Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Myki

[LEN] Trouver une faille est illicite

Messages recommandés

Divulguer une faille informatique peut mener en prison

 

Un article de la future loi pour la confiance dans l'économie numérique met sur le même plan les professionnels de la sécurité et les personnes malintentionnées.

 

Au delà des problématiques de surveillance des contenus, des filtrages et de la responsabilité pénale que la loi pour la confiance dans l'économie numérique (LEN) soulève, un autre point du texte de la loi risque de poser plus de problème qu'il n'en résoudra. Il s'agit de l'article 323-3-1 concernant la divulgation de données conçues pour perpétrer des infractions informatiques. "Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée", précise l'article. Les peines en question peuvent entraîner 3 ans de prison ferme.

 

Reste à savoir si la divulgation de failles logicielles, méthodologie et code source à l'appui pour test, entrent dans la catégorie "programme informatique". Car l'article est sujet à interprétation. Il stipule notamment que "les dispositions du présent article ne sont pas applicables lorsque l'importation, la détention, l'offre, la cession ou la mise à disposition de l'équipement, de l'instrument, du programme informatique ou de toute donnée n'est pas intentionnelle". Une intention qui sera probablement laissée à la seule interprétation du juge en cas de poursuites. Les acteurs de la sécurité ont déjà intérêt à préparer leurs arguments pour justifier leur travail.

 

Les chercheurs en prison avec les pirates

 

Une entreprise spécialisée en sécurité qui divulgue – pourtant intentionnellement – une faille système – mais sans intention de l'exploiter– sera-t-elle concernée par l'article de la LEN? Les chercheurs en sécurité seront-ils mis sur le même plan que les véritables pirates? C'est la question sous-jacente qui se profile. "Si la loi est votée [...] la France remplacera la présomption d'innocence par la présomption de culpabilité", écrit le consultant en sécurité pour le site K-Otik Bekrar Chaouki dans le forum de SecurityFocus. "Tous les chercheurs et consultants endosseront le statut de criminel", renchérit le consultant.

 

Si, une fois voté, le texte est appliqué à la lettre, les consultants en sécurité ont effectivement du souci à se faire. D'autant que les vrais pirates prennent, eux, généralement le soin de ne pas révéler leur identité (surtout s'ils agissent de l'étranger). Si l'on condamne, ou menace, les acteurs qui aident les entreprises à combler les failles de sécurité, les effets de la loi pourraient donc se retourner contre ceux qu'elle est censée protéger. "Je suppose qu'il n'y aura plus jamais de conférence sur la sécurité informatique en France", ironise un autre participant au forum de SecurityFocus. La LEN doit être débattue demain, jeudi 8 avril 2004, au Sénat (voir édition du 6 avril 2004).

 

Christophe Lagane

 

Source VNUnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Pas encore ... mais ca va le devenir ...

 

LCEN: révéler des failles de sécurité sera-t-il bientôt réprimé?

Par Christophe Guillemin

ZDNet France

Vendredi 9 avril 2004

 

Les experts en sécurité qui, pour les besoins de leurs travaux, publient des vulnérabilités technologiques pourraient être considérés comme «coupables de piraterie», après la modification de la LCEN visant à durcir les dispositions contre la cybercriminalité.

 

Dans sa dernière version, la loi sur la confiance dans l'économie numérique (LCEN), adoptée en seconde lecture par les sénateurs dans la nuit de jeudi à vendredi, supprime la possibilité de révéler des failles de sécurité à des fins de recherche scientifique.

 

Les sénateurs ont ainsi modifié l'article 34 du projet de loi (lire le texte adopté vendredi matin). Il apportait des précisions au code pénal en indiquant qu'il était interdit «de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés» pour commettre les infractions prévues dans l'article 323-3 du code pénal.

 

Ces infractions sont: «introduire frauduleusement des données dans un système de traitement automatisé» ou encore «supprimer ou modifier frauduleusement les données qu'il contient». Elles sont punies de trois ans d'emprisonnement et de 45.000 euros d'amende.

 

Une version antérieure de la LCEN proposait, en outre, un alinéa précisant que les dispositions de cet article ne sont pas applicables lorsqu'elles répondent aux «besoins de la recherche scientifique et technique ou de la protection et de la sécurité des réseaux de communications électroniques et des systèmes informations, et lorsqu’elles sont mises en œuvre par des organismes publics ou privés ayant procédé à une déclaration préalable auprès du Premier ministre».

