Accessibles depuis quelques jours, Searcher est un site qui offre aux internautes la possibilité de consulter des bases de données contenant des informations volées lors de cyberattaques récentes, comme celles de l'ANTS ou de l'assurance maladie.
Me Antoine Cheron, avocat spécialisé dans le numérique, explique que ce site pourrait être perçu comme une plateforme de recherche et d'agrégation d'informations liées à des individus. De nombreux types d'informations personnelles, telles que noms, adresses électroniques, numéros de téléphone et IBAN, y sont listés. "Sa fonction consiste à rassembler, indexer et afficher ces informations", précise-t-il.
L'apparence de la légalité
Interface soignée et facile à utiliser, Searcher a déjà attiré plus de 20 000 utilisateurs, selon son serveur Discord. Précédemment gratuit, l'accès est devenu payant en raison de l'ampleur du projet et des préoccupations sur sa sécurité. Désormais, des abonnements sont proposés, allant de 10 euros par semaine à 75 euros pour un accès à vie, payables en cryptomonnaies ou par virement bancaire.
“Cela étant”, rappelle Me Cheron, “le simple fait de proposer un modèle payant ne rend pas le service illégal. La légalité dépend de la nature du service, de l'origine des données et du respect des réglementations sur la protection des données personnelles.”
Une offre illégale à cause de l’origine des données
Ce qui rend Searcher potentiellement illégal, ce sont donc les origines douteuses des données. L'un des créateurs, sous le pseudonyme de "Zalko", a déclaré : "Nous ne faisons pas directement la cyber-attaque. Nous récupérons simplement les bases diffusées après les intrusions." Me Cheron met en avant que "le doute sur l'origine illicite des informations est pratiquement inexistant".
“On fait de notre mieux pour rester dans la légalité”, témoigne "feel", un administrateur de Searcher.
La CNIL a également commenté ce sujet, affirmant que ces services ne sont pas conformes à la législation car ils compilent des données provenant de violations. Me Cheron souligne les violations possibles, qui peuvent être définies par un recours en justice, notamment celles liées au RGPD.
Une procédure judiciaire initiée
Ce contexte a poussé la ministre déléguée au numérique à saisir la justice. Cette décision a ouvert une enquête préliminaire confiée à la police judiciaire, comme l'OCLCTIC, spécialisée dans la cybercriminalité. Le processus pourrait s'avérer long : un blocage du site pourrait être rapide, mais identifier les administrateurs, surtout s'ils sont basés à l'étranger, prendra des mois, voire des années.
Que risquent ses administrateurs ?
Les fondateurs de Searcher semblent ne pas pleinement mesurer les risques de leur action, donnant l'impression d'un opportunisme plutôt que d'une intention délictueuse. "L'argent, mister", ce sont les mots de "feel", qui a récemment quitté le projet. Me Cheron avertit que les administrateurs font face à des enjeux juridiques significatifs, surtout lorsqu'un service génère des profits à partir de données volées.
“L'hébergement à l'étranger ou l’anonymat des administrateurs n'excluent pas l'application du droit français,” souligne Me Cheron.
Que risquent les utilisateurs du site ?
Pour les utilisateurs de Searcher, plusieurs interrogations demeurent. Bien que le simple fait de payer pour un accès ne soit pas illégal, les utilisateurs peuvent se retrouver en difficulté si le site diffuse des données obtenues illégalement. Toutefois, les autorités françaises privilégient les actions contre ceux qui collectent, traitent ou diffusent ces données, plutôt que contre les utilisateurs. La nuance réside dans la connaissance du caractère illicite des données : un abonnement pour vérifier ses propres informations ne devrait pas être sanctionné. En revanche, ceux qui s'en servent pour des recherches illégales peuvent faire face à des poursuites.
En somme, Searcher illustre les enjeux entre légitimité et illégalité à une époque où les inquiétudes en matière de confidentialité ne cessent d'augmenter.
