La Cour de cassation souligne que l’éditeur d’un logiciel de caisse permettant de truquer le chiffre d’affaires ne peut faire l’objet d’une condamnation lorsque ces manipulations sont le fait de l’utilisateur autorisé.
Le 7 décembre 2010, l’administration fiscale porte plainte contre Alliance software et Alliadis. La première a développé un logiciel de gestion pour les pharmaciens et la seconde a assuré sa commercialisation. Elle reproche surtout aux deux entités d’avoir proposé « sans motif légitime des moyens spécialement adaptés pour commettre une atteinte frauduleuse à un système de traitement automatisé de données ».
Selon l’administration fiscale, le logiciel permettait, après saisie d’un mot de passe administrateur, d’annuler des recettes, sans trace informatique, pourvues qu’elles ne soient pas liées à une prescription médicale, et avant qu’elles ne soient arrêtées comptablement.
Le 11 janvier 2014, le procureur de la République ouvre une information judiciaire contre personne non dénommée. Elle s’appuie sur deux dispositions de la loi Godfrain sur le piratage informatique, les articles 323-3-1 et 323-3 du Code pénal. Ils répriment en substance la fourniture d’un programme calibré pour effectuer un piratage informatique tout en réprimant le fait d’introduire frauduleusement des données dans le système de traitement.
Pas de piratage en cas de droits d'accès et de modification de données
Après un échec en appel, l’administration fiscale a formé un pourvoi en cassation. En vain, la Cour de cassation a elle aussi rejeté leur recours, comme l’a relevé Me Bernard Lamon. Pourquoi ? Le logiciel permettait finalement à son propriétaire de faire disparaître des données relatives à des paiements en espèces.
Or, « les atteintes aux systèmes de traitement automatisé de données prévues aux articles 323-1 à 323-3 du Code pénal ne sauraient être reprochées à la personne qui, bénéficiant des droits d’accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d’éventuels autres utilisateurs du système ».
Dit autrement, il n’était pas possible de reprocher à Alliance software et Alliadis l’une des infractions en cause, puisque le fait de piratage informatique n’a pu être caractérisé, l’introduction des données étant effectuée par les propriétaires du logiciel.
Commentaires (30)
#1
Et quid de la certification du logiciel de caisse qui ne doit permettre aucune altération ? (Tout en étant bien sûr backupable)
#2
Il a vraiment fallu aller jusqu’en cassation pour comprendre qu’utiliser des droits d’administration quand on est administrateur, ce n’est pas du piratage ?!
#3
C’est surtout l’administration qui n’a rien voulu lacher et qui a tenter tous les recours en vain d’ailleurs.
#4
Je ne sais plus s’il y avait de la jurisprudence, mais la doctrine a toujours défini le motif légitime permettant d’intervenir sur le STAD (système de traitement automatisé de données) comme étant la volonté ou l’autorisation du propriétaire du STAD, outre naturellement l’ordre de la Loi ou afin de respecter un demande de la Justice. Certains envisagent encore le fait d’intervenir pour colmater une faille dans l’urgence même en cas d’absence d’autorisation du propriétaire (mais je n’ai pas souvenir que ça a été reconnu pas la jurisprudence).
Curieux que l’administration fiscale monte jusqu’à la Cour de cassation pour se l’entendre dire, elle ne pouvait que finir “fanny sous le baby”.
C’est plus curieux encore en sachant que les dits propriétaires pouvaient être poursuivis au titre de la fraude dont ils se rendaient coupables.
#5
Donc si demain un quidam supprime des dossiers sensibles sur le réseau via ses propres accès, il ne peut être tenu pour piratage de données.
effectivement … donc la raison de la plainte est ko.
#6
si ce sont ses accès, c’est une faute professionnelle, pas un piratage …
si c’est un accès frauduleux ben … c’est là qu’est le piratage “source”
#7
#8
#9
Une collègue a été formatrice sur un logiciel de pharmacie il y a des années…. elle m’expliquait qu’à l’époque :
Bref….
#10
Un avocat fiscaliste m’avait dit que l’administration fiscale avait attaqué des pharmaciens pour fraude à la suite de cette affaire.
Le fisc avait beaucoup spéculé sur le montant de la fraude mais cet avocat me disait que le résultat avait été bien moindre qu’espéré.
#11
#12
#13
Tant que le stockage des informations n’est pas implémenté en mode blockchain (ce qui reste assez récent), où toute altération du passé est impossible sans se faire remarquer, de tels changements peuvent être faits en trafiquant la base de données (directement, ou indirectement si elle est juste en mode INSERT sans UPDATE).
#14
Je suppose que l’administration voulait d’une part traiter le cas des pharmaciens fraudeurs via les lois fiscales, mais voulait d’autre part mener une action pour dissuader les fournisseurs de logiciels de fournir les fonctionnalités de fraude, ce qui il faut le reconnaitre n’est pas très respectueux de l’esprit de la loi fiscale.
L’angle d’attaque de piratage est surprenant, j’aurais plus imaginé qu’on les accuse de complicité de fraude fiscale ou quelque-chose du genre. Mais ce n’est peut-être pas possible juridiquement.
Je suppose que l’étape suivante sera d’ajouter un article de loi punissant sévèrement la fourniture de logiciels comptable fournissant des fonctions de ce type, afin que les suivants ne passent pas entre les gouttes.
#15
#16
Des développements sur le sujet ont déjà lieu, un ami avait lancé une startup sur le sujet il y a 2-3 ans avant de se faire doubler par son associé.
#17
C’est pas avant tout pour pouvoir virer les entrées faites par erreur que cette fonction existe ? C’est suffisant pour justifier son existence… d’ailleurs, dans les magasins, il faut une clef physique souvent pour faire ça, justement pour éviter d’en abuser.
#18
Une correction d’erreur honnête devrait laisser des traces (action erronée + correction), pas effacer toute trace de l’action initiale.
#19
Le souci c’est que c’est programmé pour ne laisser aucune trace.
#20
#21
Tous les logiciels métiers que je connais (proprio) ne laissent pas accès à la base de données. L’administrateur de cette base est l’éditeur et y faire des requêtes est payant.
J’ai même vu un éditeur avoir la main sur les sauvegardes et sur le matériel. Donc impossibilité pour le client de quitter l’éditeur de quelques manières que se soit.
Bref, devant la tendance du marché à la location des logiciels, une certification est bien suffissante. Si tous les utilisateurs avaient le code source, cela serait autre chose.
#22
Non c’est faux, tu peux parfaitement implémenter un hash pour contrôler que les entrées n’ont pas été altérées.
Ex:
Si chaque ligne contient un HASH de son propre contenu, tu ne pourras pas frauder (en tout cas facilement) :
C’est une solution parmi tant d’autres, une autre piste est de stocker toute insertion à distance: les modifs local ne correspondent plus à l’état distant.
Bref il y’a de nombreuses façon de faire un soft sécurisé, et rien n’est complètement fiable (même une blockchain peut-être falsifiée il “suffit” de contrôler plus de la moitié des nœuds pour pouvoir invalider des transactions )
#23
Quand je parle de blockchain c’est davantage dans l’esprit d’un dépôt Git, où chaque opération sur le contenu est identifiée par un hash en partie basé sur l’opération précédente, permettant d’avoir à un seul endroit les données et ce qui les vérifie (pas “les certifie”, ce qui serait sans doute nécessaire à terme, mais qui gèrerait les clés ?).
Certes dans l’exemple que je cite il est possible d’altérer le passé d’un dépôt, au prix de la perte d’intégrité des références (un commit intact situé après le point de modification, référencé par son hash dans du ticketing, n’existera plus sous le même hash et donc le lien sera pété) et de la synchronisation des différentes instances, mais ça reste plus difficilement falsifiable que de modifier un hash dans une autre table.
#24
Je me souviens juste que la plus grande crainte des pharmaciens était une condamnation touchant leur casier judiciaire et entrainant de facto une inderdiction d’excercer. Les pharmaciens doivent un casier judicaire vierge.
#25
Je n’y connais rien en BDD mais en pharmacie les éditeurs savent récupérer la BDD d’un logiciel concurrent, et ça ne pose aucun problème pratique. J’imagine donc que ces BDD sont dans des formats standards. Légalement les données de l’officine appartiennent à l’officine, et si la sauvegarde est délocalisée chez l’éditeur, alors celui-ci doit avoir le statut d’hébergeur de données de santé.
#26
Tu as raison.
Ce verrouillage de la base de données n’existent dans les logiciels de gestions d’officine, ce sont souvent des base SQL +/- accessibles.
Source:https://tel.archives-ouvertes.fr/tel-01078999
#27
Enfin, une escroquerie ou un vol peuvent être supprimés du bulletin B2 du casier judiciaire. Et comme l’impossibilité d’exercice de la profession de pharmacien nécessite la consultation du bulletin B2, il suffit de motiver la demande auprès du juge avant la prononciation de la peine ou de le contacter une fois la peine établie. Cela n’empêchera pas que la condamnation figurera toujours au B1 mais elle ne sera plus/pas présente au B2 et donc également au B3
#28
Par contre, ce que j’aime bien dans la décision de la cour de cassation, c’est que les éditeurs de logiciels ne sont pas responsables des manipulations effectuées par l’utilisateur autorisé, mais qui a montré la procédure à ces utilisateurs enregistrés et qui ne bloque pas ce genre de pratique ou tout au moins pourrait permettre de conserver une trace de ces changements ? C’est bien le concepteur du logiciel.
Donc au final, le logiciel peut être modifié, tout le monde sait que c’est possible, les clients de ces sociétés de logiciel demandent aux commerciaux les procédures pour enlever certaines opérations et s’ils ne s’exécutent pas, les clients vont voir ailleurs mais au final, il n’y a pas de responsabilité du concepteur de logiciel.
De toutes façons, je ne comprends pas l’attitude de l’administration fiscale contre les pharmacies, mis à part vouloir faire jurisprudence pour ainsi s’en prendre aux boulangeries, bars, etc. car les pharmacies doivent obligatoirement acheter leurs médicaments auprès de répartiteurs et il est donc facile de connaitre les quantités de médicaments qui ont été livrés à la pharmacie
#29
#30
Dans le domaine, ce n’est pas vraiment des palettes de médocs qui sont offertes mais des voyages tout frais payés, des prêts financiers pour rénover la boutique mais rarement des médicaments