvroy & Thomas Berns, in Le nouveau pouvoir statistique, Multitudes n° 40 02/2010
Comme tout plongeur en scaphandre dans l'eau, il faudra un "masque" pour accommoder la "vision" et une "tablette de navigation" pour se repérer et se "déplacer" virtuellement.
Aujourd'hui on clique de lien en lien sans connaître la localisation sauf à employer des Neotrace ou autres applis qui renvoient le champ géographique du serveur, hubs et noeuds, quand celui-ci est renseigné, exact ou faux.
Tout le monde n'a déjà pas cela.
Le "site est sauf" de l'antihameçonnage est juste un dispositif qui s'apparente à l'oreille interne qui vous indique si vous êtes déséquilibré ou non. Il ne fournit pas de référentiel pour autant. En outre, la désorientation peut berner l'oreille interne dans la cas de surpression globale. Dans le même esprit un dispositif "antifraude" dans le modèle contemporain devient inutile s'il ne donne pas plus d'éléments que le couple binaire "mort"-"vivant".
Pour conclure, et mesurer la difficulté de l'ambition proposée ici :
1) la "cyberlocalisation" dépend d'une préalable "cartographie" du cyber, donc la délimitation tant a) du champ que serait le cyber que b) des espaces et sousespaces qui caractérisent tel critère du cyber tel que nous le comprenons :
. quantification de la liberté de flux (routage DPI, prot IP inspecté ou libre) ?
. quantification de la bande passante (autoroute ou chemin de terre) ?
. nationalité (régime pénal-juridique pouvant s'appliquer "localement") ?
. j'en oublie
2) De telles prothèses (masque-tablette-navigation-bracelet-altimetre) seront mis au point par des industriels (voire des groupes hacktivistes constitués).
Leur diffusion de masse demeurera néanmoins un processus commercial et onéreux ; l'accès ne sera pas nécessairement garanti à tous aux outils de cette "cyberlocalisation".
Une asymétrie reprenant les lignes sociales de partage verra alors le jour selon le prix de seuil. Rien d'alarmant, une telle asymétrie a déjà cours aujourd'hui ; mais elle tend essentiellement à distinguer les pirates (poseurs de mines et de collets) de leurs victimes (qui marchent sans voir où). Là on aurait une dystropie sociale où "l'habeas corpus numérique" ne serait accessible qu'à ceux qui peuvent s'offrir ces outils.
3) "l'habeas corpus numérique" ici évoqué est à distinguer du projet législatif éponyme proposé par le gouvernement (réflexion MinEco, MiniJust et MinInt voire CNIL). Ce dernier projet ne vise qu'à plus de transparence relativement aux informations personnelles détenues par petites et "grandes plates-formes du Net".
Bref une interrogation sur l'exploitation des traces laissées par Mme Michu dans la terre meuble du Net.
Quid de l'orientation de Mme Michu, des modèles de mocassins qu'elle pourrait vouloir chausser, et de savoir si elle a une boussole ou marchait là égarée ?
Bref l'arbre cache la forêt.
Et on va vouloir légiférer sur la régulation de l'abattage dans la forêt, sans même avoir jeté un oeil à ce qu'est l'arbre.
A ce rythme de décillement, des gens vont errer longtemps dans les bois...
Pour ma part, je vais aller me perdre entre la bûche et le nain en sucre,
Vous souhaitant à tous d'agréables fêtes de fin d'année,
Colin./.
