Français English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fr/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Le DoS est-il un crime ? Un avocat explique le 'Japanese Computer Damage and Business Interference Crime'

Le DoS est-il un crime ? Un avocat explique le 'Japanese Computer Damage and Business Interference Crime'

IT

Le DoS est-il un crime ? Un avocat explique le 'Japanese Computer Damage and Business Interference Crime'

Le délit d’entrave aux affaires par endommagement d’ordinateurs électroniques est un crime qui a été nouvellement établi en 1987 (Showa 62). À cette époque, en raison de la croissance économique rapide et du développement technologique, de nombreux ordinateurs ont commencé à être introduits dans les bureaux.

Les tâches qui étaient auparavant effectuées par des personnes sont maintenant effectuées par des ordinateurs, et la portée des affaires s’est également élargie. Par conséquent, il a été envisagé que l’entrave aux affaires pourrait être commise en endommageant les ordinateurs, et cette loi a été nouvellement établie pour y faire face.

Cependant, à l’époque de l’établissement de cette loi, les ordinateurs étaient encore en développement et Internet n’était pas encore largement utilisé. Il était donc difficile de prévoir spécifiquement les crimes sur Internet. De plus, cette loi n’utilise pas les termes utilisés en informatique ou en sciences de l’information, ou dans la société en général, mais est définie en termes qui ressemblent à ceux du code pénal, ce qui rend son interprétation variée et difficile à comprendre pour le citoyen moyen.

De plus, ce délit est généralement reconnu comme étant destiné à faire face aux types de crimes appelés crimes informatiques parmi les cybercrimes.

Dans cet article, nous expliquerons en détail et de manière facile à comprendre le délit d’entrave aux affaires par endommagement d’ordinateurs électroniques.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Qu’est-ce qu’une attaque DoS

Une attaque DoS (Denial of Service attack) est une forme de cyberattaque qui consiste à envoyer une grande quantité de données ou des données illégitimes à un site web ou un serveur cible, créant une surcharge qui rend le système de la victime incapable de fonctionner normalement. Contrairement à des actions telles que l’accès illégitime, où les droits d’utilisation sont contournés de manière illégale, ou l’utilisation de virus pour prendre le contrôle d’un système, une attaque DoS vise à empêcher les utilisateurs légitimes d’exercer leurs droits d’accès. Bien qu’il s’agisse d’une méthode de cyberattaque qui existe depuis longtemps, elle est également utilisée dans les attaques DDoS (Distributed Denial of Service attack), une forme d’attaque distribuée, et continue de causer des dommages importants.

Types d’attaques DoS

Les attaques DoS sont classées en deux types : les attaques de type “inondation” et les attaques de type “vulnérabilité”.

Le terme “inondation” vient du mot anglais ‘Flood’ (= inondation), et désigne une attaque qui submerge la cible avec une grande quantité de données en exploitant les protocoles, rendant la cible incapable de traiter toutes les données.

D’autre part, les attaques de type “vulnérabilité” exploitent les vulnérabilités des serveurs ou des applications pour effectuer des opérations illégitimes et arrêter leur fonctionnement. Bien que la distinction avec l’accès illégitime puisse être floue, une attaque LAND, qui est un exemple typique d’une attaque DoS de type “vulnérabilité”, consiste à envoyer un paquet dont l’adresse IP source et l’adresse IP de destination sont identiques. Pour simplifier, si l’attaquant A envoie un paquet au serveur B cible en disant “Je suis B et je veux une réponse”, B répondra à lui-même, et cette réponse déclenchera une autre réponse de B à lui-même, créant une boucle infinie. Bien que cela exploite une “vulnérabilité” dans le sens où le système répond même aux paquets dont il est lui-même la source, cela ne contourne pas les mécanismes d’authentification par mot de passe, donc ce n’est pas considéré comme un “accès illégitime”, mais plutôt comme une attaque DoS de type “vulnérabilité”.

https://monolith.law/reputation/unauthorized-computer-access[ja]

En outre, une attaque DDoS est une méthode distribuée qui consiste à contrôler à distance des milliers d’ordinateurs infectés par un botnet et à lancer des attaques DoS de type inondation à partir de chacun d’eux.

