Embed Size (px)
Citation preview
1
Master 2 « droit des activités numériques »
Promotion 2010-2011
Le droit face aux divulgations des failles de
sécurité informatique
Mémoire présenté par
M. Julien RICHARD
Sous la direction de : M. Bertrand WARUSFEL
Professeur à l’Université Paris V Descartes et Lille II
Juin 2011
2
Sommaire
INTRODUCTION ............................................................................................................ 4
PREMIERE PARTIE : Le contexte mondial de la divulgation .......................................... 8
Chapitre 1 : typologie et acteurs de la divulgation ................................................................... 8
SECTION 1 : Typologie des divulgations ...................................................................................................... 8
§-1 : Pluralité des divulgations ................................................................................................................ 8
A) Le dualisme traditionnel : .................................................................................................................. 8
B) Le problème inhérent à la nature des vulnérabilités : ........................................................................ 9
§-2 : Vers une divulgation coordonnée ? .............................................................................................. 11
A) Le projet Microsoft (coordinated disclosure) .................................................................................. 11
B) Une fausse évolution ? .................................................................................................................... 12
SECTION 2 : les principaux acteurs de la divulgation ................................................................................. 12
§-1 : les professionnels ............................................................................................................................. 12
A) Les principales autorités nationales : ............................................................................................... 13
B) Les chercheurs en sécurité et les éditeurs ........................................................................................ 15
§-2 : les pirates informatiques .................................................................................................................. 17
A) Définition : ...................................................................................................................................... 17
B) Black and white : ............................................................................................................................. 17
Chapitre 2 : droit comparé de la divulgation ......................................................................... 19
SECTION 1 : Panorama de la divulgation en Europe ................................................................................. 19
§-1 : Une approche incertaine des divulgations ...................................................................................... 19
A) L’absence de textes spécifiques à la divulgation ............................................................................. 19
B) L’influence du droit européen dans les législations internes ........................................................... 20
§-2 : Des réponses juridiques nuancées................................................................................................... 22
A) La principale divulgation autorisée : ............................................................................................... 22
B) Les divulgations interdites : ............................................................................................................ 24
C) La divulgation de données « sensibles » : ....................................................................................... 27
SECTION 2 : La divulgation aux USA ........................................................................................................ 27
§-1 : Les fondements juridiques en matière de divulgation ..................................................................... 27
A) Le Computer Fraud and Abuse Act ................................................................................................. 28
B) Le DMCA........................................................................................................................................ 29
C) Le cas de la divulgation de données « sensibles » : ......................................................................... 31
§- 2 : La jurisprudence ............................................................................................................................. 33
A) Une jurisprudence croissante fondée sur le DMCA : ...................................................................... 33
B) Incertitude persistante en matière de divulgation : .......................................................................... 34
DEUXIEME PARTIE : L’approche nationale de la divulgation ...................................... 35
Chapitre 1 : Les réponses traditionnelles du droit français .................................................... 35
SECTION 1 : Incertitudes liées à l’évolution des techniques ...................................................................... 35
§-1 : Contexte légal inadapté ................................................................................................................... 35
A) Origines de la problématique de la divulgation en France : ............................................................ 36
B) L’utilisation du Code pénal : ........................................................................................................... 36
§-2 : Problématique liée au web 2.0 : ....................................................................................................... 38
3
A) Obligation pour les entreprises de sécuriser leur réseau : ................................................................ 38
B) Responsabilité de l’auteur d’une divulgation liée à l’entreprise : ................................................... 39
SECTION 2 : Incertitude inhérente à la sévérité des critères retenus ........................................................... 40
§-1: Diversité des hypothèses de divulgation ........................................................................................... 40
A) Divulgations encadrées : ................................................................................................................. 41
B) Divulgations interdites : .................................................................................................................. 43
§-2 : Des critères nouvellement posés par la JP ....................................................................................... 47
A) Sanction réaffirmée de l’intrusion non autorisée ............................................................................. 47
B) Précision de la notion de « motif légitime » .................................................................................... 49
Chapitre 2 : L’évolution attendue .......................................................................................... 51
SECTION 1 : la réaction de l’UE : Paquet Télécom de novembre 2009...................................................... 51
§-1 : Les raisons de l’adoption du Paquet Télécom ................................................................................. 51
A) Inspiration américaine ..................................................................................................................... 52
B) Réaction de l’UE ............................................................................................................................. 53
§-2 : Modalités des nouvelles obligations ................................................................................................ 54
A) Double notification .......................................................................................................................... 54
B) Autorités concernées ....................................................................................................................... 55
SECTION 2 : la réaction nationale : loi du 23 mars 2010 ............................................................................ 56
§-1 : Contenu du projet de loi .................................................................................................................. 56
A) Contexte de l’adoption : .................................................................................................................. 56
B) Modalités des obligations ................................................................................................................ 57
§-2 : Insuffisances de la loi ? ................................................................................................................... 58
A) Manque de précisions sur le plan juridique ..................................................................................... 58
B) Manque de précisions sur le plan technique .................................................................................... 60
CONCLUSION ............................................................................................................... 61
LEXIQUE ...................................................................................................................... 63
BIBLIOGRAPHIE ......................................................................................................... 65
ANNEXES ..................................................................................................................... 66
4
INTRODUCTION
1. L’impérieuse nécessité de sécuriser les systèmes d’information :
A l’heure où près de 30% de l’humanité possède un accès à internet, la métaphore des
« Autoroutes de l'Information » forgée par Al Gore, vice-président des États-Unis dans les
années 1990, n’a jamais été aussi vraie, assimilant la circulation des informations numériques
à celle des voitures sur des voies de circulation de grande capacité.
Il suffit, pour s’en rendre compte, de regarder le « datalossbarometer »1 de KPGM, réseau
mondial de prestations de services d'audit et de conseil. Ce « baromètre de la perte de
données » analyse tous les incidents ayant trait aux pertes de données, à travers le monde,
depuis 2005. Selon son rapport de novembre 2010, disponible sur son site internet, 249
millions de personnes ont été victimes d’un acte de piratage depuis 2007 et plus de 500
millions de personnes ont subi la perte de données personnelles. Ces chiffres témoignent de
l’importance considérable de la sécurité et de la protection dans les domaines de
l’informatique et de l’internet.
Devant une telle importance des échanges (informations, données…) sur la toile, inhérente à
ce que les spécialistes appellent l’ « interconnexion des réseaux » (le réseau mondial), le
besoin de sécurité n’a jamais été aussi grand. De nombreux textes traduisent cette impérieuse
nécessité, comme par exemple la directive européenne du 25 novembre 2009 qui, dans son
considérant 44, rappelle que « la fiabilité et la sécurité de l’acheminement de l’information sur
les réseaux de communications électroniques sont de plus en plus importantes pour
l’ensemble de l’économie et la société en général ». C’est là que la notion de sécurité des
systèmes d’information prend toute sa dimension.
La sécurité des systèmes d’information (SSI), selon une définition donnée par l’Agence
Nationale de la Sécurité des Systèmes d’Information (ANSSI)2, est l’« ensemble des mesures
techniques et non techniques de protection permettant à un système d’information de résister à
1 http://www.datalossbarometer.com
2 http://www.ssi.gouv.fr/
5
des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité
des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent
ou qu’ils rendent accessibles »3.
Le concept de sécurité des systèmes d’information recouvre un ensemble de méthodes,
techniques et outils chargés de protéger les ressources d’un système d’information4. Cela
passe par plusieurs prismes, tels que la disponibilité, la confidentialité et l’intégrité.
La disponibilité des services implique que ces services (ordinateurs, réseaux, périphériques,
applications…) et les informations (données, fichiers…) doivent être accessibles aux
personnes autorisées, quand elles en ont besoin. La confidentialité des informations quant à
elle signifie que les informations n’appartiennent pas à tout le monde : seuls peuvent y
accéder ceux qui en ont le droit. Enfin, l’intégrité des systèmes suppose que les services et les
informations (fichiers, messages…) ne puissent être modifiés que par les personnes
autorisées (administrateurs, propriétaires…).
On le voit, ces éléments sont des piliers de la sécurité. Sans eux, pas de confiance possible
dans le système. Pour autant, des sources de dysfonctionnement existent. Elles ont le plus
souvent des causes d’origine « humaine » : par exemple, les sauvegardes peuvent être mal
faites ou mal gérées et rendre le système sensible aux pannes et aux sinistres.
2. L’apparition de nouvelles menaces :
Le nouvel environnement créé par l’Internet agit sur la sécurité. Les réseaux mettent en
relation des millions d’individus. La plupart des utilisateurs « surfent » sur la toile sans
aucune intention de nuire. A l’opposé, certains internautes mal intentionnés n’hésiteront pas à
chercher et utiliser de potentielles vulnérabilités dans le système pour y pénétrer à l’insu de la
victime.
Dans le domaine de la sécurité informatique, une « vulnérabilité » est une faiblesse dans un
système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système,
c'est-à-dire à son fonctionnement normal, à la confidentialité et à l'intégrité des données qu'il
3 Livre blanc de l’ANSII : « Défense et sécurité des systèmes d’information – Stratégie de la France », février 2011.
4 B. Warusfel, Sécurité et confiance dans le commerce électronique, 2001 : http://www.droit.univ-paris5.fr/du_commerce-
electronique/promotion/secure/sc1.pdf
6
contient5. On parle aussi de « faille » de sécurité informatique. Ces failles sont la conséquence
de faiblesses dans la conception, la mise en œuvre ou l'utilisation d'un composant matériel ou
logiciel du système, mais il s'agit aussi de l'exploitation de bugs logiciels.
