Alors que les ransomwares défraient la chronique avec deux cyberattaques d’envergure mondiale, la question des recours ouverts aux victimes ne semble que peu abordée. Et pourtant, qu’il soit financier, opérationnel, matériel et même pourquoi pas corporel – si un ransomware peut empêcher le fonctionnement d’un centre opérationnel des services ferroviaires, rien n’empêche d’envisager l’infection d’un équipement médical – le préjudice lié à ces outils d’extorsion numérique est une réalité.
Une analyse rapide de la situation pourrait conduire à réunir les qualités de responsable et de victime au niveau de la même personne. En effet, des ransomwares tels que WannaCry paraissent utiliser une porte d’accès qui, dans la majorité des cas, aurait dû être soit contrôlée, soit purement et simplement fermée. Partant, les victimes de Wannacry qui avaient laissé cette porte ouverte sans raison pourraient être considérées comme ne devant s’en prendre qu’à elle-même. Dans le meilleur des cas, elles peuvent espérer une indemnisation de la part de leur assurance, et ce à la condition que la garantie ne soit pas conditionnée à l’absence de faute de l’assuré en termes de sécurité informatique.
Mais cette analyse est peut-être un peu rapide.
Ne peut-on pas chercher ailleurs ? du côté de l’éditeur du système d’exploitation affecté, par exemple ?
Certes, il n’existe pas de logiciels – et encore moins de systèmes d’exploitation – sans bug, et ce n’est pas parce que Windows contient des failles que la responsabilité de Microsoft peut être engagée lorsque celles-ci sont exploitées par des hackers. Encore heureux d’ailleurs, car dans le cas contraire, nous serions probablement déjà revenus aux bouliers chinois et à la machine à calculer de Pascal.
Mais la question devrait vraisemblablement être envisagée différemment s’il devait s’avérer que l’éditeur du logiciel ou du système d’exploitation, ayant une parfaite connaissance d’une faille, n’a pas tout mis en œuvre pour la colmater et prévenir ce genre d’attaques.
Or, en l’occurrence, Charles Blanc-Rolin a souligné, dans son article « On ne nous dit pas tout » du 20 juin 2017, que certains des patchs diffusés « en urgence lors de la vague « Wannacry », (…) sont en fait sortis du four au mois de février dernier ».
Est-ce qu’en ne diffusant les patchs permettant de fermer la porte d’accès de Wannacry sur un ordinateur Windows qu’à l’occasion d’un « Patch Tuesday » de juin 2017 – soit apparemment près de 4 mois après le développement de ces nouvelles mises à jour – Microsoft ne se serait pas exposé à un risque d’action en responsabilité ?
Le juriste pourrait ici aussi bien envisager une action en responsabilité pour faute que tenter un recours fondé sur le droit des produits défectueux.
Cette seconde hypothèse serait relativement facile à mettre en œuvre, puisqu’il suffirait alors de démontrer que Windows présente un défaut, c’est-à-dire que le système d’exploitation « n’offre pas la sécurité à laquelle on peut légitimement s’attendre ». Or ne peut-on légitimement s’attendre à ce qu’une faille de sécurité du système connue par l’éditeur et surtout maitrisée dès février 2017 ne soit corrigée en réalité qu’en juin 2017, après la survenue d’une cyberattaque mondiale ? Malheureusement, il semble que cette voie de recours soit peu propice au succès, faute de pouvoir assimiler un système d’exploitation à un produit (les juridictions anglaises ont en tout cas d’ores et déjà tranché en ce sens).
Reste la traditionnelle action en responsabilité pour faute. Le préjudice sera relativement aisé à démontrer et la date de fabrication des patchs destinés à corriger la faille exploitée par Wannacry pourrait conduire à retenir un retard à l’origine d’une perte de chance d’éviter le préjudice.
C’est bien joli tout cela, me direz-vous. Mais cela suppose l’application du droit français contre un éditeur américain. Devant quelle juridiction agir ? Dans quel pays ?
C’est effectivement un sujet. Un prochain sujet !
Pierre Desmarais
Pierre Lhosmot