Cybercriminalit au Maroc

10 mars 2011, 22:40

Jusqu octobre 2003, le phnomne de la cybercriminalit au Maroc na fait lobjet
daucune disposition lgislative visant le rprimer. Il sagissait encore dun phnomne mal
connu.
Face cette situation, le lgislateur marocain se trouvait contraint denrichir le code pnal par
des dispositions susceptibles de sappliquer aux infractions commises par voie informatique
ou lectronique.
Cest ainsi que la loi n07-03 de 11 novembre 2003, compltant le code pnal en ce qui
concerne les infractions relatives aux systmes de traitement automatis des donnes
(STAD) a vu le jour en 2003.
Les intrusions ainsi que les atteintes aux systmes de traitement automatis des donnes
demeurent les plus importantes incriminations contenues dans cette loi.
1

Les intrusions:

La loi n07-03 permet de sanctionner toutes les intrusions non autorises dans un systme de
traitement automatis de donnes. Elle fait la distinction entre laccs et le maintien
frauduleux dans un STAD. En effet, deux types daccs illicites peuvent tre envisags :

Laccs dans lespace, qui consiste pntrer par effraction dans un systme
informatique (accs frauduleux).

Laccs dans le temps, qui sagit du fait doutrepasser une autorisation daccs donne
pour un temps dtermin (maintien frauduleux).

Les sanctions prvues varient selon que lintrusion a eu ou non une incidence sur le systme
en cause.
Laccs frauduleux dans un STAD
Parmi les actes rprims dans la loi n07-03, on trouve en premier lieu laccs frauduleux.
Cette infraction rsulte de larticle 607-3 du code pnal qui dispose dans sa rdaction de
2003 : le fait daccder, frauduleusement, dans tout ou partie dun systme de traitement
automatis des donnes est puni dun mois trois mois demprisonnement et de 2.000
10.000 dirhams ou de lune de ces deux peines seulement . Ds lors que le maintien ou
laccs frauduleux entrane une altration du systme, la loi marocaine prvoit un doublement
de la peine. En effet, larticle 607-3, al. 3 du Code pnal dispose La peine est porte au
double lorsquil en est rsult soit la suppression ou la modification de donnes contenues
dans le STAD, soit une altration du fonctionnement de ce systme .
Laccs au STAD peut se faire :

Depuis lextrieur du systme: ainsi, un pirate qui pntre dans un ordinateur connect
linternet tombe sous le coup de la loi.

Depuis lintrieur du systme : un salari qui, depuis son poste, pntre dans une zone
du rseau de lentreprise laquelle il na pas le droit daccder pourra tre poursuivi.

Laccs est sanctionn uniquement sil est frauduleux. Il convient ainsi, de prciser que
laccs frauduleux un STAD, tel quil a t prcis par la jurisprudence franaise, est
constitu ds lors quune personne, non habilite, pntre dans ce systme tout en sachant
tre dpourvue dautorisation, peu importe le mobile . Ce qui recouvre un grand nombre
dhypothses. Dans cette perspective, la Cour dappel de Paris a considr dans un arrt du 5
avril 1994 que laccs frauduleux, au sens de la loi, vise tous les modes de pntration
irrguliers dun systme de traitement automatis de donnes, que laccdant travaille dj sur
la mme machine mais un autre systme, quil procde distance ou quil se branche sur
une ligne de communication.

Toutefois, dans un arrt du 4 dcembre 1992, la Cour dappel de Paris a cart les dlits
daccs et de maintien dans un systme de traitement automatis de donnes informatiques en
constatant que lappropriation dun code daccs avait pu tre le rsultat dune erreur de
manipulation sur les fichiers, cette circonstance excluant le caractre intentionnel
exig par la loi. Ainsi, une intrusion accidentelle ne peut tre incrimine, encore faut-il ne pas
se maintenir dans le STAD accidentellement atteint.

Mais la prsence dun dispositif de scurit est elle une condition de lincrimination pnale ?
Si certains pays comme la Norvge et les pays bas considrent quun dispositif de scurit est
ncessaire pour punir laccs ou linterception illicite de donnes, la loi marocaine linstar
de la loi franaise, na pas apport de prcision concernant la ncessit ou lindiffrence de la
prsence de dispositifs de scurit pour la constitution du dlit daccs et de maintien
frauduleux. En France, le lgislateur na pas voulu reprendre lobligation pourtant propose
par le dput Godfrain ds 1988, ni dans la loi sur les infractions informatiques, ni lors de la
rforme du Code pnal. Cette volont a t affirme par la cour dappel de Paris en 1994 qui a
dclar : Il nest pas ncessaire pour que linfraction existe, que laccs soit limit par un
dispositif de protection, mais quil suffit que le matre du systme ait manifest lintention
den restreindre laccs aux seuls personnes autorises .
Le maintien frauduleux dans un STAD
La loi marocaine incrimine galement le maintien frauduleux dans un systme de traitement
automatis de donnes. Larticle 607-3 du code pnal marocain dispose : Est passible de la
mme peine toute personne qui se maintient dans tout ou partie dun systme de traitement
automatis de donnes auquel elle a accd par erreur et alors quelle nen a pas le droit . La
jurisprudence franaise prcise que lincrimination concerne le maintien frauduleux ou
irrgulier dans un systme de traitement automatis de donnes de la part de celui qui y est
entr par inadvertance ou de la part de celui qui, y ayant rgulirement pntr, se serait

maintenu frauduleusement. Cest sur ce fondement que la cour dappel de Paris a condamn
en 1994 les fondateurs de socits tlmatiques, les grants de centres serveurs et les
informaticiens leur service. Ils essaient de se maintenir dans des services tlmatiques au
mpris de la volont des titulaires et alors que ceux-ci tentaient dvincer les intrus par divers
moyens de surveillance.