Dans les faits, il y a plusieurs manières d’appréhender la découverte d’une faille, selon que
l’auteur de la découverte est ou non malintentionné, les conséquences ne seront bien entendu
pas les mêmes.
A l’heure actuelle, les problématiques de sécurité ont changé. Le temps des menaces
physiques des systèmes informatiques est surpassé. Aujourd’hui, le cadenas sur le disque dur
ne suffit plus ! On parle désormais de « menace persistante avancée », ce qui complexifie
considérablement la sécurisation des informations et des données.
Cette nouvelle délinquance se traduit par différents niveaux de risque, qui se distinguent selon
qu’ils portent atteinte à l’intégrité du système (piégeage du système via un cheval de Troie par
exemple), à la confidentialité des informations (récupération d’informations sensibles telles
que les mots de passe, les données personnelles…) ou encore à la disponibilité des services
(virus informatique).
3. L’émergence de la problématique de la divulgation :
La liste des altérations spécifiques à la sécurité comprend notamment le déni d’accès à une
information ou à une fonction, le dommage provoqué à une information ou à une fonction par
une modification non autorisée ou la divulgation nuisible d'une information ou d’une fonction
à des destinataires non autorisés6
Comme le soulignent les responsables du « Google Security Team » sur leur blog dédié à la
sécurité sur internet, dans un message posté en juillet 2010, la problématique de la divulgation
de vulnérabilité est devenue depuis quelques années un sujet brûlant7. C’est une réalité qui ne
5 http://fr.wikipedia.org/wiki/Vulnérabilité_informatique
6 Susan W. Brenner, Complicit Publication: When Should The Dissemination of Ideas And Data Be Criminalized? 13 Albany
Law Journal of Science and Technology 273, (2003).
7 http://googleonlinesecurity.blogspot.com/2010/07/rebooting-responsible-disclosure-focus.html
7
fait aucun doute : ces révélations font l’objet d’un débat éthique majeur dans l’univers de la
sécurité des systèmes d’information.
La divulgation des vulnérabilités (vulnerability disclosure) est une pratique qui consiste en la
publication d’informations relatives à la sécurité informatique. Le terme divulgation, utilisé
dans le Rapport sur les données de sécurité (SIR)8 de Microsoft, désigne l'annonce d'une
vulnérabilité logicielle au grand public. Il ne concerne aucune divulgation privée ou limitée à
quelques personnes. Les divulgations peuvent provenir de plusieurs sources différentes :
l'éditeur du logiciel lui-même, des fournisseurs de logiciels de sécurité, des chercheurs
indépendants en sécurité, voire des créateurs de programmes malveillants (cf. infra).
Cette question est plus que jamais d’actualité. Pour preuve, récemment (en avril 2011), Sony
se voyait obligé d’annoncer le vol de plus de deux millions de numéros de carte bancaire,
après le piratage de son réseau PlayStation Network (PSN), permettant à ses utilisateurs,
possesseurs de la console de jeux vidéo de la marque japonaise, de jouer sur internet. Le blog
du New York Times annonçait, dans un papier du 28 avril 2011, que des spécialistes en
sécurité informatique comme Kevin Stevens, expert chez Trend Micro, avaient remarqué que
les données volées étaient présentes sur certains forums spécialisés, bien connus des pirates
informatiques, et qu’elles étaient à vendre9.
Si la sécurité des systèmes d’information relève avant tout du domaine technique, il reste
qu’« on peut s’interroger sur la contribution que les outils juridiques peuvent néanmoins
apporter à l’établissement et au maintien de cette sécurité »10
.
Ce besoin de droit s’applique naturellement à la problématique actuelle de la divulgation des
failles de sécurité, de leur encadrement par la loi et de la responsabilité de ceux qui divulguent
tant au niveau mondial (PREMIERE PARTIE) qu’au niveau national (DEUXIEME PARTIE).
8 http://www.microsoft.com/france/securite/sir.aspx
9 Pour plus d’information à ce sujet, voir : http://bits.blogs.nytimes.com/2011/04/28/hackers-claim-to-have-playstation-users-
card-data/
10 Bertrand Warusfel, la contribution du droit à la sécurité des systèmes d’information, FI-spécial été – sécurIT – 28 août
2006.
8
PREMIERE PARTIE : Le contexte mondial de la divulgation
La révélation de failles est un phénomène mondial, inhérent à l’omniprésence de l’Internet. Il
convient donc de s’intéresser à la manière dont le droit appréhende cette question dans les
pays européens et aux Etats Unis (CHAPITRE 2). Au préalable, quelques précisions sur les
types de divulgation et les acteurs en présence s’imposent (CHAPITRE 1).
Chapitre 1 : typologie et acteurs de la divulgation
Afin de comprendre la problématique posée par la divulgation des vulnérabilités
informatiques, il est nécessaire d’en aborder au préalable les différentes typologies
(SECTION 1) et d’en présenter les acteurs dont le rôle est prépondérant en matière de sécurité
et de divulgation (SECTION 2).
SECTION 1 : Typologie des divulgations
Le débat éthique relatif au fait de publier ou non les failles de sécurité tient notamment à la
diversité des divulgations (§-1), ce qui amène certains à prôner une nouvelle forme de
divulgation (§-2).
§-1 : Pluralité des divulgations
A l’origine, deux façons d’aborder la divulgation s’opposent (A), ce qui s’explique
notamment à travers la nature particulière d’une vulnérabilité (B).
A) Le dualisme traditionnel :
En matière de sécurité informatique, la divulgation d’informations relatives aux découvertes
de vulnérabilité peut se faire de plusieurs façons. Deux conceptions s’opposent, selon qu’on
se place par exemple du côté des éditeurs (comme Microsoft), ou des chercheurs et des
utilisateurs. Les premiers sont en faveur de la divulgation dite « responsable », qui consiste à
ne révéler une faille que lorsqu’un patch (correctif) est disponible, pour éviter tout risque,
9
notamment lié aux hackers, qui pourraient utiliser la faille d’une façon préjudiciable11
. Les
seconds, au contraire, prônent une divulgation publique totale et immédiate.
Le débat qui anime ces deux camps tient non seulement à la quantité d’information qui va être
divulguée mais aussi au moment où se fait la communication publique de la faille. Avec le
« full disclosure » (divulgation totale), tous les détails relatifs à une vulnérabilité de sécurité
sont rendus publics avant même qu'un correctif adéquat ne soit conçu.
Pour aller dans le sens des entreprises, des études montrent d’ailleurs qu’il y a un fort
accroissement d’intrusions qui sont liées à l’exploitation de failles divulguées
publiquement….12
. Cependant, les deux camps s’accordent à dire que la finalité est de réduire
les risques et de poursuivre les responsables de divulgations non autorisées et qui portent
préjudice aux entreprises et aux utilisateurs.
Afin de parvenir à ce résultat, et savoir à quel moment une vulnérabilité doit être
communiquée au public, des experts ont développé, depuis plusieurs années, des formules
mathématiques pour déterminer si oui ou non il devait y avoir divulgation13
. Il ne fait aucun
doute que ce débat éthique tient au cycle de vie particulier des vulnérabilités.
B) Le problème inhérent à la nature des vulnérabilités :
1- Cycle de vie des vulnérabilités :
Plusieurs étapes découpent le cycle de vie d’une faille d’un logiciel par exemple. D’abord,
celui-ci est mis sur le marché par l’éditeur.
Ensuite, vient le moment de la découverte de la faille, soit par un individu malintentionné (i.e
un pirate), soit par un utilisateur lambda (internaute) soit encore par un professionnel
(chercheurs notamment).
Le troisième temps est celui de la divulgation : comment l’utilisateur doit-il publier sa
trouvaille, alors même que le correctif n’existe pas encore ?
11 Hasan Cavusoglu, Huseyin Cavusoglu and Srinivasan Raghunathan, Emerging Issues in Responsible
Vulnerability Disclosure, http://infosecon. net/workshop/pdf/cavusoglu.pdf, October 2006.
12 Reid Skibell, The Phenomenon of Insecure Software in a Security-Focused World, Journal of Technology Law & Policy,
December 2003.
13 Ashish Arora and Rahul Telang, Economics of Software Vulnerability Disclosure, IEEE Security and Privacy,
January/February 2005.
10
Le problème se situe entre la découverte et le patch. La question se pose de savoir comment
celui qui identifie une faille doit procéder, à quel moment il doit la publier et à qui il doit
notifier14
. C’est là que les choses se compliquent, dans la mesure où il n’y a pas de réponse
juridique claire à cette question, ni d’ailleurs de consensus dans les faits…
En témoignent les multiples possibilités ouvertes à l’utilisateur : les organismes spécialisés
tels que les « Computer Emergency Response Team » (voir infra), prévoient notamment une
période de 45 jours avant de divulguer ; les entreprises de sécurité ont leur propre charte sur la
manière de notifier une telle découverte… Devant ce flou artistique, certains tentent
d’élaborer une nouvelle façon de divulguer.
2- Gravité des vulnérabilités :
Le CVSS (Common Vulnerability Scoring System) est un système d'évaluation des
vulnérabilités informatiques, standardisé et indépendant de la plate-forme. Il attribue aux
vulnérabilités une valeur numérique comprise entre 0 et 10 en fonction de leur gravité, les
plus grandes valeurs correspondant à la gravité la plus élevée.
