Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Les députés FI plaident pour un statut du chasseur de faille et du « bug bounty »

Le bug au doigt
Droit 4 min
Les députés FI plaident pour un statut du chasseur de faille et du « bug bounty »
Crédits : alexskopje/iStock

À l’occasion de l’examen du projet de loi transposant la directive Network and Information Security (NIS), les députés de la France Insoumise veulent autoriser les opérateurs à lancer des programmes de « bug bounty ». L’enjeu ? Créer un statut du chasseur de faille en France.

Le projet de loi sur la directive NIS est examiné ce matin en commission des lois à l'Assemblée nationale. À cette occasion, les élus de la France Insoumise proposent d’autoriser les opérateurs d’importance vitale à organiser des « bug bounty » (ou « prime » de dysfonctionnement). Une première étape avant la généralisation aux autres branches. Un secteur qui se développe en France, notamment avec B0unty Factory et Yogosha.

Les OIV sont ceux « dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ». Depuis la loi de programmation militaire de 2013, ils sont soumis à une série d’obligations de sécurité, rédigées et contrôlées par l’ANSSI.

Des personnes physiques enregistrées auprès de l’ANSSI

Selon l’amendement de FI, seules pourraient justement participer à un « bug bounty », les personnes physiques « dûment enregistrées en tant que chasseur de failles informatiques, auprès de l’autorité nationale de sécurité des systèmes d’information ».

Les élus ont conscience que leur proposition n’a que très peu voire pas de chance de passer. Mais par cet « amendement d’appel », ils voudraient que soit envisagée « la création d'un statut juridique des "chasseurs de faille", qui puisse permettre juridiquement l'organisation de "bug bounty" ».

Dans leur esprit, une personne déclarée « pourra disposer d'une protection (et ne pas se voir directement menacé d'être accusé de piratage informatique / d'être dans l'illégalité) ». Mieux, « ceci permettrait en outre de faire basculer du bon côté un grand nombre de spécialistes informatiques qui restent dans une zone oscillant entre la légalité et l'illégalité ».

Par ce biais, cependant, ils mettraient fin à un possible anonymat, et laisseraient dans l’incertitude l’ensemble des acteurs (notamment étrangers) qui n’auraient pas pensés à faire une telle déclaration.

Dans un amendement de repli, ces mêmes députés sollicitent à tout le moins du gouvernement la remise d’un rapport sur le sujet « afin de promouvoir la cybersécurité informatique par amélioration continue et encourager la contribution de ces mêmes spécialistes informatiques ».

La loi Lemaire et la protection des lanceurs d’alerte de sécurité

Rappelons que depuis la loi sur la République numérique de 2016, les internautes peuvent anonymement déclarer à l’ANSSI l’existence de faille de sécurité frappant n’importe quel acteur (OIV ou non). L’agence est alors dégagée des impératifs de l’article 40 du Code de procédure pénale qui l’obligeait jusqu’alors à transmettre ces faits de « piratage » à la justice. 

Toutefois, le texte n’est pas allé aussi loin que le voulaient des élus, qui plaidaient pour une exemption totale des poursuites. En clair, depuis la loi Lemaire, on peut certes déclarer l’existence de failles à l’ANSSI, mais le découvreur reste susceptible d’être poursuivi par l’entreprise « victime ».

Les opérateurs de services essentiels, les fournisseurs de services numériques

Les 48 amendements du projet de loi de transposition de la directive NIS seront examinés dès 9h30 en commission des lois à l’Assemblée nationale. Pour mémoire, ce projet de loi va imposer de nouvelles règles d’hygiène informatique à deux catégories d’acteurs, régime calqué sur celui des opérateurs d’importance vitale.

D’une part, les opérateurs de services essentiels (OSE), ceux « offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture ». De l’autre, les fournisseurs de services numériques (FSN) à savoir les moteurs, les prestataires de cloud et les places de marché (marketplace).

