Free condamné pour blocage de spam destiné à ses abonnés : quand la justice complique la protection des consommateurs<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Société
Free condamné pour blocage de spam destiné à ses abonnés : quand la justice complique la protection des consommateurs
©REUTERS/Jacky Naegelen

Ils n'ont pas tout compris ...

Free condamné pour blocage de spam destiné à ses abonnés : quand la justice complique la protection des consommateurs

Pour protéger ses utilisateurs de l'inondation de spam et dans le cadre de sa politique de filtrage, Free a décidé, en juillet dernier, de bloquer à la source un flux de spam devenant trop opulent. La société émettrice a porté plainte contre Free et la justice lui a donné raison. Le spam n'a, en effet, aucune valeur juridique.

Franck DeCloquement
Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Atlantico : Free vient d'être condamné pour avoir bloqué l'envoi massif de « Spams » d'une société spécialisée. Que s'est t-il passé concrètement ? Que reproche-t-on à Free ? 

Franck DeCloquement : Comme tout à chacun le constate chaque jour, la réception massive de spams restent sur la toile mondiale une véritable plaie pour tous les internautes. Pouvant être comparés à de véritables chevaux de Troie, nous indiquions d’ailleurs dans un précédent article paru sur ATLANTICO consacré au « Spear Phishing », qu’ils sont aussi l’occasion pour les prédateurs de tous poils de pénétrer frauduleusement dans les installations informatiques des entreprises ou des particuliers, afin de s’ingénier à récupérer des informations confidentielles ou stratégiques monnayables sur la toile, pour s’en resservir après coups dans des opérations criminelles parfaitement condamnables. Des solutions technologiques existent belle et bien, comme utiliser des outils de filtrage ou de blocage via les emails clients. Mais leur efficacité réelle reste toute relative… L'idée serait alors de couper le flux amont - à la source - avant que ces messages très intrusifs et souvent dangereux ne pénètrent à flux continue, dans les boîtes mails de tous les internautes. 

Or, dans une ordonnance de référé en date du 20 janvier 2016, le tribunal de commerce de Paris a ordonné à l’opérateur Free de « débloquer » les adresses emails @free.fr de clients de la Sarl Buzzee France, que le FAI avait rendu inaccessibles pour lutter contre un spamming jugé particulièrement intrusif par le célèbre opérateur… Par ce choix technique, Free bloquait donc depuis juillet 2015 les envois d’emails à vocation publicitaire sur les adresses personnelles de ses clients… Une mesure qui a évidemment déplu à l'expéditeur de ces messages intrusifs, la société Buzee France

Cette dernière a en conséquence portée plainte auprès du tribunal de Commerce de Paris contre l’opérateur de téléphonie mobile, et a depuis obtenu gains de cause par une ordonnance de référé du 20 janvier 2016. Free a donc été condamné pour les motifs énoncés en son assignation Introductive d’instance, en date du 18 novembre 2015, au bénéfice de la Sarl Buzzee France. Une décision pouvant faire jurisprudence… Pour aller vite en besogne, on pourrait aisément en conclure que les spammeurs de nouvelle génération ont de beaux jours devant eux…

>>> A lire aussi : Alerte aux spams et nouvelles arnaques par téléphone : finis les faux mails de princes nigérians, place aux arnaques sophistiquées

Quels leviers juridiques ont pu être levés par la société émettrice pour en arriver à cette situation ?  Le "spam" ne souffre t-il pas d'un manque de cadre juridique ? Que vaut-il aux yeux de la loi ?

La problématique soulevée est en effet assez astucieuse. Et pour paraphraser les explications disponibles et compréhensibles pour le commun des mortels - sur l’excellent site juridique legalis.net - le tribunal de Paris a tout d’abord fait remarquer : « qu’aucune disposition législative ou réglementaire n’autorise l’opérateur à supprimer de sa propre initiative, et suivant ses propres critères, des messages qu’il qualifierait lui-même de « spam » et qui sont destinés à des clients d’une société ». De plus, rien dans ses conditions générales de vente n’est prévu à cet effet. Par ailleurs, l’article L. 34-5 du code des postes et télécommunications qui impose « l’opt-in » en matière de spam n’est applicable qu’aux données des personnes physiques. 

Buzzee France peut être décrite comme une société spécialisée dans l’organisation de « conférences électroniques pour les professionnels », mais aussi, dans « la gestion de courriers électroniques de masse ». En la circonstance, rien ne prouverait que Buzzee France dans cette action, s’adressait à des individus... Et quand bien même ce serait le cas, le tribunal de commerce de Paris a retenu que « la société Free n’est pas chargée de veiller au respect de ces dispositions et que, quand bien même le voudrait-elle, elle n’en a pas les moyens puisqu’elle ne peut être informée du consentement du client destinataire, ni ne peut vérifier les possibilités de révocation de ce consentement, sauf à prendre connaissance du contenu des messages qu’elle achemine, ce qui lui est interdit par l’article L32-3 du code des postes et communications électroniques ».

