CONCLUSION DE PC EDF

 

A Mesdames et/ou Messieurs les Président et Juges composant la 13ème Chambre correctionnelle 1ème Section du Tribunal de grande instance de Paris    
Audience du 28 septembre 2016 à 13 heures 30 Parquet n° 1113291018      
Conclusions de partie civile      
Pour : La Société EDF,      Partie civile  
    Ayant pour Avocat :     Maître Hippolyte MARQUETTY     Cabinet CHATAIN & ASSOCIES     Avocat au Barreau de Paris     2 Avenue Hoche - 75008 Paris     Tél. 01.40.53.10.10 - Fax : 01.40.53.10.20     Toque R137      
Contre :   Monsieur kloud       Prévenu  
    Ayant pour Avocat :     Maître Nicolas COURTIER       
        
En présence de : Madame ou Monsieur le Procureur de la République    
 
2   
PLAISE AU TRIBUNAL
      I. Les faits et la procédure     
1.  La société EDF a été victime de deux vagues d’attaques informatiques au cours du printemps 2011. Ces attaques visaient le site internet http://www.edf.com de l’opérateur d’énergie EDF.  
2.  Ce type d’attaque informatique, par « déni de service distribué » (également connu sous son acronyme anglais DDOS distributed denial of service), consiste à surcharger le serveur de la cible en multipliant les requêtes simultanées.   
3. Dès lors, le serveur, qui ne peut accepter qu’un certain nombre de requêtes en même temps, se retrouve encombré et dans l’impossibilité d’accepter des requêtes supplémentaires : le site internet est alors rendu inutilisable.  
4. La première attaque a eu lieu entre les 20 et 23 avril 2011. Le site www.edf.com ainsi qu’un site destiné aux particuliers (www.bleuciel.edf.com), et de nombreux sites destinés à des professionnels (www.edfpro.edf.com, www.entreprises.edf.com, www.collectivités.edf.com) ont été paralysés pendant une durée cumulée de 13h30.   
5 Le 2 mai 2011, Monsieur SABATHE, directeur de la sécurité d’EDF déposait plainte, estimant le préjudice subi par la société du fait de la première attaque à 162.000 euros. Cette estimation prenait en compte l’indisponibilité des sites du groupe, les mesures prises au niveau technique ainsi que de nombreux recours d’internautes effectués auprès du centre de relation clients d’EDF du fait de l’indisponibilité des sites internet (D16).  
6 Le 2 juin 2011, une seconde attaque, commencée à 12h50, s’est terminée à 22h40, entrainant une interruption du service pendant une durée totale d’une heure et quarante minutes (entre 17h50 et 19h00 et entre 20h30 et 21h00).  
7. Ces deux attaques ont été revendiquées par la mouvance « Anonymous » et s’inscrivaient dans le cadre d’une action d’envergure dénommée « Operation Greenrights », pensée comme un avertissement à la suite de la catastrophe survenue à la centrale nucléaire de Fukushima.  
8. En plus du site internet d’EDF en France, elle a également visé le groupe américain Général Electric, ainsi que l’opérateur d’énergie italien ENEL.  
9. Dès le 21 avril 2011, la Direction Centrale du Renseignement intérieur (DCRI) était avisée par l’agence nationale pour la sécurité des systèmes d’information du déroulement d’une attaque informatique. Les premières recherches étaient effectuées par la DCRI dans le cadre d’une enquête préliminaire.  
10 Remontant la piste des internautes français ayant annoncé et fait la promotion de ces attaques, la DCRI identifiait trois internautes susceptibles d’être liés aux attaques : Pierrick GOUJON, Nathalie FLOCH et kloud.  
11 Aucune poursuite n’a finalement été diligentée à l’encontre de Madame Nathalie FLOCH ; Monsieur Pierre GOUJON a quant à lui été mis en examen, le 26 janvier 2012, puis renvoyé devant le tribunal correctionnel, à la suite d’une ordonnance de disjonction du 7 juin 2012. Il a été condamné par la cour d’appel de Paris le 30 juin 2016 (pièce n°1).  
3  
12 S’agissant de Monsieur kloud, l’enquête a permis d’établir qu’il exploitait et gérait la chaîne de vidéos en ligne Youtube dénommée « Kloudization ».   
13 Deux vidéos en lien avec l’attaque du 2 juin 2011, diffusées sur cette chaîne, permettaient de mettre en lumière l’implication du prévenu dans cette attaque.  
14 Une première vidéo était ainsi réalisée et diffusée par Monsieur kloud, le 31 mai 2011, soit deux jours avant l’attaque. Elle avait pour objectif d’inciter les internautes à participer à l’attaque par déni de services contre le site d’EDF.  
15 Cette vidéo, intitulée « Anonymous France message à EDF », débute en effet par la présentation du nom de code de l’attaque prévue : « IRC.ANONOPS.IN OPERATIONGRENNRIGHTS », dont elle fait ainsi ouvertement la promotion. Une personne portant le masque des Anonymous lit alors un texte revendiquant les actions et valeurs de ce groupement.  
