La lutte contre la cybercriminalité ne se limite pas à sanctionner les auteurs d’attaques informatiques. Le législateur a également souhaité prévenir ces infractions en amont, en réprimant la création, la détention et la diffusion des outils permettant de les commettre. L’article 323-3-1 du Code pénal joue ce rôle préventif essentiel.
Cet article vous propose une analyse complète de l’article 323-3-1 du Code pénal :
- Que recouvre exactement cette infraction ?
- Quels outils sont visés ?
- Comment distinguer les outils légitimes des outils illicites ?
- Quels risques encourent les professionnels de la cybersécurité ?
Le texte et l’objectif de l’article 323-3-1
Le contenu de l’article
L’article 323-3-1 du Code pénal dispose : « Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. »
Ce texte vise donc la mise à disposition d’outils permettant de commettre des infractions informatiques, notamment l’accès frauduleux (article 323-1), l’entrave au fonctionnement d’un système (article 323-2), et les atteintes aux données (article 323-3).
L’objectif préventif de l’infraction
L’article 323-3-1 du code pénal présente un caractère préventif : il permet de sanctionner les comportements en amont de la commission effective d’une cyberattaque. Le législateur a considéré que la simple possession ou diffusion d’outils de piratage constituait une menace suffisamment grave pour justifier une incrimination autonome.
Cette approche préventive s’inspire des législations pénales relatives aux armes ou aux stupéfiants : de même qu’il est interdit de détenir une arme sans autorisation, il est interdit de posséder des outils de piratage sans motif légitime.
L’objectif est double : d’une part, dissuader la création et la prolifération d’outils malveillants ; d’autre part, permettre aux autorités d’intervenir avant qu’une attaque ne soit effectivement menée.
Les comportements réprimés
L’importation d’outils de piratage
L’importation vise le fait d’introduire sur le territoire français des équipements ou programmes conçus pour commettre des infractions informatiques. Cette disposition cible notamment les outils développés à l’étranger et importés en France.
L’importation peut être physique (introduction de supports de stockage contenant les outils) ou dématérialisée (téléchargement via Internet d’un programme hébergé sur un serveur étranger).
La simple importation, même sans utilisation ultérieure, suffit à caractériser l’infraction dès lors qu’il n’existe pas de motif légitime.
La détention d’outils de piratage
La détention constitue le comportement le plus fréquemment poursuivi. Elle consiste à conserver sur ses équipements informatiques des programmes ou données destinés au piratage.
La détention peut être matérielle (conservation sur un disque dur, une clé USB) ou dématérialisée (stockage sur un cloud, un serveur distant). L’infraction est constituée dès lors que la personne a la maîtrise de l’outil, même s’il n’est pas physiquement en sa possession.
La durée de la détention importe peu : même une détention très brève peut caractériser l’infraction. Ainsi, le simple téléchargement temporaire d’un outil de piratage suffit.
L’offre et la cession d’outils de piratage
L’offre vise le fait de proposer à autrui de lui fournir un outil de piratage, indépendamment de la réalisation effective de la transaction. Une annonce sur un forum proposant de vendre un logiciel malveillant constitue une offre punissable.
La cession consiste à transférer effectivement l’outil à un tiers, que ce soit à titre gratuit ou onéreux. La vente, le don ou l’échange d’outils de piratage constituent des cessions.
La mise à disposition
La mise à disposition recouvre toutes les formes de mise à la portée d’autrui. Elle englobe notamment la publication en ligne, le partage sur des plateformes d’échange, l’hébergement sur des serveurs accessibles, etc.
Cette notion large permet de sanctionner la diffusion massive d’outils de piratage sur Internet, y compris lorsqu’elle se fait à titre gratuit et sans contact direct avec les utilisateurs finaux.
La jurisprudence « Keylogger »
Être un « hacker » ne suffit pas pour être condamné. L’application de l’article 323-3-1 peut aussi viser des situations du quotidien professionnel.
Cour de cassation a confirmé la condamnation d’un médecin qui avait installé un logiciel espion (keylogger) sur les ordinateurs de ses collègues (Cass. crim., 16 janvier 2018).
Les juges ont confirmé sa condamnation sur la base de l’article 323-3-1 du Code pénal. Cet arrêt établit un principe clair : la simple possession et utilisation d’un outil de capture, y compris en interne et sans diffusion massive sur Internet, suffit à caractériser l’infraction lorsqu’il n’existe aucune raison légitime pour la justifier.
Les outils visés par l’article 323-3-1
1. Les équipements matériels
Les équipements visent les dispositifs matériels spécifiquement conçus ou adaptés pour commettre des infractions informatiques. Cette catégorie inclut notamment les dispositifs d’interception de communication, les clés USB d’intrusion automatisée, ou encore les cartes d’émulation permettant de cloner des badges d’accès.
Toutefois, les équipements à usage général (ordinateurs, smartphones, routeurs) ne sont pas visés, même s’ils peuvent être utilisés pour commettre des infractions. Seuls les équipements spécialement adaptés tombent sous le coup de l’article 323-3-1 du code pénal.
1. Les programmes informatiques
Les programmes informatiques constituent la catégorie la plus fréquemment concernée. Cette notion englobe tous les logiciels malveillants : virus, chevaux de Troie, ransomwares, keyloggers, Flipper Zero, etc.
Sont également visés les programmes d’exploitation de failles de sécurité (exploits), les outils de force brute pour casser des mots de passe, les logiciels d’injection SQL, ou encore les programmes de déni de service.
La forme du programme importe peu : code source, code compilé, scripts, macros, tous sont susceptibles d’être qualifiés d’outils de piratage.
Les données
Les données visent toute information numérique conçue pour faciliter la commission d’infractions. Cette catégorie inclut notamment les bases de données de mots de passe volés, les listes d’adresses e-mail pour le spam, les dictionnaires pour les attaques par force brute, ou encore les tutoriels détaillés expliquant comment commettre des cyberattaques.
La notion cruciale de « motif légitime »
L’exception au principe d’interdiction
L’article 323-3-1 du code pénal prévoit une exception fondamentale : les comportements visés ne sont punissables que sans motif légitime. Cette condition permet de distinguer les usages illicites des usages légitimes des mêmes outils.
Le motif légitime doit être réel et sérieux. Il ne suffit pas d’invoquer un prétexte : il faut démontrer que la détention ou l’utilisation de l’outil s’inscrit dans un cadre légal et poursuit un objectif licite.
Les motifs légitimes reconnus
Plusieurs catégories de motifs légitimes sont généralement reconnues par la jurisprudence et la doctrine.
- La recherche en sécurité informatique constitue un motif légitime classique. Les chercheurs qui développent ou utilisent des outils d’exploitation de failles dans le but d’améliorer la sécurité des systèmes agissent dans un cadre légitime.
- Les tests de sécurité autorisés (pentests) justifient la détention et l’utilisation d’outils de piratage. Les professionnels de la cybersécurité mandatés par une entreprise pour tester ses défenses disposent d’un motif légitime, à condition de disposer d’une autorisation formelle et écrite.
- L’administration et la maintenance de systèmes informatiques peuvent également justifier la détention de certains outils. Les administrateurs système ont parfois besoin d’outils permettant de récupérer des mots de passe oubliés ou d’analyser le trafic réseau.L’enseignement et la formation en cybersécurité constituent un motif légitime. Les établissements d’enseignement et les formateurs peuvent légitimement détenir et présenter des outils de piratage à des fins pédagogiques.
La charge de la preuve
En principe, c’est au ministère public de démontrer l’absence de motif légitime. Toutefois, en pratique, dès lors que la détention de l’outil est établie, il appartient souvent à la personne poursuivie de justifier le caractère légitime de cette détention.
Cette justification suppose généralement la production de preuves concrètes : contrat de prestation de services pour un test de sécurité, inscription à une formation en cybersécurité, publications scientifiques sur la sécurité informatique, etc.
Les peines encourues
Le principe du renvoi aux peines de l’infraction principale
L’article 323-3-1 du code penal ne prévoit pas de peine spécifique. Il renvoie aux peines prévues pour l’infraction que l’outil permet de commettre, ou pour l’infraction la plus sévèrement réprimée si l’outil permet de commettre plusieurs infractions.
Ainsi, la détention d’un outil permettant de commettre un accès frauduleux (article 323-1) est punie de deux ans d’emprisonnement et 60 000 euros d’amende.
La détention d’un outil autorisant à modifier ou supprimer des données (article 323-3) est punie de cinq ans d’emprisonnement et 150 000 euros d’amende.
Le cumul avec les peines de l’infraction principale
Si la personne utilise effectivement l’outil pour commettre une infraction, elle encourt à la fois les peines pour détention d’outil de piratage (article 323-3-1) et pour l’infraction elle-même (accès frauduleux, modification de données, etc.).
Ce cumul peut conduire à des peines particulièrement lourdes. Un individu qui détient un ransomware et l’utilise pour attaquer un système encourt en même temps cinq ans pour la détention de l’outil et cinq ans pour l’entrave au fonctionnement du système.
Les peines complémentaires
Comme pour les autres infractions informatiques, le juge peut prononcer des peines complémentaires prévues par l’article 323-5 du Code pénal.
Ces peines comprennent la confiscation d’équipement et de programmes, l’interdiction d’exercer certaines activités professionnelles, ou encore l’interdiction d’utiliser des équipements informatiques pour une durée déterminée.
Les difficultés d’application en pratique
La distinction entre outils légitimes et illicites
La principale difficulté d’application de l’article 323-3-1 réside dans la distinction entre outils à double usage et outils spécifiquement malveillants.
De nombreux outils de sécurité peuvent être utilisés à des fins légitimes (audit, recherche) ou illégitimes (piratage). Un scanner de vulnérabilités peut servir à tester la sécurité de ses propres systèmes ou à identifier les failles des systèmes d’autrui pour les exploiter.