Divulgations de vulnérabilités sur l'ensemble du marché par gravité, 2006-201015
14 Pour plus d’info sur le débat, voir par exemple : Internet security: hacking, counterhacking, and society, par Kenneth Einar
Himma, 2007.
15 http://www.microsoft.com/france/securite/sir.aspx
11
Bien que le nombre de vulnérabilités de gravité moyenne et élevée divulguées soit en général
plus important que celui des vulnérabilités de faible gravité, la tendance en 2010 est positive,
avec une baisse des divulgations de gravité moyenne et élevée (respectivement de 17,5 % et
de 20,2 %) par rapport à 2009.
Les divulgations de vulnérabilités de faible gravité ont augmenté de 45,8 %, passant de 190 en
2009 à 277 en 2010. En matière de sécurité, il est recommandé de commencer par limiter les
vulnérabilités les plus graves. Les vulnérabilités de gravité élevée qui ont obtenu une note de
9,9 ou plus représentent 5,5 % de toutes les vulnérabilités divulguées en 2010.
Le cycle de vie particulier d’une faille, ainsi que le risque qu’elle représente, a amené
l’élaboration d’une nouvelle approche de la divulgation.
§-2 : Vers une divulgation coordonnée ?
L’émergence d’une nouvelle approche de la divulgation par les éditeurs trouve son origine
avec Microsoft (A) mais ne semble pas pour autant si éloigné de ce qui existe actuellement
(B).
A) Le projet Microsoft (coordinated disclosure)
En juillet 2010, Microsoft a annoncé un changement dans sa philosophie concernant sa
politique de divulgation des failles de sécurité. Le but étant de mettre un terme, si possible,
aux débats entre divulgation responsable et « full disclosure », en se concentrant à la place sur
le rôle prépondérant que peut jouer la coordination (entre ceux qui trouvent la faille et
l’éditeur notamment) en vue de minimiser les risques pour les utilisateurs.
En effet l’éditeur ne souhaite plus parler de divulgation responsable mais de divulgation
« coordonnée » des vulnérabilités : « coordination et collaboration sont requises pour
résoudre les problèmes de façon à minimiser le risque et la gêne pour les clients », indique un
billet sur le blog The Microsoft Security Response Center16
.
16 http://www.microsoft.com/security/msrc/default.aspx
12
B) Une fausse évolution ?
Le principe n'est toutefois pas très différent de la divulgation responsable17
. En effet,
lorsqu’une vulnérabilité est découverte, il est prévu que le vendeur du produit soit prévenu
directement ou via certains organismes spécialisés, qui communiquent de manière privée les
informations à ce vendeur. Si des attaques en relation sont perpétrées, des détails
préliminaires sur la vulnérabilité peuvent être publiés via un travail mené de concert entre le
découvreur et le vendeur afin de délivrer un message clair et les mesures de contournement
pour que les clients puissent se protéger.
Pour Microsoft, il s'agit sans doute de calmer les débats, après avoir notamment sévèrement
critiqué le chercheur Tavis Ormandy pour sa divulgation publique d'une vulnérabilité
affectant d'anciennes versions de Windows18
. Ce dernier avait prévenu Microsoft de sa
trouvaille et, seulement cinq jours plus tard, avait procédé à du « full disclosure » en
apprenant que Microsoft n'avait pas l'intention de s'engager à corriger la faille dans les deux
mois.
Sans adhérer au « full disclosure », mais en n'employant plus le terme « responsable » associé
à divulgation qui entraine la colère des chercheurs en sécurité, Microsoft tente de se racheter
une conduite auprès de ces derniers.
SECTION 2 : les principaux acteurs de la divulgation
La problématique entourant le phénomène de la divulgation des vulnérabilités fait intervenir
plusieurs acteurs majeurs, qu’ils soient des professionnels de la sécurité (§-1) ou, à l’opposé,
des pirates informatiques (§-2).
§-1 : les professionnels
Les professionnels concernés par la problématique de la divulgation se composent d’une part
de certains organismes nationaux (A) mais également des chercheurs et des éditeurs (B).
17 http://www.generation-nt.com/securite-faille-microsoft-full-disclosure-divulgation-coordonnee-actualite-1056341.html
18 Voir par exemple: http://www.thetechherald.com/article.php/201003/5110/microsoft-investigating-zeroday-impacting-
windows-nt-kernel
13
A) Les principales autorités nationales :
1- Les CERT:
a) Origine :
En sécurité informatique, il existe des organismes officiels chargés d'assurer des services de
prévention des risques et d'assistance aux traitements d'incidents. Ces CERT (Computer
Emergency Response Team) sont des centres d'alerte et de réaction aux attaques
informatiques, destinés aux entreprises ou aux administrations, mais dont les informations
sont généralement accessibles à tous19
.
A la fin des années 80, un étudiant américain lâcha sur le réseau de son université un
programme qui se propageait et se répliquait. Ce programme, appelé « ver Internet »,
exploitait diverses failles de sécurité du système d’exploitation équipant la plupart des
ordinateurs. Bien que programmé sans intentions malveillantes, ce premier virus informatique
se répandit rapidement et le réseau devint complètement indisponible pendant plusieurs
jours…
Des experts furent chargés de résoudre le problème. Le code du virus fut analysé ce qui
permit, d'une part, d'identifier et corriger les failles du système d'exploitation et, d'autre part,
de développer et diffuser des mécanismes d'éradication.
À la suite de cet incident, la DARPA (Defense Advanced Research Projects Agency), décida
la mise en place d'une structure permanente, le CERT Coordination Center (CERT/CC)20
.
b) Rôle et mission :
Les tâches prioritaires d'un CERT sont nombreuses. Ces centres doivent par exemple
centraliser des demandes d'assistance à la suite d’incidents de sécurité (attaques) sur les
réseaux et les systèmes d'informations (réception des demandes, analyse des symptômes et
éventuelle corrélation des incidents).
19
http://fr.wikipedia.org/wiki/Computer_Emergency_Response_Team
20 http://www.cert.org/
14
En outre, les CERT ont pour mission de traiter des alertes et de réagir aux attaques
informatiques (via des analyses techniques, échanges d'informations avec d'autres CERT,
contributions à des études techniques spécifiques…).
De plus, ils sont chargés d’établir et de maintenir une base de données des vulnérabilités ainsi
que de diffuser des informations sur les précautions à prendre pour minimiser les risques
d’incidents.
2- Un exemple français : le CERT-IST :
Il existe plusieurs CERT en France : le CERTA est dédié au secteur de l'administration
française ; le CERT-RENATER est le CERT dédié à la communauté des membres du GIP
RENATER (Réseau National de télécommunications pour la Technologie, l'Enseignement et
la Recherche)…
Prenons un exemple : Le CERT-IST21
(Computer Emergency Response Team - Industrie,
Services et Tertiaire) est une Association Loi 1901, qui a pour vocation d'assurer à ses
adhérents des services de prévention des risques et d'assistance au traitement d'incidents.
Centre d'alerte et de réaction aux attaques informatiques destiné aux entreprises françaises, le
CERT-IST est reconnu au niveau national et international.
Ses activités principales sont les traitements préventifs des risques et curatifs des incidents. Le
mode associatif du CERT-IST garantit son indépendance vis-à-vis des éditeurs et des
constructeurs. Il travaille pour la communauté en mutualisant des ressources et en assurant le
partage d'expérience. La confiance des membres du CERT-IST est renforcée chaque jour par
la véracité et le caractère exhaustif des informations transmises et la confidentialité des
informations privées toujours démontrée.
Chaque CERT adopte une charte, une politique en matière de divulgation de vulnérabilités,
dont l’objectif est de fixer les règles de conduite suivies (par le CERT-IST en l’occurrence),
en matière de divulgation des vulnérabilités. Elle vise notamment à assurer la sécurité de la
communauté CERT-IST et à permettre aux Éditeurs de développer rapidement des solutions
concernant leurs problèmes de sécurité.
21 http://www.cert-ist.com/fra/
15
Le CERT-IST s’engage à apporter son aide pour faciliter le dialogue entre un rapporteur
(personne qui a découvert une nouvelle vulnérabilité de sécurité) et l’éditeur de la solution
impactée par cette vulnérabilité. Le rôle premier du CERT-IST est donc celui de coordinateur.
Le CERT-IST s'engage notamment à respecter une période de grâce qui est en général de 30
jours avant de publier ses avis. Ainsi, lors de la découverte d'une nouvelle vulnérabilité, le
CERT-IST avertit l'éditeur, en lui précisant les informations qu'il compte publier sans réponse
de sa part passé ce délai de grâce.
Lors de la notification à l'éditeur, le CERT-IST s'engage à fournir toutes les informations
nécessaires pour permettre à l'éditeur de qualifier la vulnérabilité : problème rencontré,
versions testées, code utilisé et toutes les informations techniques utiles à la compréhension
du problème. La notification se fait de manière générale par mail et la date de notification est
enregistrée.
En cas de risque de sécurité important, le CERT-IST se réserve néanmoins le droit de publier
les informations en sa possession en deçà ou au-delà de ce délai de grâce, la décision de
publier ou non un avis prenant en compte les enjeux en termes de sécurité et les intérêts des
différents acteurs. Dans la mesure du possible, le CERT-IST proposera une technique de
contournement pour permettre aux utilisateurs de se protéger contre l'exploitation de la
vulnérabilité.
B) Les chercheurs en sécurité et les éditeurs
La publication ou non des vulnérabilités logicielles constitue un sujet délicat (cf. supra).
L’enjeu, pour les chercheurs indépendants, consiste à voir leur travail reconnu ainsi qu’à
sensibiliser clients et éditeurs sur les risques des différents produits. Au contraire, les éditeurs
cherchent avant tout à protéger leurs produits et leurs clients d’une attaque éventuelle qui
pourrait être la conséquence d’une publication hâtive, ou non-maîtrisée, d’une vulnérabilité22
.
Les grands éditeurs de logiciels craignent les failles découvertes mais non-divulguées, dont
peuvent tirer parti les créateurs de vers ou de virus bien informés. Tout éditeur doit donc
22 Pierre Lasbordes, « Publier ou non les vulnérabilités ? », La sécurité des systèmes d'information : un enjeu majeur pour la
France, la documentation française, janvier 2006.
16
s’arranger pour être, en priorité et avant tout autre, mis au courant de toute faille dans ses
produits. En témoigne la célèbre « affaire Michael Lynn » de 2005 aux Etats Unis23
.
Ce spécialiste en sécurité informatique, ancien employé de Internet Security Systems (ISS),
fut connu à la suite d’un différend avec la firme Cisco. Ayant analysé la faille de sécurité dans
le système d'exploitation IOS de Cisco, il avait l'intention de présenter certains résultats de
cette recherche au congrès Black Hat24
de 2005.
D'après Lynn, un hacker peut exploiter la faille pour manipuler à distance le comportement
des routeurs Cisco. La société avait déjà découvert cette vulnérabilité et fait les corrections
nécessaires en avril 2005, mais n'avait pas suffisamment informé ses clients de l'ampleur du
problème potentiel. Lynn n'a pas détaillé la faille mais a préféré attirer l'attention sur les
multiples failles de IOS. Pendant sa présentation, il a esquissé la faille en question, cela dans
le but d'éviter que des hackers puissent profiter des fruits de ses recherches.
Il était initialement prévu qu'il effectue sa présentation au congrès Black Hat. Cependant, ISS
et Cisco ont menacé l'organisation de Black Hat d'entamer des actions en justice. Les
organisateurs ont finalement obtempéré et permis que des employés de Cisco détruisent une
partie du matériel de présentation. Pour sa part, Lynn était averti de ne pas présenter quoi que
ce soit sur la faille. Malgré les poursuites potentielles, Lynn a continué avec sa présentation
initialement prévue.
Les poursuites entamées par Cisco contre Lynn et Black Hat se sont résolues à l'amiable et les
parties se sont tenues au silence. Par contre, les poursuites entamées par ISS continuent, et le
FBI continue son enquête sur les événements25
.
23 http://fr.wikipedia.org/wiki/Michael_Lynn
24 http://www.blackhat.com/
25 Pour en savoir plus : http://www.wired.com/politics/security/news/2005/08/68365
17
§-2 : les pirates informatiques
A côté des professionnels de la sécurité, on trouve les pirates informatiques (A), tout aussi
concernés par le phénomène de la divulgation des failles informatiques, qu’ils soient des
« bons » ou des « mauvais » pirates (B).
A) Définition :
Prenons la définition de l’encyclopédie Wikipédia : « hacker » est à l'origine un mot anglais
signifiant bricoleur, bidouilleur, utilisé pour désigner en informatique les programmeurs
astucieux et débrouillards. Plus généralement « il désigne le possesseur d'une connaissance
technique lui permettant de modifier un objet ou un mécanisme pour lui faire faire autre chose
que ce qui était initialement prévu ».
Que ce soit Wikileaks, le vol de données bancaires, le piratage du ministère de l’Economie ou
encore les attaques coordonnées contre l’Estonie en 2007… derrière chacune de ces affaires
se cachent des hackers, un terme qui inspire de la méfiance. Mais la réalité est plus complexe :
il y a hacker et hacker.
B) Black and white :
1- Les chapeaux blancs :
Les White Hats sont des hackers qui pénètrent des systèmes ou des réseaux dans l'objectif
d'aider les propriétaires du système à mieux le sécuriser. Généralement ceux-ci préfèrent
demander au préalable une autorisation spéciale, mais d'autres préfèrent garder l'anonymat ou
se montrer via le nom d'une communauté publique ou anonyme spécialisée dans le domaine
de la sécurité informatique, comme WHC (White Hats Community).
D'une manière générale, le White Hat partage volontiers ses connaissances. Exemple : Linus
Torvalds et Richard Stallman font partie des pirates à « chapeau blanc » les plus connus : le
premier a créé Linux, le second est considéré comme le père du logiciel libre.
Certains intègrent même les services de sécurité étatiques, comme le rappelle Philippe
Langlois : l’Agence nationale de la sécurité des systèmes d’information (ANSSI) affirme ne
18
pas employer de hacker. « Mais les 200 personnes qu’ils ont embauchées en sont : ils n’ont
pas appris ces connaissances à l’université, pourtant, ils viennent bien de quelque part ».26
2- Les chapeaux noirs :
Les « Black Hats » sont des hackers qui pénètrent par effraction dans des systèmes ou des
réseaux dans un objectif souvent personnel et frauduleux). Les « Black Hats » gardent le
silence et en profitent, soit pour dérober des informations, soit pour vendre leur technique
d'intrusion.
Le pirate en chapeau noir est un synonyme du terme craqueur. Il exploite les vulnérabilités
bien connues des systèmes pour découvrir des informations importantes pour son usage
personnel ou pour endommager le système ou réseau.
3- Les chapeaux gris :
Le pirate en « chapeau gris », d'un autre côté, possède les connaissances et l'intention d'un
pirate en chapeau blanc dans la plupart des situations, mais utilise parfois ses connaissances
dans des buts peu respectables. Un pirate en « chapeau gris » peut être considéré comme un
pirate en « chapeau blanc » qui porte parfois un chapeau noir pour accomplir ses propres
tâches.
Les pirates en « chapeau gris » partagent habituellement une autre forme de l'éthique des
pirates qui dit qu'il est acceptable de briser les protections d'un système tant que le pirate ne
commet pas de vols ou de brèches de confidentialité. Cependant, certains peuvent soutenir
que le fait de briser les protections d'un système est, en soi, un acte contraire à la morale.
26 http://www.europe1.fr/France/Les-hackers-sont-aussi-vos-amis-499977/
19
Chapitre 2 : droit comparé de la divulgation
Tous les pays sont concernés par les problèmes inhérents à la sécurité des systèmes
d’information. La divulgation est donc logiquement encadrée par le droit non seulement en
France (voir infra), mais aussi au niveau des pays européens (SECTION 1), sans oublier aux
Etats Unis (SECTION 2) ainsi que dans d’autres pays dont nous ne parlerons pas par choix
dans ce mémoire.
SECTION 1 : Panorama de la divulgation en Europe
L’ensemble des législateurs des pays membre de l’Union européenne ont à connaître de la
problématique de la divulgation des failles informatiques. Si l’approche est assez similaire
dans tous les pays, notamment concernant la difficile appréhension de ce sujet par le
droit (§-1), les réponses législatives sont assez disparates (§-2).
§-1 : Une approche incertaine des divulgations
Les incertitudes liées à la divulgation résultent principalement de l’absence de texte
spécifique pour régir cette question (A) ; le législateur européen tente d’y apporter des
précisions (B).
A) L’absence de textes spécifiques à la divulgation
Un rapide tour d’horizon des pays européens suffit pour établir un point commun sur leur
façon d’appréhender la problématique des failles de sécurité. Il apparaît d’emblée, en effet,
qu’aucun d’entre eux ne dispose d’un arsenal législatif particulier pour lutter contre la
divulgation des vulnérabilités.
Ainsi en est-il, par exemple, de la Finlande. Ce pays présente une législation importante en
matière de délits informatiques. Pourtant, aucune loi ne régit la question de la divulgation des
failles de sécurité. Le législateur a donc choisi de se référer au Code pénal et à la section 9a
du chapitre 34, relative aux dangers causés aux systèmes informatiques (Section 9a -
Criminal computer mischief (951/1999))27
27 www.finlex.fi/pdf/saadkaan/E8890039.PDF
20
Il en va de même avec la Roumanie : la loi roumaine sur la cybercriminalité ne présente
aucune disposition particulière sur la divulgation de vulnérabilités de logiciels. Les juges
tendent à appliquer à cette problématique le régime de l’infraction pénale d’accès illégal à un
système informatique. Si la révélation découle directement d’un accès illégal à un système
informatique, l’auteur des faits sera susceptible d’être poursuivi pénalement au regard de
l’article 42 de la loi 161/2003.
B) L’influence du droit européen dans les législations internes
1- Le traité du Conseil de l’Europe sur la cybercriminalité :
Aucun pays ne possède donc de texte propre à la divulgation des failles de sécurité. Les
législateurs nationaux des pays européens préfèrent utiliser les règles existantes relatives aux
infractions informatiques.
Les législations internes sont influencées par le droit européen. Les récentes modifications de
la loi pénale finlandaise (cf. Supra) sont par exemples liées au traité du Conseil de l’Europe
relatif à la cybercriminalité28.
Celui-ci prévoit que « chaque pays signataire adopte les mesures législatives qui se révèlent
nécessaires pour ériger en infraction pénale, conformément en droit interne, lorsqu’elles sont
commises intentionnellement et sans droit, certaines actions telles que la production d’un
dispositif conçu ou adapté pour permettre la commission d’une infraction »29
.
Les droits internes se sont donc adaptés, conformément au souhait du Conseil de l’Europe.
