S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Tribune libre : Le full disclosure est un délit

Sécurité vs information

Laurence Foraud, avocate inscrite au barreau de Paris spécialisée en droit pénal informatique, était intervenue lors de la Nuit du Hack afin de sensibiliser les participants sur l’épineux sujet de la révélation des failles de sécurité. Elle a rédigé et nous a transmis un article sur cette question que nous publions ci-dessous. Il fait suite à un arrêt rendu par la Cour de cassation le 29 octobre 2009 (voir notre actualité).

loupe glace enquête
La Cour de Cassation a rappelé au mois d'octobre 2009 que la révélation publique, sans motif légitime, d'une faille de sécurité était un délit en s'appuyant sur les dispositions de l'article 323-3-1 du Code pénal qui sanctionnent le fait de "mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 du Code pénal".

La Cour a en effet estimé, au regard de l'expertise du prévenu et de la nature commerciale de son site qui proposait un service de veille à ses abonnés, que le motif légitime et exonératoire de responsabilité pénale tiré de la volonté d'information du public n'était pas en l'espèce caractérisé. Qu'en d'autres termes, le prévenu avait eu l'intention d'inciter au piratage (Cass. Crim 27 octobre 2009).

Cet arrêt pose un problème car il pourrait remettre en cause la légitimité des travaux des chercheurs ou des sociétés chargées de concevoir des systèmes informatiques de veille, de sécurisation ou de défense des systèmes qui sont aujourd'hui autorisés, pour des motifs légitimes, à détenir les dispositifs visés aux termes de l'infraction.

À la lecture de l'arrêt, on peut se demander si la volonté d'informer le public ne doit pas être limitée au seul fournisseur ? Or, sans la révélation publique des failles de sécurité, ces dernières ne sont en pratique généralement jamais corrigées. Seule la publication des travaux permet de contraindre le fournisseur à corriger sa faille.

La délimitation entre la volonté d'informer le public et l'incitation au piratage est particulièrement floue dans la mesure où si une faille de sécurité est révélée au public, elle peut l'être, par voie de conséquence, en principe aussi aux pirates informatiques.

La jurisprudence déterminera sans doute de manière plus précise quels sont les critères qui devront être retenus pour que soit caractérisé ou non l'élément intentionnel de cette infraction.

La portée de cet arrêt paraît toutefois limitée dans la mesure où deux directives européennes n° 2009/140/CE et n° 2009/136/CE, qui doivent être transposées en France avant le 25 mai 2011, vont obliger notamment les FAI à notifier leurs failles de sécurité et que le Sénat a adopté le 23 mars dernier une proposition de loi visant à obliger les Sociétés françaises à notifier à la CNIL ainsi qu'aux intéressés les violations des données à caractère personnel.

Laurence Foraud
Marc Rees

Journaliste, rédacteur en chef

Publiée le 02/07/2010 à 14:38

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 138 commentaires

Avatar de Zed-K INpactien
Zed-K Le vendredi 2 juillet 2010 à 14:49:48
Inscrit le vendredi 20 avril 07 - 7689 commentaires
Vous vous souvenez des commentaires sur la news de l'"Hadopi Web Filter" à 199€ y'a 2 semaines ?

mega.gif En taule les INpactiens ! (moi compris )
Avatar de Kostadinov INpactien
Kostadinov Le vendredi 2 juillet 2010 à 14:51:44
Inscrit le samedi 7 novembre 09 - 3198 commentaires
Seule la publication des travaux permet de contraindre le fournisseur à corriger sa faille.


y'a pas des voies pour le faire dans l'anonymat ?

edith: je pense au canard enchainé, ils marchent un peu comme ça avec la politique non ?

Edité par Kostadinov le vendredi 2 juillet 2010 à 14:52
Avatar de mimoza INpactienne
mimoza Le vendredi 2 juillet 2010 à 14:54:02
Inscrite le mardi 9 mars 04 - 4117 commentaires
Tout le mon de il est beau tout le monde il est joli ...
Il n'existe aucune faille de sécurité puisque personne n'en plubli ...


faudrais arrêter de faire l'autruche, la pente et glissante et la prochaine étape est d'interdire la publication des sources des logiciel car on peut y découvrir les failles (cf. JVachez)
Avatar de CUlater INpactien
CUlater Le vendredi 2 juillet 2010 à 14:55:53
Inscrit le jeudi 17 juin 10 - 1603 commentaires
Ah la Nuit du Hack...

Quand les hautes instances comprendront un jour qu'on peut être hacker pour le bien de la sécurité informatique.
Avatar de beber_1 INpactien
beber_1 Le vendredi 2 juillet 2010 à 14:57:49
Inscrit le jeudi 13 septembre 07 - 16176 commentaires

faudrais arrêter de faire l'autruche, la pente et glissante et la prochaine étape est d'interdire la publication des sources des logiciel car on peut y découvrir les failles (cf. JVachez)



un visionnaire


Il y a 138 commentaires

;