@davadie
perdu dans le cyber-espace? non, en exploration. Je me renseigne avant d'approfondir la question de la cyber-identité. vous devriez essayer ... ;-)
Effectivement, en poussant le raisonnement jusqu'au bout, on pourrait être amené à inventer des personnes robotes juridiquement responsables. Bien sûr, l'une ou l'autre grande savante répliquera qu'on peut (déjà) se retourner contre le vendeur du robot ou du logiciel fautif. Malheureusement, à la différence de l'accident du concorde, un accident de robot ne mobilisera pas autant de moyens pour rechercher la cause et de plus, une différence notable entre un système informatique ou cybernétique et un système physique, tel qu'un avion, est que l'utilisateur du système informatique modifie le système selon ses voeux, alors qu'un avion n'est pas modifiable. Même, toutes les clauses de contrat stipulent que le vendeur/constructeur d'un appareil n'est responsable de défaillances que si l'utilisateur ne l'a pas modifié ("customisé", "pimped" dirait-on). Cette condition est abusive dans le cas d'un système informatique ou robotique à partir du moment où des interactions avec l'utilisateur entrent en jeu, notamment dans la cas de robots ménagers qui doivent apprendre les préférences du propriétaire. Je veux dire qu'on ne pourra décemment plus se retourner contre le constructeur/vendeur puisqu'on on aura acquis un système qui non seulement doit intégrer des éléments nouveaux (ex: apps sur smartphones) mais de plus doit s'adapter et évoluer avec l'utlisateur(machines intelligentes).
A moins d'imposer que tous les robots vendus sur le territoire francais soient bridés pour empêcher qu'ils puissent développer une intelligence artificielle trop élevée. Soit de légiférer pour que jamais n'entrent ou ne naissent sur le territoire francais (resp. européen) des robots assez intelligents pour mériter une personnalité juridique. Mais jamais cela n'arrivera en raison d'une part du manque à gagner pour l'économie alors que nos dirigeants se targuent d'avoir fait le choix de la haute-technologie pour sous-traiter les basses besognes en Chine, Inde et Europe de l'est. D'autre part parce que le(la) premier(e) dirigeant(e) politique qui osera parler de personnalité robote juridique ne sait probablement pas encore parler.
Ce choix fait d'office est dommage. Loin de simplement ajouter un préfixe, cyber- ou info- ou i- comme vous le résumez avec mépris, cette innovation juridique, même si elle dût ensuite être abandonnée comme l'imposition à 75% des hauts-revenus, eût fait réfléchir. Cette réflexion "nationale" n'est que trop retardée car les sytèmes de robots et leur réticulation mettent à la portée de tout un chacun un potentiel de nuisance dont le pendant physique pourrait être la bombe bactériologique: des organismes microscopiques, insignifiants qui se répandent, se multiplient et sèment la désolation. Par analogie, tant que le nucléaire est utilisé à des fins civiles, tout va bien ou presque, mais dès qu'on enrichit un peu plus l'uranium... Hiroshima!
On me dira, peut-être me direz-vous, "quel lien avec le sujet?". Voici le lien: http://electrosphere.blogspot.com/2...
Si on renonce à personnaliser les sytèmes informatiques ou cybernétiques, alors chacun de leurs maillons doivent être pris en charge par un ou plusieurs humains, tant physiquement que juridiquement. Et pour commencer, chaque utilisateur devrait bénéficier d'une formation d'utilisateur pour assurer sa sécurité de même que celle des autres, à l'instar du permis de conduire.
En limitant cela à un âge très avancé de 12 ans, un tel permis d'utiliser les systèmes informatiques et robotisés aurait au moins l'avantage de limiter l'usage des smartphones en salle de cours en primaire et au collège :-)
Pour le reste, je me renseigne toujours.
Je vous suis reconnaissant pour le débat contradictoire mais je suis désagréablement surpris quand même car je constate que pour quelqu'un qui propose très sérieusement de définir le p-espace du cyber, vous vous montrez relativement imperméable à des idées nouvelles lorsqu'elles ne viennent pas de vous.
Bonne nouvelle année à tous.
Oodbae
HAL 9000, le superordinateur de « space odyssey » est-il responsable de son bug ? Non, car l’origine du bug est un défaut de programmation : l’enregistrement d’une info sensationnelle sur le but de la mission, info que l’équipage humain ignore et qu’il ne devrait apprendre qu’à l’arrivée.
