Tribune libre : Le full disclosure est un délit

Sécurité vs information 138
Laurence Foraud, avocate inscrite au barreau de Paris spécialisée en droit pénal informatique, était intervenue lors de la Nuit du Hack afin de sensibiliser les participants sur l’épineux sujet de la révélation des failles de sécurité. Elle a rédigé et nous a transmis un article sur cette question que nous publions ci-dessous. Il fait suite à un arrêt rendu par la Cour de cassation le 29 octobre 2009 (voir notre actualité).

loupe glace enquête
La Cour de Cassation a rappelé au mois d'octobre 2009 que la révélation publique, sans motif légitime, d'une faille de sécurité était un délit en s'appuyant sur les dispositions de l'article 323-3-1 du Code pénal qui sanctionnent le fait de "mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 du Code pénal".

La Cour a en effet estimé, au regard de l'expertise du prévenu et de la nature commerciale de son site qui proposait un service de veille à ses abonnés, que le motif légitime et exonératoire de responsabilité pénale tiré de la volonté d'information du public n'était pas en l'espèce caractérisé. Qu'en d'autres termes, le prévenu avait eu l'intention d'inciter au piratage (Cass. Crim 27 octobre 2009).

Cet arrêt pose un problème car il pourrait remettre en cause la légitimité des travaux des chercheurs ou des sociétés chargées de concevoir des systèmes informatiques de veille, de sécurisation ou de défense des systèmes qui sont aujourd'hui autorisés, pour des motifs légitimes, à détenir les dispositifs visés aux termes de l'infraction.

À la lecture de l'arrêt, on peut se demander si la volonté d'informer le public ne doit pas être limitée au seul fournisseur ? Or, sans la révélation publique des failles de sécurité, ces dernières ne sont en pratique généralement jamais corrigées. Seule la publication des travaux permet de contraindre le fournisseur à corriger sa faille.

La délimitation entre la volonté d'informer le public et l'incitation au piratage est particulièrement floue dans la mesure où si une faille de sécurité est révélée au public, elle peut l'être, par voie de conséquence, en principe aussi aux pirates informatiques.

La jurisprudence déterminera sans doute de manière plus précise quels sont les critères qui devront être retenus pour que soit caractérisé ou non l'élément intentionnel de cette infraction.

La portée de cet arrêt paraît toutefois limitée dans la mesure où deux directives européennes n° 2009/140/CE et n° 2009/136/CE, qui doivent être transposées en France avant le 25 mai 2011, vont obliger notamment les FAI à notifier leurs failles de sécurité et que le Sénat a adopté le 23 mars dernier une proposition de loi visant à obliger les Sociétés françaises à notifier à la CNIL ainsi qu'aux intéressés les violations des données à caractère personnel.

Laurence Foraud
Publiée le 02/07/2010 à 14:38
Marc Rees

Journaliste, rédacteur en chef

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité