Tweeter

Tribunal de grande instance de Paris 12ème chambre Jugement du 17 décembre 2010

Blogmusik / Anthony C. et autres

accès frauduleux - base de données - copie - email - fraude - introduction de donnnées - musique - recel - responsabilité - site - spam

PROCEDURE

Anthony C. est renvoyé devant ce tribunal correctionnel, par ordonnance d’un des juges d’instruction de ce siège en date du 6 juillet 2010, sous la prévention :
– D’avoir à Paris et en tout cas sur le territoire national, entre août 2007 et mars 2008, et depuis temps non couvert par la prescription, accédé frauduleusement dans tout ou partie d’un système de traitement automatisé de données, en l’espèce en s’introduisant, à distance, sur le serveur du site Deezer.com, au préjudice de la société Blogmusik,

Faits prévus et réprimés par les articles 323-1 et 323-5 du code pénal.

– D’avoir à Paris et en tout cas sur le territoire national, entre août 2007 et mars 2008, et depuis temps non couvert par la prescription, frauduleusement introduit des données dans un système de traitement automatisé, en l’espèce en ayant à distance, copié sur son site Firstfm les bases de données du site Deezer.com au préjudice de la société Blogmusik,

Faits prévus et réprimés par les articles 323-3 et 323-5 du code pénal.

Julien F. est renvoyé devant ce tribunal correctionnel, par ordonnance d’un des juges d’instruction de ce siège en date du 6 juillet 2010, sous la prévention :
– D’avoir à Paris et en tout cas sur le territoire national, entre août 2097 et mars 2008, et depuis temps non couvert par la prescription, sciemment recelé les informations relatives aux failles du site Deezer, en l’espèce en utilisant ces informations pour proférer des menaces de publier ces failles sur internet dans le but de pousser le gérant de Deezer.com à s’associer avec lui et Anthony C., informations qu’il savait provenir des délits d’accès frauduleux dans un système de traitement automatisé de données et d’introduction de données dans un système de traitement automatisé de données commis par ce dernier, au préjudice de la société Blogmusik,

Faits prévus et réprimés par les articles 321-1, 321-3, 321-4, 321-9 et 321-10 du Code Pénal.

Florian G. est renvoyé devant ce tribunal correctionnel, par ordonnance d’un des juges d’instruction de ce siège en date du 6 juillet 2010, sous la prévention :
– D’avoir à Paris et à Montpellier et en tout cas sur le territoire national, entre août 2007 et septembre 2007, et depuis temps non couvert par la prescription, sciemment recelé la base de données d’adresses email du site Deezer.com, en l’espèce en utilisant ces données pour l’envoi en masse de courriers électroniques non sollicités, base de données qu’il savait provenir des délits d’accès frauduleux dans un système de traitement automatisé de données et d’introduction de données dans un système de traitement automatisé, de données commis par Anthony C. au préjudice de la société Blogmusik,

Faits prévus et réprimés par les articles 321-1, 321-3, 321-4, 321-9 et 321-10 du Code Pénal.

[…]

DISCUSSION

Sur l’action publique

Les prévenus ont été renvoyés devant le tribunal correctionnel par ordonnance du juge d’instruction en date du 7 juillet 2010.

Il leur est reproché les infractions suivantes.

M. C., d’avoir, à Paris, entre août 2007 et mars 2008, accédé frauduleusement dans tout ou partie d’un système de traitement automatisé de données, en l’espèce en s’introduisant à distance, sur le serveur du site Deezer.com au préjudice de la société Blog Musik et d’avoir frauduleusement introduit des données dans un système de traitement automatisé de données en ayant, a distance, copié sur son site Firstfm les bases de données du site Deezer.com au préjudice de la même société Blog Musik.

M. G., d’avoir, à Montpellier et Paris, entre août 2007 et mars 2008, sciemment recélé la base de données d’adresses email du site Deezer.com, en l’espèce en utilisant ces données pour l’envoi en masse de courriers électroniques non sollicités, base de données qu’il savait provenir des délits d’accès frauduleux dans un système automatisé de données et d’introduction de données dans un système de traitement automatisé de données commis par M. Anthony C. au préjudice de la société Blog Musik,

M. F., d’avoir à Paris, entre août 2007 et mars 2008, sciemment recélé les informations relatives aux failles du site Deezer, en l’espèce en utilisant ces informations pour proférer des menaces de publier ces failles sur internet dans le but de pousser le gérant de Deezer.com à s’associer avec lui et M. C., informations qu’il savait provenir des délits d’accès frauduleux dans un système de traitement automatisé de données et d’introduction de données dans un système de traitement automatisé de données commis par ce dernier au préjudice de la société Blog Musik.

Introduction frauduleuse sur le site deezer.com et introduction frauduleuse de données c/ M. C. en août 2007

Les faits s’inscrivent dans une période de création du site Deezer très connu aujourd’hui pour être un des principaux diffuseurs de musique sur le net. Le site Deezer était en fait la propriété de la société Blogmusik qui était éditrice des sites Blogmusik.com et Deezer.com. Les associés de la société étaient M. Jonathan B., le gérant, et M. M.,

Deezer avait pour concurrent le site Firstfm.eu. Ce site était mis en ligne le 22 août, le lendemain de la mise en ligne de Deezer. Il proposait en plus l’enregistrement des morceaux de musique. Il se prévalait d’avoir copié l’intégralité des bases de données du site Deezer.com.