La jurisprudence a progressivement précisé que seuls les outils spécialement conçus ou adaptés pour commettre des infractions tombent sous le coup de l’article 323-3-1 du code pénal. Un outil polyvalent ayant des usages légitimes importants ne constitue pas en soi un outil de piratage.
Les risques pour les professionnels de la cybersécurité
Les professionnels de la sécurité informatique se trouvent dans une situation délicate. Leur activité implique nécessairement la détention et l’utilisation d’outils permettant de commettre des infractions informatiques.
Pour se prémunir contre des poursuites, ces professionnels doivent systématiquement se ménager des preuves de la légitimité de leur activité : contrats écrits avec les clients, autorisations formelles pour les tests de sécurité, certification professionnelle, inscription à des organismes reconnus, etc.
Les entreprises de cybersécurité doivent également mettre en place des procédures internes strictes pour s’assurer que leurs outils ne sont utilisés que dans un cadre légitime et avec les autorisations nécessaires.
Les moyens de défense
La démonstration d’un motif légitime
Le principal moyen de défense consiste à démontrer l’existence d’un motif légitime à la détention ou à l’utilisation de l’outil. Cette démonstration suppose la production de preuves concrètes et documentées.
Pour un chercheur en sécurité, les publications scientifiques, la participation à des conférences spécialisées, ou l’affiliation à des laboratoires de recherche constituent des éléments probants.
Pour un professionnel du pentest, le contrat de prestation avec le client, l’autorisation écrite de tester le système, et la certification professionnelle (OSCP, CEH, etc.) renforcent la légitimité.
La contestation de la nature de l’outil
Un autre moyen de défense consiste à contester que l’outil soit spécifiquement conçu ou adapté pour commettre des infractions. Si l’outil a principalement des usages légitimes et que son usage malveillant est uniquement marginal, il ne tombe pas sous le coup de l’article 323-3-1.
Cette défense peut notamment être invoquée pour les outils d’administration système, les logiciels de diagnostic réseau ou les programmes d’analyse forensique.
L’absence d’intention
Bien que l’article 323-3-1 du code pénal ne mentionne pas expressément l’élément intentionnel, la jurisprudence considère généralement qu’il faut une connaissance de la nature de l’outil détenu.
Une personne qui ignore que le logiciel qu’elle possède est un outil de piratage (par exemple, un utilisateur qui a téléchargé un fichier sans savoir qu’il contenait un malware) peut invoquer l’absence d’intention.
Maître Djamel Belhaouci : votre défense en matière d’outils de sécurité informatique
Poursuivi pour détention d’outils de piratage ou professionnel de la cybersécurité cherchant à sécuriser votre activité ? Maître Djamel Belhaouci, avocat au barreau de Marseille, met à votre service une double compétence en droit pénal et cybersécurité pour vous défendre ou vous conseiller.
Pourquoi choisir Maître Belhaouci ?
Fort d’une compréhension approfondie de l’article 323-3-1 du Code pénal et des outils de cybersécurité, Maître Belhaouci sait distinguer les usages légitimes des usages illicites.
Pour les personnes mises en cause, il analyse les éléments de l’accusation, identifie les moyens de défense appropriés et démontre l’existence d’un motif légitime le cas échéant.
Pour les professionnels de la cybersécurité, il vous conseille sur les précautions à prendre, vous aide à documenter vos activités et à sécuriser juridiquement vos prestations.
Sa double compétence technique et juridique lui permet de dialoguer efficacement avec les experts et de faire valoir les spécificités de votre activité.
PRENDRE RDV
FAQ : Vos questions sur l’article 323-3-1
Peut-on être poursuivi pour avoir téléchargé un tutoriel de hacking ?
Cela dépend du contenu du tutoriel. Un simple article explicatif ne constitue généralement pas un outil de piratage. En revanche, un tutoriel très détaillé accompagné de scripts prêts à l’emploi peut être qualifié de « donnée » au sens de l’article 323-3-1 du code penal.
Les outils open source de sécurité sont-ils légaux ?
Oui, dès lors qu’ils ont des usages légitimes reconnus. Des outils comme Metasploit, Nmap ou Wireshark sont légalement détenus dans le cadre d’activités de sécurité informatique professionnelle ou de recherche.
Un étudiant en cybersécurité peut-il posséder des outils de pentest ?
Oui, dans le cadre de sa formation. L’inscription à un cursus reconnu en cybersécurité constitue un motif légitime. Toutefois, l’étudiant ne doit utiliser ces outils que dans le cadre strictement pédagogique.
Que risque-t-on pour avoir créé un malware sans l’avoir utilisé ?
La simple création et détention constituent une infraction au titre de l’article 323-3-1, punissable des mêmes peines que l’infraction que le malware permettrait de commettre.
Comment prouver son motif légitime ?
Par tous moyens : contrats de prestation, certifications professionnelles, publications scientifiques, inscriptions à des formations, attestations d’employeur, etc. Il est recommandé de conserver systématiquement ces preuves.
