Loi Numérique : l’ANSSI, future plateforme pour signaler les failles informatiques ?

L'hacker a ses raisons 13
En bref
image dediée
Loi
Par
le mercredi 27 avril 2016 à 12:00
Marc Rees

À l’Assemblée nationale, le projet de loi sur le Numérique avait initié une fausse vraie protection des lanceurs d’alerte, ceux qui viendraient à dénicher une faille de sécurité. Le texte a été revu et corrigé à l’occasion des débats au Sénat pour mettre l'ANSSI dans la boucle.

Sans revenir sur le détail de cet article 20 septies, rappelons que les députés ont adopté une disposition visant à exempter de peine celui qui accéderait ou se maintiendrait dans un système informatique sans autorisation. Cette exemption ne vaudrait que si l’intéressé a alerté immédiatement les autorités ou le responsable du traitement :

« Toute personne qui a tenté de commettre ou a commis le délit prévu au présent article est exempte de peine si elle a immédiatement averti l'autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause d'un risque d'atteinte aux données ou au fonctionnement du système. »

En principe, ces faits sont punis de 2 ans d’emprisonnement et 60 000 euros d’amende. Si l’intrus modifie des données, l’échelle des peines galope à trois ans d'emprisonnement et à 100 000 euros d'amende, voir cinq ans d’emprisonnement et 150 000 euros si le système visé est dans les mains de l’État.

Avec la disposition portée par les élus socialistes, voilà pourquoi nous évoquons cette vraie fausse protection : les personnes sont exemptes de peine, mais non de poursuite ni de jugement. Elle n’intervient donc qu’après reconnaissance de la culpabilité du principal intéressé, avec tous les aléas que l'on peut imaginer.

Une immunité pénale qui encouragerait le piratage informatique

Au Sénat, ce mécanisme a été épinglé par le rapporteur, mais pour d’autres raisons. « La rédaction adoptée par l'Assemblée nationale, d'une part, ne répond pas à la jurisprudence relative aux « hackers » ayant signalé des failles de sécurité et, d'autre part, pourrait présenter des effets négatifs si elle devait inciter à l'intrusion dans les systèmes de traitement automatisés de données ».

Selon lui, une telle immunité pénale « ne peut qu'encourager le développement des attaques informatiques puisqu'il suffirait d'un email pour échapper à toute peine ». Une analyse suivie par le sénateur Alain Richard : « C'est un jeu intellectuel pervers que de justifier n'importe quel délit en persuadant l'opinion publique que son auteur sert l'intérêt général. »

Le choix de l'ANSSI pour signaler l’existence de faille de sécurité

Plutôt que s’empêtrer dans un tel scénario, Christophe-André Frassa a proposé une nouvelle rédaction en suggérant la mise en place d’un site pour signaler les failles informatiques. Dans son esprit, celui-ci serait chapeauté par le centre d'expertise gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT), lequel, entre les murs de l'ANSSI, « publie régulièrement des alertes sur les vulnérabilités découvertes dans certains produits ou services ».

Pour mettre le tout en mouvement, Christophe-André Frassa a donc fait adopter cet article :

« Art. L. 2321-4 du Code de la Défense. - Pour les besoins de la sécurité des systèmes d'information, l'obligation prévue à l'article 40 du code de procédure pénale n'est pas applicable aux services de l'État, définis par le Premier ministre, lorsqu'ils sont informés de l'existence d'une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données, par une personne agissant de bonne foi et en l'absence de publicité de l'information. »

En clair, lorsque les fonctionnaires de l'Agence nationale de sécurité des systèmes informatiques (ANSSI) seront informés de l’existence d’une faille de sécurité, ils n’auront pas à dénoncer pénalement ces actes à la justice comme l’impose aujourd’hui l’article 40 du Code de procédure pénale. Il y a néanmoins des conditions de bon sens pour déployer ce parapluie : l’alerte doit venir d’une personne de bonne foi qui a eu l’élégance, en outre, de ne pas rendre publique cette information.

Aujourd’hui, le même rapporteur a proposé une adjonction à son article. Selon cet amendement fraichement déposé, l’ANSSI aura l’obligation de préserver « la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée ». Par ailleurs, les mêmes fonctionnaires pourront « procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace », mis en lumière par ce signalement, « aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information. »

Seul hic, ce système n'empêchera nullement la prétendue victime de porter plainte contre l'intrus, que celui-ci passe ou non par l'ANSSI. Les sénateurs ont en effet fait sauter l'exemption pénale que souhaitaient les députés.

Le texte sera débattu d’ici jeudi par les sénateurs.


chargement
Chargement des commentaires...