Quant llment intentionnel de cette infraction, la doctrine et la jurisprudence saccordent

admettre que ladverbe frauduleusement nest pas le dol gnral de lattitude volontaire, ni
le dol trs spcial de lintention de nuire, mais la conscience chez le dlinquant que laccs ou
le maintien ne lui tait pas autoris. Cette prcision vise le cas du fraudeur habilit accder
une partie non autorise dun systme de traitement automatis de donnes, sy maintient en
connaissance de cause, et au cas du fraudeur qui ayant eu par hasard accs un systme
ferm, sy maintient volontairement tout en sachant quil ny a pas de droit.
Dans ce cadre, la cour dappel de Toulouse dans un arrt a prcis que le maintien pendant 45
minutes caractrisait laspect frauduleux de ce dernier. Il sagissait en lespce dun
informaticien qui, aprs son licenciement, avait conserv le code daccs au systme de son
ancien employeur, y avait accd puis sy tait maintenu, causant mme des dommages
justifiant une incrimination plus grave.
En clair, relvent de la qualification pnale toutes les intrusions intentionnelles irrgulires
(accs frauduleux), mais aussi rgulires si elles dpassent lautorisation donne (maintien
frauduleux).
2.

Les atteintes:

Les atteintes au STAD ont tendance devenir de plus en plus frquent de nos jours, que le but
soit le simple vandalisme ou bien encore, de faon plus labore, un but conomique (vol ou
altration de donnes dans le but den retirer de largent). Le lgislateur marocain a prvu des
incriminations de ces dlits dans le cadre de la loi n07-03. Il a en outre, envisag la
possibilit o ces actes malveillants touchent le systme lui-mme (atteintes au
fonctionnement) mais galement le cas o ce sont les donnes contenues par le systme qui
sont victimes de ces actes (atteintes aux donnes).
Les atteintes au fonctionnement dun STAD
Latteinte au fonctionnement dun STAD peut tre constitu de manires trs diverses, par
tout comportement ou toute action qui va entraner temporairement ou de manire permanente
une gne dans le fonctionnement du systme, une dgradation du systme voire le rendre
totalement inutilisable. Larticle 607-5 du Code pnal, insr en vertu de la loi n07-03,
dispose que Le fait dentraver ou de fausser intentionnellement le fonctionnement dun
systme de traitement automatis des donnes est puni dun an trois ans
demprisonnement et de 10.000 200.000 dirhams damende ou de lune de ces deux
peines seulement .

A la lecture de larticle 607-5, il ressort que llment matriel dune atteinte porte un
STAD lui-mme et non pas ses donnes peut provenir de lentrave ou du faussement de ce
dernier. Lexemple le plus connu de ce dlit est lattaque par dni de service qui consiste
employer de nombreux ordinateurs, pour la plupart compromis, afin de bombarder un
ordinateur cible de messages ou de demandes de connexion afin que celui-ci devienne
totalement indisponible pour les personnes souhaitant lutiliser. Au-del de ce genre
dattaques sophistiques, la jurisprudence franaise a retenu que le fait pour un employ de
changer les mots de passes daccs un systme dans le but de la rendre inutilisable pouvait
lexposer aux peines prvues pour lentrave, contrario si le refus de communiquer les mots
de passe nempche pas le bon fonctionnement du systme le dlit nest pas constitu.
Alors que lentrave a pour finalit de perturber le fonctionnement du systme, Le faussement
pour sa part consiste faire produire au systme un rsultat diffrent de celui qui tait
attendu. Il peut suffire de bloquer lappel dun programme, dun fichier ou encore daltrer
lun des lments du systme. Le plus courant tant le cas du virus qui dtruit le systme en le
rendant totalement inutilisable.
Bien videmment, pour que latteinte au fonctionnement dun STAD soit retenue, lauteur doit
avoir conscience que ses actes vont dgrader les performances dun systme voire le rendre
inoprant. Ainsi, lorsquun individu pntre dans un systme informatique sans rien faire
dautre, nous parlerons alors daccs et de maintien frauduleux et non de lentrave.
Les atteintes aux donnes
Larticle 607-6 du code pnal dispose que Le fait dintroduire frauduleusement des donnes
dans un systme de traitement automatis ou de dtriorer ou de supprimer ou de modifier
frauduleusement les donnes quil contient est puni dun an trois ans demprisonnement
et de 10.000 200.000 dirhams damende ou de lune de ces deux peines seulement .

En ralit, toute manipulation de donnes, quil sagisse de les introduire, de les supprimer, de
les modifier ou de les maquiller, provoque, en toutes circonstances, une altration du systme.
Le fait de modifier les tables dune base de donnes, de drfrencer ladresse dun serveur
Web dans les moteurs de recherche, ou encore, de dfacer un site web pour y insrer une
image indcente constituent autant datteintes vises par le texte.
Si dans le cadre de la lgislation franaise, le dlit nest constitu que si les atteintes sont
ralises avec une intention dlictueuse et hors de lusage autoris, il convient dobserver
propos de cet lment intentionnel une des rares dispositions que le lgislateur marocain na
pas emprunte la loi Godfrain. Il sagit en loccurrence de lexigence que latteinte soit
commise aux mpris des droits dautrui .

Enfin, il convient de signaler que pour tous ces dlits, que ce soit pour les intrusions (accs et
atteinte frauduleux au STAD) et pour les atteintes (atteintes au fonctionnement et atteintes aux
donnes dun STAD), la tentative est punie des mmes peines. En effet, larticle 607-8 du
code pnal dispose La tentative des dlits prvus par les articles 607-3 607-7 ci-dessus et
par larticle 607-10 ci-aprs est punie des mmes peines que le dlit lui-mme .