16 Une seconde vidéo, revendiquant les attaques subies par EDF, était mise en ligne le 6 juin 2011 sur la chaîne youtube « Kloudization ».  
 Le message accompagnant cette vidéo de propagande nommée « Anonymous message à EDF/ENEL » est sans équivoque :   
 « [..] Message à « edf » et « enel », principaux producteurs d’énergie.  [..] Le moment est venu de renoncer.  [..] Réagissez avant que nous ne réagissons !  [..] Attendez-vous à nous. »  
Un message appelant au ralliement apparaissait ensuite :  
 « OPERATION GREENRIGHTS JOIN US IRC.ANONOPS.LI » (D47/2)   
17 Il n’est pas contestable que la réalisation et la diffusion de ces vidéos caractérisent la participation et l’appartenance de Monsieur kloud à un groupement formé en vue de la préparation à cette attaque.  
18 Le succès d’une attaque par déni de services distribués nécessite en effet la participation simultanée de tous les internautes. En réalisant et diffusant une première vidéo, incitant les internautes à participer à l’attaque, Monsieur kloud a ainsi joué un rôle non négligeable dans la réussite de celle-ci.  
19 Monsieur kloud, prosélyte de la mouvance « Anonymous », a du reste affirmé sa totale adhésion aux attaques réalisées en diffusant, quatre jours après les faits, une seconde vidéo de revendication desdites attaques.   
20 A cet égard, il sera utilement souligné que Monsieur kloud ne s’est pas limité à encourager et promouvoir l’attaque informatique du 2 juin 2011. Il a en réalité activement participé à sa réalisation, de multiples tentatives d’accès au serveur de la société EDF, via son adresse IP ayant été relevée le jour des faits.  
21 En définitive, sa volonté, tout à la fois, de participer à l’attaque, de s’assurer de sa réussite et d’en revendiquer le succès, est clairement établie.  
22 Entendu par les services de police, le prévenu n’a d’ailleurs pas nié les agissements frauduleux qui lui sont aujourd’hui reprochés :   
4  
 -«J’ai participé aux opérations : « Grennrights » visant Général Electric, EDF, ENEL et Monsanto ; »  
 -« Ma participation a essentiellement consisté à créer des vidéos de « propagande » pour que le message circule avec un peu de style ; »  
 -« J’ai participé au DDOS liés aux opérations « Greenrights » dont les cibles « ENEL », « Monsanto » et « EDF » » (D191/2)  
23 C’est dans ces conditions qu’un non-lieu a été requis concernant l’attaque commise entre les 21 et 23 avril 2011, et que Monsieur kloud, s’agissant de l’attaque du 2 juin 2011, a été renvoyé pour avoir :  
- Entravé le fonctionnement du site internet d’EDF, - En accédant frauduleusement au serveur hébergeant ce site, et - Participé à une entente établie en vue de la préparation de cette attaque.  
24 Le tribunal déclarera le prévenu coupable des faits qui lui sont reprochés (III). Il le condamnera à indemniser le préjudice subi par la concluante (IV), après l’avoir déclarée recevable en son action (II).    
II.  La recevabilité de l’action civile de la société EDF   
25. En application de l’article 2 du code de procédure pénale, « l’action civile en réparation du dommage causé par un crime, un délit ou une contravention appartient à tous ceux qui ont personnellement souffert du dommage directement causé par l’infraction. »  
26 Il est incontestable que la société EDF a personnellement souffert de la paralysie de son site internet directement causée par l’attaque informatique commise à l’encontre du serveur hébergeant le site internet de celle-ci.  
27. L’action civile de la société EDF sera, ainsi, déclarée recevable.    
III.  L’action publique   
Les faits reprochés à Monsieur kloud 
28. Monsieur kloud a été renvoyé devant le tribunal :  
-  Pour avoir sur le territoire national, le 2 juin 2011, accédé frauduleusement a tout ou partie d’un STAD ou de s’y être maintenu frauduleusement, en l’espèce le serveur hébergeant le site internet de la société EDF (http://www.edf.com)  
Faits prévus et réprimés par les articles 323-1, 323-5 et 323-7 du Code pénal ;  
-  Pour avoir sur le territoire national, le 2 juin 2011, entravé ou faussé le fonctionnement d’un STAD, en l’espèce en participant à une attaque par déni de services distribués contre le serveur hébergeant le site internet de la société EDF (http://www.edf.com) ayant conduit à son blocage  
5  
Faits prévus et réprimés par les articles 323-&, 323-5 et 323-7 du Code pénal ;  