Si HAL 9000 passait devant un tribunal en sa qualité de machine quasi-humaine (où la chimie du silicium remplace la chimie du carbone que nous appelons « la vie » : le carbone et le silicium sont dans la même colonne du tableau périodique des éléments), il serait probablement acquitté mais le programmeur serait condamné. Cependant c’est HAL qui est puni, déconnecté et limité à ses fonctions les plus élémentaires. Déconnexion qu’il subit en disant « j’ai peur ».
Doublement puni, et même triplement, car il ne connaîtra pas l’info merveilleuse révélée à la fin et ce n’est pas lui qui se transformera en dieu, comme au début du film le singe tué par le premier homme ne s’est pas transformé en homme.
On se rapproche d’un autre débat qui se développe sous le billet « chasse novembre » concernant la responsabilité du chef qui donne un ordre illégal.
Bien, voici quelques remarques pour poursuivre avant la fin de l'année.
1° Le vocabulaire est important pour débattre. Ainsi, qu'est-ce qu'un système informatique ? Ce que l'utilisateur peut modifier ? Cela signifie donc qu'il a la capacité de décoder et réencoder les programmes qui composent ce qu'il a acheté ?
"Un avion n'est pas modifiable" est une affirmation qui me semble un peu hardie. Car l'Histoire montre que certains ont modifié leur avion au gré des circonstances, et dans les limites physiques acceptables par la machine. Tel Papy Boyington dans sa lutte contre les "zéros" japonais. J'avoue, la référence date un peu...
2° Pourquoi évacuer si vite la "personne robote" ? Parce que la question implicitement posée est celle de la personnalité juridique. Or, si on en croit wiki... :
"La personnalité juridique est l'aptitude à être titulaire de droits et de devoirs. La personnalité juridique est une fiction juridique attribuée aux personnes physiques (êtres humains) et aux personnes morales (groupements tels que : entreprises, associations, État et ses subdivisions). Qu'elles soient physiques ou morales, les personnes juridiques ont des caractéristiques communes : une naissance et une mort (par exemple : date de création et de dissolution pour les entreprises), une identité propre (nom et adresse) et des droits et des devoirs (principalement : droit de conclure et devoir de payer l'impôt). La notion de personnalité juridique s'est élargie et diversifiée au cours de l'Histoire. Les plus grandes modifications ont été la généralisation de la pleine personnalité juridique à tous les êtres humains (comprendre : fin de l'esclavage) et la création de groupements spécifiques reconnus par le droit (principalement : formes de sociétés)."
J'ajouterai, mais peut-être à tort, que la personnalité juridique suppose également la capacité à se défendre lors d'un procès.
Nous en sommes loin pour les robots, quel que soit leur degré de sophistication actuel, à moins de souhaiter que Blade Runner se réalise. Et encore, je ne crois pas que dans le film les répliquants disposaient d'une telle personnalité.
3° Le fait de critiquer l'emploi abusif du préfixe cyber n'est pas méprisant, c'est tout simplement un constat que je fais : certains pensent qu'en préfixant les mots par cyber ils ont résolu les problèmes que pose ce nouvel espace, je ne partage pas cette opinion.
Une question que je me pose, vous l'aurez compris, est celle de l'adaptation du droit au cyberespace. Ayant récemment débattu de cette question avec un éminent juriste, nous sommes tombés d'accord. Ce qui ne signifie pas que je détiens dès lors la vérité, mais simplement que mon raisonnement est passé du rang d'élucubration personnelle à celui d'hypothèse dont on peut débattre.
Toutes proportions gradées, cela me fait penser à l'inadaptation de la répression des rave-parties : alors qu'organiser un festival artistique est une véritable course d'obstacles puisqu'il faut acquitter les droits pour la SACEM, la buvette, payer la TVA, etc. voilà des manifestations qui foulaient au pied (boueux le plus souvent) tout le corpus juridique en vigueur et qui, du point de vue financier, n'étaient réprimées que mollement. Comment en effet, saisir les avoirs bancaires de personnes qui, par choix, ne disposent pas de compte en banque ?
4° Quant à l'imperméabilité, cela reste une question de point de vue. Un sous-marin doit être imperméable, il n'en est pas moins efficace.
Bonjour,
@Y.Cadiou
La responsabilité du donneur d'ordre semble intervenir dans un continuum circulaire : contexte+analyse+émetteur+ordre+récepteur+distorsion+action+contexte+analyse.
Un bonne boucle de régulation où la responsabilité est encadré par la distorsion (socle socioculturel, asymétrie de l'accès à l'info, défaillance-limite des capteurs cf surdité ou daltonisme chez l'homme) et l'analyse (morale, éthique, judiciarisation).
C'est pourquoi j'avais proposé de décaler le regard sur les Art.222 et suivants du CP.
En outre, j'observe que la littérature dystopique porte le regard sur des dérapages technologiques, mais ouvrages écrits par des humains. La "peur" de Hal n'est (naturellement) que le placage de la peur de l'homme de l'inconnu de la mort. S'y référer est malicieux, mais tout aussi circulaire car anthropocentré. Quand l'Académie Royale des sciences dit qu'on est entré dans l'anthropocène, on y est même jusqu'au cou ; tout tourne désespérément autour du nombril humain.
J'appelle de mes voeux une véritable régénération du style prospectif sur ces questions. En son temps, PK.Dick avait su oser (et réussir, on en reparlera dans 25 ans) un tel pas de côté.
Alors, au final, Do robots dream about electric sheeps ?
C'est en, partant d'un embryon de réponse qu'on pourra fonder (selon nos critères cartésiens) une responsabilité de la personne robote.
Ce qui ne nous interdit pas de légiférer en attendant sans cette brique fondamentale (et nos caciques vont se gêner tiens).
@ Oodbae
Sur votre idée de permis d'utiliser les systèmes informatiques et robotisés, avec âge d'éviction (trop jeune et trop vieux ;) idem) :
Avez-vous jeté un oeil sur les textes qui encadrent la détention de chiens de 1e et 2e cat. aka Chiens d'attaque et Chiens de garde et de défense ?
On a renoncé à personnaliser les psychées canines et on a classé les animaux comme pénalement irresponsables, déportant sur des tiers la responsabilité ; lesquels responsables suivent une formation afin d'assurer un ensemble de garanties à la collectivité, à l'instar du permis de conduire (merci les recherches documentaires RH de la Boîte).
La limite de l'exercice tient à ce que le chien doit physiquement sortir du lieu privé pour être considéré sur la voie publique ; le cyber n'a pas encore su délimiter catégoriquement une telle césure.
@P.Davadie
Sans nullement remettre en cause un (éventuel) droit naturel à l'imperméabilité, j'observerai qu'un sousmarin n'est pas imperméable, il est basiquement étanche.
J'ajouterais même hermétique, mais on va finir par me traiter de nombriliste.
Néanmoins, s'il parvenait avec un traitement de surface approprié à être plus imperméable, il serait plus rapide (cf tuilage de la peau de requin) mais pas nécessairement plus furtif. Or nous recherchons en lutte ssmarine essentiellement la furtivité. Les ssmarins ne sont donc pas imperméables.
Ayant récemment débattu de cette question avec un éminent rabbin, tombé en accord avec moi, j'incline à penser que les mots ont en effet leur importance.
C'était ma minute défouloir.
Bien, à tous, mes salutations, mes respects et mes devoirs,
en attendant mes voeux,
Colin./.
Content de poursuivre la discussion.
@Davadie: Un avion n'est pas modifiable. Franchement, après avoir fait la morale sur les exemples qu'on peut disséquer à l'infini, sortir un Papy Boyington sur un avion perso pendant la guerre... Vous jouez vraiment bien le "faîtes ce que je dis, pas ce que je fais". On dirait un enseignant gréviste, tiens :-).
