nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
La révélation publique de failles de sécurité est un délit
Fin octobre, la Cour de cassation s'est appuyée sur un article du code pénal pour condamner le full disclosure, une pratique consistant à rendre publique une vulnérabilité. Eclairage.
La Cour de cassation a fait un rappel à l'ordre : divulguer sur un site l'existence d'une faille de sécurité est un délit. C'est ce qu'a précisé la plus haute juridiction française fin octobre dans un arrêt qui énonce que l'on ne peut pas « valablement arguer d'un motif légitime tiré de la volonté d'information ». En un mot, l'activité appelée full disclosure, qui consiste à rendre publique la découverte d'une faille de sécurité (ce qu'on appelle un « exploit »), n'a plus de légitimité en France. Depuis, dans le monde de la sécurité informatique, c'est la consternation.
Pourtant, cet arrêt est la simple application de l'article 323-3-1 du code pénal*. Il est l'épilogue d'une affaire remontant à fin décembre 2005. A cette époque, une société spécialisée dans la sécurité informatique basée à Montpellier est condamnée à 1 000 euros d'amende pour avoir mis en ligne des scripts permettant d'exploiter la vulnérabilité concernant Windows Metafile (WMF), un format d'image numérique. Problème : cette publication est intervenue quelques jours avant la publication du correctif par Microsoft, le 5 janvier 2006.
Une correcte application de la loi pénale...
Le parquet diligente une enquête auprès de la DST. Attaqué en justice, le responsable du site est relaxé par le tribunal correctionnel de Montpellier en juin 2008. Mais comme le ministère public a fait appel, cette même personne se retrouve devant la cour d'appel de Montpellier en mars dernier. Pour sa défense, le gérant du site avait notamment précisé qu'il avait contacté à plusieurs reprises Microsoft sur son adresse électronique aux Etats-Unis afin de les prévenir de l'exploit, ce qui lui avait valu les remerciements officiels de la société sur le site de Microsoft.
Néanmoins, la personne se retrouve condamnée, la cour d'appel estimant que la volonté affichée d'information du public n'est pas un motif légitime compte tenu des activités commerciales du site. Pour Frédéric Connes, docteur en droit et consultant chez le cabinet de sécurité informatique HSC, « la Cour de cassation a fait son travail en vérifiant la correcte application de la loi pénale. Elle en a déduit, eu égard à l'expertise de l'intéressé et à l'existence d'autres moyens d'alerte, que la volonté d'information du public ne constituait pas, en l'espèce, un motif légitime exonératoire de responsabilité ».
... mais une mauvaise nouvelle pour les chercheurs
Pour les experts en sécurité, l'arrêt de la Cour de cassation est une mauvaise nouvelle car elle remet en cause la légitimité de leur activité. Pour Eric Filiol, directeur de la recherche de l'Esiea (Ecole supérieure d'informatique électronique automatique) et du laboratoire de cryptologie et virologie opérationnelles, « cela pose un problème de fond : publier ses travaux fait partie de l'activité d'un chercheur qui, pour être évalué par ses pairs, doit fournir des données claires et reproductibles (problème de la preuve) ; d'autre part c'est le SEUL moyen pour obliger le fournisseur à corriger le problème. Sans cette publication, qui aurait pu contraindre Microsoft a finalement corriger sa faille ? Il existe des cas – par exemple en VoIP – où des chercheurs ont uniquement communiqué auprès des fournisseurs, mais au final ces derniers n'ont rien corrigé. »
Cet arrêt relance donc le débat sur la légitimité du full disclosure par rapport au responsible disclosure, qui consiste à ne publier la faille qu'à partir du moment où un correctif est disponible. « Il est vrai que certains éditeurs mettent du temps à publier un correctif, et que dans cette hypothèse le full disclosure peut apparaître comme un moyen de les forcer à faire leur travail. Mais l'opinion dominante est que cette hypothèse doit rester l'exception », estime Frédéric Connes.
* Cet article « réprime le mise à disposition d'équipement, d'instrument ou de programme informatique conçus ou adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données ».
Actu précédente
Actu Suivante
Avis sur «La révélation publique de failles de sécurité est un délit»
Grave
de
Guimo
, posté le 18 décembre 2009 à 16h35
Ainsi, on risque moins à revendre notre trouvaille à quiconque pourrait l'exploiter et récupérer de l'argent. LE meilleur moyen qu'une faille ne soit pas exploitée, c'est de la corriger. Personnellement, je rendrait plutot coupable ou responsable la personne qui a laissé une faille de sécurité ouverte, alors qu'elle est connue sur la place publique.
alerter le modérateur
non assistance à...
de
nullix
, posté le 21 décembre 2009 à 13h11
Parfaitement d'accord.
La non assistance à personne en danger ça existe aussi. Un problème de sécurité peut avoir des repercussions graves, si tout le monde s'enfonce la tête dans le sable par qu'il est interdit d'en parler car c'est tabou cela devient vraiment grave.
Ces lois ne sont peut-être plus vraiment adaptées à la réalité ou bien elles sont utilisées pour protéger uniquement les intérêts financiers d'une des partie.
En tout il faut trouver un juste milieu, et clairement interdire le full disclosure n'est pas un juste milieu.
La non assistance à personne en danger ça existe aussi. Un problème de sécurité peut avoir des repercussions graves, si tout le monde s'enfonce la tête dans le sable par qu'il est interdit d'en parler car c'est tabou cela devient vraiment grave.
Ces lois ne sont peut-être plus vraiment adaptées à la réalité ou bien elles sont utilisées pour protéger uniquement les intérêts financiers d'une des partie.
En tout il faut trouver un juste milieu, et clairement interdire le full disclosure n'est pas un juste milieu.
alerter le modérateur
Encore un jugement des plus débiles
de
flobertin
, posté le 18 décembre 2009 à 21h43
Encore un jugement des plus débiles !
Révéler publiquement les failles et les problémes d'un logiciel libre est le processus normal de developpement.
A partir de quand une erreur de programmation est une faille ?
A partir de quand sa révélation est elle publique - > la mailing liste de dev est elle publique ?
à l'heure d'Internet , penser qu'on va connaître l'identité de celui qui révèle la faille (si cela devient un délit) me tord de rire.
Le juge doit être encore une grosse nouille qui ne comprend rien à la solde d'un expert de Microsoft qui une fois de plus protège plus son incapacité à corriger ses failles et son marketing que la sécurité de ses clients.
Révéler publiquement les failles et les problémes d'un logiciel libre est le processus normal de developpement.
A partir de quand une erreur de programmation est une faille ?
A partir de quand sa révélation est elle publique - > la mailing liste de dev est elle publique ?
à l'heure d'Internet , penser qu'on va connaître l'identité de celui qui révèle la faille (si cela devient un délit) me tord de rire.
Le juge doit être encore une grosse nouille qui ne comprend rien à la solde d'un expert de Microsoft qui une fois de plus protège plus son incapacité à corriger ses failles et son marketing que la sécurité de ses clients.
alerter le modérateur
Pourquoi ?
de
LeBatou
, posté le 18 décembre 2009 à 23h51
Pourquoi est-ce un jugement débile, et pourquoi insulter le juge ? Le juge s'est contenté de faire son boulot, c'est à dire voir quelle est la loi et si elle a été suivie ou non. Ce n'est pas le cas, donc il a condamné.
Maintenant, peut-être que la loi est débile, mais ça c'est un autre problème. La rédaction des textes de loi ne revient pas aux juges, mais aux élus du peuple. Chacun sa place, chacun son job, c'est le fondement de la démocratie.
Alors arrêtez d'insulter le juge SVP !
Maintenant, peut-être que la loi est débile, mais ça c'est un autre problème. La rédaction des textes de loi ne revient pas aux juges, mais aux élus du peuple. Chacun sa place, chacun son job, c'est le fondement de la démocratie.
Alors arrêtez d'insulter le juge SVP !
alerter le modérateur
Il ya un moment ou la complicité est un délit
de
globulinator
, posté le 19 décembre 2009 à 10h15
Le juge n'applique pas les lois , il créé dans certains cas la loi avec des jurisprudences ...
C'est souvent le cas dans des domaines non maitrisés ou la loi ne traite pas explicitement du cas qui lui est soumis.
Dans ce cas, c'est plus sa compétance, ses connaissances, et son entourage (experts, avocats ..) qui conduisent à une décision.
Le malheur, c'est que les compétences sont systématiquement absentes et que les pressions sont nombreuses ...
Et puis , appliquer des loi scélérates décidées en cachettes au yeux des citoyens par des lobbys rend les juges aussi pourris que les politiques qui les décident.
Une démocratie se doit de travailler avec ceux dont l'expertise n'ai pas remise en cause par la majorité des experts du même domaine. Pas avec des guignols choisis par une hypothetique décision administrative ...
C'est souvent le cas dans des domaines non maitrisés ou la loi ne traite pas explicitement du cas qui lui est soumis.
Dans ce cas, c'est plus sa compétance, ses connaissances, et son entourage (experts, avocats ..) qui conduisent à une décision.
Le malheur, c'est que les compétences sont systématiquement absentes et que les pressions sont nombreuses ...
Et puis , appliquer des loi scélérates décidées en cachettes au yeux des citoyens par des lobbys rend les juges aussi pourris que les politiques qui les décident.
Une démocratie se doit de travailler avec ceux dont l'expertise n'ai pas remise en cause par la majorité des experts du même domaine. Pas avec des guignols choisis par une hypothetique décision administrative ...
alerter le modérateur
Bravo
de
Didier7777
, posté le 20 décembre 2009 à 00h07
Effectivement il est difficile de faire plus idiot, dommage que la bêtise ne soit pas délictueuse.
alerter le modérateur
Open Source
de
face2plouc
, posté le 20 décembre 2009 à 12h04
En espérant que cela incite encore plus les utilisateurs à se diriger vers des solutions Open Source.
alerter le modérateur
j'adhère
de
ptitesardine
, posté le 23 décembre 2009 à 00h59
absolument d'accord. Si je résume donc, j'ai une voiture (voir l'actualité), l'accélérateur se bloque (voir l'actualité)....je me tue (voir l'actualité)....je ne dois rien dire !
alerter le modérateur
Je me tue
de
zogotounga
, posté le 11 décembre 2010 à 11h28
En effet, si tu te tues, tu te tais lol,
Trêve de plaisanterie, c'est pas rassurant de voir que plus les progrès arrivent, plus ceux qui sont censés gérer la situation sont dépassés, moins il font appel à de vrais expert pour des raisons purement idéologiques.
On va droit dans le mur en klaxonnant.
Paf, des plumes partout.
Trêve de plaisanterie, c'est pas rassurant de voir que plus les progrès arrivent, plus ceux qui sont censés gérer la situation sont dépassés, moins il font appel à de vrais expert pour des raisons purement idéologiques.
On va droit dans le mur en klaxonnant.
Paf, des plumes partout.
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