Les premiers, qui pourront intégrer en leur sein des acteurs du numérique comme les registrars, devront suivre à la lettre les préconisations de l’ANSSI, laquelle pourra les contraindre à mettre en œuvre des solutions certifiées.

Les seconds seront plus libres. Ils devront garantir « en l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d'information nécessaires à la fourniture de leurs services dans l'Union européenne adapté aux risques existants ». Néanmoins, l’ANSSI pourra exercer à leur encontre des opérations de contrôle.

Les mauvais élèves seront susceptibles de se voir infliger des sanctions pénales visant les dirigeants. Une autre menace plane : l’ANSSI pourra décider d’informer le public de l’existence d’un incident de sécurité grave.

17 commentaires
Avatar de elldekaa Abonné
Avatar de elldekaaelldekaa- 17/01/18 à 09:15:36

Intéressant :yes:

Avatar de oursgris Abonné
Avatar de oursgrisoursgris- 17/01/18 à 09:23:01

autant ils sont à la ramasse sur pas mal de sujets
autant  FI est toujours en pointe pour les nouvelles technologies en général

Avatar de Tifeing INpactien
Avatar de TifeingTifeing- 17/01/18 à 09:25:01

Et si un chasseur se garde une ou deux failles qui n'auraient pas été trouvées par d'autres ? Il y a quand même des poursuites car il ne les a pas dévoilées ?

Avatar de Fab'z INpactien
Avatar de Fab'zFab'z- 17/01/18 à 09:35:07

Ah les OIV... j’en ai entendu de belles sur certaines. Des box orange branchés sur le réseau sans passer par l’UTM... c’est beau ^^

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 17/01/18 à 10:02:32

Fab'z a écrit :

Ah les OIV... j’en ai entendu de belles sur certaines. Des box orange branchés sur le réseau sans passer par l’UTM... c’est beau ^^

Ou même placé après l'UTM... mais comme c'était un routeur Ethernet/4G, quand la liaison Ethernet est tombée le routeur a basculé en 4G en bypassant l'UTM.

(bien sur, c'est totalement hypothétique... bien sur... :roll:)

Édité par 127.0.0.1 le 17/01/2018 à 10:02
Avatar de lainen INpactien
Avatar de lainenlainen- 17/01/18 à 10:12:22

Fab'z, peux-tu préciser ce qu'est un UTM ?

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 17/01/18 à 10:42:34

UTM=Unified threat management. On dit aussi NGFW pour NextGen firewall.

Bref, un super-firewall qui inclut firewall, antivirus, détection d'intrusion, anti-spoofing, honeypot, VLAN, Secure/Guest access, VPN... (exemple: Fortigate, Check Point UTM, ...)

Édité par 127.0.0.1 le 17/01/2018 à 10:46
Avatar de romainsromain Abonné
Avatar de romainsromainromainsromain- 17/01/18 à 12:09:32

Crois moi ils sont pas à la ramasse. Tu peux ne pas être d'accord avec tout, voir tout,mais c'est pas à la ramasse, c'est un choix de société. Après on est pour ou contre, et on en a le droit.
 
 Moi je suis pro LFI, pourtant je ne suis pas d'accord avec tout mais avec la majorité des idées.

Et concernant le numérique, ils ne font que déployer les idées de leurs programmes :

https://avenirencommun.fr/notre-revolution-numerique/

Je t'invite en lire, en matière de libre, .. y'a plein de choses intéressantes

Avatar de Ricard INpactien
Avatar de RicardRicard- 17/01/18 à 12:16:54

Anéfé, rejeté.

Avatar de Jean-Luc Skywalker Abonné
Avatar de Jean-Luc SkywalkerJean-Luc Skywalker- 17/01/18 à 12:43:06

J'ai encore en tête cette histoire d'un mec qui, en composant des numéros de téléphone rose au hasard, était tombé sur une banque de données d'une administration publique et avait été poursuivi pour piratage ><

Il n'est plus possible de commenter cette actualité.
Page 1 / 2