Les députés ont adopté une disposition visant, selon l’exposé des motifs de l’amendement, à protéger les lanceurs d’alerte qui trouvent des failles informatiques.
À ce jour, une personne qui accède ou se maintient frauduleusement dans un système informatique encourt deux ans d'emprisonnement et à 60 000 euros d'amende. Celui qui modifie les données disponibles voit l’échelle des peines portée à trois ans d'emprisonnement et à 100 000 euros d'amende. Et si le système visé est mis en œuvre par l’État, alors « la peine est portée à cinq ans d'emprisonnement et à 150 000 euros d'amende. »
Cet après-midi, lors de l’examen du projet de loi Lemaire, les députés ont toutefois adopté un amendement du groupe socialiste visant à exempter de peines ceux qui ont tenté de commettre ou commis l’un de ces délits. Seulement, l’exemption ne vaudra que si la personne a immédiatement averti l’autorité administrative, l’autorité judiciaire ou bien le responsable du traitement faillible, du risque découvert.
Protéger les lanceurs d'alerte, d'après les élus PS
Dans l’esprit des députés socialistes, « cet amendement a pour but de protéger les lanceurs d’alerte lorsqu’ils veillent à avertir les responsables de traitement des failles dans leurs systèmes. En l’état de la jurisprudence de la Cour de cassation (arrêt du 9 septembre 2009) tout accès non autorisé à un système constitue un trouble manifestement illicite alors même que cela peut permettre d’éviter des atteintes ultérieures aux données ou au fonctionnement du système. »
Seulement, cette disposition charmante a priori, a suscité quelques troubles parmi les députés. Luc Bélot (PS), rapporteur, aurait aimé que cette exemption ne concerne que les cas de tentative, jamais celle d’un hacking consommé. De plus, il aurait préféré qu’on attende les conclusions du Conseil d’État qui travaille actuellement sur le statut de lanceur d’alerte.
Dans les autres camps, il faut surtout mentionner le rejet de deux autres amendements inspirés de la jurisprudence de notre collègue Bluetouff. Dans son amendement, Nathalie Kosciusko-Morizet (LR) par exemple, souhaitait exempter la personne de poursuite, tout comme les élus écologistes (« Ne peut donner lieu à des poursuites pénales »).
On voit ici la différence : l’amendement des élus PS exempte la personne non de la poursuite, mais de la peine, nuance. L’exemption n’interviendra donc qu’après la reconnaissance de culpabilité. Elle n’interdira surtout pas la poursuite, ni le jugement, ni la reconnaissance de culpabilité.
Commentaires (31)
#1
en gros ça sera 96h de garde à vue à Levallois, mais pas de peine. ^^
#2
Qui dit poursuites dit procès et donc, pour le lanceur d’alerte, un avocat à payer :-/
#3
Lol, je doute que cela incite à faire parler des failles découvertes !!
" />
Autant les vendre à autrui …
#4
il y’a un moyen simple de ce couvrir c’est les envoyer a ZATAZ :)
#5
" />
L’exemption n’interviendra donc qu’après la reconnaissance de
culpabilité. Elle n’interdira surtout pas la poursuite, ni le jugement,
ni la reconnaissance de culpabilité.
Une loi Made In France.
#6
Une loi qui va dans le meme sens que celle pour les autres lanceurs d’alertes, “ fait ce que je te dis !! ne fais pas ce que je fais !! ”
et dans le meme but : “ tout va tres bien madame la marquise, tout va tres bien […] ”
c’est beau de jouer les autruches :/
#7
Ah, ce “genre là” de lanceur d’alerte…
/me est déçu.
#8
En meme temps qui peut décider que quelqu’un est un hacker ou un “vrai” lanceur d’alerte ?
Qui peut etre en charge de décider qui est coupable et qui ne l’est pas ?
Réponse Le juge judiciaire, après un procès équitable.
Si on permet d’en décider avant ça, qui doit se voir arroger le droit d’en décider, et sur quelle base ?