Je me réfère bien sûr aux engins employés par Air France et autres. Jamais ils ne modifient leurs coucous sans en parler au constructeur. Pourquoi? A cause de l'assurance. C'est pareil pour les voitures particulières. Les voitures tunées ne sont pas assurées, ou avec des surcoûts et des réductions de la couverture. Et si les engins sont modifiés en cachette, le couperet tombe le jour de l'accident, lorsque l'enquête détermine les circonstances de l'accident.
Par contre, les ordinateurs sont souvent modifés sans contrôle, non seulement dans le hardware, mais aussi et surtout dans le software, déjà en changeant de système d'exploitation de Windows vista à Linux Ubuntu par exemple, mais ne serait-ce qu'en actualisant tel ou tel programme.
Par rapport á la définition de la personnalité juridique, je crois que les robots les plus récents sont concernés par tous les points listés, á l'exception du vôtre, qui ne fait à juste titre pas partie des critères de définition de la personnalité juridique. Mais parce qu'on ne leur attache pas assez de consistance, ils échappent á la réglementation et on les charge de travaux avec négligence. Par exemple, on implique les drones (Predator par exemple) dans des opérations militaires, ce qui permet de se dédouanner juridiquement de toute implication, mais ne retire pas moins la responsabilité de leurs actes à l'autorité qui les commande, pour tout observateur saint d'esprit.
Pour un sous-marin, vous êtes particulièrement "bruyant" !!!!! :-D Dans l'espace, personne ne vous entendrait crier, mais sous l'eau, le bruit de vos tapotements de clavier me parvient jusqu'ici :-)
@L'hermet.
J'ai parcouru les articles que vous conseillez, notamment celui sur la gouvernance. En gros, il y est décrit un monde á la Minority Report (de Spielberg), sauf qu'à la place des trois hallucinés, des ordinateurs établissent les prévisions, le tout mélangé à la sauce Matrix. Effectivement, on arrivera un jour á ce genre de société puisqu'on délègue de plus en plus aux machines, sans rsetriction puisqu'aucun droit ne l'empêche. Et comment pourrait il l'empêcher? Les machines n'ont pas d'existence juridique comme telles. On tourne en rond avec ces juristes qui sont évalués sur leur connaissance de l'histoire de France (ce qui est bien) et leur talent oratoire, mais pas sur leur compréhension de l'économie de marché (dommage dans une societé libérale capitaliste libre-échangiste dont l'économie est basée aux trois quarts sur le secteur tertiaire), sans parler des politiques qui ont déjà du mal à s'en sortir avec 40 millions d'électeurs et 1000 d'entre eux dans leur circonscription, alors 1 milliard de robots en plus.... lol
@ en général.
Quand j'ai parlé d'usurpation d'identité, j'ai fait court, j'ai fait simple, mais vous êtes tombés dans le panneau, croyant que j'avais fait stupide aussi. J'ai parlé d'identité, certes, mais qui assure que je parle d'identité nationale?
Je parle d'identité numérique, d'ID, d'identifiant réseau, de code personnel, d'addresse réseau, d'addresse IP. J'essaie de développer mon point rapidement, pardonnez si il y a des erreurs et si possible corrigez. Sur un cyberréseau, ce ne sont pas des êtres humains qui sont connectés , ce sont des machines. Grâce á l'interaction avec la machine, on se sent associé à l'ordinateur, comme on se sentait proche des gens avec le téléphone. Pourtant, ce contact était et demeure virtuel.
Mais, de même qu'on a pratique´des écoutes téléphoniques, de même, on peut intercepter les communications entre ordinateurs, enregistrer grâce á un spyware les mots de passe tapés par l'utilisateur pour gérer son compte bancaire en ligne et sa boîte aux lettres. On entend souvent parler d'attaques par internet indiquant une adresse IP située en malaisie mais on suppose que le malfrat est ailleurs, qu'il a utilisé un hôte.