Le mécanisme des attaques DoS

Le mécanisme d’une attaque DoS est techniquement simple : il consiste à répéter fréquemment et en même temps des actions qui sont normalement autorisées dans le cadre du protocole TCP/IP. Par exemple, lorsque les billets pour un concert d’un idole populaire sont mis en vente au grand public et que de nombreuses personnes tentent d’accéder à la page de vente en même temps, le site peut devenir lent ou tomber en panne, rendant difficile l’accès. Une attaque DoS est une attaque qui crée intentionnellement ce genre de situation en abusant des droits légitimes.

Les attaques DoS sont-elles considérées comme des délits d’entrave à l’activité par destruction d’ordinateurs, etc. ?

Alors, les attaques DoS sont-elles considérées comme des délits ? Nous allons examiner si elles correspondent au délit d’entrave à l’activité par destruction d’ordinateurs, etc.

Quiconque détruit un ordinateur électronique ou un enregistrement magnétique utilisé pour les affaires d’autrui, ou donne de fausses informations ou des instructions illégales à un ordinateur électronique utilisé pour les affaires d’autrui, ou par tout autre moyen, empêche l’ordinateur électronique de fonctionner conformément à son but d’utilisation, ou le fait fonctionner contrairement à son but d’utilisation, entravant ainsi les affaires d’autrui, est passible d’une peine d’emprisonnement de cinq ans ou moins ou d’une amende de un million de yens ou moins.

Article 234-2, paragraphe 1 du Code pénal japonais (Délit d’entrave à l’activité par destruction d’ordinateurs, etc.)

Ainsi, pour que le délit d’entrave à l’activité par destruction d’ordinateurs, etc. soit constitué, il faut, en tant que conditions objectives,

  1. un acte de nuisance dirigé contre un ordinateur électronique,
  2. une entrave au fonctionnement de l’ordinateur électronique,
  3. une entrave à l’activité,

et, en tant que condition subjective, que ces éléments soient intentionnels pour que le délit soit constitué.

Satisfaction des conditions objectives

Nous allons examiner chacun des points ci-dessous.

Acte de nuisance dirigé contre un ordinateur électronique

En tant qu’acte de nuisance (acte d’exécution), il faut :

  • “détruire un ordinateur électronique ou un enregistrement magnétique utilisé à cet effet”,
  • “donner de fausses informations ou des instructions illégales à un ordinateur électronique”,
  • “ou par tout autre moyen”.

Il est nécessaire de remplir l’une de ces conditions.

À cet égard, en ce qui concerne “l’ordinateur électronique”, un jugement (Fukuoka High Court, 21.9.2000) a défini ce terme comme un dispositif électronique qui effectue automatiquement des calculs et des traitements de données, et il n’y a pas de contestation sur le fait que les ordinateurs de bureau, les ordinateurs personnels, les ordinateurs de contrôle, etc. sont représentatifs de cela. En outre, l’enregistrement magnétique est défini à l’article 7-2 du Code pénal japonais. Il est évident que le serveur, qui est la cible de l’attaque DoS, correspond à ces définitions.

“Destruction” signifie non seulement la destruction physique, mais aussi tous les actes qui nuisent à l’utilité d’un objet, comme l’effacement de données. “Fausse information” signifie que le contenu est contraire à la vérité. “Instruction illégale” signifie donner une instruction qui peut être traitée par l’ordinateur concerné sans autorisation. Par exemple, si une attaque DoS de type inondation est effectuée en masse et de manière concentrée, le serveur cible devient surchargé et ne peut pas exécuter correctement le traitement. Même si une telle attaque ne “détruit” pas, comme l’effacement des données, elle est considérée comme une “instruction illégale” car elle donne des instructions sans autorisation et contre la volonté du propriétaire du serveur.

