La LEN contre la divulgation des failles informatiques

Les éditeurs pourront-ils poursuivre plus facilement les pirates informatiques ? C’est en tout cas l’intention de l’article 34 de la loi pour la confiance dans l’économie numérique (LEN) qui stipule que « le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 [du code pénal] est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée ».

Si l’intention – louable – des parlementaires est de lutter contre les individus malveillants, les consultants informatiques ne sont cependant pas à l’abri des poursuites. En effet, lors du passage de la LEN au Sénat en deuxième lecture (voir édition du 9 avril 2004), le paragraphe suivant a été retiré : « Les dispositions du présent article ne sont pas applicables lorsque l’importation, la détention, l’offre, la cession ou la mise à disposition de l’équipement, de l’instrument, du programme informatique ou de toute donnée n’est pas intentionnelle. » Une nuance qui permettait encore de distinguer les professionnels de la sécurité des individus malintentionnés. Surtout, cela mettait à l’abri les utilisateurs dont l’ordinateur, victime d’une intrusion, aurait servi à commettre des méfaits. Au final, ce sera donc au juge d’apprécier le « motif légitime » qui permettra de décider du sort d’un expert informatique qui aurait, par exemple, révélé des failles de sécurité d’un logiciel, ou encore d’un particulier pirate malgré lui. Dans ce cadre, le code pénal prévoit des peines allant jusqu’à trois ans d’emprisonnement et 45 000 euros d’amende.

Vers une unique source d’information

On peut donc s’interroger sur l’utilité de cet article. Il est peu probable que les véritables pirates cessent leurs activités, déjà illégales, dès l’entrée en application de la LEN. Au mieux, elle découragera les adolescents avides de reconnaissance. En revanche, si les consultants informatiques et autres sources de révélation de failles cessent leurs communications, les utilisateurs ne pourront plus compter que sur la politique sécuritaire de l’éditeur. Une perspective peu rassurante quand on sait que Microsoft met parfois des mois à combler certains défauts de ses systèmes d’exploitation. Dans le cas contraire, les tribunaux pourraient vite se retrouver engorgés par des affaires impliquant des experts poursuivis par des éditeurs pour avoir révélé les vulnérabilités de leurs logiciels. Un paradoxe pour la LEN qui, en invitant les prestataires techniques à gérer eux-mêmes les cas de contenus litigieux, vise à éviter la multiplication des affaires judiciaires.