C’est par exemple le cas de l’Angleterre où, en cas de révélation de faille informatique, le
fondement le plus utilisé est celui de l’incitation à commettre un délit à travers la publication
d’une vulnérabilité, si elle vient à être exploitée par la suite. Le droit anglais s’inspire du
traité, qui prévoit certaines dispositions s’agissant des outils « anti-hacking » (cf. article 6). En
28 Budapest, 23.XI.2001 : http://conventions.coe.int/Treaty/fr/Treaties/Html/185.htm
29 article 6 du traité sur les abus de dispositifs :http://conventions.coe.int/Treaty/fr/Treaties/Html/185.htm
21
effet, si une faille est découverte grâce à l’utilisation d’un tel programme, et que son existence
est ensuite révélée, cela pourra constituer un délit.
Parfois, les législateurs internes tendent à s’écarter des principes prévus par le législateur
européen, notamment de la convention sur la cybercriminalité. Lorsqu’un droit interne d’un
Etat l’ayant ratifiée prévoit une disposition contraire, il sera possible de saisir la CEDH, qui
suivra les dispositions de la Convention.
2- La directive du Parlement européen et du Conseil du 22 mai 2001 :
Une autre disposition inspire les législateurs nationaux en Europe, par exemple la Belgique :
c’est l’acte de « contournement illégal », qui trouve son origine dans la directive 2001/29/CE
du Parlement et du Conseil de l’Europe du 22 mai 2001, sur l’harmonisation de certains
aspects du droit d’auteur et des droits voisins dans la société de l’information30
(European
Union copyright directive). Elle correspond à la mise en œuvre, au niveau de l’Union
européenne, des traités de l’OMPI sur le droit d’auteur et sur les interprétations et exécutions
et les phonogrammes, de 1996.
Cette directive interdit par principe le contournement des DRM (Digital Right Managment),
qu’elle définit comme « toute technologie, dispositif ou composant qui, dans le cadre normal
de son fonctionnement, est destiné à empêcher ou à limiter, en ce qui concerne les œuvres ou
autres objets protégés, les actes non autorisés par le titulaire d’un droit d’auteur ou de droits
voisins » (article 6-3). Ces verrous numériques sont destinés à empêcher l’utilisation ou la
reproduction non autorisée par les ayants droit de leurs œuvres.
Plus encore, elle condamne le fait de communiquer une information permettant à un individu
de contourner à son tour une mesure technique de protection, dans la mesure où « les États
membres prévoient une protection juridique appropriée contre la fabrication, l'importation, la
distribution, la vente, la location, la publicité en vue de la vente ou de la location, ou la
possession à des fins commerciales de dispositifs, produits ou composants ou la prestation de
30 le texte de la directive est disponible sur Europa Lex, site officiel des textes de loi de l'Union : http://eur-lex.europa.eu
22
services qui (…) sont principalement conçus, produits, adaptés ou réalisés dans le but de
permettre ou de faciliter le contournement de la protection de toute mesure technique
efficace ». Au vu de la Convention, on remarque qu’il est possible, sous certaines conditions,
de publier les vulnérabilités, notamment lorsque « la production, la vente, la diffusion (…) ou
d’autres formes de mise à disposition n’ont pas pour but de commettre une infraction, comme
dans le cas d’essai autorisé ou de protection d’un système informatique » (article 6-2).
§-2 : Des réponses juridiques nuancées
Si la divulgation n’est pas, à première vue, interdite, il reste que les Etat européens prévoient
dans leur droit certaines hypothèses autorisées et encadrées (A) mais en interdisent d’autres
(B). Enfin, il convient de dire quelques mots de la situation particulière des données
sensibles (C).
A) La principale divulgation autorisée :
Le principe est que la publication d’une vulnérabilité est autorisée, dans la mesure où elle
n’est pas totale. On pourrait dès lors considérer que communiquer un bogue est autorisé, dans
la mesure où cela ne revient pas à publier un code permettant d’exploiter l’anomalie.
1- Le principe : l’autorisation relative aux travaux de recherche
La principale divulgation autorisée par les législateurs est celle liée aux travaux de recherche.
Prenons l’exemple de l’Italie : une telle pratique n’est en effet pas illégale dans la mesure où
certaines conditions sont respectées par l’auteur. Ce dernier devra, lorsqu’il découvre une
vulnérabilité, informer l’éditeur du programme en question préalablement à toute publication,
afin de lui permettre de créer un correctif. En l’absence de cette notification préalable,
l’auteur pourrait voir sa responsabilité civile engagée et être condamné à verser des
dommages et intérêts à l’éditeur.31
31 http://www.securityfocus.com/columnists/466/3
23
2- Tempérament : l’exemple de l’Allemagne
La loi allemande en vigueur date de 2007. Elle est relative à la cybercriminalité et introduit en
droit interne allemand les dispositions de la Décision-cadre 2005/222/JAI du Conseil de l’UE
du 24 février 2005 relative aux attaques visant les systèmes d'information (décision-cadre
visant également à compléter et à développer des activités qui se déroulent sur le plan
international, telle que la Convention du Conseil de l’Europe relative à la cybercriminalité).
De plus, la loi transpose aussi l’article 6 de la Convention sur la cybercriminalité et apporte de
nombreux changements à la législation allemande :
Le changement le plus important pour ce qui nous intéresse ici, est que le simple fait
d’accéder à un système informatique n’était autrefois pas incriminé. Depuis 2007, la loi
prohibe par principe l’accès non autorisé à des données et, par voie de conséquence, à un
système informatique.
S’agissant de la divulgation, un tel acte était autorisé sauf dans certaines hypothèses
particulières. La révélation pouvait notamment constituer un délit si son auteur avait
l’intention de commettre un acte illégal (la preuve de l’intention pouvant se révéler
compliquée…). Avec la transposition de la Convention et son article 6, les choses ont changé,
en raison du caractère vague du terme « autres données ». En effet, il faut se demander dans
quelle mesure une information divulguée peut s’interpréter en une « other data » au sens du
texte de la Convention, et dès lors être sanctionnée pénalement…
La nouvelle loi pose problème concernant les travaux de recherche et plus précisément quant
aux outils utilisés aux fins de test d’intrusion32
. Si une entreprise souhaite faire réaliser des
tests de sécurité par des chercheurs, de tels tests sont bien entendu légaux. Il en va de même
dans les hypothèses où ces tests ont lieu en milieu fermé (laboratoire). L’acte de pénétration
d’un système sans autorisation préalable était déjà sanctionné auparavant. Pour ce qui est des
outils utilisés, la loi semble considérer qu’ils pourraient devenir illégaux (exemple de nmap,
un scanner de ports). Le risque existe en effet. Contrairement à l’article 6 de la Convention
sur la cybercriminalité, le Code pénal allemand, dans son « Hacker-Paragraf » sur l’intrusion
32 http://www.securityfocus.com/columnists/448/1
24
dans les systèmes informatiques (§202c)33
, ne limite pas la prohibition des outils qui sont
conçu pour permettre la commission d’une infraction…
Le nouveau paragraphe 202c du code pénal prévoit de sanctionner à l’avenir la préparation
d’un acte criminel par fabrication, obtention, vente, cession, diffusion ou mise à disposition de
mots de passe ou autres codes de sécurité permettant l’accès à des données ainsi que les
programmes informatiques appropriés, avec une amende ou un emprisonnement pouvant aller
jusqu’à un an.
Cette criminalisation menaçante a conduit à une série de protestations. Ainsi, l’entreprise de
sécurité informatique Visukom a transmis un recours constitutionnel contre le « Hacker-
Paragraf »34. Selon Mark Rasch, qui a dirigé la cellule chargée de la criminalité informatique
au sein du ministère américain de la Justice pendant neuf ans, « en deux ans, la loi allemande
n’a servi qu’à effrayer les chercheurs de sécurité, et aucune affaire n’a été engagée contre les
pirates informatiques pour une violation de la disposition des outils utilisés par les
hackers »35
.
B) Les divulgations interdites :
1- Hypothèses de divulgations sanctionnées :
La première est évidente : une divulgation à la suite d’une intrusion non autorisée dans un
système est bien entendu interdite. Le droit pénal italien prévoit par exemple, s’agissant de la
recherche d’une vulnérabilité via un test d’intrusion non autorisé, que ces procédés
s’appréhendent sous l’angle de l’accès frauduleux à un système d’information, régi par
l’article 615/ter du code pénal. Cet article punit le comportement d’un individu qui entre
illégalement dans un SI protégé par des mesures de sécurité ou qui s’y maintient
frauduleusement.
33 http://bundesrecht.juris.de/englisch_stgb/index.html
34 Mark M. Seeger, three Years Hacker Paragraph; https://www.fbi.h-da.de/fileadmin/gruppen/FG-IT-
Sicherheit/Publikationen/2010/Seeger_DuD2010.pdf
35 http://www.securityfocus.com/columnists/502/1
25
Une autre disposition concerne la détention et la diffusion abusive de codes d’accès. En effet,
l’article 615/quater considère comme un délit le fait de causer un préjudice à autrui par
l’obtention illégale ou la diffusion de codes, ou tout autre moyen d’accéder à un système
d’informations, ou de fournir des instructions permettant à un individu de commettre un délit.
Il est permis de considérer que, dans la mesure où ces règles sont les seules qui existent en
matière de délit informatique, la divulgation non autorisée sera punie sur l’un de ces
fondements.
Autre cas : le non-respect d’une obligation de confidentialité. Prenons l’exemple du
Danemark. Selon Martin von Haller Groenbaek (avocat spécialisé IT), il convient de rappeler
que les salariés d’entreprises (éditeurs de logiciels par exemple) qui ont connaissance de
vulnérabilités, sont tenus au secret. Dès lors, en cas de révélation, le droit pénal danois prévoit
une peine pouvant aller jusqu’à 1 an et demi d’emprisonnement, voire 6 ans dans les cas les
plus graves.
Cependant, il en va autrement lorsque la divulgation n’est pas considérée comme un secret
commercial. Ainsi, lorsqu’elle est le fait d’un utilisateur du logiciel, il faut distinguer deux
situations : si l’individu révèle avec précision la faille de sécurité et comment utiliser cette
vulnérabilité en la publiant sur internet, il risque d’engager sa responsabilité pénale sur le
fondement de l’assistance à la commission d’un délit, s’il s’avère qu’un délit est ensuite
commis. Dans une seconde hypothèse, si la révélation s’avère moins concrète, précise, alors
son auteur ne verra généralement pas sa responsabilité engagée par le droit danois. Enfin, si la
révélation est faite par un concurrent, elle pourra être sanctionnée comme étant contraire au
droit commercial danois. L’entreprise fautive risque alors une amende.
2- Condition de l’intention pour la sanction ?
Selon le droit pénal finlandais, une personne qui, dans le but de nuire au traitement
automatique des données ou le fonctionnement d'un système informatique ou de
télécommunication, met notamment à disposition un programme informatique ou des
instructions visant à causer un préjudice, peut être condamnée pénalement à une amende ou
une peine d’emprisonnement de deux ans.
26
Un exemple allant dans ce sens vient du Danemark, où il n’existe qu’un seul cas dans la
jurisprudence relative à la divulgation de vulnérabilité informatique : c’est l’affaire Valus. En
l’espèce, un individu avait révélé via plusieurs forums, qu’il était possible, en entrant un lien
spécifique dans un navigateur internet, de parvenir à faire « crasher » le service internet Valus
(service de paiement par internet). L’auteur de la révélation publia également le lien en
question, en précisant néanmoins qu’il ne fallait pas cliquer dessus… Ce dernier fut acquitté,
car les juges établirent que la divulgation n’avait pas été faite dans un but frauduleux. Ironie
de l’affaire, les personnes ayant cliqué sur ledit lien, furent condamnées à payer des
amendes…
Un contre-exemple apparaît toutefois avec la Pologne qui, contrairement à la convention sur
la cybercriminalité, interdit la divulgation même sans mauvaise intention : L’article 269b du
code pénal polonais prohibe le fait pour un individu de produire, acquérir, vendre ou rendre
accessible à d’autres personnes des outils ou programmes informatiques, ainsi que des mots
de passe, codes d’accès ou autres données susceptibles de permettre d’accéder à des
informations stockées dans des systèmes informatiques ou des réseaux de
télécommunications. L’auteur d’une telle infraction est passible de 3 ans d’emprisonnement.
L’article 269b du Code pénal est un exemple d’une interprétation erronée de la Convention
du Conseil de l’Europe sur la cybercriminalité (article 6) qui autorise de telles pratiques,
lorsqu’elles n’ont pas pour finalité de commettre une infraction prévue par la Convention.
Exemple : les tests de sécurité autorisés des systèmes informatiques.
Certes, il n’existe pas de définition précise de ce qu’est un « test de sécurité », mais il est
présumé que tout utilisateur légitime d’un système informatique pourrait légalement faire une
telle opération. Au niveau européen, cette présomption découle d’une disposition de la
Directive 91/250/CEE du Conseil, du 14 mai 1991, concernant la protection juridique des
programmes d'ordinateur36
.
36 http://eurlex.europa.eu
27
C) La divulgation de données « sensibles » :
En Europe, aucune obligation particulière n'existait jusqu'à récemment en matière de données
personnelles. Au mieux, elle n'était que l'objet de débats comme en Angleterre (Chambre des
Lords). C'est finalement l'Allemagne qui, en modifiant de façon importante sa loi fédérale sur
la protection des données à caractère personnel du 20 décembre 1990
(Bundesdatenschutzgesetz) a été pionnière en Europe sur le sujet37
. Ainsi, depuis le 1er
septembre 2009, le paragraphe 42a prévoit une notification concernant uniquement les
atteintes aux données sensibles ou protégées par le secret professionnel qui causent un
préjudice significatif aux personnes dont les données ont été compromises.
Au Royaume-Uni, la perte de données est surveillée par l'Information Commissioner's Office
(ICO, la commission nationale en charge de la protection des données personnelles au
Royaume Uni - l'équivalent de la CNIL Française)38
. Cette commission peut infliger des
amendes allant jusqu'à 500.000 livres (soit environ 574.710 euros) aux entreprises
contrevenant à la loi relative à la protection des données. De plus, en matière de perte de
données, l'ICO est soutenu par le Financial Service Authority (FSA) pour le secteur de la
banque-assurance, qui s'avère beaucoup plus sévère. Ainsi le FSA a condamné Zurich
Insurance en août 2010, à une amende de plus de deux millions d'euros pour la perte des
données de 46 000 de ses clients.
SECTION 2 : La divulgation aux USA
Le droit américain est rempli d’exemples d’affaires qui traitent de la question de la
divulgation des vulnérabilités informatiques (§-2) et prévoit un arsenal juridique assez
important pour appréhender ce problème (§-1).
§-1 : Les fondements juridiques en matière de divulgation
Plusieurs textes américains encadrent la divulgation, que ce soit le « Computer Fraud and
Abuse Act » (A), le « Digital Millenium Copyright Act » (B) ou encore la loi fédérale
californienne de 2002 (C).
37 http://www.enisa.europa.eu/act/it/library/deliverables/dbn/at_download/fullReport
38 http://www.enisa.europa.eu/act/it/library/deliverables/dbn/at_download/fullReport
28
A) Le Computer Fraud and Abuse Act
Le congrès américain fut amené, dans les années 1980, à prendre position à sur problème des
infractions informatiques. Il le fit via plusieurs textes, dont le premier fut le CFAA (Computer
Fraud and Abuse Act) en 1984, qui a connu de nombreuses modifications depuis.
En 1994, le CFAA connut une nouvelle modification afin de pouvoir régir la question des
codes malveillants (autrement dit les virus, vers informatiques…) conçus pour altérer les
systèmes informatiques. L’ancienne version de la loi s’intéressait en effet uniquement à
l’accès au système, et non à la façon dont ce dernier pouvait être utilisé. A partir de ce
moment, le CFAA amendé pouvait être utilisé pour poursuivre les individus qui transmettent
des programmes ou codes d’un ordinateur à l’autre (ou entre plusieurs systèmes) avec
l’intention de causer un préjudice au système informatique en question, sans l’autorisation du
propriétaire.
Puis, en 1996, le NIIA (National Information Infrastructure) fut adopté pour élargir le champ
d’application du CFAA et ainsi englober l'accès non autorisé à un ordinateur protégé, sans
l'autorisation des parties. Ce changement a été nécessaire parce qu’avant le NIIA, le
responsable d’une telle intrusion ne pouvait être poursuivi sur le fondement du CFAA que s’il
avait agi à des fins commerciales… Depuis 1996, il est illégal ne serait-ce que d’afficher des
informations sur un ordinateur, sans en avoir obtenu au préalable l’autorisation.
Le CFAA se retrouve au Titre 18 de la Constitution américaine39
. Dans sa version actuelle il
criminalise sept types d'activités informatiques: (1) l'accès non autorisé à un ordinateur pour
obtenir des renseignements de sécurité nationale dans l'intention de nuire aux États-Unis ou
au profit d'une nation étrangère; (2) l'accès non autorisé à un ordinateur pour obtenir des
renseignements financiers protégés; (3) l'accès non autorisé à un ordinateur utilisé par le
gouvernement fédéral; (4) l'accès non autorisé à un ordinateur protégé avec l'intention de
frauder; (5) endommager intentionnellement un ordinateur protégé; (6) le trafic frauduleux de
mots de passe et toute autre information qui peut être utilisée pour accéder à un ordinateur
protégé, et (7) menaçant un ordinateur protégé avec l'intention d'extorquer de l'argent ou autre
chose de valeur.
39
Title 18 U.S.C Section 1030.8 http://www.law.cornell.edu/uscode/18/1030.html
29
B) Le DMCA
1- Transpositions des traités OMPI de 1996
Le DMCA40
est une loi américaine qui a été promulguée en 1998, sous l’ère Clinton. Elle
transpose deux traités de l’Organisation Mondiale de la Propriété Intellectuelle (WIPO en
Anglais), à savoir le traité sur les droits d’auteur et celui sur les interprétations/exécutions et
phonogrammes, du 20 décembre 1996.
Les traités WIPO prévoient notamment des dispositions en vue d’empêcher le contournement
des DRM utilisés pour la protection des œuvres. Cette protection apparait comme
fondamentale pour assurer aux ayants droit une sécurité et une exploitation paisible de leurs
œuvres, sur les réseaux.
L’article 11 du traité OMPI sur les droits d’auteur41
précise que : « les Parties contractantes
doivent prévoir une protection juridique appropriée et des sanctions juridiques efficaces
contre la neutralisation des mesures techniques qui sont mises en œuvre par les auteurs dans
le cadre de l’exercice de leurs droits en vertu du présent traité ou de la Convention de Berne et
qui restreignent l’accomplissement, à l’égard de leurs œuvres, d’actes qui ne sont pas
autorisés par les auteurs concernés ou permis par la loi »
Le traité de l’OMPI sur les interprétations et exécutions et les phonogrammes prévoit quant à
lui à son article 1642
: les Parties contractantes doivent prévoir une protection juridique
appropriée et des sanctions juridiques efficaces contre la neutralisation des mesures
techniques qui sont mises en œuvre par les artistes interprètes ou exécutants ou les
producteurs de phonogrammes dans le cadre de l’exercice de leurs droits en vertu du présent
traité et qui restreignent l’accomplissement, à l’égard de leurs interprétations ou exécutions ou
de leurs phonogrammes, d’actes qui ne sont pas autorisés par les artistes interprètes ou
exécutants ou les producteurs de phonogrammes concernés ou permis par la loi.
