S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

DRM et brevets logiciels accusés d’empêcher la recherche informatique

Sécurité ici, insécurité partout

Rattaché directement auprès du premier ministre, le Centre d’analyse stratégique a pour mission « d’éclairer le Gouvernement dans la définition et la mise en œuvre de ses orientations stratégiques en matière économique, sociale, environnementale ou technologique ». Ses derniers travaux portent justement sur la sécurité informatique et notamment les verrous juridiques qui freinent les expérimentations (PDF).

Centre d'analyse stratégique

 

Le document est précieux et s’inscrit dans la lignée du livre blanc de 2008 sur la défense et la sécurité, ou le rapport Bockel. Il rappelle ainsi que les institutions et les organisations d’importances stratégiques sont insuffisamment protégées pour faire face à des attaques informatiques de plus en plus élaborées. « Élever le niveau de cybersécurité est une urgence pour préserver la compétitivité économique et la souveraineté nationale » affirme le CAS.

 

Le Centre recommande de suivre quatre pistes. Il préconise de « renforcer les exigences de sécurité imposées aux opérateurs d’importance vitale (OIV), sous le contrôle de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ». L’enjeu serait en outre de « développer et mettre à la disposition des petites et moyennes entreprises des outils simples pour gérer les risques. »

 

Ces mesures pourraient aussi passer par des missions élargies au sein de l’ANSSI afin « d‘accompagner le développement de l’offre française de solutions de cybersécurité ». Par exemple, l’Agence pourrait être chargée de fournir des indicateurs statistiques « fiables et reconnus pour évaluer le niveau de la menace (nombre, origine géographique et typologie des attaques) ». Le CAS demande aussi que les équipes du CERT (Computer Emergency) soient sollicitées pour partager l’information dont elles disposent. Et il recommande une liaison avec l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).

 

Surtout, le CAS rappelle une problématique bien connue : les législations protectrices notamment des intérêts des ayants droit ont peu à peu enseveli la recherche informatique. Ces couches normatives sont les sources d’une insécurité juridique. « Les chercheurs en informatique se trouvent dans une situation d’insécurité juridique qui limite leur champ de travail et réduit un vivier de compétences pourtant indispensables pour anticiper, innover et améliorer la sécurité » regrette le CAS.

DRM, DADVSI et brevets logiciels

Il pointe spécialement les DRM ou mesures techniques de protection qui verrouillent les œuvres. Ces DRM « peuvent créer des vulnérabilités dans les systèmes d’information » témoigne-t-il. Pour preuve, il rappelle le sombre épisode du système de protection XCP qui « installait automatiquement un logiciel contenant des failles de sécurité lors de la lecture d’un CD audio » (le fameux rootkit Sony). Le comble est que les chercheurs ont l’interdiction de contourner ces mesures depuis la loi relative au droit d’auteur et aux droits voisins dans la société de l’information (DADVSI). Le contournement est en effet assimilé à une contrefaçon avec ses fameux 3 ans de prison et 300 000 euros d’amende...

 

Il y a d’autres grains de sable, par exemple les brevets logiciels. Cette technique juridique de protection « offre la possibilité d’obtenir un monopole sur des techniques algorithmiques, y compris lorsque celles-ci sont nécessaires pour assurer la sécurité ». Le CAS note très justement que l’article 52 de la Convention sur le brevet européen de 1973 exclut les logiciels du champ du brevetable. Cependant, tempère-t-il, « l’Office européen des brevets (OEB) délivre en pratique des brevets logiciels en raison d’une interprétation extensive de la Convention et d’un modèle économique et de gouvernance discutable » (voir sur le sujet cette interview.)

Loi Godfrain et la rétro-ingénierie

La loi Godfrain de 1988 a elle-même sécrété son lot de verrouillage. « Appliquée de manière stricte, elle condamne pénalement le fait de divulguer publiquement une faille de sécurité jusque-là inconnue (sécurité par transparence ou Full Disclosure) alors que cela incite les éditeurs de logiciels à concevoir des correctifs ». La Cour de cassation elle-même a rappelé que le Full Disclosure était un délit.

 

Tout autant pointé du doigt, l’encadrement du reverse engineering. La rétro-ingénierie en effet « est interdite lorsqu’elle est effectuée pour des raisons de sécurité informatique », constate le CAS. « C’est pourtant le seul moyen d’évaluer le degré de sécurité de produits propriétaires. »

Assouplir ce cadre, sous le contrôle de l'ANSSI

Le CAS estime qu’il serait donc judicieux d’assouplir ce cadre juridique afin de laisser un champ aux chercheurs pour leurs expérimentations en matière de sécurité des systèmes d’information. Il préconise que ces travaux puissent être faits, sous le contrôle de l’ANSSI et d’un comité d’éthique ad hoc, afin d’éprouver la sécurité des logiciels et les moyens de traiter les attaques. « Des initiatives telles que le Laboratoire de haute sécurité informatique de l’INRIA à Nancy pourraient être reproduites : placé dans un environnement fermé avec un réseau isolé et des locaux protégés accessibles par reconnaissance biométrique, il offre un cadre technologique et réglementaire fiable pour mener des expérimentations et manipulations à caractère sensible. »

Marc Rees

Journaliste, rédacteur en chef

Google+

Publiée le 20/03/2013 à 16:00

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 46 commentaires

Avatar de Naneday INpactien
Naneday Le mercredi 20 mars 2013 à 16:03:30
Inscrit le jeudi 30 juin 11 - 292 commentaires
Au contraire, le brevet oblige les industriels a innover en cherchant des alternatives
Le brevet les protège de la copie
Avatar de Khalev INpactien
Khalev Le mercredi 20 mars 2013 à 16:05:46
Inscrit le mercredi 1 avril 09 - 6100 commentaires
Le Centre d’analyse stratégique: "Non mais je les connais ceux-là, c'est des cas"

Je retourne lire l'article (oui je me suis arrêté à la première ligne).
Avatar de Inny INpactien
Inny Le mercredi 20 mars 2013 à 16:07:11
Inscrit le lundi 17 août 09 - 2932 commentaires
J'ai la certitude que le rapport va finir à la poubelle.
Avatar de Tourner.lapache INpactien
Tourner.lapache Le mercredi 20 mars 2013 à 16:12:49
Inscrit le lundi 24 septembre 12 - 1520 commentaires
C'est tout le système de brevets/droits d'auteurs qu'il faudrait remettre à plat et à jour pour le monde de l'information.
Avatar de WereWindle INpactien
WereWindle Le mercredi 20 mars 2013 à 16:12:54
Inscrit le mercredi 2 avril 08 - 6144 commentaires
J'ai la certitude que le rapport va finir à la poubelle.

y a des chances, hélas oui.

Au contraire, le brevet oblige les industriels a innover en cherchant des alternatives
Le brevet les protège de la copie

oui mais on ne parle pas des industriels là (principalement)
Les intérêts économiques d'entités privées devraient-ils dépasser ceux des États et des "institutions et organisations d’importances stratégiques" ?
Vive Cyberpunk et le monde dirigé par les corporations si c'est le cas...

Il y a 46 commentaires

;