Divulguer une faille informatique peut mener en prison
Un article de la future loi pour la confiance dans l’économie numérique met sur le même plan les professionnels de la sécurité et les personnes malintentionnées.
Au delà des problématiques de surveillance des contenus, des filtrages et de la responsabilité pénale que la loi pour la confiance dans l’économie numérique (LEN) soulève, un autre point du texte de la loi risque de poser plus de problème qu’il n’en résoudra. Il s’agit de l’article 323-3-1 concernant la divulgation de données conçues pour perpétrer des infractions informatiques. « Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée », précise l’article. Les peines en question peuvent entraîner 3 ans de prison ferme.
Reste à savoir si la divulgation de failles logicielles, méthodologie et code source à l’appui pour test, entrent dans la catégorie « programme informatique ». Car l’article est sujet à interprétation. Il stipule notamment que « les dispositions du présent article ne sont pas applicables lorsque l’importation, la détention, l’offre, la cession ou la mise à disposition de l’équipement, de l’instrument, du programme informatique ou de toute donnée n’est pas intentionnelle ». Une intention qui sera probablement laissée à la seule interprétation du juge en cas de poursuites. Les acteurs de la sécurité ont déjà intérêt à préparer leurs arguments pour justifier leur travail.
Les chercheurs en prison avec les pirates
Une entreprise spécialisée en sécurité qui divulgue ? pourtant intentionnellement ? une faille système ? mais sans intention de l’exploiter? sera-t-elle concernée par l’article de la LEN? Les chercheurs en sécurité seront-ils mis sur le même plan que les véritables pirates? C’est la question sous-jacente qui se profile. « Si la loi est votée […] la France remplacera la présomption d’innocence par la présomption de culpabilité », écrit le consultant en sécurité pour le site K-Otik Bekrar Chaouki dans le forum de SecurityFocus. « Tous les chercheurs et consultants endosseront le statut de criminel », renchérit le consultant.
Si, une fois voté, le texte est appliqué à la lettre, les consultants en sécurité ont effectivement du souci à se faire. D’autant que les vrais pirates prennent, eux, généralement le soin de ne pas révéler leur identité (surtout s’ils agissent de l’étranger). Si l’on condamne, ou menace, les acteurs qui aident les entreprises à combler les failles de sécurité, les effets de la loi pourraient donc se retourner contre ceux qu’elle est censée protéger. « Je suppose qu’il n’y aura plus jamais de conférence sur la sécurité informatique en France », ironise un autre participant au forum de SecurityFocus. La LEN doit être débattue demain, jeudi 8 avril 2004, au Sénat (voir édition du 6 avril 2004).