40 http://www.copyright.gov/legislation/dmca.pdf
41 http://www.wipo.int/treaties/fr/ip/wct/trtdocs_wo033.html#P95_12573
42 http://www.wipo.int/treaties/fr/ip/wppt/trtdocs_wo034.html#P141_25884
30
2- Règles contenues dans le DMCA :
Pour ce qui nous intéresse ici, on parlera du Chapitre 12 sur le « copyright protection and
management systems ». Au regard de la section 1201 du DMCA, on remarquera tout d’abord
que les DRM sont divisés en 2 catégories : la première regroupe les mesures qui tendent à
empêcher l’accès non autorisé à une œuvre protégée ; la seconde se réfère aux mesures qui
prohibent la copie non autorisée d’une œuvre.
L’article interdit l’acte de contournement s’agissant de la première catégorie (pas la seconde,
en vue d’assurer au public la possibilité d’un fair use des œuvres en question !). En effet, la
copie peut constituer un fair use d’où le fait que la section 1201 n’interdise pas le
contournement des DRM qui empêchent la copie !
La section 1201 interdit notamment la fabrication et la distribution d’outils et de services
si ceux-ci :
- sont principalement destinés à contourner ;
- ont un intérêt commercial limité en dehors de leur finalité de contournement ;
- sont vendus aux fins de contourner.
En matière de divulgation aux USA, il convient donc de se référer au DMCA. La question qui
se pose en premier lieu au regard de cette loi étant : la publication d’une faille est-elle
bénéfique pour la sécurité ou au contraire facilite-t-elle le contournement des DRM43
?
D’autre part, le fait d’interdire les outils permettant de contourner ces sécurités numériques
semble avoir pour conséquence de compliquer le travail des chercheurs (s’agissant par
exemple d’outils qu’ils utilisent dans leurs travaux de cryptologie) et le fair use !
Il reste que le DMCA prévoit un certain nombre de tempéraments aux principes posés. En
effet, cette loi prévoit notamment trois exceptions pertinentes pour notre sujet :
L’exception liée aux tests de sécurité : le DMCA autorise la divulgation des résultats de tests
de sécurité, à certaines conditions. Il faut en effet que ces résultats soient communiqués non
pas publiquement, mais aux parties concernées, généralement via un contrat. Les informations
43 http://www.blackhat.com/presentations/win-usa-04/bh-win-04-granick.pdf
31
obtenues ne doivent pas être communiquées d’une façon pouvant porter atteinte aux droits
d’auteur ou autres.
L’exception liée aux travaux de cryptographie : ce tempérament concerne uniquement les
professionnels (cryptologues), lorsque leurs travaux (qui impliquent le contournement de
DRM) sont nécessaires à l’avancée des connaissances en la matière. Limite : la divulgation de
leurs travaux ne peut pas permettre/inciter à commettre une infraction.
L’exception liée au reverse engineering: la finalité du RE est de permettre l’interopérabilité
entre programmes, en permettant de divulguer certaines informations nécessaires à cette
interopérabilité.
C) Le cas de la divulgation de données « sensibles » :
1- Origine :
Concernant la divulgation, il convient de s’attacher au cas particulier des données
personnelles, qui font l’objet d’une loi : « California's landmark SB 1386 »44
.
Cette loi, adoptée en 2002 par l’Etat de Californie, impose à tous les organismes/entreprises
qui collectent certaines informations personnelles de se prémunir contre le phénomène
croissant de l’ « usurpation d’identité ». Elle pose donc l’obligation à ces entités, en cas de
perte ou de vol de telles données, de notifier immédiatement les personnes dont les
informations sont compromises.
La loi précise ce qu’il faut entendre par « données sensibles ». Ainsi, une information
personnelle, sensible, sera par exemple le numéro de sécurité sociale, le permis de conduire,
le numéro de compte bancaire ou de carte de crédit… Sont exclues de la liste des données
sensibles les informations dites publiques45
.
Enfin, la loi californienne incite fortement les entreprises à sécuriser leurs données dans la
mesure où la sanction en cas de faille de sécurité revient pour les entreprises à supporter le
coût de la notification et l’impact négatif d’un tel problème sur leur image en cas de
44 http://library.findlaw.com/2003/Sep/30/133060.html
45 http://www.oit.ucsb.edu/committees/itpg/sb1386.asp
32
divulgation publique de ces données perdues ou volées. De plus, elles devront faire face
également à des actions privées des victimes en vue d’obtenir des D et I en cas de
manquement à cette obligation de notification, voire des « class actions » !
2- Aujourd’hui :
Actuellement, 46 Etats46
ont adopté une loi sur la notification de données personnelles. Le
problème pour les entreprises, est que ces lois sont loin de contenir les mêmes dispositions,
s’agissant par exemple du délai de notification ou de la portée du terme « données sensibles »
ou encore de la définition de la notion de « sécurité raisonnable » que les entreprises doivent
mettre en place. Il conviendrait d’avoir plus d’unité, via une loi nationale par exemple.
La loi californienne se concentre sur les informations portant sur l’identité (nom, numéro de
sécurité sociale…) et fut étendue en 2009 aux données ayant trait à la santé. Durant les 6
premiers mois de 2009, plus de 800 révélations de données personnelles furent notifiées.
D’autres Etats ont suivi ce modèle, comme le Massachusetts.
Plus récemment, en octobre 2008, le Nevada est devenu le premier Etat fédéral à adopter une
loi qui prévoit l’utilisation de la cryptographie pour les transferts électroniques de données
personnelles de clients.
La perte de telles données est susceptible d’engager la responsabilité des entreprises
(sanctions pécuniaires très élevées!).
Début mai 2011, l’administration Obama, qui souhaite standardiser la notification des failles
de sécurité impliquant des données personnelles, a publié une proposition à ce sujet :
« cybersecurity policy proposal ». Celle-ci prévoit des dispositions concernant les entreprises
qui collectent des données personnelles de plus de 10.000 personnes, qui devraient avertir
immédiatement les victimes en cas de perte ou de vols de ces données sensibles47
.
46 http://www.ncsl.org/default.aspx?tabid=13489
47 http://www.informationweek.com/news/government/policy/229500626
33
§- 2 : La jurisprudence
De nombreux cas ont trait au phénomène des fraudes informatiques aux Etats Unis mais peu
sont relatifs à la divulgation (A), domaine où l’interprétation conserve une large place et où
certaines questions subsistent (B).
A) Une jurisprudence croissante fondée sur le DMCA :
Aux USA, la jurisprudence a eu à connaître de nombreuses affaires relatives au DMCA48
.
Parfois, on évite les actions en justice, et on concilie : en témoigne l’affaire Sony / Geohot
(2010) qui abandonna les charges contre le hacker « geohot ». Ce dernier avait réussi à pirater
la Playstation 3 et avait posté online des informations sur une faille concernant le système de
sécurité de la PS3 et sur les moyens de contourner cette protection49
…
Un exemple relatif aux hypothèses de divulgation de vulnérabilité se retrouve avec l’affaire
« Hewlett Packard threat to SNOSoft »50
. HP, en 2002, s’était fondé sur le DMCA et sur les
« computer crime laws » pour menacer de poursuivre une équipe de chercheurs qui avait
publié une vulnérabilité au sujet de son système d’exploitation « Tru64 Unix ». Une lettre leur
avait été envoyée, précisant que lesdits chercheurs encouraient une peine de 5 ans
d’emprisonnement et une amende de 500.000$. Cette affaire fut la première où le DMCA
servit de base légale en matière de sécurité informatique.
Comme le fait remarquer Robin Gross, avocat auprès de l’ « Electronic Frontier Foundation »
(EFF), HP est l’une des nombreuses entreprises plaidant l’interprétation large du DMCA.
Toute information permettant de « by passer » les mesures de sécurité tombant en effet sous le
champ d’application de cette loi (malgré l’existence de quelques exceptions). Cela peut alors
être le moyen d’empêcher la divulgation par les chercheurs de leurs découvertes s’agissant
des systèmes d’exploitation, alors que cela n’a rien à voir à l’origine avec les problèmes de
droit d’auteur!
48 Voir par exemple les affaires suivantes: Felten v. RIAA ; Universal Studios v. Reimerdes/Corley ; United States v.
Elcom/Sklyarov ; Lexmark v. Static Control ; Chamberlain v. Skylink ; Mod Chips…
49 http://www.digitalspy.co.uk/gaming/news/a314036/sony-settles-hacker-case-out-of-court.html?rss
50 http://news.cnet.com/2100-1023-947325.html#ixzz1MhBSAM00
34
B) Incertitude persistante en matière de divulgation :
La jurisprudence américaine en la matière est assez peu fournie. Mais une affaire datant de
2006 se montre assez sévère : en l’espèce, après avoir vu sa candidature refusée par
l’Université de Californie du Sud, un individu (Eric Mc Carty) pirate le système d’admission
en ligne, fait des copies de la base de données et envoie le tout par mail sous un pseudonyme,
à un site web dédié à la sécurité. Le site en question prévient alors l’université puis publie
l’information au sujet de cette faille. Le hacker, pendant ce temps, parle de son action sur
différents blogs. Il est par la suite accusé de crime.