 

C'est au juge seul de décider du «motif légitime»

 

Dans leur seconde lecture en janvier 2004, les députés décidaient de supprimer cette mention, ce que les sénateurs ont validé en ajoutant la mention «sans motif légitime» dans la première phrase de l'article 34. Tout est donc laissé à la discrétion du juge, qui devra décider seul de ce «motif légitime». Une décision qui n'est pas sans soulever de vives critiques, comme d'autres dispositions de la LCEN luttant contre la cybercriminalité.

 

«C'est scandaleux», commente Olivier Iteanu, avocat au barreau de Paris, interrogé par ZDNet. «Les sénateurs veulent criminaliser ceux qui font la démonstration, preuves à l'appui, des failles de sécurité. Ils n'ont aucune connaissance de ces pratiques et sanctionnent au plus dur. C'est dans la même veine que l'affaire Kitetoa.» Pour mémoire, Olivier Iteanu a défendu un webmaster français, condamné puis relaxé en appel pour avoir pointé du doigt des failles dans les serveurs hébergeant le site internet des magasins Tati.

 

Même inquiétude pour l'équipe de K-Otik, un site français de veille en sécurité informatique, qui a lancé une alerte avant l'examen du texte au Sénat pour dénoncer les conséquences d'un tel article sur la liberté d'expression. Ces nouvelles dispositions rendent désormais les experts en sécurité «coupables de complicité de piraterie». «Il n'est donc plus possible de publier les détails techniques d'une vulnérabilité, publier ou manipuler des outils permettant les tests intrusifs ou les audits de sécurité... sans être coupable de piraterie ou de complicité de piraterie! (…) La présomption d'innocence est clairement remplacée par la "présomption de culpabilité"», indiquent-ils dans un communiqué.

 

Source ZDnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites
La LEN contre la divulgation des failles informatiques

 

En supprimant un paragraphe de l'article 34 de la LEN, les sénateurs tendent à mettre experts informatiques et pirates dans le même sac.

 

Les éditeurs pourront-ils poursuivre plus facilement les pirates informatiques ? C'est en tout cas l'intention de l'article 34 de la loi pour la confiance dans l'économie numérique (LEN) qui stipule que "le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 [du code pénal] est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée".

 

Si l'intention - louable - des parlementaires est de lutter contre les individus malveillants, les consultants informatiques ne sont cependant pas à l'abri des poursuites. En effet, lors du passage de la LEN au Sénat en deuxième lecture (voir édition du 9 avril 2004), le paragraphe suivant a été retiré : "Les dispositions du présent article ne sont pas applicables lorsque l'importation, la détention, l'offre, la cession ou la mise à disposition de l'équipement, de l'instrument, du programme informatique ou de toute donnée n'est pas intentionnelle." Une nuance qui permettait encore de distinguer les professionnels de la sécurité des individus malintentionnés. Surtout, cela mettait à l'abri les utilisateurs dont l'ordinateur, victime d'une intrusion, aurait servi à commettre des méfaits. Au final, ce sera donc au juge d'apprécier le "motif légitime" qui permettra de décider du sort d'un expert informatique qui aurait, par exemple, révélé des failles de sécurité d'un logiciel, ou encore d'un particulier pirate malgré lui. Dans ce cadre, le code pénal prévoit des peines allant jusqu'à trois ans d'emprisonnement et 45 000 euros d'amende.

 

Vers une unique source d'information

 

On peut donc s'interroger sur l'utilité de cet article. Il est peu probable que les véritables pirates cessent leurs activités, déjà illégales, dès l'entrée en application de la LEN. Au mieux, elle découragera les adolescents avides de reconnaissance. En revanche, si les consultants informatiques et autres sources de révélation de failles cessent leurs communications, les utilisateurs ne pourront plus compter que sur la politique sécuritaire de l'éditeur. Une perspective peu rassurante quand on sait que Microsoft met parfois des mois à combler certains défauts de ses systèmes d'exploitation. Dans le cas contraire, les tribunaux pourraient vite se retrouver engorgés par des affaires impliquant des experts poursuivis par des éditeurs pour avoir révélé les vulnérabilités de leurs logiciels. Un paradoxe pour la LEN qui, en invitant les prestataires techniques à gérer eux-mêmes les cas de contenus litigieux, vise à éviter la multiplication des affaires judiciaires.

 

Christophe Lagane

 

Source VNUnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×