La divulgation publique d’une faille de sécurité n’est pas (encore) légitime.

Recommander cet Article   Imprimer ce billet
William O’Rorke, le mercredi 25 janvier 2017

Le white hat désigne un hacker qui s’attaque aux systèmes informatiques dans le but, louable, d’en améliorer la sécurité. Adepte de l’open source, il privilégie la divulgation de la faille au public assortie de sa solution (un « exploit »). Au contraire, le black hat garde le secret et exploite cette faille pour en profiter, la revendre ou simplement nuire au responsable du système.

La légende des hackeurs, black and white, n’a pas ému le législateur. En 2004, l’article 46 de la Loi pour la Confiance dans l’Economie Numérique a inséré dans le code pénal un nouvel article 323-3-1 qui sanctionne la mise à disposition de moyens, sans motifs légitimes, permettant de commettre une atteinte aux systèmes de traitement automatisé de données ou STAD. Créée afin de sanctionner les personnes mettant à disposition des virus, cette infraction recouvre également la divulgation d’une faille de sécurité au public qui, par analogie, permet effectivement de porter atteinte à un STAD.

Dans son arrêt du 27 octobre 2009, la Cour de cassation confirme la condamnation sur ce fondement d’un informaticien ayant révélé publiquement une faille de sécurité. Pour sa défense, ce dernier invoquait l’absence d’intention de porter atteinte au STAD ainsi que la légitimité de cette divulgation comme cause exonératoire.

Sur l’élément intentionnel, la Cour a estimé que « la constatation de la violation, sans motif légitime et en connaissance de cause, de l’une des interdictions prévues à l’article 323-3-1 du code pénal, implique de la part de son auteur l’intention coupable exigée par l’article 121-3 ». Par conséquent, le simple fait de divulguer une faille informatique caractérise l’intentionnalité du délit.

Quant à la légitimité de divulgation, l’argument n’a pas convaincu les juges. Selon eux, cette exonération ne peut bénéficier à la personne qui « du fait de son expertise en la matière, savait qu’il diffusait des informations présentant un risque d’utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance ». Ainsi, la divulgation publique en connaissance de cause est exclue des motifs légitimes de l’article 323-3-1 du code pénal, à l’inverse de la recherche et la sécurité informatique. Ce dernier motif implique que le hacker informe au préalable le responsable de traitement de la faille à des fins de correction.

Concernant les sanctions, l’auteur d’une divulgation d’une faille de sécurité informatique risque les peines prévues aux articles 323-1 à 323-3 du Code pénal. En théorie, ces peines sont comprises entre deux à sept ans de prison et 60 000 à 300 000 d’amende. En pratique, l’individu ayant intenté le pourvoi devant la Cour de cassation s’est vu infliger une amende de 1000.  

Les white hats ne sont donc pas compris par le code pénal et la cour de cassation qui exigent d’eux le respect de la confidentialité de l’information.

La responsabilité du hacker n’est pas que pénale. Elle peut également être engagée au titre de la protection de la propriété intellectuelle, en cas de communication d’éléments protégés, ainsi que sur le plan des dommages provoqués au système. Face aux hackers, l’entreprise collectant des données personnelles peut également être sanctionnée sur le fondement de l’article 34 de la loi « Informatique et Liberté » relatif à la sécurité.

Un nouvel espoir apparait pour les white hats avec l’article 47 de la loi pour une République Numérique qui instaure un site hébergé par l’ANSSI afin de signaler, y compris anonymement, les failles de sécurité aux autorités. Auparavant, l’article 40 du Code de procédure pénal imposait à ces fonctionnaires spécialisés en sécurité informatique de dénoncer sans délai les délits dont ils auraient eu connaissance.

La société civile et les acteurs du web ont compris depuis longtemps l’intérêt de récompenser les white hats. Par le biais de « bug bounty », ils organisent et rémunèrent les hackeurs qui leur communiqueraient des failles. Il s’agit, en somme, de crowd-funder de la sécurité informatique de son système informatique.

Enfin, l’une des possibilités pour le white hat consiste à joindre un organe de presse spécialisé dans la sécurité informatique afin qu’il assure l’équilibre entre confidentialité de la faille et information.

La législation sanctionne sévèrement la divulgation de failles en raison des risques induits pour l’entreprise, ses données et ses utilisateurs. Néanmoins, l’encadrement progressif de la divulgation responsable permettrait d’améliorer notre sécurité informatique à tous.

 

Le Cabinet HAAS Avocats a, depuis plus de 20 ans, développé son expertise auprès des acteurs de l’innovation et accompagne régulièrement ses clients sur les questions liées à la sécurité informatique.

Vous souhaitez en savoir plus, cliquez ici.

La divulgation publique d’une faille(...)




home contact quisommesnous puce rouge suite