On risque d’arriver à du “ah lui je le connais c’est un pote, lanceur d’alerte, foutez lui la paix” ou au contraire “je l’aime pas, c’est pas un lanceur d’alerte - puisque je vous le dis - hop prison”… arbitraire
C’est la même chose que la légitime défense : elle n’empêche pas les poursuites, elle permet d’avoir gain de cause au tribunal. “Oui il a commis les faits qui lui sont reprochés, mais c’était pour se défendre, donc…”
#9
#10
#11
Ca peut changer beaucoup de choses si c’est inscrit au casier judiciaire, notamment interdire de bosser dans ou pour la fonction publique non ?
" />
L’absence de peine implique l’absence d’inscription au casier judiciaire? Si l’article pouvait préciser cette notion pour les non juristes dans mon genre ce serait sympa
#12
#13
On pourrais même se retrouver dans la situation ubuesque où un informaticien doué voulant mettre en lumière un problème de sécurité dans l’administration sera déclaré coupable et aura donc certainement énormément de mal (sinon l’impossibilité) d’être embauché comme spécialiste de la sécurité dans l’administration pour pouvoir régler ce problème et d’autres.
Il vaudra mieux ne rien dire, sinon byebye les potentiel boulots….
#14
#15
#16
#17
#18
mouais…
#19
ben si c’est le juge qui décide c’est cool. le truc c’est que souvent le juge comprend pas de quoi ça parle.
#20
Parce que l’internet est fait de site non mise à jour, abandonné,…. et le jour ou tous les sites seront à jour ( ce qui évidement est impossible), on trouvera juste d’autres failles. Donc autant un lanceur d’alerte présente un intérêt dans le cadre d’une société critique autant se balader dans 17000 wordpress abandonnés ne présente au mieux aucun intérêt.
Parce que qu’est ce qui empêchent de te connecter sur le serveur de la PME de 2 personnes du voisin et de lire ses documents une fois que t’es rentré dedans.
Parce que le lanceur d’alerte ne fait pas ca par gentillesse, soit pour la “gloire” post de blog explicatif ou pour l’argent. Et que dans le cadre d’une PME de 3 personnes, une faille révélée peut ne jamais être corrigé (ou prendre des mois au minimum).
…
#21
C’est pour ca qu’en matière de technologie ils font appellent à des experts. C’est plutôt la compétence de ses “experts” qu’il faudrait remettre en cause.
#22
non non.
c’est pas les experts qui jugent.
l’expert il est là pour dire: “oui le gars a eu accès à l’intranet de X parce que c’était ouvert aux 4 vents. oui il s’y est maintenu (forcément, même 1/2s)”.
derrière c’est le juge qui juge.
#23
Et comme c’est un homme comme les autres, quand il sait pas il suit les recommandations de l’expert sans jouer sur les mots (après y’a des cons comme partout je te l’accorde).
#24
l’expert ne fait pas de recommandations au juge. il dit ce qui s’est passé.
par ex sur l’infraction de maintien dans un système informatisé de données, il va dire que oui, le mec s’est maintenu.
mais forcément si t’accèdes au SI, tu te maintiens, même 10ms.
là dessus le juge dit: ok il s’est maintenu, il est coupable.
c’est le cas Bluetouff, où la l’accès frauduleux n’a pas été retenu, mais le maintien si.
#25
j’étais sur que t’aillais parler du cas Bluetooth.
Donc non il ne s’est pas maintenu juste10ms. Et oui y’a bien un maintien dans leur système d’information après avoir pris connaissance du défaut de sécurisation. Puis il a téléchargé des fichiers (surement en 10ms grâce à sa grosse connexion internet). Puis il s’est barré.
On est loin du cas: “il connaissait pas google, il a été jugé par un mec largué qu’a fait n’importe quoi”.
Y’a un très bon post de maitre éolas sur le sujet.
Après on peut être d’accord ou non (comme moi) avec le résultat du procès j’en conviens.
#26
10ms ou un mois ça n’aurait rien changé.
et effectivement il a été jugé par un mec largué qu’a fait n’importe quoi. ^^
#27
Je viens de relire l’arrêt de la Cour d’appel de Paris, je ne vois vraiment pas en quoi ce qui y est écrit montre qu’il est l’œuvre de quelqu’un de largué.
Il est constaté que dans le dossier (dont ils ont eu connaissance contrairement à nous), Bluetouff est arrivé sur le site d’une façon qui ne permet pas de caractériser un accès frauduleux et le relaxe sur ce point.
Ensuite il est resté connecté le temps de télécharger 8go depuis son VPN panaméen tout en se rendant compte qu’il visitait des sections qui nécessitaient de s’identifier. En quoi le maintien n’est pas caractérisé et la condamnation sur ce point l’expression du fait que le rédacteur de l’arrêt une grosse tâche ?
Alors oui, le rapporteur prononçait l’anglais de façon assez … originale.
Comme quoi, 98% de la population française ?
#28
Y a des sites du gouvernement qui utilise une vieille version de nginx, mais aucune faille exploitable avec les CVE marqués dans les changelog.
#29
en quoi le fait d’avoir une page d’identification à la racine implique le fait de s’identifier dans les sous-répertoires?
sans compter qu’il est arrivé sur les docs directement, sans passer par la page d’accueil?
en quoi le fait de télécharger des docs qui sont d’ailleurs toujours accessibles sur Google constitue un maintien frauduleux dans un SI? visiblement l’ANSES n’a rien capté au schmilblick ou alors c’est un honeypot?
mais comme tu dis, il a le dossier, pas nous, donc fermons la, on a forcément tort.
ceci dit ils se sont quand même pourvus en cassation tout en ayant accès au dossier, c’est qu’ils estimaient que la cour d’appel s’était plantée quelque part.
#30
“en quoi le fait d’avoir une page d’identification à la
racine implique le fait de s’identifier dans les sous-répertoires? ”
A priori, il a lui même dit en garde à vue qu’il en avait conscience.
“sans compter qu’il est arrivé sur les docs directement, sans passer par la page d’accueil? ”
C’est bien pour ça qu’on le relaxe de l’accès frauduleux.
“en quoi le fait de télécharger des docs qui sont d’ailleurs toujours
accessibles sur Google constitue un maintien frauduleux dans un SI?”
Le temps de télécharger 8Go, il n’est pas resté que 3mn … et le fait en sachant ne pas avoir le droit d’y aller de s’y maintenir, ça tendrait quand même à caractériser l’infraction.
“visiblement l’ANSES n’a rien capté au schmilblick ou alors c’est un
honeypot?”
Les “honeypot” en droit français, ça ne tient pas, puisque c’est une provocation à la commission de l’infraction. Que le serveur soit mal branlé à la base, c’est indifférent. Pous l’obligatoire analogie bagnolesque, si je laisse les clefs de ma bagnole sur le contact, personne n’a pour autant le droit de la prendre.
“mais comme tu dis, il a le dossier, pas nous, donc fermons la, on a forcément tort.”
Bah, ils ont au moins pu prendre connaissance des auditions en garde à vue, contrairement à nous.
“ceci dit ils se sont quand même pourvus en cassation tout en ayant
accès au dossier, c’est qu’ils estimaient que la cour d’appel s’était
plantée quelque part.
Il me semble avoir lu que le pourvoi avait été rejeté, donc a priori, la Cour d’appel ne s’est plantée que dans l’esprit de Bluetouff…
Maintenant, mon propos, ce n’était pas de prendre parti sur un dossier que je ne maîtrise absolument pas, faute de l’avoir lu.
C’est juste qu’une bonne partie des commentateurs (qui statistiquement sont des brêles en anglais) se foutent de la tronche d’une magistrate qui a des difficultés à prononcer Google. Que ce serait l’expression d’une nullité crasse de la magistrature en informatique et que forcément ils ne comprennent rien à rien.
Quand tu relis l’arrêt, tu vois que les concepts en jeu ont l’air bien mieux maîtrisés que les commentaires ne le laissent penser.
#31