Depuis la loi Lemaire, quiconque peut désormais signaler à l’ANSSI l’existence de failles de sécurité en étant assuré qu’il n’y aura pas de transmission automatique au Parquet.
La loi portée par Axelle Lemaire prévoit que l’ANSSI peut officiellement se voir signaler l’existence d’une vulnérabilité dans un système informatique sans craindre la douloureuse mécanique de l’article 40 du Code de procédure pénale.
Pas d'article 40, mais pas de changement
Avec cette précaution, lorsqu’un piratage informatique ou n’importe quel autre délit tombe dans les oreilles d’un fonctionnaire ou d’une autorité, celui-ci doit aviser « sans délai » le procureur de la République et lui transmettre « tous les renseignements, procès-verbaux et actes qui y sont relatifs ».
Cette disposition ne change juridiquement pas grand-chose. D’une part, avant même la Loi Lemaire, l’ANSSI était déjà informée de failles de sécurité visant des acteurs qui ne sont pas des opérateurs d’importance vitale. Et jamais, elle n’a actionné cet article 40, dont la violation n’est d’ailleurs assortie d’aucune sanction.
D’autre part, rappelons qu’avant ou après la loi Lemaire, la situation juridique des hackers n’est pas profondément modifiée. Et pour cause, le législateur leur a refusé une véritable immunité pénale. Même s’ils passent par l’ANSSI, le responsable du traitement peut toujours attaquer celui qu’elle accuse d’atteinte ou simple pénétration sans droit dans un système informatique.
Une dizaine de cas par semaine
Questionné au FIC sur le retour d’expérience de cette nouvelle plateforme, Guillaume Poupard a en tout cas indiqué à Next INpact qu’il n’y avait pas eu un « raz-de-marée » de signalements. En tout, « une dizaine de cas par semaine nous sont remontés ». À titre d’exemple, il nous cite ce bar breton dont la caisse automatique était « disponible sur Internet ».
Dans le fil de l’échange, le directeur de l’agence a d’ailleurs quelque peu relativisé le nombre d’attaques majeures que connait la France. « Une vingtaine sont traitées chaque année par l’ANSSI. Le ministère de la Défense en dénombre 24 000. Ou bien il est plus attaqué, ou bien on ne compte pas pareil ».
Commentaires (15)
#1
Avec une protection aussi faible, c’est sûr qu’il vaut mieux vendre ou faire mumuse que d’aider son prochain
" />
Surtout que si la victime veut attaquer quelqu’un, l’ANSSI a un client sous la main…
« Une vingtaine sont traitées chaque année par l’ANSSI. Le ministère de la Défense en dénombre 24 000. Ou bien il est plus attaqué, ou bien on ne compte pas pareil »
Ouch
Guillaume Poupard a la gâchette facile non?
#2
À titre d’exemple, il nous cite ce bar breton dont la caisse automatique était « disponible sur Internet »
Et on pouvait la vider à distance ?
#3
boah, j’ai signalé des sites totalement obsolètes avec des trous de sécurité partout, des login en http ils m’ont dit que c’est bien gentil, mais total rien n’a changé…
#4
Sinon, pour signaler en toute sécurité, il y a ZeroDisclo. 
">
" />
DTC l’article 40.
#5
#6
😅😅
#7
La personne qui doit faire le changement, c’est le propriétaire, pas l’ANSSI. Ce dernier averti et ne doit prendre la main que sur les sujets d’importance vitale pour l’État.
Peut-être qu’elle transmet à la CNIL ou au parquet mais je doute que l’ANSSI s’implique dans des sites web lambda mal configuré.
#8
Bonjour,
L’ANSSI vous remercie pour ces informations.
Nous allons procéder à des opérations techniques de vérification mais nous attirons votre attention sur les risques juridiques ou techniques qui peuvent être liés à la recherche de vulnérabilités.
Le fait d’avoir découvert et signalé une vulnérabilité ne vous exonère pas complètement de votre responsabilité pénale. Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données (S.T.A.D.) demeure passible de sanctions pénales prévues aux articles 323-1 et suivants du Code pénal
La recherche de vulnérabilités, même si elle n’est pas techniquement intrusive, peut potentiellement entraîner des effets secondaires et endommager un S.T.A.D.
Cordialement
Bureau réponse aux Incidents
ANSSI/COSSI/CERT-FR
Agence nationale de la sécurité des systèmes d’information
Centre opérationnel de la sécurité des systèmes d’information.
Et la faille est toujours là.
#9
#10
#11
#12
En général, la plupart des sociétés qui déploient les MAJs de façon centralisée le font uniquement sur les MAJs sytème, c’est surtout ça qui est critique, et en fin de compte c’est très peu invasif sur la stabilité des applis. D’ailleurs le plus souvent ce qui gêne c’est que les serveurs sont maltraités et ont une appli codée en agitant les parties génitales sur le clavier du coup éteindre et allumer la machine implique de brûler un cierge et de prendre deux dolipranes.
" />
Fun fact (ou pas) sur l’un des serveurs Windows que je gérais pour un gros compte, ils avaient mis un script en tache planifiée qui checkait le service le service du client SCCM et Windows Update et qui les éteignait si jamais on essayait de les rallumer.
Vous n’imaginez pas les colères qu’on avait déclenché à l’époque et toutes les insultes qu’on s’est pris en mettant à jour et je n’ai jamais passé autant de temps dans l’observateur d’évènements pour expliquer que “non, ce n’est pas la correction d’une faille critique dans le lecteur notepad qui a cassé le serveur IIS et qui l’empêche d’afficher votre fonction en javascript”.
#13
À titre d’exemple, il nous cite ce bar breton dont la caisse automatique était « disponible sur Internet »
moi j’appelle ça une faille majeure sur un OIV, désolé.
#14
#15
Moi ce qui me fais bien rigoler c’est de trouver des sites qui recensent des failles sur des site top 10.000 alexa avec une simple recherche sur google et de voir que 99% des failles sont toujours active en les testant alors qu’elle ont parfois plusieurs années.
" />
En partant de ce principe la, la sécurité me fera toujours bien rigoler