Close
  • Français
  • English

21/09/2012Les incertitudes juridiques de la publication de failles de sécurité [Par Alexandre Durand, CEIS]

S’il est possible d’informer le public sur l’existence d’une vulnérabilité, il ne faut pas que cette information permette d’exploiter des failles de sécurité informatique, sauf motif légitime.

La recherche de failles dans des systèmes informatiques est l’une des activités les plus appréciées parmi les communautés de hackers, de pentesteurs et autres experts de sécurité informatique. Mais qu’advient-il une fois que ces derniers ont trouvé des vulnérabilités dans les systèmes ?

« White Hat » : entre « full » et « responsible disclosure »

Il existe plusieurs chapelles parmi les passionnés de sécurité informatique. Parmi les « white hat », certains sont partisans du « full disclosure » ou divulgation complète, alors que d’autres prônent le « responsible disclosure » ou divulgation responsable. La différence entre les deux positions tient à l’étendue des informations révélées. Dans le cas de la divulgation « complète », toutes les informations connues concernant la faille sont publiées, y compris les « exploits », c’est-à-dire les moyens d’exploiter la faille.. Les partisans de la divulgation « responsable » choisissent eux de laisser un certain temps à l’intéressé pour corriger la faille, et s’ils choisissent de divulguer l’existence d’une faille, ils ne fournissent en principe pas les « exploits ». D’autres enfin estiment qu’effectuer une divulgation complète mais dans un cercle d’initiés restreints constitue également une « responsible disclosure ».

Comment la loi appréhende-t-elle la publication de failles de sécurité informatique ?

Un texte ambigu

L’article 323-3-1[1] du Code pénal sanctionne « le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 », c’est-à-dire le fait d’accéder, de se maintenir frauduleusement, d’entraver, de fausser le fonctionnement ou d’introduire des données dans un systèmes de traitement automatisé de données [STAD]. Ce comportement « est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée », c’est-à-dire au maximum 7 ans de prison et 100 000€ d’amende.

Quels outils sont visés par le texte ?

De nombreuses inquiétudes ont traversé le milieu de la sécurité informatique à l’époque, car beaucoup se sont interrogés sur le champ d’application, assez large, de cet article. Par exemple, quels outils informatiques remplissent les conditions énumérées par les articles 323-1 et suivants ? Le texte évoque les outils « conçus ou spécialement adaptés » pour commettre des atteintes au STAD, critère qui, pour être apprécié, nécessiterait de se mettre à la place du concepteur du programme.

Quelle définition pour le « motif légitime » ?

La question de la définition du motif légitime se pose également. L’article 6 de la Convention sur la cybercriminalité exclut la responsabilité pénale en cas de diffusion ou de mise à disposition d’un dispositif permettant une infraction informatique lorsque ces dernières « n’ont pas pour but de commettre une infraction établie conformément aux articles 2 à 5 de la présente Convention, comme dans le cas d’essai autorisé ou de protection d’un système informatique ». Pour le professeur Agathe Lepage, le motif légitime doit également être entendu de façon à  « tenir compte des nécessités de la recherche ou de la sécurité informatique »[2].

On peut donc légitimement penser que la finalité de sécurité informatique entre dans la définition du motif légitime évoqué dans l’article 323-3-1 du Code pénal. Mais ce constat amène plusieurs interrogations :

[list style=’check’]
[list_item]d’une part, est-ce que le motif légitime se limite à la sécurité informatique ? Ne peut-on pas imaginer que le droit à l’information constitue un motif légitime de possession ou de diffusion d’un des outils incriminés par l’article 323-3-1 du Code pénal ? Le fait d’être professionnel de la sécurité informatique dispense-t-il l’intéressé d’apporter la preuve de son motif légitime ? [/list_item]

    [list_item] d’autre part, doit-on apprécier la « finalité de sécurité informatique » de façon directe ou indirecte ? En effet, le motif légitime ne manquera pas d’être invoqué de façon indirecte par certains « white hat » pour justifier des « full disclosure ». Leur raisonnement sera de justifier des divulgations complètes en expliquant que ces dernières placent les titulaires des droits sur les sites ou les logiciels vulnérables dos au mur, et les oblige à intervenir car la faille est accessible à n’importe quel « script kiddies »[3]. [/list_item]
[/list]

Une jurisprudence qui ne dissipe pas les interrogations

La Cour de cassation s’est pour la première fois prononcée sur l’appréciation de l’article 323-3-1 du Code pénal dans un arrêt du 27 octobre 2009, qui a largement fait parler de lui à l’époque.. Un professionnel de la sécurité informatique, gérant d’une société dans le domaine, avait publié sur son site internet « des scripts permettant d’exploiter des failles de sécurité informatique, directement visibles sur le site et accessibles à tous ». Les services de l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC) avisent alors le parquet de Montpellier, qui décide d’engager des poursuites. Après une décision favorable en première instance, le professionnel est condamné le 12 mars 2009 par la Cour d’appel de Montpellier. Il forme alors un pourvoi qui est rejeté par la Cour de cassation.

Premier constat, l’article 323-3-1 du Code pénal peut s’appliquer à la publication de failles informatiques accompagnées de leur « exploits », c’est-à-dire du moyen d’exploiter la faille, et pas uniquement à la détention de virus. Pour autant, tous les experts en sécurité informatique, qui souvent possèdent et utilisent de tels outils, pourraient-ils être poursuivis sur le même fondement ?

Le cœur du débat était de déterminer ce qui constituait un motif légitime de diffusion de la vulnérabilité. En l’espèce, il ne se contentait pas de signaler publiquement l’existence d’une vulnérabilité (ce que le site « Zataz » fait régulièrement), mais il mettait à disposition des visiteurs de son site les « exploits ». Il s’agissait donc d’un « full disclosure », car les informations permettait d’exploiter la faille et étaient « directement visibles sur le site et accessibles à tous ».

Et c’est sur ce point précis que la Cour fonde sa décision, car « du fait de son expertise en la matière, il savait qu’il diffusait des informations présentant un risque d’utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance ».

C’est la position classique du droit français qui présume que les professionnels sont nécessairement des personnes averties de leurs obligations, de sorte que s’ils violent la loi, cette violation est nécessairement consciente. En aurait-il été autrement s’il ne s’était pas agi d’un professionnel ? Peut-être, mais qui d’autre qu’un professionnel, ou du moins un amateur éclairé, pourrait découvrir et mettre en ligne des vulnérabilités informatiques ?

Par Alexandre Durand

Consultant CEIS


[1]http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418323&cidTexte=LEGITEXT000006070719&dateTexte=20120601&oldAction=rechCodeArticle

[2] Ibid.

[3] http://fr.wikipedia.org/wiki/Script_kiddie