En application de la récente loi Numérique, l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) permet dorénavant aux internautes de lui signaler des vulnérabilités. Le tout sous couvert d’anonymat. Mais attention, ce nouveau dispositif n'est pas forcément synonyme d'immunité.
La faille décelée peut concerner aussi bien un site public (celui des impôts, de la CAF, du ministère de la Défense...) que privé, le texte porté par Axelle Lemaire visant toute « vulnérabilité concernant la sécurité d'un système de traitement automatisé de données ». Pour avertir l’ANSSI, deux canaux sont proposés :
- Par mail (cert-fr.cossi[at]ssi.gouv.fr)
- Par voie postale (ANSSI - SGDSN - 51, boulevard de La Tour-Maubourg - 75700 Paris 07 SP)
L’institution demande ainsi aux internautes de lui envoyer un message accompagné de « tous les éléments techniques permettant de procéder aux opérations nécessaires ». Depuis l’entrée en vigueur de la loi Lemaire, le 9 octobre dernier, l’ANSSI est en effet priée d’effectuer des vérifications, afin d’avertir en cas de besoin « l’hébergeur, l’opérateur ou le responsable du système d’information ».
L'ANSSI pourra être amenée à avertir les sites mal sécurisés
L’agence est également tenue de « préserve[r] la confidentialité de l'identité de la personne à l'origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée ». Auparavant, l’article 40 du Code de procédure pénale obligeait cette administration à dénoncer automatiquement cet « indic » à la justice, quelles que soient ses motivations. Avec la loi Lemaire, l’individu « de bonne foi » ne rendant pas publiques ses informations n’a plus à avoir de telle crainte procédurale.
Attention cependant : le responsable du traitement pourra toujours attaquer le dénonciateur s'étant rendu coupable d'une intrusion informatique. Le dispositif envisagé par la loi Lemaire n'orchestre en ce sens aucune immunité, il confie simplement à l'ANSSI un rôle tampon.
Vous avez découvert une vulnérabilité sans l’avoir exploitée ? Vous pouvez désormais nous la signaler #loiNumeriquehttps://t.co/hNwgNWzdtR
— ANSSI (@ANSSI_FR) 10 octobre 2016
« Nous nous contenterons de vérifier que la porte béante est vraiment béante, par exemple un FTP sans mot de passe » a expliqué la semaine dernière Guillaume Poupard, le numéro un de l’ANSSI (voir notre article). « Un FTP dont le mot de passe sera « toto » ne rentra pas dans le dispositif » a-t-il précisé. Un guide devrait voir le jour afin d’accompagner ces « citoyens outrés par ce qu’ils voient » et « un peu fatigués d’aller voir directement les acteurs concernés », dixit Guillaume Poupard.
