|
|
La cour de cassation confirme que la publication de failles de sécurité exploitables est un délit
Guillaume Champeau -
publié le Mardi 22 Décembre 2009 à 16h14 -
posté dans Société 2.0
 La cour de cassation a confirmé dans une décision publiée fin octobre que sous l'effet de la loi LCEN, la diffusion d'informations permettant l'exploitation de failles de sécurité est un délit pénal, quelles que soient les intentions de l'auteur. Dans un arrêt du 27 octobre 2009, relaté par nos confrères de 01Net, la cour de cassation a confirmé tout le mal que l'on peut penser de l'article 323-3-1 du code pénal, issu de la loi pour la confiance dans l'économie numérique (LCEN) de 2004. Cette disposition qui vise à censurer toute publication de failles de sécurité punit "le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre [une atteinte à un système informatique]". Ainsi le simple fait de publier un article "spécialement adapté" à la réalisation d'un piratage informatique est susceptible de condamnation pénale. Et c'est ce qu'a confirmé la cour de cassation. En décembre 2005, le gérant d'une société montpelliérenne de conseil en sécurité informatique avait publié sur Internet des scripts permettant d'exploiter une faille de sécurité découverte sur le format de fichiers Windows Metafile (WMF) de Microsoft. Le correctif n'a été apporté par la firme de Redmond que quelques jours plus tard, le 5 janvier 2006. A la demande du parquet, la DST a mené une enquête qui a conduit à la mise en examen du gérant, et à sa relaxe au tribunal correctionnel en juin 2008. Le parquet, bien décidé à ne pas créer de précédent, a interjeté appel devant la cour de Montpellier, qui a condamné le prévenu en mars 2009. L'intention frauduleuse est présumée chez les spécialistes en sécurité informatique Saisis par le condamné, les magistrats de la plus haute juridiction ont suivi les motifs de la cour d'appel et rejeté l'argument avancé par le défendeur, qui prétendait que la volonté d'information manifestée en publiant la faille de sécurité était suffisante à vérifier l'existence d'un "motif légitime" exigé par la loi. Mais pour la cour de cassation, le prévenu "ne peut valablement arguer d'un motif légitime tiré de la volonté d'information, dès lors que, du fait de son expertise en la matière, il savait qu'il diffusait des informations présentant un risque d'utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance". Pour la cour de cassation, il n'y avait pas besoin de rechercher une "intention frauduleuse" dans la communication d'informations sur les failles de sécurité. Il s'agit d'un "délit objectif". Tout juste fallait-il vérifier que l'auteur avait connaissance de la possibilité que les informations qu'il publiait pouvaient être exploitées à des fins de piratage, ce qui a été vérifié par la nature-même de ses activités professionnelles. D'un point de vue strictement judiciaire, la décision de la cour de cassation n'est pas scandaleuse. Les magistrats ont simplement appliqué le droit. Dura lex, sed lex. En revanche, l'arrêt de la cour de cassation renforce la responsabilité du législateur, qui a choisi en 2004 d'aller plus loin que la Convention sur la cybercriminalité du Conseil de l'Europe. Dans son article 6, cette dernière incriminait la publication de dispositifs "principalement conçus ou adaptés" au piratage informatique, tandis que la loi française incrimine les dispositifs "conçus ou spécialement adaptés", ce qui élargit considérablement le spectre. En France, il vaut mieux donc taire les failles de sécurité dont on a connaissance, sous peine de se retrouver condamné pénalement. Une précaution contre-nature pour la communauté scientifique, qui n'avantagera que les véritables délinquants qui exploitent les failles de sécurité qu'ils découvrent à des fins néfastes, sans expliquer à leurs victimes comment ils s'y prennent. à lire aussi
  Prix indiqués avec livraison
41
Commentaires à propos de «La cour de cassation confirme que la publication de failles de sécurité exploitables est un délit»
Répondre
Kekounet
le 22/12/2009 à 16:24
De toute façon internet y' a que des pédophiles, des terroristes et des pirates... Vivement la nationalisation (sarcasme)
 Disons que l'auteur de la découverte aurait pu prévenir l'éditeur et ensuite publier sa faille 1 ou 2 jours plus tard (même si le patc n'était pas prêt, ça lui faisait un argument de plus pour sa défense). Là il a joué le côté "pub" en publiant avt de prévenir MS.
 Cher gouvernement.fr,
j'ai découvert fortuitement une faille sur votre site donnant accès à toute personne cliquant sur un certain lien visible de tous à la liste des salaires, budget prévisionnels, plan sécurité-défense national. Par contre je n'ignore pas la loi, je n'en dirais donc pas plus. Bien cordialement, Jean Bonnot  De toute façon même en prévenant quand on trouve une faille de sécu, en aidant à la corriger et en publiant après l'exploit, on peut se retrouver condamner comme Zataz.
