Commentaires sur le projet de loi Belge sur la criminalité informatique.


Cela faisait un certain temps que nos chers parlementaires n'avaient pas parlé de la communauté
"informatique". Mais voici qu'ils nous ont réalisé un projet de loi concernant la criminalité
informatique. Ce projet de loi adopté est disponible ici. 

Mais comme vous vous en doutez, l'approche est plus qu'approximative et ne colle pas à la réalité. Cette approximation génère de nouveaux problèmes avec des thèmes comme le "reverse engineering", la propriété intellectuelle, le traité de Munich, le droit à la vie privée... Ces commentaires ne sont qu'une première ébauche et attendent la participation de toute la communauté.
  • Utilisation des termes/expressions "faux en informatique" : Cette expression est difficile à comprendre et ne colle pas trop à la réalité du traitement numérique. En quoi une donnée est fausse ? les données sont stockées de façon binaire et sans valeur juridique (cf. Art 210bis 1 : "?? valeur juridique??). La valeur juridique d'une donnée est très floue. Prenons un simple exemple, "J'ai un switch Ethernet qui prend les données venant de chaque porte et les modifie (ajout d'un ID pour le VLAN ). Il y a des données ayant une valeur juridique (une transaction banquaire) et le switch la modifie indirectement (le contenant) donc pourrait-il être coupable d'un faux ? " Ici l'exemple semble un peu tiré par les cheveux mais voici un autre exemple plus problématique : "Un constructeur vend un système qui prend des données en entrée ( celles-ci sont d'un type défini) et ces dernières resortent modifiées". Si on désire utiliser ce système pour connaître son fonctionnement, on introduit des données différentes (Reverse Engineering) donc c'est un faux en informatique selon ce projet de loi. On réalise cela pour des raisons de compatibilités entre systèmes. Mais le constructeur peut utiliser la loi sur la criminalité informatique pour interdir la compatibilité avec d'autres systèmes (interdit suivant les lois européennes).
  • Outils
  • Dans l'article 550ter alinéa 4, on parle des outils qui pourraient servir pour mettre un système hors de fonctionnement. Ces outils, selon ce projet de loi, sont interdits. Dés lors "un ping -s 64000 ", sur une machine qui supporte mal les paquets ICMP de grandes tailles, est un délit. Donc on va interdir les nombreux outils réseaux ? (nmap, ping, ...)
  • Vie privée
  • Cf. Art 14 Selon l'article, le prestataire de service doit conserver des données relatives aux connexions. D'une part, on ne spécifie pas le type de données. Est-ce les logs d'un proxy, des sessions tcp ? D'une autre part la durée de la conservation n'est pas très claire. Est-ce que cela n'entre pas en opposition avec la loi sur l'archivage des données et le droit à la vie privée ? Ce genre de loi pourrait amener à de la télésurveillance par les opérateurs et l'état.
  • Peines
  • Les peines sont lourdes et semblent ne pas du tout convenir pour le type de délit. Pourquoi sont-elles aussi lourdes ?
    Ce n'est qu'un début d'analyse, si vous avez des idées/commentaires/ajouts n'hésitez pas à m'écrire. Alexandre Dulaunoy adulau@metatix.com