 Pour avoir sur le territoire national, le 2 juin 2011, participé à une entente établie en vue de la préparation de l’infraction d’entrave à un STAD, en l’espèce en réalisant et diffusant sur internet une vidéo incitant les internautes à se rallier pour commettre une attaque par déni de services distribués contre le serveur hébergeant le site internet de la société EDF (http://www.edf.com)  
Faits prévus et réprimés par les articles 323-12, 323-4 et 323 du Code pénal.  
29 Ainsi qu’il a été précédemment énoncé, le prévenu a reconnu les faits. Sa culpabilité ne fait donc pas débat.  
30. Monsieur kloud sera, ainsi, déclaré coupable des faits qui lui sont reprochés.     
IV.  Le préjudice de la société EDF   
31. Monsieur kloud n’étant renvoyé que pour la seconde attaque du 2 juin 2011, la société EDF ne peut lui réclamer la réparation du préjudice subi lors de l’attaque commise entre les 21 et 23 avril 2011, dont il n’est pas inutile toutefois de rappeler qu’il a été estimé par la société LINKBYNET, prestataire assurant l’hébergement du site EDF, à 197.000 euros (D250/2).  
32 S’agissant du préjudice matériel subi par la concluante lors de la seconde attaque en date du 2 juin 2011, il a été détaillé par Monsieur Patrick ESPAGNOL (directeur de la sécurité EDF), lors de son audition par les services de police, sur le fondement d’une analyse assurée par la société LINKBYNET, de la manière suivante (D250/2) :  
 Coût de la gestion de crise : la gestion de cette crise a nécessité en « temps homme consacré » 11,54 jours-homme. Ce qui a représenté un coût de 10.000 euros pour la société EDF,  
 Coût de l’afflux supplémentaire d’appels auprès du centre de relation clients « EDF-commerce » : de nombreux clients empêchés d’accéder au site, ont ainisi dû contacter le centre de relation clients afin d’obtenir des explications. Ce qui a représenté un surcoût de 14.000 euros pour la société EDF.  
 La société EDF est ainsi fondée à solliciter la condamnation de Monsieur kloud à payer la somme de 24.000 euros, à titre de dommages-intérêts, en réparation du préjudice matériel subi.  
33 S’agissant du préjudice moral, il sera relevé, ainsi que l’a indiqué Monsieur Patrick ESPAGNOL lors de son audition par les services de police, que (D250/2) le nombre total de visiteurs empêchés d’accéder au site s’est élevé à 3.500, le site de la société EDF ayant été rendu totalement indisponible pendant une durée cumulée de 1h30.  
Par ailleurs, les vidéos mises en ligne sur la chaîne youtube « Kloudization » appartenant à Monsieur kloud, ont totalisé un nombre de 75.297 vues en août 2011. La diffusion de ces deux vidéos dont l’une incitait les internautes à participer à l’attaque informatique et la seconde revendiquait cette offensive, a incontestablement donné une image négative de la société EDF.  
6  
On ajoutera que l’attaque en elle-même et la « propagande » associée, pour reprendre les termes du prévenu, avaient pour objectif, outre l’indisponibilité en elle-même du site internet d’EDF, de porter atteinte à la réputation de l’énergéticien français, qui était présenté comme sous la surveillance de la mouvance Anonymous.   
La société EDF est ainsi fondée à solliciter la condamnation de Monsieur kloud à payer la somme de 5.000 euros, à titre de dommages-intérêts, en réparation du préjudice moral subi.  
34. Il résulte de ce qui précède qu’il serait inéquitable de laisser à la charge de la concluante les frais qu’elle a exposés pour assurer la défense de ses intérêts dans le cadre de la présente procédure.  
35. Monsieur kloud sera, ainsi, condamné à payer la somme de 3.000 euros, au titre de l’article 475-1 du Code de procédure pénale.                                           
7  
PAR CES MOTIFS
   
Vu l’article 2 du Code de procédure pénale Vu les articles 323-1 et suivants du Code pénal    
DECLARER Monsieur kloud coupables des faits qui lui sont reprochés,  
STATUER ce que de droit quant à la répression,  
DECLARER la société EDF recevable en sa constitution de partie civile,  
CONDAMNER Monsieur kloud à payer à la société EDF la somme de 24.000 euros à titre de dommages-intérêts, en réparation du préjudice matériel subi,  
CONDAMNER Monsieur kloud à payer à la société EDF la somme de 5.000 euros à titre de dommages-intérêts, en réparation du préjudice d’image subi,  
CONDAMNER Monsieur kloud à payer à la société EDF la somme de 3.000 euros, au titre de l’article 475-1 du Code de procédure pénale,     
          SOUS TOUTES RESERVES