Protection des lanceurs d’alerte de sécurité : retour de l'amendement Bluetouff

Protection des lanceurs d’alerte de sécurité : retour de l’amendement Bluetouff

Ça sent toujours le Sapin

Avatar de l'auteur
Marc Rees

Publié dans

Droit

20/09/2016 4 minutes
19

Protection des lanceurs d’alerte de sécurité : retour de l'amendement Bluetouff

À l’occasion de la nouvelle lecture du projet de loi Sapin 2, Nathalie Kosciusko-Morizet tente (encore) de protéger les lanceurs d’alerte en sécurité informatique. Une disposition plusieurs fois rejetée dans le passé.

Après un échec en commission mixte paritaire, le projet de loi sur la transparence, la lutte contre la corruption et la modernisation de la vie économique sera examiné demain en commission des lois. À cette occasion, la députée LR a redéposé un amendement qu’elle n’avait pu faire passer lors de précédents épisodes parlementaires, celui du projet de loi Lemaire et même de ce projet de loi Sapin 2, en première lecture.

Le principe de son initiative est simple sur le papier : à ce jour, celui qui s’introduit ou se maintient sans droit dans un système informatique encourt jusqu’à deux ans de prison et 60 000 euros d’amende. Une infraction prévue à l’article 323-1 du Code pénal (alinéa 1).  

Protéger les sentinelles de la sécurité informatique

Afin de protéger « les sentinelles » de la sécurité informatique, NKM compte leur faire bénéficier d’un pare-feu juridique. La personne qui a tenté de commettre ou même commis « ce délit de bonne foi est exemptée de poursuites si, ayant averti immédiatement l’autorité administrative ou judiciaire, ou le responsable du système de traitement automatisé de données en cause, elle a permis d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ».

Plusieurs conditions, donc : la démonstration de la bonne foi du lanceur d’alerte. Une alerte immédiate adressée aux autorités ou au responsable du système poreux. Enfin une intervention utile, ayant permis d’éviter l’exploitation d’une faille future.

Tout cela cumulé évincerait les poursuites et donc tout procès ultérieur. Pour justifier cette rustine, l’élue s’appuie à nouveau sur l’affaire Tati vs Kitetoa de 2002, l’arrêt Zataz de 2009 et évidemment l’arrêt Bluetouff de 2015 où notre confrère a été condamné pour piratage informatique d’un système mal sécurisé.

Autant d’affaires qui, d’après NKM, ont ouvert le risque « de dissuader ceux qui découvrent des failles de les signaler aux responsables informatiques, par peur de poursuites judiciaires ». Or, « sans lanceurs d’alerte, les sites mal protégés resteraient alors plus longtemps vulnérables face à des internautes mal intentionnés. »

À ceux qui opposeraient que ce texte permettrait à « un hacker malveillant de rechercher l’impunité en envoyant un avertissement après avoir commis des actes hostiles contre le système d’information ou après avoir volé des informations », la députée rappelle que son exemption ne couvre que l’accès ou le maintien dans le système. « Les éventuelles modifications, altérations, soustractions d’informations, introductions frauduleuses de données ou de virus, attaques en déni de service… constituent des infractions distinctes, réprimées par d’autres articles du Code pénal (principalement 323-2 et suivants) et ne sont pas concernées ». 

Le projet de loi Lemaire et le rôle attendu de l'ANSSI

Rappelons que dans la future loi Numérique, après avoir envisagé un temps une exemption des peines (et donc pas des poursuites), le texte actuel met désormais l’ANSSI dans la boucle. Comme on peut le voir à l’article 20 septies, lorsque l'Agence nationale de sécurité des systèmes informatiques sera informée de l’existence d’une faille, elle n’aura plus l’obligation de dénoncer le nom de son inventeur à la justice.

Une mesure normalement obligatoire en vertu de l’article 40 du Code de procédure pénale. La personne devra néanmoins être de bonne foi, et devra avoir eu l’élégance de ne pas rendre publique cette information ailleurs.

Cette mesure est cependant bien moins musclée que l’amendement NKM, puisque dans le projet de loi Lemaire, celui qui alerte l’ANSSI pourra toujours être poursuivi par le responsable du système visité illégalement.