Question piège, la distribution GNU/Linux est-elle illégale alors qu'elle est souvent utilisée dans des audit de sécurité ?  Piratomane, le 22/12/2009 - 16:36 Disons que l'auteur de la découverte aurait pu prévenir l'éditeur et ensuite publier sa faille 1 ou 2 jours plus tard (même si le patc n'était pas prêt, ça lui faisait un argument de plus pour sa défense). Là il a joué le côté "pub" en publiant avt de prévenir MS. C'est un peu con que personne n'ait pris la peine d'expliquer aux juges que la sécurité par l'obscurité, ça marche vraiment très mal. Cette décision ferait certainement mourir de rire les développeurs d'OpenBSD : ça produira exactement le contraire de ce qui était voulu, à savoir renforcer la sécurité des systèmes informatiques.
En tout cas, ça ne change pas grand chose : l'hébergement se fera sur un site hors de France et puis c'est tout.  Dans le même genre je peux donc si je suit la logique faire condamner toute entreprise qui transmettraient mes données personnelles à un tiers, puisque celle ci peut nuire à des fins mercantiles à s'avérer dangereuse pour ma sécurité propre.
C'est presque le même système, qui me prouve que ces entreprises ne sont pas des arnaqueurs et chercheraient à profiter!!!!  Ok, donc on peut plus dénoncer des failles de sécurité dans un logiciel libre avec explications à l'appuie?
 j'aime bien la comparaison de PCinpact d'un coutelier condamner pour n'avoir pas anticiper des meurtres avec ses couteaux.
sinon il est clair que la France est devenue une zone noire pour la sécurité informatique... cette confirmation d'interdiction de publication va faire le beurre... de tous les pirates! Et bien ce sont les chercheurs français qui sont lésés dans l'histoire. Ils n'ont plus le droit de publier les failles qu'ils découvrent en France, ils les publieront donc à l'étranger. La France se moque d'être pionière en nouvelles technologies, développement de logiciels, etc...
Maintenant prenons un exemple concret. Un informaticien lambda découvre au sein des machines à voter une faille de sécurité, quelques jours avant les élections. Il ne peut publier cette faille tant que le patch n'est pas sorti (l'éditeur n'est donc plus préssé de corriger cette faille s'il a d'autres chats à fouetter). Supposons que le patch de la machine à voter sorte quelques jours après, la faille peut être rendue publique, mais trop tard les élections sont passées... Bon ok c'est un peu tiré par les cheveux mais ça n'est pas moins ubuesque que cette jurisprudence. Pourquoi donc en France se borne-t-on à toujours vouloir faire différemment des autres ? @zobrak : ++Exactement !Hormis la fierté liée à la reconnaissance (motivant dans ce domaine) ils peuvent même publier anonymement.Au final, ce ne sont pas les chercheurs qui perdront au change : meilleure visibilité outre-manche et outre-atlantique.Et peut-être même allons-nous assister à un regain de full disclosures par défi. CE qui ne peut être qu'une bonne chose.Ici, il ne faut pas blâmer les juges mais le législateur.db
 Alors là, ça c'est le pompon, et tous ceux qui savent se servir de leur phallus, ce sont des violeurs en puissance à condamner comme tel ? àa devient n'importe quoi la justice, en tout cas pas intérêt d'écrire qu'on sait comment faire avec son kiki sans motif légitime. Ouf, ce ne vaut que pour l'informatique cette aberration, on l'échappe belle.
 Non non, ils ne doivent plus les publier.
Ils devront, dorénavant, en informer les ayants-droits des logiciels concernés, après avoir bien sur fournit carte d'identité génétique et approvisionnement d'un compte bloqué permettant de payer les frais de justice en cas de poursuite par les ayants-droits. Et prochainement dans les assemblées de toute démocratie qui se respecte, une loi sera votée interdisant de découvrir une faille de sécurité. N'oubliez surtout pas d'avoir peur... ah oui, et pour finir : Les gouvernements ne sont plus une représentation du peuple, mais une farce capitaliste des lobbys industriels nommée démocratie, que l'on nous introduit dans le fondement à longueur de temps. Au moins le retour de bâtons sera rapide, tout ce qu'ils vont réussir à faire c'est réduire la qualité de la sécurité informatique de nos entreprises.
La cours de cassation nr juge pas elle vérifie si la procédure est conforme au droit pour elle les fait sont aquit point.
 A chaque fois qu'on découvre une faille de sécurité dans Firefox, faudra contacter directement Tristan Nitot par email chiffré ? Le pauvre :/
Fortement incompatible avec l'esprit du logiciel libre, qui veut que toute transparence soit faite.  Communiquer au premier intéressé que son systeme a une faille est une chose, la communiquer au grand jour pour être bien sur que tout le monde pourra l'exploiter, en est une autre.
M'enfin le discours formaté des hackers on le connait : ils veulent notre bien sous pretexte de s'introduire chez nous.
|
A LA UNE
LES + COMMENTÉS
 10 offres à partir de 309 €
 26 offres à partir de 188 €
 19 offres à partir de 87 €
Télécharger
ssc service utility,
redtube video downloader,
emule islande,
voissa anonymo,
windows live messenger,
avast,
total video converter,
msn messenger,
Accès rapide :
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
|
![eMule 0.47a [Cyrex2001]](http://images.numerama.com/img/s/t6489-35-37-emule-047a-cyrex2001.jpg)
![eMule 0.49b [RaJiL]](http://images.numerama.com/img/s/t10155-35-37-emule-049b-rajil.jpg)