Entrave au fonctionnement de l’ordinateur électronique

La question est de savoir si cela correspond à “empêcher l’ordinateur électronique de fonctionner conformément à son but d’utilisation” ou à “faire fonctionner l’ordinateur électronique contrairement à son but d’utilisation”. Il y a un débat sur le but d’utilisation qui devrait être présumé, mais étant donné que l’intérêt juridique protégé par ce délit est la conduite sûre et fluide des affaires, il convient de présumer le but du propriétaire. Lorsqu’une attaque DoS est effectuée et que le serveur est surchargé, il peut arriver que le service devienne indisponible, etc., et que le traitement approprié que le propriétaire du serveur avait prévu ne puisse pas être effectué. Dans un tel cas, on peut dire que “l’ordinateur électronique ne fonctionne pas conformément à son but d’utilisation”, ce qui constitue une entrave au fonctionnement.

Entrave à l’activité

Le délit d’entrave à l’activité par destruction d’ordinateurs, etc. est une forme aggravée du délit d’entrave à l’activité (articles 233 et 234 du Code pénal japonais), donc cette entrave à l’activité est considérée de la même manière que le délit d’entrave à l’activité ordinaire. C’est-à-dire que “l’activité” signifie une tâche qui est effectuée de manière répétée et continue sur la base de la position sociale, et il n’est pas nécessaire que l’activité soit réellement endommagée pour être considérée comme une “entrave”. Lorsqu’une attaque DoS est effectuée, on peut dire que “l’activité” de fournir un service sur Internet en utilisant le serveur est entravée, ce qui constitue une entrave à l’activité.

Satisfaction des conditions subjectives (intention)

Il est nécessaire de reconnaître l’intention (article 38, paragraphe 1, du Code pénal japonais) après avoir satisfait à ces conditions. L’intention signifie que vous reconnaissez et acceptez les faits qui correspondent aux éléments ① à ③ (appelés éléments constitutifs). Il n’est pas nécessaire d’avoir une malveillance ou une intention de nuire, et même si vous n’avez pas l’intention de le faire, si vous avez la conscience que “le serveur pourrait tomber et le service pourrait devenir indisponible”, l’intention peut être reconnue.

L’affaire de l’accès massif au site web de la Bibliothèque Centrale Municipale d’Okazaki

En relation avec ce qui précède, nous vous présentons l’affaire de l’accès massif au site web de la Bibliothèque Centrale Municipale d’Okazaki (également connue sous le nom de l’affaire Librahack).

Un homme de 39 ans de la préfecture d’Aichi a été arrêté pour avoir lancé une cyberattaque après avoir collecté des informations sur les nouveaux livres de la bibliothèque en utilisant un programme qu’il avait créé. Cependant, selon une analyse effectuée par un expert à la demande du journal Asahi, il s’est avéré que le logiciel de la bibliothèque avait un défaut qui le faisait apparaître comme s’il avait été attaqué par un accès massif. Il a également été découvert que le même problème s’était produit dans six autres bibliothèques utilisant le même logiciel. La société de développement de logiciels a commencé à effectuer des réparations dans environ 30 bibliothèques à travers le pays.
Ce problème est survenu à la bibliothèque municipale d’Okazaki, dans la même préfecture. Le logiciel avait un défaut qui le faisait entrer dans un état de traitement en cours chaque fois que les données du livre étaient appelées, comme si le combiné était laissé décroché après un appel téléphonique. Il est automatiquement déconnecté après un certain temps, mais dans cette bibliothèque, si plus de 1 000 accès étaient effectués en 10 minutes, il devenait impossible de consulter le site web, comme s’il avait été attaqué par un accès massif.
L’homme est un ingénieur logiciel et empruntait environ 100 livres par an à la bibliothèque municipale d’Okazaki. Le site web de la bibliothèque était difficile à utiliser, il a donc créé un programme pour collecter les informations sur les nouveaux livres tous les jours et a commencé à l’utiliser en mars.
Depuis ce mois, la bibliothèque a reçu des plaintes de citoyens disant qu’ils ne pouvaient pas se connecter au site web. La police de la préfecture d’Aichi, qui a été consultée, a jugé que l’homme avait envoyé intentionnellement des demandes dépassant la capacité de traitement et l’a arrêté pour suspicion d’obstruction des affaires. En juin, le bureau du procureur d’Okazaki à Nagoya a décidé de suspendre l’inculpation, estimant qu’il n’y avait pas d’intention forte d’obstruction des affaires.

Asahi Shimbun Nagoya Morning Edition (21 août 2010)

L’homme arrêté dans cette affaire était un utilisateur de la Bibliothèque Centrale Municipale d’Okazaki et avait agi dans le but de collecter des informations sur les nouveaux livres sur le site web de la bibliothèque, sans intention de perturber les opérations de la bibliothèque. De plus, la fréquence d’accès était d’environ une fois par seconde, ce qui ne serait normalement pas considéré comme une attaque DoS, mais en raison d’un défaut dans le serveur de la bibliothèque, une panne de système s’est produite à ce niveau.

Même s’il n’y avait pas de malveillance, le fait d’avoir fait tomber le serveur de la bibliothèque et d’avoir perturbé ses opérations en effectuant des actions qui pourraient être considérées comme une attaque DoS est reconnu, nous examinerons donc les exigences objectives. En ce qui concerne l’intention, comme mentionné précédemment, l’intention peut être reconnue même s’il n’y a pas de malveillance. La police de la préfecture a jugé que cet homme, en tant qu’ingénieur informatique, était conscient du fait que l’envoi de nombreuses requêtes pourrait affecter le serveur de la bibliothèque, mais qu’il avait quand même envoyé de nombreuses requêtes, donc il y avait une intention, et il semble qu’ils ont jugé que le crime pourrait être établi.

Problèmes et critiques de l’affaire

La méthode utilisée par l’homme pour collecter mécaniquement les données du site web public de la bibliothèque est largement et généralement utilisée, et il n’y a rien d’illégal dans la programmation elle-même. Cet homme a expliqué les circonstances et les intentions de l’affaire sur son propre site web, et il n’y a rien dans son contenu qui mérite une condamnation morale suffisante pour être appelé un “crime”, ce qui a choqué de nombreux ingénieurs qui utilisent cette technologie et a suscité de nombreuses critiques et préoccupations.

Par exemple, il a été souligné que si le serveur d’un site web public d’une bibliothèque publique, qui est utilisé par un grand nombre de personnes, a un défaut qui le fait tomber avec un accès par seconde, il est trop faible et vulnérable, et si le serveur avait la force qu’il devrait normalement avoir, l’homme n’aurait pas dû être arrêté.
De plus, il n’y avait pas d’éléments qui ressemblaient clairement à un crime, tels que l’intention de l’homme de “se venger” ou de “harceler”, ou l’envoi de grandes quantités de données qui diffèrent clairement de l’utilisation normale, malgré le fait qu’il pourrait être établi comme un crime en vertu d’une telle disposition. Il y a aussi le problème législatif. De plus, il y a le problème de la divergence entre l’application de la loi et la réalité de l’utilisation d’Internet. Par exemple, l’impression que reçoit une personne qui est bien informée sur Internet et la technologie de l’information d’un accès de 10 000 fois est différente de celle que reçoit une personne ordinaire, y compris la police et le procureur. Il a été souligné qu’il est problématique que cette divergence de perception soit exploitée sans être corrigée. De plus, il a été souligné qu’il y a une préoccupation et une inquiétude que l’utilisation et le développement libres d’Internet et de l’industrie pourraient être entravés si tout le monde, comme cet homme, pourrait être arrêté.

Bien que l’homme ait finalement été exempté de poursuites parce qu’il n’y avait pas d’intention forte d’entraver les affaires, il a été interrogé pendant 20 jours d’arrestation et de détention, et a été contraint à la détention physique. De plus, son nom a été rendu public au moment de son arrestation. De plus, l’exemption de poursuites est différente de “l’insuffisance de soupçon” dans le non-lieu, et est du type “il y a eu un crime, mais la malveillance est faible, ou il y a un profond repentir, donc nous allons renoncer à l’accusation pour cette fois”, ce qui signifie qu’il a été jugé coupable d’un crime. Même s’il n’a pas été poursuivi, le fait qu’il ait subi un grave désavantage social est un problème.

En résumé

Ainsi, une attaque DoS peut constituer un délit de sabotage d’ordinateur électronique (Japanese ~電子計算機損壊等業務妨害罪). Cependant, il y a plusieurs problèmes avec l’application de cette loi, et il y a un risque que des actes qui sont difficilement qualifiables de malveillants, comme les incidents que nous avons présentés, soient également considérés comme des délits. Contrairement à l’époque de sa promulgation, aujourd’hui, de nombreuses personnes possèdent des terminaux Internet tels que des smartphones et des ordinateurs, et la société Internet se développe rapidement. Pour surmonter ces problèmes et protéger la liberté sur Internet, il est nécessaire de revoir l’application de la loi et de réexaminer de nouvelles mesures législatives.

Si le serveur de votre entreprise est victime d’une attaque cybernétique telle qu’une attaque DoS, vous devrez demander à la police d’enquêter. Cependant, de nombreux cas impliquent des problèmes techniquement très avancés, et comme dans l’incident de la bibliothèque mentionné ci-dessus, il peut être impossible de gérer correctement la situation sans une connaissance et une expertise à la fois en IT et en droit.

En termes de solutions civiles, si l’auteur peut être identifié, il est possible de demander des dommages et intérêts à cet auteur. Par conséquent, une des options serait de consulter un avocat spécialisé en Internet et en affaires.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Qu'est-ce que le portefeuille nécessaire pour les transactions NFT ? Explication de la réglementation au Japon

Qu'est-ce que le portefeuille nécessaire pour les transactions NFT ? Explication de la réglement.

IT

Explication des réglementations juridiques matérielles et logicielles à prendre en compte dans les affaires IoT

Explication des réglementations juridiques matérielles et logicielles à prendre en compte dans l.

IT

Qu'est-ce que la loi concernant les conflits et problèmes à l'étape de l'exploitation du système?

Qu'est-ce que la loi concernant les conflits et problèmes à l'étape de l'exploitation du système.

IT

Comment un avocat explique la création des conditions d'utilisation des services Web (Première partie)

Comment un avocat explique la création des conditions d'utilisation des services Web (Première p.

IT

Quels sont les risques liés à l'utilisation professionnelle de ChatGPT ? Explications sur les problèmes juridiques

Quels sont les risques liés à l'utilisation professionnelle de ChatGPT ? Explications sur les pr.

IT

Qu'est-ce que le prêt de crypto-actifs ? Explication sur deux points juridiques

Qu'est-ce que le prêt de crypto-actifs ? Explication sur deux points juridiques

IT

Comment résoudre les conflits de développement de systèmes par la négociation

Comment résoudre les conflits de développement de systèmes par la négociation

IT

Gestion d'une boutique en ligne et droit : Loi japonaise sur les transactions commerciales spécifiques et Loi japonaise sur la prévention de la concurrence déloyale

Gestion d'une boutique en ligne et droit : Loi japonaise sur les transactions commerciales spéci.

IT

Quelle est la différence entre STO et ICO ? Explication du concept de jeton de sécurité et de la signification de STO

Quelle est la différence entre STO et ICO ? Explication du concept de jeton de sécurité et de la.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retourner En Haut