Matthew Keys, le 23 février 2013 avec son avocat. | Rich Pedroncelli / AP

Le journaliste Matthew Keys a été condamné mercredi 13 avril à deux ans de prison pour avoir, notamment, fourni un identifiant et un mot de passe donnant accès au système de publication du Los Angeles Times à un tiers, dont ce dernier s’est servi pour modifier pendant quelques minutes le titre d’un article.

M. Keys travaillait pour une petite chaîne de télévision appartenant au même groupe de presse que le quotidien de Los Angeles, jusqu’à son départ dans des conditions houleuses, en 2010.

Un article modifié pendant quarante minutes

Il a également été condamné pour avoir utilisé ses identifiants informatiques pour se rendre dans le système interne de cette chaîne de télévision, y avoir téléchargé une liste d’adresses courriels de téléspectateurs, et de l’avoir utilisée pour diffuser des messages hostiles à son ex-employeur. Il a aussi été reconnu coupable d’avoir accédé à ce système interne pour perturber le travail de la personne qui lui avait succédé.

Dans une discussion instantanée avec des internautes se réclamant de la mouvance Anonymous, M. Keys a fourni à l’un des participants un identifiant et un mot de passe et l’a encouragé à perturber le fonctionnement de plusieurs titres du groupe. M. Keys nie toutes les accusations.

Un article intitulé « Pression accrue au Parlement pour le vote de réductions d’impôt » a été renommé « Pression accrue au Parlement pour l’élection de CHIPPY 1337 ». Quarante minutes se sont écoulées avant qu’un journaliste du Times ne découvre la manipulation et que tout rentre dans l’ordre. L’internaute à l’origine de cette manipulation n’a jamais été inquiété. A l’inverse de M. Keys, qui a été condamné en vertu de la loi fédérale contre le piratage.

« Cette sentence est un avertissement : ceux qui se livrent à ce genre de comportements risquent des peines lourdes », s’est réjoui Tom Osborne, du FBI. Dans un communiqué, le procureur chargé de l’affaire a expliqué que « même s’il n’a pas causé de dommages durables, M. Keys a interféré avec l’activité d’un média, et l’a contraint à dépenser des milliers de dollars pour protéger ses serveurs » :

« Ceux qui utilisent Internet pour conduire des vendettas personnelles à l’encontre de leurs anciens employeurs doivent savoir que leur comportement a des conséquences. »

M. Keys, lui, entend faire appel :

« Je suis innocent, et j’espère que nous pourrons faire des progrès en appel. Je suis en colère contre ce verdict, mais optimiste sur les chances de l’appel. Nous n’allons pas seulement inverser le verdict, mais changer cette loi informatique absurde. »

Le débat sur la législation relancé

Cette affaire, comme celle d’Aaron Swartz il y a quelques années, relance en effet le débat sur le principal texte fédéral en matière de piratage informatique, le Computer Fraud and Abuse Act (CFAA), ainsi que la manière dont les procureurs l’appliquent, parfois de manière très agressive.

« Cette affaire souligne à quel point les crimes sont punis plus durement quand ils sont commis dans l’espace numérique que lorsqu’ils sont dans le monde physique », a réagi l’Electronic Frontier Foundation (EFF), une organisation non gouvernementale de défense des internautes très en pointe dans le combat pour la réforme du CFAA.

L’annonce de la condamnation a suscité de nombreuses réactions indignées. « Goldman [Sachs] détruit l’économie, trouve un accord avec les Etats-Unis pour 5 milliards, personne n’est tenu responsable. Pourtant [Matthew Keys] est condamné à deux ans de prison », a par exemple tweeté un journaliste américain. Edward Snowden lui-même a réagi sur son compte Twitter. « Deux ans pour un défacement de quarante minutes » a noté le lanceur d’alerte.

Comme le note le New York Magazine, le CFAA semble inadapté à la réalité de la criminalité informatique : il réprime en effet « l’accès non autorisé » à un système informatique, des termes vagues qui mettent dans le même sac des pratiques très différentes. Si cela peut s’appliquer à un piratage « classique », l’EFF relève que la simple violation des conditions d’utilisation d’un site Internet a aussi été considérée par certains procureurs comme pouvant être punie dans le cadre du CFAA.