Bonne Practiques - Dépôt de plainte

En quelques mots

La victime d’une attaque informatique à la possibilité de porter plainte contre l’attaquant, même si celui-ci n’est pas connu.

La première chose à faire pour la victime est de recueillir des preuves en vue des suites judiciaires qu’elle entend donner à l’attaque dont elle a fait l’objet. Si la victime fait appel à une entreprise spécialisée pour réparer les dommages causés (par exemple afin de récupérer les fichiers détruits), le rapport de cette intervention pourra s’avérer précieux lors de la phase judiciaire. Il devra donc être le plus détaillé possible.

Preuve d’une attaque informatique

Sont considérées comme preuves d’une attaque informatique, les éléments (logs, dégâts, …) pouvant documenter les agissements illégaux de l’intrus. Pour qu’elles puissent être utilisables en justice, ces traces doivent être récupérées d’une manière spécifique. Au Luxembourg, la victime peut s’adresser à la police grand-ducale (service ‘Nouvelles technologies’). Elle peut aussi faire une “remise volontaire” des éléments à CIRCL, initiative gouvernementale dédiée à la réponse sur incident.

Étant donné que les traces laissées sur le disque dur ou dans les fichiers journal de la machine infectée sont souvent minimes, il est nécessaire de faire la sauvegarde de la mémoire de celle-ci. Lorsque vous constatez une attaque sur votre outil informatique, laissez-le allumé et demandez l’aide de CIRCL pour procéder à cette sauvegarde. C’est ce qu’on appelle une “remise volontaire” des informations ; ceux-ci pourront par la suite être recevables en justice.

Après le recueil des preuves, la victime peut envisager d’entamer des suites judiciaires. Elle a le choix entre :

  1. porter plainte et laisser au ministère public le soin de poursuivre les auteurs ;
  2. se constituer partie civile en vue d’obtenir réparation du préjudice subi ;
  3. et poursuivre elle-même les auteurs (si ceux-ci sont connus) en procédant à une citation directe.

Porter plainte

Pour porter plainte, il suffit que la victime se déplace dans un commissariat de police, ou qu’elle adresse un courrier au procureur d’État l’informant du lieu où l’infraction a été commise.

Pour l’arrondissement judiciaire de Luxembourg (cantons de Luxembourg, Capellen, Esch, Grevenmacher, Mersch et Remich):
    State Prosecutor
    Palais de Justice de Luxembourg
    B.P.15
    L-2010 Luxembourg
Pour l’arrondissement judiciaire de Diekirch (cantons de Diekirch, Clervaux, Echternach, Re-dange, Vianden et Wiltz):
    State Prosecutor
    Tribunal d’Arrondissement de Diekirch
    B.P. 164
    L-9202 Diekirch

Rédiger une plainte

La plainte doit :

  1. énoncer clairement les faits, et ce de manière chronologique ;
  2. inclure tout détail utile (par exemple qui possédait le mot de passe du système, qui a utilisé le système en dernier, etc.) ;
  3. décrire (brièvement) les dommages causés par l’attaque (par exemple perte de données, système rendu inutilisable).

Il n’est pas nécessaire à ce stade de chiffrer de manière précise le préjudice, mais il peut être utile d’inclure une estimation (en prenant soin de préciser que cette estimation est faite sous toutes réserves) par exemple sur base du temps nécessaire à la réparation du système et à la reconstitution des données endommagées.

Il n’est pas non plus nécessaire de qualifier juridiquement les faits, c’est-à-dire de préciser quelles infractions ont été commises ou quels textes sont applicables : ces tâches reviennent au Ministère Public. Le plaignant peut néanmoins mentionner l’une ou l’autre incrimination ou l’un ou l’autre texte qu’il considère applicable (en prenant soin de préciser que cette indication est faite sous toutes réserves).

Il n’est enfin pas nécessaire pour porter plainte de connaître l’identité de l’auteur de l’attaque, ni même d’avoir des soupçons sur telle ou telle personne. En vertu du principe d’opportunité des poursuites, il revient ensuite au ministère public de décider si une instruction et des poursuites doivent être initiées. Le cas échéant, le Ministère Public peut décider de classer l’affaire sans suites.

Plainte avec constitution de partie civile

La constitution de partie civile est un acte formel par lequel la victime manifeste son intention de réclamer réparation pour le dommage qu’elle a subi en relation avec une infraction. Cela peut être le cas, par exemple, lorsqu’un pirate informatique est parvenu à détruire des données sur le système informatique d’une entreprise et qu’il en est résulté un préjudice pour celle-ci. Le plaignant qui se prétend lésé par une attaque informatique et qui désire provoquer l’ouverture d’une instruction pour amener les autorités à enquêter sur les faits dont il a été la victime peut déposer un plainte avec constitution de partie civile.

La constitution de partie civile diffère du dépôt de plainte en ce que :

  1. elle a pour effet de déclencher l’action publique ;
  2. elle oblige le plaignant (c’est-à-dire, la victime) à consigner une somme que le juge d’instruction détermine, correspondant aux frais présumés de la procédure ; et
  3. si le plaignant “succombe”, c’est-à-dire n’obtient pas gain de cause, il peut se voir condamner à supporter les frais de procédure (en tout ou partie).
Article 56 du Code d’instruction criminelle: Il faut se constituer partie civile auprès du juge d’instruction.

La citation directe

La citation directe est la procédure par laquelle la victime met l’action publique en mouvement et saisit directement la juridiction de jugement. En procédant par voie de citation directe, la victime poursuit l’auteur présumé d’une infraction devant le tribunal, sans enquête ni instruction préalables du Ministère Public ou du juge d’instruction. Une conséquence pratique importante de l’absence d’instruction de l’affaire est que le plaignant doit apporter lui-même l’ensemble des preuves au tribunal. Il importe donc de préparer un dossier complet et convaincant, ce qui peut s’avérer complexe.

Évidemment, la citation directe n’est possible que lorsque l’auteur présumé de l’attaque est connu. Il est important de noter qu’il n’est plus possible de procéder par voie de citation directe lorsqu’une constitution de partie civile a déjà été effectuée.