À l’Assemblée nationale, le projet de loi sur le Numérique avait initié une fausse vraie protection des lanceurs d’alerte, ceux qui viendraient à dénicher une faille de sécurité. Le texte a été revu et corrigé à l’occasion des débats au Sénat pour mettre l'ANSSI dans la boucle.
Sans revenir sur le détail de cet article 20 septies, rappelons que les députés ont adopté une disposition visant à exempter de peine celui qui accéderait ou se maintiendrait dans un système informatique sans autorisation. Cette exemption ne vaudrait que si l’intéressé a alerté immédiatement les autorités ou le responsable du traitement :
« Toute personne qui a tenté de commettre ou a commis le délit prévu au présent article est exempte de peine si elle a immédiatement averti l'autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause d'un risque d'atteinte aux données ou au fonctionnement du système. »
En principe, ces faits sont punis de 2 ans d’emprisonnement et 60 000 euros d’amende. Si l’intrus modifie des données, l’échelle des peines galope à trois ans d'emprisonnement et à 100 000 euros d'amende, voir cinq ans d’emprisonnement et 150 000 euros si le système visé est dans les mains de l’État.
Avec la disposition portée par les élus socialistes, voilà pourquoi nous évoquons cette vraie fausse protection : les personnes sont exemptes de peine, mais non de poursuite ni de jugement. Elle n’intervient donc qu’après reconnaissance de la culpabilité du principal intéressé, avec tous les aléas que l'on peut imaginer.
Une immunité pénale qui encouragerait le piratage informatique
Au Sénat, ce mécanisme a été épinglé par le rapporteur, mais pour d’autres raisons. « La rédaction adoptée par l'Assemblée nationale, d'une part, ne répond pas à la jurisprudence relative aux « hackers » ayant signalé des failles de sécurité et, d'autre part, pourrait présenter des effets négatifs si elle devait inciter à l'intrusion dans les systèmes de traitement automatisés de données ».
Selon lui, une telle immunité pénale « ne peut qu'encourager le développement des attaques informatiques puisqu'il suffirait d'un email pour échapper à toute peine ». Une analyse suivie par le sénateur Alain Richard : « C'est un jeu intellectuel pervers que de justifier n'importe quel délit en persuadant l'opinion publique que son auteur sert l'intérêt général. »
Le choix de l'ANSSI pour signaler l’existence de faille de sécurité
Plutôt que s’empêtrer dans un tel scénario, Christophe-André Frassa a proposé une nouvelle rédaction en suggérant la mise en place d’un site pour signaler les failles informatiques. Dans son esprit, celui-ci serait chapeauté par le centre d'expertise gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT), lequel, entre les murs de l'ANSSI, « publie régulièrement des alertes sur les vulnérabilités découvertes dans certains produits ou services ».
Pour mettre le tout en mouvement, Christophe-André Frassa a donc fait adopter cet article :
« Art. L. 2321-4 du Code de la Défense. - Pour les besoins de la sécurité des systèmes d'information, l'obligation prévue à l'article 40 du code de procédure pénale n'est pas applicable aux services de l'État, définis par le Premier ministre, lorsqu'ils sont informés de l'existence d'une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données, par une personne agissant de bonne foi et en l'absence de publicité de l'information. »
En clair, lorsque les fonctionnaires de l'Agence nationale de sécurité des systèmes informatiques (ANSSI) seront informés de l’existence d’une faille de sécurité, ils n’auront pas à dénoncer pénalement ces actes à la justice comme l’impose aujourd’hui l’article 40 du Code de procédure pénale. Il y a néanmoins des conditions de bon sens pour déployer ce parapluie : l’alerte doit venir d’une personne de bonne foi qui a eu l’élégance, en outre, de ne pas rendre publique cette information.
Aujourd’hui, le même rapporteur a proposé une adjonction à son article. Selon cet amendement fraichement déposé, l’ANSSI aura l’obligation de préserver « la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée ». Par ailleurs, les mêmes fonctionnaires pourront « procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace », mis en lumière par ce signalement, « aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information. »
Seul hic, ce système n'empêchera nullement la prétendue victime de porter plainte contre l'intrus, que celui-ci passe ou non par l'ANSSI. Les sénateurs ont en effet fait sauter l'exemption pénale que souhaitaient les députés.
Le texte sera débattu d’ici jeudi par les sénateurs.
Commentaires (13)
#1
#2
ca va dans le bon sens cette proposition
#3
Donc celui qui s’introduit et se maintient dans un système ne risque plus rien si il a averti l’ANSSI au préalable.
Comme dans un système informatique la principale faille se situe entre le clavier et la chaise, c’est à dire madame Michu.
Donc celui qui s’introduit et se maintient dans madame Michu ne risque rien si il a au préalable prévenu l’ANSSI.
#4
#5
Protection “lanceur d’alerte style”
" />
#6
Non. L’anssi, simplement, ne le dénoncera pas.
Mais si le responsable de traitement est mécontent, il pourra porter plainte contre X ou lui, s’il sait qui c’est.
#7
”[…] celui qui s’introduit et se maintient dans madame Michu […]”
" />
Ça ne relève plus de l’ANSSI.
#8
ça pourrait être pas mal si ça pouvait empêcher des cas comme le mec qui avait signalé une faille de sécurité monstrueuse dans les premières cartes vitales et qui avait été condamné par la justice.
#9
Lis donc tout le message pour voir que cela pourrait bien concerner l’ANSSI.
Dison que c’est une forme de social engineering
#10
#11
[hs] j’ai remercié personnellement l’éditeur ;)
#12
Je trouve étrange la formulation de l’assemblée.
Déjà, je me demande ce qui arriverait à celui qui se fait choper ‘en flag’, et qui est peut-être de bonne fois car avait l’intention de signaler le bug mais n’a juste pas eu le temps de le faire. Dit autrement, exemption, mais seulement si vous êtes bons…
Et surtout, le fait de totalement passer l’éponge si on signale le problème me semble excessif. Il faudrait au minimum qu’il n’y ait pas eu d’acte malveillant (destruction de donnée, interruption de service…). Ce serati trop facile si on veut nuire à un quelqu’un d’arriver chez lui, de tout casser, de signaler le problème et après lui faire un pied de nez quand il comprend qu’il peut s’assoir sur une condamnation.
A moins que le immédiatement exclut le fait de faire quoi que ce soit au-delà de la découverte de la faille, mais dans ce cas il disqualifie également tous les lanceurs d’alerte honnêtes qui auraient voulu tester à quel point la faille est béante par exemple.
En fait, ce qu’on voudrait, c’est dispenser les gens de bonne foi de respecter la loi, sauf que juger de la bonne fois des gens… c’est du procès d’intention, donc pas très compatible avec notre droit.
#13
J’ai volontairement cité cette partie du message car elle prend un tout autre sens hors contexte.
" />
Je pensais que c’était suffisamment gros (et gras) pour que tout le monde puisse constater qu’il s’agissait de faire de l’humour…