Disclaimer

Ce Disclaimer (Avis de non responsabilité) tient lieu pour tout le contenu publié par les éditeurs de ce site (guides, articles, commentaires…etc).

En visitant ce site, en participant et en appliquant ce qui est présenté, vous comprenez et acceptez que :

Ce site est à titre éducatif et préventif UNIQUEMENT, en aucun cas il n’incite à transgresser les lois. Les articles sont écrits et édités avec grand soin pour éviter toute utilisation malsaine des connaissances.

La tolérance zéro sera appliquée. Aucune réponse ne sera donnée aux demandes enfreignant les lois françaises. De plus, les utilisateurs jugés malintentionnés seront systématiquement désinscrits ou bloqués. Vous serez par ailleurs les seuls responsables de vos actes et de vos utilisations de ce qui est montré sur ce site. Ni l’auteur ni son hébergeur ne pourront être tenus responsables pour vos agissements frauduleux.

Je vous recommande vivement cet article du wiki BackTrack pour plus d’informations, ainsi qu’une analyse détaillée des lois : http://wiki.backtrack-fr.net/index.php/Loi

Le Hacking est principalement régi par les articles suivants du code pénal (liste non exhaustive):

Article 323-1

Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.
Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende.

Article 323-2

Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75000 euros d’amende.

Article 323-3

Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75000 euros d’amende.

Article 323-3-1

Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.

À ce sujet, puisque cet article vise directement mon site et tous les blogs de sécurité informatique, vous ne trouverez pas sur ce site:

  • Des publications de failles non patchées, en terme technique : pas de Full Disclosure
  • Des articles expliquant en détails comment pirater un système ou un utilisateur donné
  • Des articles dont le motif serait considéré comme « illégitime » au sens de cet article, car ici il s’agit d’aider le public, dans des cas précis, à mieux sécuriser son ordinateur, sa vie privée et d’apprendre la sécurité informatique.

Article 323-4

La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3-1 est punie des peines prévues pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.

Article 323-5

Les personnes physiques coupables des délits prévus au présent chapitre encourent également les peines complémentaires suivantes :

1° L’interdiction, pour une durée de cinq ans au plus, des droits civiques, civils et de famille, suivant les modalités de l’article 131-26 ;

2° L’interdiction, pour une durée de cinq ans au plus, d’exercer une fonction publique ou d’exercer l’activité professionnelle ou sociale dans l’exercice de laquelle ou à l’occasion de laquelle l’infraction a été commise ;

3° La confiscation de la chose qui a servi ou était destinée à commettre l’infraction ou de la chose qui en est le produit, à l’exception des objets susceptibles de restitution ;

4° La fermeture, pour une durée de cinq ans au plus, des établissements ou de l’un ou de plusieurs des établissements de l’entreprise ayant servi à commettre les faits incriminés ;

5° L’exclusion, pour une durée de cinq ans au plus, des marchés publics ;

6° L’interdiction, pour une durée de cinq ans au plus, d’émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés ;

7° L’affichage ou la diffusion de la décision prononcée dans les conditions prévues par l’article 131-35.

Article 323-6

Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l’article 121-2, des infractions définies au présent chapitre. Les peines encourues par les personnes morales sont :

L’amende, suivant les modalités prévues par l’article 131-38
Les peines mentionnées à l’article 131-39.
L’interdiction mentionnée au 2º de l’article 131-39 porte sur l’activité dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise.

Article 323-7

La tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines.

Articles concernant les données à caractère personnel

Issus de la loi informatique et libertés

Article 226-16

(Loi nº 92-1336 du 16 décembre 1992 art. 360 et 373 Journal Officiel du 23 décembre 1992 en vigueur le 1er mars 1994)
(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
(Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.

Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l’objet de l’une des mesures prévues au 2º du I de l’article 45 de la loi nº 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Article 226-16-1-A

(inséré par Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Lorsqu’il a été procédé ou fait procéder à un traitement de données à caractère personnel dans les conditions prévues par le I ou le II de l’article 24 de la loi nº 78-17 du 6 janvier 1978 précitée, le fait de ne pas respecter, y compris par négligence, les normes simplifiées ou d’exonération établies à cet effet par la Commission nationale de l’informatique et des libertés est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.

Article 226-16-1

Le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi nº 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.

Article 226-17

Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.

Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.

Article 226-18-1

Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.

Article 226-19

Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celles-ci, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende. Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.

Article 226-19-1

En cas de traitement de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende le fait de procéder à un traitement :

Sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données à caractère personnel sont recueillies ou transmises de leur droit d’accès, de rectification et d’opposition, de la nature des données transmises et des destinataires de celles-ci ; Malgré l’opposition de la personne concernée ou, lorsqu’il est prévu par la loi, en l’absence du consentement éclairé et exprès de la personne, ou s’il s’agit d’une personne décédée, malgré le refus exprimé par celle-ci de son vivant.

Article 226-20

Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni de cinq ans d’emprisonnement et de
300 000 Euros d’amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi. Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu’historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa.

Article 226-21

Le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l’acte réglementaire ou la décision de la Commission nationale de l’informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.

Article 226-22

Le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende. La divulgation prévue à l’alinéa précédent est punie de trois ans d’emprisonnement et de
100 000 Euros d’amende lorsqu’elle a été commise par imprudence ou négligence.
Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.

Article 226-22-1

Le fait, hors les cas prévus par la loi, de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un Etat n’appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l’informatique et des libertés mentionnées à l’article 70 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.

Article 226-22-2

Dans les cas prévus aux articles 226-16 à 226-22-1, l’effacement de tout ou partie des données à caractère personnel faisant l’objet du traitement ayant donné lieu à l’infraction peut être ordonné. Les membres et les agents de la Commission nationale de l’informatique et des libertés sont habilités à constater l’effacement de ces données.

Article 226-23

Les dispositions de l’article 226-19 sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles.

Article 226-24

Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l’article 121-2, des infractions définies à la présente section.
Les peines encourues par les personnes morales sont :

L’amende, suivant les modalités prévues par l’article 131-38 ;
Les peines mentionnées aux 2º, 3º, 4º, 5º, 7º, 8º et 9º de l’article 131-39.
L’interdiction mentionnée au 2º de l’article 131-39 porte sur l’activité dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise