La cour de cassation a confirmé dans une décision publiée fin octobre que sous l’effet de la loi LCEN, la diffusion d’informations permettant l’exploitation de failles de sécurité est un délit pénal, quelles que soient les intentions de l’auteur.

Dans un arrêt du 27 octobre 2009, relaté par nos confrères de 01Net, la cour de cassation a confirmé tout le mal que l’on peut penser de l’article 323-3-1 du code pénal, issu de la loi pour la confiance dans l’économie numérique (LCEN) de 2004. Cette disposition qui vise à censurer toute publication de failles de sécurité punit « le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre [une atteinte à un système informatique]« . Ainsi le simple fait de publier un article « spécialement adapté » à la réalisation d’un piratage informatique est susceptible de condamnation pénale. Et c’est ce qu’a confirmé la cour de cassation.

En décembre 2005, le gérant d’une société montpelliérenne de conseil en sécurité informatique avait publié sur Internet des scripts permettant d’exploiter une faille de sécurité découverte sur le format de fichiers Windows Metafile (WMF) de Microsoft. Le correctif n’a été apporté par la firme de Redmond que quelques jours plus tard, le 5 janvier 2006. A la demande du parquet, la DST a mené une enquête qui a conduit à la mise en examen du gérant, et à sa relaxe au tribunal correctionnel en juin 2008. Le parquet, bien décidé à ne pas créer de précédent, a interjeté appel devant la cour de Montpellier, qui a condamné le prévenu en mars 2009.

L’intention frauduleuse est présumée chez les spécialistes en sécurité informatique

Saisis par le condamné, les magistrats de la plus haute juridiction ont suivi les motifs de la cour d’appel et rejeté l’argument avancé par le défendeur, qui prétendait que la volonté d’information manifestée en publiant la faille de sécurité était suffisante à vérifier l’existence d’un « motif légitime » exigé par la loi. Mais pour la cour de cassation, le prévenu « ne peut valablement arguer d’un motif légitime tiré de la volonté d’information, dès lors que, du fait de son expertise en la matière, il savait qu’il diffusait des informations présentant un risque d’utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance« .

Pour la cour de cassation, il n’y avait pas besoin de rechercher une « intention frauduleuse » dans la communication d’informations sur les failles de sécurité. Il s’agit d’un « délit objectif ». Tout juste fallait-il vérifier que l’auteur avait connaissance de la possibilité que les informations qu’il publiait pouvaient être exploitées à des fins de piratage, ce qui a été vérifié par la nature-même de ses activités professionnelles.

D’un point de vue strictement judiciaire, la décision de la cour de cassation n’est pas scandaleuse. Les magistrats ont simplement appliqué le droit. Dura lex, sed lex.

En revanche, l’arrêt de la cour de cassation renforce la responsabilité du législateur, qui a choisi en 2004 d’aller plus loin que la Convention sur la cybercriminalité du Conseil de l’Europe. Dans son article 6, cette dernière incriminait la publication de dispositifs « principalement conçus ou adaptés » au piratage informatique, tandis que la loi française incrimine les dispositifs « conçus ou spécialement adaptés« , ce qui élargit considérablement le spectre.

En France, il vaut mieux donc taire les failles de sécurité dont on a connaissance, sous peine de se retrouver condamné pénalement. Une précaution contre-nature pour la communauté scientifique, qui n’avantagera que les véritables délinquants qui exploitent les failles de sécurité qu’ils découvrent à des fins néfastes, sans expliquer à leurs victimes comment ils s’y prennent.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !