Commentaires sur le projet de loi Belge sur la criminalité informatique. 


Cela faisait un certain temps que nos chers parlementaires n'avaient pas parlé de la communauté
"informatique". Mais voici qu'ils nous ont réalisé un projet de loi concernant la criminalité
informatique. Ce projet de loi adopté est disponible ici. 



Mais comme vous vous en doutez, l'approche est plus qu'approximative et ne colle pas à la
réalité. Cette approximation génère de nouveaux problèmes avec des thèmes comme le "reverse
engineering", la propriété intellectuelle, le traité de Munich, le droit à la vie privée... 
Ces commentaires ne sont qu'une première ébauche et attendent la participation de toute la
communauté. 


  •   Utilisation des termes/expressions   
	
	"faux en informatique" : Cette expression est difficile à comprendre et ne colle pas trop à
	la réalité du traitement numérique. En quoi une donnée est fausse ?  les
	données sont stockées de façon binaire et sans valeur juridique (cf. Art 210bis 1 : "?? valeur juridique??). 
 	La valeur juridique d'une donnée est très floue. Prenons un simple exemple, "J'ai un switch
	Ethernet qui prend les données venant de chaque porte et les modifie (ajout d'un ID pour le
	VLAN ). Il y a des données ayant une valeur juridique (une transaction
	banquaire) et le switch la modifie indirectement (le contenant) donc pourrait-il être
	coupable d'un faux ? " 
	Ici l'exemple semble un peu tiré par les cheveux mais voici un autre exemple plus
	problématique : 
	"Un constructeur vend un système qui prend des données en entrée ( celles-ci sont d'un type 
	défini) et ces dernières resortent modifiées". 
	Si on désire utiliser ce système pour connaître son fonctionnement, on introduit des données
	différentes (Reverse Engineering) donc c'est un faux en  informatique selon ce projet de loi. On réalise cela pour des raisons de
	compatibilités entre systèmes.  
	Mais le constructeur peut utiliser la loi sur la criminalité informatique pour interdir la
	compatibilité avec d'autres systèmes (interdit suivant les lois européennes).

	
    • 

  •   Outils  
    • 
	Dans l'article 550ter alinéa 4, on parle des outils qui pourraient servir pour mettre un
	système hors de fonctionnement. Ces outils, selon ce projet de loi, sont interdits. Dés lors
	"un ping -s 64000 ", sur une machine qui supporte mal les paquets ICMP de grandes tailles, est
	un délit. Donc on va interdir les nombreux outils réseaux ? (nmap, ping, ...)    


  •   Vie privée   
    • 
	Cf. Art 14
	Selon l'article, le prestataire de service doit conserver des
	données relatives aux connexions. D'une part, on ne spécifie pas
	le type de données. Est-ce les logs d'un proxy, des sessions tcp ? 
	D'une autre part la durée de la conservation n'est pas très
	claire. Est-ce que cela n'entre pas en opposition avec la loi
	sur l'archivage des données et le droit à la vie privée ?   
	Ce genre de loi pourrait amener à de la télésurveillance par les
	opérateurs et l'état.
 	
 

  •   Peines 
    • 
	Les peines sont lourdes et semblent ne pas du tout convenir pour 
	le type de délit. Pourquoi sont-elles aussi lourdes ? 


    
Ce n'est qu'un début d'analyse, si vous avez des idées/commentaires/ajouts n'hésitez pas à m'écrire. 

Alexandre Dulaunoy
 adulau@metatix.com