Le tribunal de commerce de Paris à donc poursuit en remarquant en outre que  Free ne justifiait d’aucune plainte en provenance des ses abonnés, concernant les messages émanent de la SarlBuzzee France. Celui-ci en a donc logiquement conclu que : « l’accès à un réseau et la transmission de messages par internet est un droit qui s’impose aux opérateurs de télécommunications ». Legalis.net analyse qu’en vertu de l’article D. 98-5 du code des PCE : « l’opérateur doit en effet assurer ses services sans discrimination, quelle que soit la nature des messages transmis et doit assurer leur intégrité. Le fait de les supprimer de mauvaise foi est du reste une infraction pénale en application de l’article 226-15 du code pénal ».

Pourquoi est-ce que cette question de l'envoi du Spam n'a t-elle jamais été abordée à travers un cadre législatif, alors que les problèmes engendrés par les Spam ne sont pas une nouveauté ?

L'industrie de la cyber-sécurité milite en effet puissamment pour l'adoption de nouvelles mesures et règles de protection globales, qui pourraient protéger nos boîtes mails de ces envois pernicieux pouvant être autant de chevaux de Troie mis à profit par les prédateurs informatiques. Le « DMARC » est par exemple un registre mondial qui permet aux fournisseurs et aux hébergeurs de services de distinguer les sociétés d’envois de « mailing de masse » classiques – à l’image de la société Buzzee France – des « spammeurs » patentés qui prétendent faire partie de cette même catégorie d’opérateurs, mais proviennent en réalité d'une adresse non enregistré dans ce registre identification... Toutes ces solutions semblent prometteuses sur le papier, mais comme avec plupart des réponses innovantes proposées, cela oblige aussi toutes les parties prenantes à se mettre d’accord d’emblée sur les modalités communes à adopter. Ce qui n’est pas une mince affaire et risque de s’avérer très chronophage à mettre en place, au regard du risque encouru pour toutes nos boites emails. 

Les nouveaux usages du numérique posent des défis totalement inédits en matière de cyber sécurité. Nous le rappelions il y a peu, ici même, dans les colonnes d’ATLANTICO. La dernière étude du CESIN (Le Club des experts de la sécurité de l’information et du numérique) qui a été menée par Opinionway du 8 au 22 décembre auprès de 125 membres de cette organisation et responsables de la sécurité informatique de leur entreprise, montre que l’utilisation de serveurs extérieurs « cloud » en particulier, inquiète très fortement une bonne moitié des professionnelles du secteur, pour des raisons évidentes de confidentialité des données qui y transitent. Et ceci même si 85% des entreprises s'en servent activement... 

Pas de solution miracle en vue dans les faits, dés lors qu’il est nécessaire de passer par un sous-traitant de services informatiques non sécurisés ! Dés lors, il est très difficile pour les particuliers que nous sommes, de contrecarrer des attaques informatiques de plus en plus sophistiquée, via des spams de plus en plus ciblés (spear Phishing),  avec les moyens du bord disponible dans nos foyers. D’autant plus quand les messages proviennent d’entreprises de données d'hébergement situées en France, mais qui ne sont pas incluses sur les principales  « listes noires » des hébergeurs identifiés comme « véreux ». La discrimination n’est pas aisée pour les particuliers, voir impossible. 

Pour protéger ses utilisateurs des spams envoyés par cette société, Free a choisi d'utiliser la méthode du blocage de flux à la source. Quelles autres méthodes existent ? Lesquelles sont conseillées pour protéger ses utilisateurs des spams, sans avoir de risque d'être attaqué en justice ?

Il semble ne pas y avoir de solution simpleComme chacun le sait, il est toujours très difficile pour un particulier « d’authentifier » à coup sûr, un message « entrant » qui se présente comme un email parfaitement classique… Et quand bien même, il est extrêmement difficile de se prémunir des contres-façons en la matière. Les particuliers sont jugés trop peu sensibilisés aux cyber-risques, par les spécialistes. Quand aux salariés, ils ne le sont pas assez à 41%, et très peu enclins à respecter scrupuleusement les recommandations de leur service de sécurité informatique interne à 52% comme le mettait en lumière, le dernier rapport du Club des experts de la sécurité de l’information et du numérique, le CESIN. 

Les buts induits par une usurpation de mail personnel ou une contrefaçon de mail d’entreprise « offreuse de services » peuvent être multiples : surfacturation de services en ligne non souscrits, intrusion dans le répertoire mobile de la cible, via l’activation ou le téléchargement frauduleux d’un malware (logiciel malveillant), particulièrement puissant, etc… La liste peut-être longue. 

Quoi qu’il en soit, ce manque de filtration manifeste des emails malveillants « à la source » et les paradoxes juridiques qui se font jour dans cette lutte, jettent l’opprobre sur le degré de sécurité des télécommunications et le mode de contrôle qu’offrent les fournisseurs de téléphonie mobile... Cette affaire le met une fois de plus en lumière. Mais aussi, comme le cas présent le démontre en creux, une législation qui semble trop peu au fait de l’intensification et de la sophistication de ces actions intrusives et malveillantes, via des opérateurs d’envois de « mailing de masse ». Et ceci, quand bien même les attaques crapuleuses les plus fréquentes par ces moyens détournés, sont les demandes de rançons… 

Tous les professionnels du secteur de la sécurité informatique s'attendent à une recrudescence et une intensification des attaques cette année. Ce qui obligera chacun à travailler autour des nouveaux usages du numérique et de leur utilisation frauduleuse par des criminels informatiques avertis. Mais aussi, par une multiplication des retours d’expériences entre professionnels et experts.  

Commentaires

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !