Commentaires sur le projet de loi Belge sur la criminalité informatique.
Cela faisait un certain temps que nos chers parlementaires n'avaient pas parlé de la communauté
"informatique". Mais voici qu'ils nous ont réalisé un projet de loi concernant la criminalité
informatique. Ce projet de loi adopté est disponible ici.
Mais comme vous vous en doutez, l'approche est plus qu'approximative et ne colle pas à la
réalité. Cette approximation génère de nouveaux problèmes avec des thèmes comme le "reverse
engineering", la propriété intellectuelle, le traité de Munich, le droit à la vie privée...
Ces commentaires ne sont qu'une première ébauche et attendent la participation de toute la
communauté.
Utilisation des termes/expressions
"faux en informatique" : Cette expression est difficile à comprendre et ne colle pas trop à
la réalité du traitement numérique. En quoi une donnée est fausse ? les
données sont stockées de façon binaire et sans valeur juridique (cf. Art 210bis 1 : "?? valeur juridique??).
La valeur juridique d'une donnée est très floue. Prenons un simple exemple, "J'ai un switch
Ethernet qui prend les données venant de chaque porte et les modifie (ajout d'un ID pour le
VLAN ). Il y a des données ayant une valeur juridique (une transaction
banquaire) et le switch la modifie indirectement (le contenant) donc pourrait-il être
coupable d'un faux ? "
Ici l'exemple semble un peu tiré par les cheveux mais voici un autre exemple plus
problématique :
"Un constructeur vend un système qui prend des données en entrée ( celles-ci sont d'un type
défini) et ces dernières resortent modifiées".
Si on désire utiliser ce système pour connaître son fonctionnement, on introduit des données
différentes (Reverse Engineering) donc c'est un faux en informatique selon ce projet de loi. On réalise cela pour des raisons de
compatibilités entre systèmes.
Mais le constructeur peut utiliser la loi sur la criminalité informatique pour interdir la
compatibilité avec d'autres systèmes (interdit suivant les lois européennes).
Outils
Dans l'article 550ter alinéa 4, on parle des outils qui pourraient servir pour mettre un
système hors de fonctionnement. Ces outils, selon ce projet de loi, sont interdits. Dés lors
"un ping -s 64000 ", sur une machine qui supporte mal les paquets ICMP de grandes tailles, est
un délit. Donc on va interdir les nombreux outils réseaux ? (nmap, ping, ...)
Vie privée
Cf. Art 14
Selon l'article, le prestataire de service doit conserver des
données relatives aux connexions. D'une part, on ne spécifie pas
le type de données. Est-ce les logs d'un proxy, des sessions tcp ?
D'une autre part la durée de la conservation n'est pas très
claire. Est-ce que cela n'entre pas en opposition avec la loi
sur l'archivage des données et le droit à la vie privée ?
Ce genre de loi pourrait amener à de la télésurveillance par les
opérateurs et l'état.
Peines
Les peines sont lourdes et semblent ne pas du tout convenir pour
le type de délit. Pourquoi sont-elles aussi lourdes ?
Ce n'est qu'un début d'analyse, si vous avez des idées/commentaires/ajouts n'hésitez pas à m'écrire.
Alexandre Dulaunoy
adulau@metatix.com