De fait, même en se cantonant au cas d'ordinateurs connectés à internet, on voit qu'on porte la responsabilité d'actions réalisées par un ordinateur, commandé par quelqu'un, parce que cet ordinateur possède telle adresse IP, telle adresse réseau à tel moment et qu'on était soi-même connecté. Mais rien ne garantit que les actes commis par l'adresse IP 14.07.17.90 sont voulus par moi. C'était d'ailleurs l'idée derrière de nombreuses critiques de la loi Hadopi (et de Lopssi aussi je crois).
Si l'on pouvait imposer des normes et créer des entités juridiques définissant l'identification sur le cyber d'un individu réel, ou d'une personne juridique réelle, ainsi que le méfait "usurper cette identité" et la culpablité pour négligence de la protection de sa cyber-identité, alors chacun se donnerait depuis longtemps beaucoup plus de mal pour protéger ses données et celles de son voisin. Mais cela freinerait l'economie numérique, surtout si le reste du monde ne s'y met pas. Comme personne ne s'en soucie, que le gouvernement fait passer ses lois de délocalisation des emplois dans l'informatique vers l'Afrique comme une lettre à la Poste grâce au battage médiatique que sa loi du mariage dénaturé assure, que les journalistes n'en parleront jamais car la contemplation de leur ignorance leur donnerait trop de vertige, rien n'avance dans ce domaine et Google a déjà développé la google Car, voiture drône, à l'instar d'autres universités européennes, que les robots domestiques imitant les comportements humains sont déjà vendus au Japon et en Corée du Sud.
Pourtant, il y aurait là aussi des emplois à créer, pour tous ceux qui s'occuperaient de garantir la sécurité de la liaison. Les entreprises comme Kaspersky, Symantec, etc font partie de l'économie numérique!
@Oodbae
Nous sommes plusieurs à vous avoir bien lu, ne croyez pas que vos lecteurs (attentifs) soient malcomprenants ; la polysémie de l'identité dans le domaine du cyber était déjà bien rigolote, vous en rajoutez un bon demi-muids. Et je maintiens, en parfait répons au vôtre, mon couplet (comm.24) sur la cyberidentité comme n'ayant pas d'existence actuellement : ni nationale transposée en un (inexistant) droit du cyber (appelons la identité humaine), ni technique pour arpenter le cyber (appelons la couple MAC.AD-IP).
Aucun des délits qui découlent de l'identité humaine ne lui est juridiquement rattachable dans le cyber.
On a bricolé sur l'usurpation d'identité humaine, la violation de vie privée et de propriété privé, on qualifie le vol qui découle ou l'atteinte à la réputation, on place cela sur le plan des atteintes à la concurrence, etc.
Des rustines.
Tout est donc à (re)penser et il faudra au législateur déterminer à quel curseur on place la qualification délinquante ou criminelle, bref désigner l'oeuf pour moins parler de poule.
Préalable idéal : une définition du corpus du justiciable, i.e. la qualification juridique du couple MAC.AD-IP.
Une fois constituée cette entité, pourra être établie une typologie des atteintes et la gradation entre délits et crimes.
Mais tout cela, dont vos pistes d'approche, peut ne jamais être juridiquement formalisé et demeurer de fait inexistant et "virtuel", et les atteintes ne pas être clairement présentables en cour, bref, rester comme aujourd'hui.
Cas probable : ces réflexions et leur entrelac socio-économico-géo-politique peuvent très bien déboucher sur un souhait de statu quo ante, en se contentant d'encadrer et de réprimer les délits, sans créer de nouvelle entité de droit sur laquelle fonder ces atteintes.
Cela présente en outre l'avantage de laisser une appréciable marge de manoeuvre... à la manoeuvre, justement, barbouzeries et autres coups tordus.
