Tribune libre : Le full disclosure est un délit
Sécurité vs information
Laurence Foraud, avocate inscrite au barreau de Paris spécialisée en droit pénal informatique, était intervenue lors de la Nuit du Hack afin de sensibiliser les participants sur l’épineux sujet de la révélation des failles de sécurité. Elle a rédigé et nous a transmis un article sur cette question que nous publions ci-dessous. Il fait suite à un arrêt rendu par la Cour de cassation le 29 octobre 2009 (voir notre actualité).
La Cour de Cassation a rappelé au mois d'octobre 2009 que la révélation publique, sans motif légitime, d'une faille de sécurité était un délit en s'appuyant sur les dispositions de l'article 323-3-1 du Code pénal qui sanctionnent le fait de "mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 du Code pénal".
La Cour a en effet estimé, au regard de l'expertise du prévenu et de la nature commerciale de son site qui proposait un service de veille à ses abonnés, que le motif légitime et exonératoire de responsabilité pénale tiré de la volonté d'information du public n'était pas en l'espèce caractérisé. Qu'en d'autres termes, le prévenu avait eu l'intention d'inciter au piratage (Cass. Crim 27 octobre 2009).
Cet arrêt pose un problème car il pourrait remettre en cause la légitimité des travaux des chercheurs ou des sociétés chargées de concevoir des systèmes informatiques de veille, de sécurisation ou de défense des systèmes qui sont aujourd'hui autorisés, pour des motifs légitimes, à détenir les dispositifs visés aux termes de l'infraction.
À la lecture de l'arrêt, on peut se demander si la volonté d'informer le public ne doit pas être limitée au seul fournisseur ? Or, sans la révélation publique des failles de sécurité, ces dernières ne sont en pratique généralement jamais corrigées. Seule la publication des travaux permet de contraindre le fournisseur à corriger sa faille.
La délimitation entre la volonté d'informer le public et l'incitation au piratage est particulièrement floue dans la mesure où si une faille de sécurité est révélée au public, elle peut l'être, par voie de conséquence, en principe aussi aux pirates informatiques.
La jurisprudence déterminera sans doute de manière plus précise quels sont les critères qui devront être retenus pour que soit caractérisé ou non l'élément intentionnel de cette infraction.
La portée de cet arrêt paraît toutefois limitée dans la mesure où deux directives européennes n° 2009/140/CE et n° 2009/136/CE, qui doivent être transposées en France avant le 25 mai 2011, vont obliger notamment les FAI à notifier leurs failles de sécurité et que le Sénat a adopté le 23 mars dernier une proposition de loi visant à obliger les Sociétés françaises à notifier à la CNIL ainsi qu'aux intéressés les violations des données à caractère personnel.
Laurence Foraud
La Cour a en effet estimé, au regard de l'expertise du prévenu et de la nature commerciale de son site qui proposait un service de veille à ses abonnés, que le motif légitime et exonératoire de responsabilité pénale tiré de la volonté d'information du public n'était pas en l'espèce caractérisé. Qu'en d'autres termes, le prévenu avait eu l'intention d'inciter au piratage (Cass. Crim 27 octobre 2009).
Cet arrêt pose un problème car il pourrait remettre en cause la légitimité des travaux des chercheurs ou des sociétés chargées de concevoir des systèmes informatiques de veille, de sécurisation ou de défense des systèmes qui sont aujourd'hui autorisés, pour des motifs légitimes, à détenir les dispositifs visés aux termes de l'infraction.
À la lecture de l'arrêt, on peut se demander si la volonté d'informer le public ne doit pas être limitée au seul fournisseur ? Or, sans la révélation publique des failles de sécurité, ces dernières ne sont en pratique généralement jamais corrigées. Seule la publication des travaux permet de contraindre le fournisseur à corriger sa faille.
La délimitation entre la volonté d'informer le public et l'incitation au piratage est particulièrement floue dans la mesure où si une faille de sécurité est révélée au public, elle peut l'être, par voie de conséquence, en principe aussi aux pirates informatiques.
La jurisprudence déterminera sans doute de manière plus précise quels sont les critères qui devront être retenus pour que soit caractérisé ou non l'élément intentionnel de cette infraction.
La portée de cet arrêt paraît toutefois limitée dans la mesure où deux directives européennes n° 2009/140/CE et n° 2009/136/CE, qui doivent être transposées en France avant le 25 mai 2011, vont obliger notamment les FAI à notifier leurs failles de sécurité et que le Sénat a adopté le 23 mars dernier une proposition de loi visant à obliger les Sociétés françaises à notifier à la CNIL ainsi qu'aux intéressés les violations des données à caractère personnel.
Laurence Foraud
Le 2 juillet 2010 à 14:38
(25 173
lectures)
Il y a 138 commentaires
INpactien
Vous vous souvenez des commentaires sur la news de l'"Hadopi Web Filter" à 199€ y'a 2 semaines ? 
En taule les INpactiens ! (moi compris )
En taule les INpactiens ! (moi compris )
INpactien
Kostadinov
Le vendredi 2 juillet 2010 à 14:51:44
#2
Inscrit
le samedi 7 novembre 09
-
3115
commentaires
Seule la publication des travaux permet de contraindre le fournisseur à corriger sa faille.
y'a pas des voies pour le faire dans l'anonymat ?
edith: je pense au canard enchainé, ils marchent un peu comme ça avec la politique non ?
Edité par Kostadinov le vendredi 2 juillet 2010 à 14:52
INpactienne
Tout le mon de il est beau tout le monde il est joli ...
Il n'existe aucune faille de sécurité puisque personne n'en plubli ...
faudrais arrêter de faire l'autruche, la pente et glissante et la prochaine étape est d'interdire la publication des sources des logiciel car on peut y découvrir les failles (cf. JVachez)
Il n'existe aucune faille de sécurité puisque personne n'en plubli ...
faudrais arrêter de faire l'autruche, la pente et glissante et la prochaine étape est d'interdire la publication des sources des logiciel car on peut y découvrir les failles (cf. JVachez)
INpactien
Ah la Nuit du Hack... 
Quand les hautes instances comprendront un jour qu'on peut être hacker pour le bien de la sécurité informatique.
Quand les hautes instances comprendront un jour qu'on peut être hacker pour le bien de la sécurité informatique.
INpactien
beber_1
Le vendredi 2 juillet 2010 à 14:57:49
#5
Inscrit
le jeudi 13 septembre 07
-
16176
commentaires
faudrais arrêter de faire l'autruche, la pente et glissante et la prochaine étape est d'interdire la publication des sources des logiciel car on peut y découvrir les failles (cf. JVachez)
un visionnaire
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
Il y a 138 commentaires
-
![[MàJ] Quand Google cache des poneys dans...](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
[MàJ] Quand Google cache des poneys dans Hangouts, mais pas que...
(17)
Poney, aime -
CUDA-Z : tout savoir de votre GPU NVIDIA sous Linux, OS X ou Windows
(7)
Et même quelques benchs -
CPU-Z 1.64 et HWMonitor 1.22 sont de sortie
(0)
Il faut dire qu'il fait soleil aujourd'hui -
Adobe Reader Touch pour Windows 8 peut enfin imprimer
(3)
Une meilleure version que la classique
![[MàJ] Quand Google cache des poneys dans...](http://static.pcinpact.com/images/bd/dedicated/79789.jpg)
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable jusqu'au 20 mai -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable jusqu'au 20 mai
