Un avocat explique les actions et les exemples interdits par la 'Loi japonaise sur l'interdiction des accès non autorisés
La loi japonaise sur l’interdiction des accès non autorisés (nom officiel “Loi relative à l’interdiction des actes d’accès non autorisé”) a été promulguée en février 2000 (année 2000 du calendrier grégorien) et a été révisée en mai 2012 (année 2012 du calendrier grégorien). Elle est actuellement en vigueur. C’est une loi visant à prévenir la cybercriminalité et à maintenir l’ordre dans les communications électroniques, composée de 14 articles.
“Loi relative à l’interdiction des actes d’accès non autorisé” (Objectif)
Article 1 : Cette loi vise à interdire les actes d’accès non autorisé et à établir des sanctions pour ces actes, ainsi que des mesures d’assistance par les commissions de sécurité publique des préfectures pour prévenir leur récidive, afin de prévenir les crimes liés aux ordinateurs électroniques effectués par le biais de lignes de communication électronique et de maintenir l’ordre dans les communications électroniques réalisées par des fonctions de contrôle d’accès, contribuant ainsi au développement sain de la société de l’information de haut niveau.
Quels sont les actes spécifiquement interdits par la loi japonaise sur l’interdiction des accès non autorisés ? Quels sont les exemples concrets et quelles mesures devraient être prises en matière pénale et civile ? Nous expliquerons l’aperçu de la loi sur l’interdiction des accès non autorisés et les mesures à prendre en cas de préjudice.
Les actions interdites par la loi japonaise sur l’interdiction de l’accès non autorisé
Les actions interdites et punies par la loi japonaise sur l’interdiction de l’accès non autorisé sont principalement les trois suivantes :
- Interdiction des actes d’accès non autorisé (Article 3)
- Interdiction des actes favorisant l’accès non autorisé (Article 5)
- Interdiction d’obtenir, de conserver ou de demander illégalement les codes d’identification d’autrui (Articles 4, 6, 7)
Ici, le “code d’identification” désigne un code établi pour chaque administrateur d’accès, utilisé par l’administrateur d’accès pour distinguer l’utilisateur autorisé qui a obtenu l’autorisation d’utiliser un ordinateur électronique spécifique (Article 2, paragraphe 2).
Un exemple typique de code d’identification est le mot de passe utilisé en combinaison avec un ID. En plus de cela, des systèmes qui identifient l’individu par l’empreinte digitale ou l’iris de l’œil sont également en train de se répandre. Ceux-ci sont également considérés comme des codes d’identification. De plus, si l’identification est effectuée par la forme de la signature ou la pression du stylo, le code d’identification est le code numérisé de cette signature.
Qu’est-ce qu’un accès non autorisé ?
Plus précisément, l’article 2, paragraphe 4, le définit comme une “usurpation d’identité” qui abuse des codes d’identification d’autrui et une “attaque de faille de sécurité” qui exploite les failles d’un programme informatique. La loi japonaise sur l’interdiction des accès non autorisés interdit ces actions qui permettent d’accéder illégalement à l’ordinateur d’autrui.
Abus des codes d’identification d’autrui
L’usurpation d’identité, comme on l’appelle communément, consiste à utiliser un ordinateur auquel on n’a normalement pas le droit d’accéder en abusant des codes d’identification d’autrui.
En d’autres termes, lorsque vous utilisez un système informatique, vous devez entrer des codes d’identification tels que des ID et des mots de passe sur votre ordinateur. L’usurpation d’identité se réfère à l’action d’entrer sans autorisation les codes d’identification d’une autre personne qui a le droit d’utiliser le système.
Cela peut être un peu difficile à comprendre, mais le “d’autrui” mentionné ici se réfère aux ID et mots de passe qui ont déjà été créés (et utilisés) par d’autres personnes. En d’autres termes, l’usurpation d’identité est l’action de “prendre le contrôle” des comptes de réseaux sociaux tels que Twitter, qui sont déjà utilisés par d’autres personnes.
Cependant, puisque l’entrée non autorisée des codes d’identification est une condition requise, si vous donnez votre mot de passe à un collègue qui est au bureau pendant que vous êtes en voyage d’affaires pour qu’il vérifie vos e-mails à votre place, par exemple, cela ne serait pas en violation de la loi japonaise sur l’interdiction des accès non autorisés car vous avez obtenu le consentement de la personne concernée.
En général, l’usurpation d’identité fait référence à l’action de créer un nouveau compte en utilisant le nom et la photo de quelqu’un d’autre et d’utiliser des réseaux sociaux tels que Twitter sous l’identité de cette personne. Cependant, l’action interdite par la loi japonaise sur l’interdiction des accès non autorisés est différente. Pour plus de détails sur l’usurpation d’identité au sens général, veuillez consulter l’article ci-dessous.
https://monolith-law.jp/reputation/spoofing-dentityright[ja]
Exploitation des failles d’un programme informatique
Une “attaque de faille de sécurité” est une action qui exploite les failles de sécurité (défauts de sécurité) d’un ordinateur d’autrui pour pouvoir l’utiliser. Elle utilise des programmes d’attaque pour fournir des informations ou des instructions autres que les codes d’identification à la cible de l’attaque, contourne la fonction de contrôle d’accès de l’ordinateur d’autrui et utilise l’ordinateur sans autorisation.
La fonction de contrôle d’accès mentionnée ici est une fonction que l’administrateur d’accès donne à un ordinateur électronique spécifique ou à un ordinateur électronique connecté à un ordinateur électronique spécifique par une ligne de communication électronique pour empêcher toute personne autre que l’utilisateur autorisé d’utiliser l’ordinateur électronique spécifique (article 2, paragraphe 3).
Pour expliquer de manière simple, il s’agit d’un système qui permet à une personne qui tente d’accéder à un système informatique d’entrer un ID et un mot de passe sur le réseau, et qui ne permet l’utilisation que si le bon ID et le bon mot de passe sont entrés.
En d’autres termes, une “attaque de faille de sécurité” est une action qui rend le système informatique utilisable sans entrer le bon ID et le mot de passe en désactivant ce système.
Deux types d’accès non autorisés
Comme mentionné ci-dessus, il existe deux types d’accès non autorisés.
Il est important de noter que pour qu’une action soit considérée comme un accès non autorisé, elle doit être effectuée via un réseau informatique. Par conséquent, même si vous entrez un mot de passe sans autorisation et utilisez un ordinateur qui n’est pas connecté à un réseau, c’est-à-dire un ordinateur autonome, cela ne serait pas considéré comme un accès non autorisé.
Cependant, un réseau informatique ne se limite pas aux réseaux ouverts tels qu’Internet, mais inclut également les réseaux fermés tels que les LAN d’entreprise.
De plus, il n’y a pas de restriction sur le contenu de l’utilisation non autorisée par accès non autorisé. Par exemple, passer des commandes sans autorisation, consulter des données, transférer des fichiers, et même modifier une page d’accueil, serait en violation de la loi japonaise sur l’interdiction des accès non autorisés.
Si vous commettez l’un de ces deux types d’accès non autorisés, vous risquez une peine d’emprisonnement de trois ans ou moins ou une amende de 1 million de yens ou moins (article 11).
Qu’est-ce que les actions qui encouragent l’accès non autorisé
Les actions qui encouragent l’accès non autorisé, interdites par la “Loi japonaise sur l’interdiction de l’accès non autorisé”, consistent à fournir à un tiers, sans le consentement de la personne concernée, son identifiant ou son mot de passe. Peu importe le moyen, que ce soit par téléphone, e-mail, ou via un site web, si vous informez quelqu’un en disant “L’ID de ○○ est ××, le mot de passe est △△”, et permettez ainsi à une autre personne d’accéder librement aux données de quelqu’un d’autre, cela constitue une action qui encourage l’accès non autorisé.
Si vous commettez une action qui encourage l’accès non autorisé, vous risquez une peine d’emprisonnement de moins d’un an ou une amende de moins de 500 000 yens (Article 12, paragraphe 2).
De plus, même si vous fournissez un mot de passe sans savoir qu’il sera utilisé pour un accès non autorisé, vous risquez une amende de moins de 300 000 yens (Article 13).
Qu’est-ce que l’acte d’obtenir, de stocker ou de demander illégalement les codes d’identification d’autrui ?
Selon la loi japonaise sur l’interdiction de l’accès non autorisé, il est interdit d’obtenir, de stocker ou de demander illégalement les codes d’identification (ID et mots de passe) d’autrui.
- Article 4 : Interdiction d’obtenir illégalement les codes d’identification d’autrui
- Article 6 : Interdiction de stocker illégalement les codes d’identification d’autrui
- Article 7 : Interdiction de demander illégalement les codes d’identification d’autrui
Un exemple typique de ces actes interdits est l'”acte de demande d’entrée”, communément appelé phishing. Par exemple, en se faisant passer pour une institution financière, les auteurs de ces actes attirent les victimes sur une fausse page d’accueil qui ressemble à l’original, où ils les incitent à entrer leurs mots de passe et leurs ID.
Les numéros d’identification obtenus par le phishing sont utilisés dans des escroqueries aux enchères, et il y a eu de nombreux cas de fraude où les dépôts sont transférés sans autorisation à d’autres comptes.
Si ces actes sont commis, une peine d’emprisonnement d’un an ou moins ou une amende de 500 000 yens ou moins peut être imposée (Article 12, paragraphe 4).
Quelles sont les lois qui régissent les cybercrimes autres que les accès non autorisés ?
Ainsi, la loi japonaise interdisant l’accès non autorisé est une loi conçue pour faire face à certains types de ce que l’on appelle communément les “cybercrimes”. En ce qui concerne l’ensemble des “cybercrimes”, d’autres lois peuvent être pertinentes dans certains cas, comme la loi japonaise sur l’entrave aux affaires par destruction de l’ordinateur, la loi japonaise sur l’entrave aux affaires par fraude, la loi japonaise sur la diffamation, etc. Pour une explication détaillée de l’ensemble des cybercrimes, veuillez consulter l’article ci-dessous.
https://monolith-law.jp/corporate/categories-of-cyber-crime[ja]
Les obligations de l’administrateur d’accès
Nous allons expliquer les obligations définies par la loi japonaise sur l’interdiction des accès non autorisés. Un administrateur d’accès est une personne qui gère le fonctionnement d’un ordinateur spécifique connecté à une ligne de télécommunication (Article 2, Paragraphe 1).
Ici, la gestion signifie décider qui est autorisé à utiliser un ordinateur spécifique via le réseau et dans quelle mesure. Une personne ayant le pouvoir de déterminer ces utilisateurs et cette portée d’utilisation est un administrateur d’accès selon la loi japonaise sur l’interdiction des accès non autorisés.
Par exemple, lorsqu’une entreprise exploite un système informatique, elle désigne un responsable du système parmi ses employés pour gérer le système. Cependant, chaque responsable du système ne fait que gérer selon la volonté de l’entreprise. Par conséquent, dans un tel cas, l’administrateur d’accès n’est pas le responsable du système, mais l’entreprise qui exploite le système informatique.
La loi japonaise sur l’interdiction des accès non autorisés ne se contente pas de définir les actes d’accès non autorisés et les sanctions, elle impose également à l’administrateur l’obligation de prévenir les accès non autorisés dans la gestion des serveurs, etc.
Mesures de défense par l’administrateur d’accès
Article 8 : L’administrateur d’accès qui a ajouté une fonction de contrôle d’accès à un ordinateur spécifique doit s’efforcer de gérer correctement le code d’identification ou le code utilisé pour vérifier ce dernier par la fonction de contrôle d’accès, de vérifier constamment l’efficacité de la fonction de contrôle d’accès, et de prendre rapidement des mesures pour améliorer cette fonction et prendre d’autres mesures nécessaires pour protéger cet ordinateur spécifique contre les actes d’accès non autorisés lorsque cela est jugé nécessaire.
Il est obligatoire de “gérer correctement le code d’identification”, de “vérifier constamment l’efficacité de la fonction de contrôle d’accès” et de “améliorer la fonction de contrôle d’accès si nécessaire”, mais comme il s’agit d’une obligation d’effort, il n’y a pas de sanctions pour avoir négligé ces mesures.
Cependant, si l’administrateur constate des signes de fuite d’ID ou de mot de passe, il doit immédiatement effectuer un contrôle d’accès, comme la suppression de compte ou le changement de mot de passe.
Mesures à prendre en cas d’accès non autorisé
Si vous utilisez des services tels que les e-mails ou les réseaux sociaux, vous pouvez être victime d’accès non autorisé par des tiers. Dans ce cas, quelles mesures pouvez-vous prendre ?
Porter plainte au pénal
Tout d’abord, il est possible de porter plainte au pénal contre la personne qui a accédé illégalement à vos informations. L’accès non autorisé est un crime et la personne qui y a procédé peut être punie par la loi. Comme expliqué précédemment, la personne responsable peut être condamnée à une peine d’emprisonnement de trois ans ou moins ou à une amende de 1 million de yens ou moins. Si quelqu’un a encouragé cet acte, il peut être condamné à une peine d’emprisonnement d’un an ou moins ou à une amende de 500 000 yens ou moins.
Il convient de noter que la violation de la loi interdisant l’accès non autorisé est un délit non dénonciateur, ce qui signifie que la police peut commencer une enquête et arrêter le coupable même sans plainte. De plus, même si la personne qui a subi l’accès non autorisé ne porte pas plainte, toute personne qui a connaissance des faits peut dénoncer l’affaire à la police.
Comme nous l’avons mentionné dans un article sur le délit d’entrave à l’exercice des fonctions, bien que le délit dénonciateur soit un “crime qui ne peut être poursuivi sans plainte pénale de la part de la victime”, cela ne signifie pas que “seuls les délits dénonciateurs peuvent être dénoncés”. Même dans le cas d’un délit non dénonciateur, la victime peut porter plainte contre le coupable.
Même s’il s’agit d’un délit non dénonciateur, si la victime porte plainte au pénal, la situation du suspect peut s’aggraver et la peine peut être plus sévère. Si vous vous rendez compte que vous avez été victime d’un accès non autorisé, il serait bon de consulter un avocat et de déposer une plainte ou une déclaration de dommages à la police. Une fois la plainte acceptée, la police commencera rapidement l’enquête et pourra arrêter ou renvoyer le suspect.
Demande d’indemnisation civile
En cas de dommages causés par un accès non autorisé, vous pouvez demander une indemnisation civile à l’auteur sur la base de l’article 709 du Code civil japonais.
Code civil, Article 709
Quiconque porte atteinte aux droits d’autrui ou aux intérêts protégés par la loi, intentionnellement ou par négligence, est tenu de réparer les dommages qui en résultent.
Si l’auteur a accédé illégalement à vos informations et a diffusé les informations personnelles qu’il a obtenues, s’il a volé des objets dans un jeu social, s’il a accédé à des données de cartes de crédit ou de comptes bancaires et a causé des dommages financiers, vous devriez demander une indemnisation pour les dommages. Bien sûr, si vos données de carte de crédit ou de compte bancaire ont été consultées et que vous avez subi des dommages financiers réels, vous pouvez également demander une indemnisation pour ces dommages.
Cependant, pour demander une indemnisation à l’auteur, il faut identifier le coupable et rassembler des preuves qu’il a réellement commis un accès non autorisé, ce qui nécessite des connaissances spécialisées. Si vous êtes victime d’un accès non autorisé, il est nécessaire de consulter un avocat expérimenté dans les problèmes liés à Internet et de lui demander de prendre en charge la procédure.
Résumé
La loi japonaise sur l’interdiction des accès non autorisés revêt une importance croissante dans notre société moderne où l’informatisation progresse. Cependant, même si vous êtes victime d’un accès non autorisé, il est souvent techniquement difficile pour la victime elle-même d’identifier l’auteur.
De plus, comme la violation de la loi japonaise sur l’interdiction des accès non autorisés est passible de sanctions pénales, il est possible de déposer une plainte auprès de la police. Cependant, comme il s’agit d’un nouveau type de crime, la police ne comprend pas toujours immédiatement l’affaire. Par conséquent, lors du dépôt d’une plainte, il est nécessaire d’expliquer soigneusement la situation à la police, à la fois du point de vue juridique et technique. En ce sens, la gestion des violations de la loi japonaise sur l’interdiction des accès non autorisés nécessite une grande expertise, il est donc important de consulter un avocat qui est également bien informé sur les aspects techniques de l’IT.
Category: IT
Tag: CybercrimeIT