Pour ce que je sais du fonctionnement des institutions et de la politique technocratique française, on part dans cette direction, on brassera des effets d'annonce sur le cosmétique du cyber : l'atteinte à l'identité humaine de Mme Michu, le droit d'auteur rattaché à ses photos de famille sur un réseau social, et le piratage du dit réseau social par son petit neveu vengeur hacktiviste.
Sur le fronton d'entrée du cyberespace, je graverais volontiers "voi chi entrate, lasciate omni speranza".
Mais ça pète moins en binaire.
Peut-être penser à clouer une effraie ou une hulotte (*). Ou un chat noir si on est du marais./.
Désespérément,
CL'H./.
(*) NB : aucun animal n'a été maltraité pour la rédaction de ce commentaire.
@ L'hermet.
On arrive bien à utiliser un code de la propriété intellectuelle, on peut bien former un code de la cyber-identité. Prenons le cas d'un ordinateur dont le possesseur est concerné par une procédure hadopi. Hadopi a identifié l'adresse IP de l'utilisateur comme acteur de téléchargements illégaux de fichiers par des droits de propriété intellectuelle. L'utilisateur s'en défend et prétend qu'un tiers a utilisé sa connection WiFi malgré la cryptage avec la clé Wep3.
Existe il actuellement un délit d'usurpation de l'adresse IP de l'utilisateur? je ne crois pas. Si le tiers devait être identifié, il pourrait être la cible d'une procédure Hadopi à son tour, mais pas de poursuites pour usurpation d'IP. Ni lui, ni son ordinateur. C'est un vide qu'on peut combler.
Je ne sais pas ce qu'est le couple MAC.AD-IP. un nouveau menu best-of ?
citons bruno lussato: L'amélioration des techniques de fraude est beaucoup moins coûteuse, en temps et en argent, que celle des moyens de prévention.
rapport à la polysémie. Est-ce que l'essence de la cyber-identité précède son existence juridique ou lui succède? On s'appuiera sur JP Sartre, " l'existentialisme est il un humanisme? "J'attends votre dissert en 2000 mots avant lundi 12h.
Maintenant que nous avons dépassé les trente-six commentaires, je propose pour le web francophone une variante du point godwin : le premier qui évoque Sartre a gagné. Félicitations à oodbae : vous copierez cent fois (sans copier-coller) « le marxisme est la philosophie insurpassable de notre temps ».
Mais non, je trolle !
@ Cadiou
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
le marxisme est la philosophie insurpassable de notre temps
(@cadiou: vous avez une drôle de facon de récompenser les gagnants quand même. 'seriez pas un peu maso, des fois? :-) )
Bonjour à tous,
Bonjour à tous,
Ma fois, on commence à bien s'amuser ici !
Les 36 lignes, ça va fausser les stats d'O.K....
@Oodbae
sur ma proposition pour fonder une cyberidentité technique le couple (Mac Adresse, IP).
Avec ça, si on interdit l'anonymisation-saut d'IP (genre Whonix, Virtual Box ou encore Tor) on en vient à pouvoir considérer comme immatriculé-tatoué un matériel dont la dynamique sera liable à une identité humaine qui sera tenue responsable des agissements avec ce matériel.
Cela n'empêcherait nullement de frauder cette immatriculation, mais la dite fraude serait alors constitutive d'un délit.
Cordialement,
CL'H./.
Le problème est que, pour l'instant, personne n'a retenu la personnalité juridique du robot alors que certains, même s'ils ne sont pas des drones, me semblent posséder les fonctions listées précédemment : le pilote automatique par exemple. Or, pour tout accident de machine sous pilote automatique, le commandant de bord a été jugé responsable...
Mac IP. vu que l'IP masquerading existe, le "Mac masquerading" arrivera vraisemblablement le jour où l'@ Mac sera largement utilisée à des fins d'identification.
Frauder le couple Mac IP serait constitutif d'un délit si le législateur le définissait auparavant comme tel. Et quid des contrefaçons d'@ Mac ? Qui serait tenu pour responsable ?