19

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Protéger les sentinelles de la sécurité informatique

Le projet de loi Lemaire et le rôle attendu de l'ANSSI

Commentaires (19)


Il est compatible aptx ce Bluetouff ?




si[…]elle a permis d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système





Donc comme dans 80% des cas ces alertes restent lettre morte, finalement ça ne change rien….


mouais.

à mon avis ça dépend de la boite en question, si elle a des gens qui comprennent de quoi ça parle.


“Cette mesure est cependant bien moins musclée que l’amendement NKM,

puisque dans le projet de loi Lemaire, celui qui alerte l’ANSSI pourra

toujours être poursuivi par le responsable du système visité

illégalement.”



C’est pas demain qu’on aura des lanceurs d’alerte.


c’est tout le problème.

le législateur considère les hackers comme des nuisibles par défaut, ce qui le pousse à proposer des législations totalement inapplicables, comme dans le projet de loi Lemaire: qui va aller prévenir l’ANSSI alors qu’il risque d’être poursuivi à côté?

à moins de prendre des précautions pour ne pas être identifié…



tous ces mecs qui sortent du cadre (“vous avez fait des études”?) sont considérés comme des gueux potentiellement dangereux, tout simplement.


Je ne vois pas en quoi cette proposition concerne l’affaire Bluetouff: apparement, il n’a pas contacté l’administration mais essayer de proposer les fichiers à des journalistes avant de le proposer sur son site !



http://www.maitre-eolas.fr/post/2014/02/07/NON%2C-on-ne-peut-pas-%C3%AAtre-conda…

En cliquant sur le lien généré par Google, il réalise très vite qu’il est dans l’extranet de l’Agence, et peut accéder sans problème à des quantités de documents internes portant sur la santé publique. Il télécharge près de 8 Go de données et après les avoir en vain proposé à des journalistes spécialisés, prend l’initiative de publier des articles se reposant sur ces données. C’est un de ces articles qui va attirer l’attention de l’ANSES qui va réaliser qu’il s’agit là de documents internes censés être confidentiels








murlock a écrit :



Je ne vois pas en quoi cette proposition concerne l’affaire Bluetouff: apparement, il n’a pas contacté l’administration mais essayer de proposer les fichiers à des journalistes avant de le proposer sur son site ! 





Surtout qu’une requête Google n’est pas un hack.



Sinon, pénaliser white/grey hats, c’est laisser la porte grande ouverte aux mecs moins bien intentionnés. Le jour où les lois auront moins de 20 ans de retard sur leur époque n’est pas pour aujourd’hui.



Petite faute de frappe : Tati vs Kiteta > Tati vs Kitetoa


Justement quel est le status juridique des whites/grays hat en france ?

Quand je vois comment certain traite des documents “confidentiels” dans le train, ça fait peur…








macintosh_plus a écrit :



Justement quel est le status juridique des whites/grays hat en france ?



“hat” ça veut dire “chapeau” :  donc la loi leur fait porter le chapeau.

c’est simple, non ?



Zataz c’est trop “Bancal” comme truc…



<img data-src=" />


aucun, pas de loi, rien.



la france pullule d’exemple de gentil puni par la loi, c’est comme ca. Serge Humpich est un bon exemple que j’ai suivi, blutuff il peut y avoir débat :)



bref lorsque je tombe au hasard de mes promenades sur internet, sur des fichiers de configuration non modifié, des repertoires non protégé et d’autre truc peu glorieux pour le stagiaire qui l’a/l’aurait mis en place



Je passe très VITE mon chemin, la plupart du temps ‘contact’ n’existe pas, et je devrais faire un whois pour avoir les coordonnées du proprio. J’entend déjà le juge :

-whois ? c’est qui ? votre complice ?

et a lire le comte rendu d’audience de bluetuff, vaut mieux pas parler informatique a un magistrat.

&nbsp;

j’ai autre choses a faire que d’etre en GAV a cause d’un ingé qui ne veut pas passer pour un attardé mentale au yeux de sa direction.

&nbsp;

donc maintenant pour satisfaire mes envie de lanceurs d’alerte, je signale a nextinpact les fautes dans leurs articles \o/ .








sscrit a écrit :



donc maintenant pour satisfaire mes envie de lanceurs d’alerte, je signale a nextinpact les fautes dans leurs articles \o/ .