C’est pourquoi M. C. est poursuivi pour s’être introduit à distance, sur le serveur du site Deezer.com dont il a copié l’intégralité des bases de données.

Les responsables du site Deezer avaient pris contact avec l’hébergeur du site Firstfm.eu, la société Dedibox, et obtenait la fermeture de ce site.

M. C. a reconnu avoir été à l’origine de cette première attaque du site Deezer. D’après les plaignants, il voulait qu’on lui restitue son serveur en échange de quoi il proposait de fournir une technologie nouvelle afin de sécuriser le site Deezer. M. C. expliquait, lui, qu’il avait trouvé le moyen de proposer le téléchargement des morceaux en montant un site miroir, Firstfm.lya.eu, reposant sur le site Deezer et proposant cette option. Il avait bien dupliqué les bases de données de Deezer à la suite de la découverte d’une faille sur leur site. II avait profité de cette introduction frauduleuse pour copier l’intégralité de la base de données des utilisateurs du site Deezer et notamment les adresses des courriers électroniques ainsi que plusieurs fichiers contenant des informations stratégiques. D’après lui, les responsables de Deezer, après avoir récupéré son serveur, avaient proposé de le lui rendre à condition qu’il leur révèle quelle était la faille. Après l’avoir révélé, M. C. n’avait pas pour autant récupéré son serveur. II avait même refusé le poste de développeur que lui proposait Deezer.

M. C. reconnaissait avoir profité des identifiants et mots de passe de la boîte mail de M. M., co-fondateur de Deezer, pour surveiller ses courriels. Il avait alors compris qu’il ne récupérerait pas son serveur ni ses données ; il en avait alors parlé à son ami, M. F., M. C. s’est, selon ses dires (D568), laissé emporter et il a modifié la page d’accueil de Deezer en laissant un message : “on peut faire pire”. Les responsables de Deezer ont pu rétablir le site et ont répondu par un message “Ah bon”.

Recel de la base de données d’adresse email du site Deezer.com obtenue frauduleusement c/ M. G. en septembre 2007

Des utilisateurs du site Deezer.com ont reçu des courriers électroniques Spam à la suite de leur inscription. M. G. est poursuivi comme étant l’auteur de l’envoi de ces Spam. Ce n’est pas l’envoi de ces Spam qui est poursuivi en soi mais le fait que l’envoi de ces Spam n’était possible qu’en utilisant la base de données d’adresses email de Deezer.com qui avait été piratée par M. C. et donc en recelant des données obtenues frauduleusement. Lors d’une discussion sur internet, M. Charles L. avait reconnu que son serveur était bien à l’origine de l’envoi des Spam pour le compte du site Firstfm.eu. M. C. a reconnu que M. G. était bien à l’origine de l’envoi des Spam.
M. G. a reconnu avoir utilisé les bases de données de Deezer pour cet envoi.

Recel d’informations relatives aux failles du site Deezer obtenues frauduleusement c/ M. F., en octobre 2007

Le 20 octobre 2007, le site Deezer.com a subi une nouvelle modification de sa page d’accueil. Après que le site avait été remis en état, un message est apparu : “on peut faire bien pire…” Dans le même temps les responsables de Deezer.com ont reçu des menaces par un émail au nom de iamyourfather@hotmail.com. L’auteur, qui a été identifié comme M. G. (qui n’a pas été poursuivi) menaçait de « faire tomber le site”. Les responsables de Deezer ont alors pris contact avec M. F. Toujours d’après les plaignants, un rendez-vous était organisé entre les responsables de Deezer.com et M. F. qui se présentait comme intermédiaire dans la transaction. M. F. est accusé d’avoir à cette occasion proféré des menaces de publier des failles du site Deezer.com sur internet. Le but de M. F., selon l’accusation, était de pousser le gérant de Deezer.com à s’associer avec lui et M. C. M. F. est accusé non pas d’avoir formulé ces menaces mais d’avoir, ce faisant, utilisé des données obtenues frauduleusement par M. C. M. F. a admis qu’il avait été mis au courant des attaques du site Deezer par M. C. Il avait bien rencontré les fondateurs de Deezer. Il les avait menacés de publier les failles de sécurité du site pour les pousser à s’associer avec M. C. et lui-même. Son but était de récupérer les données de M. C.

Lors de l’audience, les prévenus ont fait les déclarations suivantes :
– M. Anthony C. “Ce n’était pas vraiment un site miroir. Notre hébergeur était le même que Deezer. Il a fermé notre site. J’ai accédé à la base de données de Deezer. J’ai monté ça à C. On a négocié contre Deezer. J’ai dévoilé les failles. Les dirigeants de Deezer ont promis de me rendre mes données. J’ai fait une petite menace sur internet. J’en ai parlé à d’autres”.
– M. Julien F. : “J’étais l’employeur de M.C. Anthony s’est fait saisir son serveur. Je suis intervenu pour sa défense. On venait de reprendre une société. Anthony a provoqué un peu Deezer en envoyant un mail : “on peut faire bien pire”. On a eu une discussion. Anthony proposait une nouvelle technologie pour sécuriser le site Deezer. Il n’y a pas eu de suite à cette discussion.
– M. Florian C. : “J’ai participé à la création du site avec C. J’ai perdu mes données à la suite de la fermeture du site. On a donné les failles. Ils nous ont proposé un contrat. J’ai utilisé les bases de données de Deezer pour envoyer des Spam. C’était un message invitant les gens à utiliser un nouveau site que je bizarre.

A l’issue de l’information et des débats, il apparaît que M. C. s’est bien rendu coupable d’attaques sur le site Deezer. Les investigations techniques l’ont démontré sans équivoque et l’intéressé l’a reconnu. Deux délits ont été retenus à son encontre.

D’abord celui d’accès frauduleux dans tout ou partie d’un système de traitement automatisé de données, en l’espèce en s’introduisant à distance, sur le serveur du site Deezer.com. M. C. a exploité une faille du site mais le procédé qu’il a utilisé n’était pas à la portée de n’importe quel internaute. Seul un spécialiste chevronné de l’informatique pouvait y parvenir. Le délit d’accès frauduleux est donc bien caractérisé.

Il est par ailleurs reproché à M. C. d’avoir frauduleusement introduit des données dans un système de traitement automatisé de données en ayant, à distance, copié sur son site Firstfm les bases de données du site Deezer.com au préjudice de la même société Blog Musik. Il n’y a eu, en l’espèce, aucune introduction de données par M. C. sauf la phrase “on peut faire bien pire”. Il ne s’agit pas d’une donnée au sens de la loi. Une relaxe sera donc prononcée de ce chef.

M. G. a reconnu avoir adressé des Spam en utilisant sciemment les données qui avaient été piratées par M. C. M. G. est le gérant du site Firstfm.eu à partir duquel ont été lancés ces Spam. Le délit de recel, mais du seul délit d’accès frauduleux dans un système automatisé de données, est donc bien constitué à son encontre.

S’agissant de M F., l’intéressé a participé à des négociations en marge des agissements de M. C. S’il a nécessairement, dans ce cadre, pris en compte les informations obtenues frauduleusement par M. C., cette utilisation verbale ne constitue en rien un recel. Une relaxe sera donc prononcée.

Les casiers judiciaires des trois prévenus sont vierges.

Les trois prévenus ont été placés sous contrôle judiciaire. M. Anthony C. du 13 mars 2008 au 9 juillet 2009, M. Julien F., du 13 août 2008 au 23 janvier 2009 et M. Florian C. du 24 avril 2008 au 25 septembre 2009.

Les faits reprochés à M. C. ont porté un trouble modéré à l’ordre public, le préjudice étant de faible ampleur. M. C. n’a pas d’antécédent ; il sera dès lors, condamné, à titre d’avertissement, à la peine de 2 mois d’emprisonnement avec sursis.

S’agissant de M. C., les faits reprochés sont moins graves et n’ont eu aucune répercussion sur les intérêts de la société plaignante. L’intéressé n’a pas davantage d’antécédent. II sera, en conséquence, condamné à 1000 € d’amende avec sursis.

Ces condamnations ne seront pas inscrites au casier judiciaire n°2 ne seront pas inscrites au casier judiciaire n°2 pour ne pas contrarier leur avenir professionnel.

Sur l’action civile

Partie civile, la société Blog Musik, demande 15 000 € à titre de dommages intérêts pour le préjudice matériel et l’atteinte à l’image ainsi que 5000 € sur le fondement de l’article 475-1.

Le dommage matériel causé est minime. Il n’est pas justifié du coût de la remise en état du site, à la suite de l’introduction frauduleuse, ni de celui qui aurait pu résulter de la diffusion des Spam. Il sera donc alloué une somme de 1000 € pour le préjudice matériel et 1 € pour l’atteinte à l’image. Ces sommes seront dues solidairement par MM. C. et G. S’agissant d’une information, ces derniers seront condamnés chacun à verser à la partie civile la somme de 600 € au titre des frais irrépétibles.

DECISION

. Condamne solidairement M. Anthony C. et M. Florian C. à verser la société Blogmusik, partie civile, les sommes de 1000 €, à titre de dommages et intérêts en réparation de son préjudice matériel, 1 €, a titre de dommages et intérêts en réparation de son préjudice d’image ainsi que la somme de 600 €, au titre des dispositions de l’article 47-1 du code de procédure pénale.

Le tribunal : M. Serge Portelli (vice président), MM. Eric Vivian et Daniel Bellet (juges)

Avocats : Me Olivier Iteanu, Me Thimothée Phelizon, Me Pierre-Henri Samani, Me Cyril Gosset

Notre présentation de la décision