L'attaque par déni de service en droit suisse (DDOS)

L’attaque par déni de service (DDOS) est, selon Wikipédia, une “attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser”. En principe, l’interruption n’est que temporaire et ne cause pas de dommage matériel. Toutefois, elle a en général des conséquences financières en terme de personnel (heures supplémentaires, spécialistes à engager, etc.), de manque à gagner (un site comme Amazon qui serait inaccessible pendant 24 heures pourrait subir un manque à gagner de plusieurs millions de francs), entre autres.

Quelle base légale utiliser pour punir les auteurs de cette infraction ?

Il s’avère qu’il n’existe pas de base légale pénale spécifique à l’attaque par déni de service. L'art. 143 CP (Code pénal suisse) concernant la soustraction de données n’est pas d’un grand secours. En effet, l’attaque par déni de service ne soustrait pas ni n’intercepte de données informatiques. De même, l’infraction d'accès indu à un système informatique (art. 143 bis CP) ne pourra pas s’appliquer non plus puisque l’attaque par déni de service n’a pas pour but d’accéder aux données du système.

La loi sur les télécommunications (LTC) réprime à son art. 51 la perturbation des télécommunications ou de la radiodiffusion.

Quiconque, dans le dessein de perturber les télécommunications ou la radiodiffusion, met en place ou exploite une installation de télécommunication est puni d’une peine privative de liberté d’un an au plus ou d’une peine pécuniaire.

S’il est rare qu’une attaque par déni de service soit réalisée par négligence (le contraire du dessein), l’art. 51 LTC devrait lui être applicable, car la notion d’installation de télécommunication est définie par la loi comme “un appareil, une ligne ou des équipements destinés à transmettre des informations au moyen de techniques de télécommunication ou utilisés à cette fin”. Lors de la révision de la LTC en 1996, le Parlement donnait les informations suivantes (p. 1381).

Par “installations de télécommunication”, on n’entend plus seulement les installations d’usagers mais également tous les équipements destinés à la transmission d’informations au moyen de techniques de télécommunication. Du fait de la libéralisation de l’infrastructure, la définition comprend aussi les installations mises en place par les exploitants d’un réseau sur ce réseau. Sont donc également compris les câbles de fibre optique et de cuivre, les câbles coaxiaux et les centraux de commutation dans le domaine dé la télécommunication.

On considère donc le téléphone (fixe comme mobile) comme installation de télécommunication, mais aussi le fax et l’e-mail. Utiliser des ordinateurs ou serveurs pour en attaquer d’autres pour provoquer un déni de service revient à utiliser des installations de télécommunications. La LTC a pour but d’assurer que le trafic des télécommunications ne soit pas perturbé, ce qui sous-entend l’usage des services dans le respect du droit d’autrui d’utiliser les télécommunications (Bondallaz, La protection des personnes et de leurs données dans les télécommunications, 2007).

Selon Bondallaz (idem),

Le principe de l’utilisation conforme des réseaux et des services impose aux usagers un emploi des capacités de communication à leur disposition qui ne provoque aucun dommage matériel ou immatériel aux réseaux, équipements, installations et services de télécommunication […]. En particulier, il est interdit aux usagers de recourir aux services de télécommunication afin de transmettre des vers, virus et autres codes informatiques malicieux. Les usagers ne peuvent en outre provoquer des surcharges intentionnelles des réseaux, des équipements et des systèmes de communication ou de traitement de l’information dans le but de les paralyser, de les mettre hors d’usage ou de les congestionner (“mail-bombing”, “flooding”, etc.). […] Tout usager est en effet tenu de veiller à ce que son installation ne porte pas atteinte au droit des tiers d’utiliser les capacités de communication, comme le confirme l’article 34 al. 1 LTC.

Il se trouve donc que, pour autant que l’attaque par déni de service soit réalisée dans le dessein de perturber les installations de télécommunications (serveurs informatiques, etc.), ce qui est d’ailleurs le but de l’attaque, celle-ci devrait pouvoir être réprimée par l’art. 51 LTC.

Il semble toutefois exister une autre disposition qui puisse être appliquée. L'art. 144 bis CP réprime la détérioration de données informatiques. Par détérioration, on entend toute action sur des données informatiques visant à effectuer un changement sur leur état, en général non réversible sans frais ni effort. La simple modification, l’effacement voire la mise hors d’usage des données suffisent à remplir la condition de la détérioration. Toutefois, l’attaque par déni de service n’est pas destinée à modifier ou supprimer des données. Bien que les données ne soient pas modifiées ni supprimées, elles sont toutefois rendues indisponibles, temporairement hors d’usage. Le fait de rendre des données inutilisables, dans ce cas de manière temporaire mais on peut imaginer que ce soit plus durable, devrait suffire pour remplir la condition de détérioration. Il n’en reste pas moins que les données doivent être inutilisables dans le futur, fait qui dépendra de l’attaque, de sa durée, son ampleur, la difficulté et le temps mis à en rétablir l’usage.

Enfin, je terminerai par une dernière disposition légale. L'art. 144 CP réprime l’atteinte à la propriété. Cette disposition pourrait aussi trouver application dans le cas où le système informatique dans son ensemble est touché (ce qui est généralement le cas). En effet, dans le cas où tout le système est mis hors d’usage, et non pas uniquement certaines données, l’art. 144 CP pourra s’appliquer.

En conclusion, bien que le droit suisse ne mentionne pas expressément l’attaque par déni de service dans ses bases légales, cette infraction sera néanmoins punissable en Suisse.