Merci de ne pas me piquer mon boulot ! <img data-src=" />









macintosh_plus a écrit :



Justement quel est le status juridique des whites/grays hat en france ?



 Quand je vois comment certain traite des documents "confidentiels" dans le train, ça fait peur...










Une des premières règles que tu apprends lors d'une formation de pentesting ou type CEH c'est que tu ne peux pas tenter de t'introduire dans un système informatique sans le consentement du propriétaire.      

Le type que tu as vu dans le train avait soit un accord avec la boite pour réaliser un box-testing, soit il était dans l'illégalité.&nbsp;

Maintenant, supposons que tu sois amené à trouver une faille sans t'en rendre compte, il vaut mieux passer par un organisme tampon entre toi et la boite en question ET SURTOUT minimiser l'intrusion. (Ne pas récupérer de document, etc) &nbsp; &nbsp;

&nbsp;


&nbsp;Pour le train, je pense qu’il parle des gens qui consultent des documents confidentiels dans le train en pensant que personne ne fait attention.

J’ai déjà vu ça pour des gens qui travaillent leurs slides dans l’avion ou le train.








Pictou a écrit :



&nbsp;Pour le train, je pense qu’il parle des gens qui consultent des documents confidentiels dans le train en pensant que personne ne fait attention.

J’ai déjà vu ça pour des gens qui travaillent leurs slides dans l’avion ou le train.





Ah d’accord, my bad.&nbsp;<img data-src=" />

Pour rebondir la dessus, pour trouer une boite, rien de mieux que son personnel. Pour vous donner une petite idée, j’avais reçu une demande d’une PME pour du black box testing (càd que vous devez trouer sans avoir reçu la moindre information de la boite). On a signé les papiers le vendredi, lundi matin, depuis le parking je téléphone au service IT pour les démarcher sur une offre d’ERP, je récupère le nom de l’actuel ERP. Je me pointe à l’accueil 10 minutes après en lui disant que je suis là pour travailler sur l’actuel ERP, on me redirige dans une salle de réunion vide, je me branche sur le réseau, terminé. A noter que j’ai même eu la visite d’un employé qui m’a confié son PC car il avait des bugs sur le module facturation.&nbsp;<img data-src=" />



Voilà c’était pour la petite histoire.&nbsp;



Une partie de moi t’envie, tu peux faire comme dans les films d’espions…








Pictou a écrit :



Une partie de moi t’envie, tu peux faire comme dans les films d’espions…







Je le faisais très rarement, c’était quelque fois pour justement amener à une formation sur la sécurité sur le lieu de travail, c’était marrant de revoir la tête des employés. &nbsp;

Maintenant, les PME paient des prestataires, pour chapeauter l’infra (et surtout se rassurer) et la boite garde un IT guy sur place, du coup l’interêt est moindre et les employeurs ne veulent plus débourser d’argent.









sscrit a écrit :



aucun, pas de loi, rien.



la France pullule d’exemple de gentil puni par la loi, c’est comme ça. Serge Humpich est un bon exemple que j’ai suivi, blutuff il peut y avoir débat :)



bref lorsque je tombe au hasard de mes promenades sur internet, sur des fichiers de configuration non modifié, des répertoires non protégés et d’autre truc peu glorieux pour le stagiaire qui l’a/l’aurait mis en place



Je passe très VITE mon chemin, la plupart du temps ‘contact’ n’existe pas, et je devrais faire un Whois pour avoir les coordonnées du proprio. J’entends déjà le juge :

-whois ? c’est qui ? votre complice ?

et a lire le comte rendu d’audience de bluetuff, vaut mieux pas parler informatique a un magistrat.

&nbsp;

j’ai autre choses a faire que d’être en GAV a cause d’un ingé qui ne veut pas passer pour un attardé mental au yeux de sa direction.

&nbsp;



&nbsp;

<img data-src=" /> + c’est clair… Surtout lorsque c’est la même personne qui est à l’œuvre de la solution et qui prend en compte les remontées d’infos,&nbsp; là c’est généralement l’ego qui répond…&nbsp; Quant à la DSI la joie doit être du même ordre, la découverte d’un vecteur signifie généralement une couche supplémentaire du coût de sécurisation. Ceci explique certainement cela… <img data-src=" />