Je crois savoir que la hacking est encore pénalisé en France. C'est pour cela que les hackers "white hat" ne peuvent participer aux progrès de la sécurité informatique puisqu'ils risquent plus d'être condamnés pour avoir montré les failles d'un système informatique, que d'être embauchés pour aider à le sécuriser. Ceci montre qu'on peut déjà être condamné pour détournement de contenu informatique et intrusion dans un système privé (mais il faudrait les articles juridiques à l'appui).
Apparemment, un assouplissement de la loi pourrait paradoxalement encourager une amélioration de la sécurité informatique.
@Colin L'hermet:
Vous simplifiez un peu trop vite avec l'interdiction de l'anonymisation-saut d'IP mais il y a en effet de l'idée. Vous simplifiez un peu trop vite parce que l'ensemble n'est pas aussi simple. Et d'ailleurs, cela n'empêcherait pas la fraude, serait elle délictueuse. Mais l'idée de relier plus strictement l'utilisateur et l'ordinateur me semble bonne. Toutefois, il reste à régler la question des robots et des personnes juridiques (entreprises, organismes, etc.), qui correspondent à deux zones d'ombre toujours plus importantes.
cordialement.
Bonjour,
@Oodbae,
Aaaah, vous y venez !
Excusez-moi, mais je ne simplifie pas, je crois "un peu" savoir comment marche l'anonymisation. Et l'ensemble se résume à "je masque mon identité dynamique auprès d'un intermédiaire qui me refile un jeu de vrais-faux papiers et ne me vend pas aux poulagas" ; je peux aller chez un second, puis un troisième, avec autant de gigognes. Sauf que contrairement aux 6 jeux de vrais-faux papiers, seule la dernière IP comptera et que les 5 autres n'auront servi qu'à compliquer ma piste, et que comme les poulagas peuvent se procurer mes logs sur leur juridiction, j'aurai eu l'idée de me faire anonymiser chez les Grecs.
Ceci dit, depuis des semaines, Ph.Davadie et vous-mêmes oscillez entre :
. dispositifs d'identification ;
. et dispositions d'empêchement.
L'identité ne permet pas d'empêcher, elle permet de poursuivre le suspect, de punir le fautif-coupable, de frapper en retaliation l'auteur.
Vous avez tous deux amalgamé régulièrement, à mesure de nos échanges :
. l'intérêt de fixer un socle insécable constitutif d'une identité ;
. et le besoin de disposer de cadres restrictifs équilibrés entre droits et devoirs ;
. le tout afin de marier les deux dans un maintien de l'ordre qui soit légaliste et efficient dans l'incrimination des auteurs de délits-crimes établis.
L'identité n'est pas un garant de respect des lois, c'est la chaîne qui rattache l'individu au système coercitif.
Lequel système, dans une boucle retour, alloue-reconnaît à l'individu un ensemble, plus ou moins fourni, de droits bornés par son exercice de la coercition.
Donc, comme je tente de vous l'écrire depuis quelque temps, la cyberidentité n'a pas vocation à être un dispositif antifraude, elle est un tag-tatouage-filigrane-watermark qui permet d'identifier et châtier, dont de responsabiliser, l'individu qui agit. La cyberdétention, au sens de détention de cybermoyens, devra être un objet juridique qui confère à l'individu la responsabilité de l'équipement qui semble se rattacher à lui.
Votre voiture écrase quelqu'un, vous êtes à priori responsable donc mis en examen, on estimera à mesure de l'enquête si vous étiez au volant et si les faits vous sont réellement imputables.
La preuve de vol-détournement de votre voiture fait évoluer contre X l'action judiciaire et vous dédouane partiellement (mais le mal est fait, et chez A.Hitchcock vous avez peut-être prêté sciemment votre voiture au chauffard).
Votre identité propre là-dedans ? Ranaff' !
Donc que veut-on faire prendre en compte par la cyberidentité ?
./.
Bien à vous,
Cl'H./.