Pour Jennifer Granick (avocate spécialisée dans le domaine de la divulgation de
vulnérabilités), cette affaire est confuse. Selon elle, le procureur soutient que c’est le fait
d’avoir copié la base de données et de l’avoir envoyée à une personne non autorisée qui
explique l’inculpation de l’étudiant. Mais copier des données n’est pas intrinsèquement un
acte illégal. Donc, il serait poursuivi pour test non autorisé du système informatique de
l’université…Ce cas illustre le fait que depuis quelques années, il convient, même pour les
professionnels, de faire attention lorsqu’ils rapportent une vulnérabilité. La frontière avec le
hacking est mal définie par les lois en vigueur aux USA51
.
La législation américaine prohibe l’accès à un ordinateur sans permission. Néanmoins, l’accès
à un site internet est implicitement autorisé (on conçoit mal qu’une autorisation puisse être
nécessaire pour chaque connexion à chaque site existant sur la toile…). La question est alors
de savoir ce qu’il en est lorsqu’on accède à un site, de façon légale, mais qu’on en fait un
usage non prévu par le créateur ? La loi permet-elle d’explorer toutes les possibilités offertes
par un site, notamment à travers l’exploitation d’une faille découverte !! 52
Il conviendrait peut être de voir apparaître une disposition plus précise en la matière, qui
prévoirait par exemple qu’il n’est pas illégal de divulguer une information vérifiée à propos
d’une faille d’un site web, lorsque la vulnérabilité est exploitée sans intention malveillante.
Communiquer sur la façon dont fonctionne un site est bien différent d’une attaque de ce site…
51 http://www.securityfocus.com/news/11389
52 http://sherman-on-security.blogspot.com/2008/11/software-vulnerability-disclosure.html
35
DEUXIEME PARTIE : L’approche nationale de la divulgation
Après avoir appréhendé le phénomène de la divulgation au niveau international, il convient de
traiter cette question sous le prisme du droit interne. Depuis plusieurs années, certaines
réponses sont apportées par le droit français (Chapitre 1) qui, sous l’impulsion récente de
l’Europe, semble s’orienter vers une évolution nécessaire en la matière (Chapitre 2).
Chapitre 1 : Les réponses traditionnelles du droit français
Depuis une dizaine d’années, le législateur, comme la jurisprudence, tentent d’apporter des
réponses efficaces quant à la responsabilité des auteurs de divulgations. Malgré tout, c’est un
domaine nourri d’incertitudes inhérentes à son évolutivité (SECTION 1) et les critères retenus
par le droit français pour encadrer les divulgations apparaissent peu
satisfaisants (SECTION 2).
SECTION 1 : Incertitudes liées à l’évolution des techniques
L’apparition et l’évolution d’Internet ont amené de nouveaux dangers, et de nouvelles
questions pour les professionnels du droit. Avec la nécessaire adaptation du droit aux
nouvelles technologies, le législateur a choisi cependant d’encadrer la divulgation à travers
des règles préexistantes (§-1), ce qui ne permet pas de parvenir à des solutions totalement
efficaces dans un contexte d’évolution permanente (§-2).
§-1 : Contexte légal inadapté
Il faut reculer d’une décennie pour trouver les premières affaires concernant directement des
divulgations de failles informatiques en France (A), ce qui a poussé le législateur à réagir pour
encadrer ce phénomène (B).
36
A) Origines de la problématique de la divulgation en France :
En France, les premières affaires concernant les divulgations remontent à plus de 10 ans.
L’une des premières ayant eu un impact considérable est l’affaire Serge Humpish53
, du nom
de cet ingénieur informaticien qui parvint à « casser » le système de sécurité des cartes à puce.
En juillet 1998, Serge Humpich entre en relation, par l’intermédiaire d’un avocat, avec le GIE
cartes bancaires pour que soit réalisé un transfert de savoir-faire. Après plusieurs contacts, le
groupement lui demande d’apporter les preuves de sa capacité réelle à « leurrer » les
terminaux de paiement. Serge Humpich achète alors dix carnets de métro avec des fausses
cartes et remet au GIE les tickets et les facturettes. Mal lui en a pris car le 4 août 1998, le GIE
cartes bancaires porte plainte pour intrusion frauduleuse dans un système automatisé de
données et contrefaçon de cartes bancaires…
Il est jugé le 25 février 2000, « coupable de falsification de cartes bancaires et d'introduction
frauduleuse dans un système automatisé de traitement ». Et cela, malgré de nombreux
soutiens envers son geste, qui a mis en évidence des failles techniques et de conception à
corriger dans ces cartes bancaires. Il est condamné à 10 mois de prison avec sursis et s'est
ensuite désisté de la procédure d'appel qu'il avait lui-même engagée.
Cette affaire nous montre à quel point il est difficile d’établir avec certitude la frontière entre
le hacker et le scientifique. Humpish affirmait être un « savant », un « inventeur » ayant
simplement cherché à rémunérer son savoir-faire et contribuer à l’amélioration la sécurité des
cartes à puce.
B) L’utilisation du Code pénal :
1- Absence de règles spécifiques :
Le droit doit s'adapter aux évolutions de la technologie. C'est ainsi qu'en matière informatique
plusieurs infractions ont été prévues par le législateur, et notamment par la loi Godfrain du 5
53 http://www.legalis.net/breves-article.php3?id_article=1201
37
janvier 198854
, en raison des insuffisances des incriminations classiques, comme le vol, qui
supposent en principe l'appropriation d'un bien corporel55
.
Il est intéressant de remarquer d’emblée que le législateur français adopte une position
identique à des voisins européens (voir supra). Autrement dit, il n’a pas estimé nécessaire de
créer un droit propre à la question de la divulgation de failles de sécurité informatiques. Au
contraire, il a simplement décidé de se servir du Code pénal, et plus précisément des
dispositions régissant les infractions en matière informatique.
2- Utilisation du Code pénal :
En matière d’infractions informatiques, il faut donc se référer à la loi dite Godfrain du 5
janvier 1988. Bien qu’élaborée à une époque où l’on ne parlait pas encore de l’Internet, cette
loi permet de sanctionner toutes les intrusions non autorisées dans un système informatique et,
par voie de conséquence, leur divulgation. Ses dispositions ont été reprises par le Code pénal,
dans un chapitre intitulé « Des atteintes au système de traitement automatisé de données ».
C’est notamment à l’article 323-3-1 du Code pénal qu’il faut prêter attention. Issu de la loi du
21 juin 2004 pour la confiance dans l'économie numérique56
, l'article 323-3-1 du Code pénal a
ses origines dans l'article 6 de la Convention sur la cybercriminalité du 23 novembre 2001 du
Conseil de l'Europe, et dispose : « le fait, sans motif légitime, d'importer, de détenir, d'offrir,
de céder ou de mettre à disposition un équipement, un instrument, un programme
informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou
plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues
respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée ».
54 Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique. 55
Jérôme Lasserre Capdeville, Délit de trafic de moyens destinés à commettre une atteinte à un système de traitement
automatisé de données, Recueil Dalloz 2010 p. 806.
56 L. n° 2004-575 : Journal Officiel 22 Juin 2004.
38
Par cette incrimination, le législateur a eu en vue la détention ou la production de virus
informatique. Mais tel qu’il est rédigé, l’article 323-3-1 du Code pénal peut parfaitement
s’appliquer à la publication de faille de sécurité57
.
§-2 : Problématique liée au web 2.0 :
L’évolution des technologies et plus spécifiquement le développement de l’Internet, a eu un
impact considérable à plusieurs niveaux, notamment s’agissant des obligations de sécurité
pesant sur les entreprises (A), entraînant certaines conséquences pour les auteurs de
divulgation (B).
A) Obligation pour les entreprises de sécuriser leur réseau :
1- Obligation inhérente aux nouvelles menaces :
L’évolution récente des menaces informatiques et les problématiques de divulgation sont
nombreuses. La plus importante concerne sans aucun doute les entreprises, qui doivent faire
face à de nombreuses questions de sécurité et de vulnérabilités de leur réseau. Confrontée au
développement de l'Internet participatif (Web 2.0.) et bientôt du web 3.0, au sein duquel les
internautes sont devenus de véritables contributeurs de contenus (réseaux communautaires,
échange de contenus), l'entreprise est exposée à de nombreux risques, comme par exemple la
fuite d'informations confidentielles.
Par conséquent, l'anticipation des risques de sécurité est devenue de plus en plus délicate et la
protection des systèmes d'information constitue désormais un enjeu majeur. Beaucoup
d'entreprises ont ainsi décidé de se pencher sur la sécurité de leurs réseaux et de circonscrire
voire contrôler leur utilisation à un périmètre bien déterminé.
Cependant, le spectre de la liberté individuelle, des données personnelles et du droit du travail
n'étant jamais très loin, il apparaît nécessaire de clarifier succinctement le cadre juridique de
cet impératif de sécurisation et de contrôle. Les principales obligations légales concernent la
conservation, la communication et le traitement des données. À ce titre, la loi du 6 janvier
1978 semble être la norme la plus générale dans la mesure où elle s'applique « aux traitements
57 Agathe Lepage, Un an de droit des nouvelles technologies, Droit pénal n°12, chronique 10, décembre 2010.
39
automatisés de données à caractère personnel » quelle que soit l'entreprise, tous secteurs
confondus58
.
2- Appréciation sévère des juges à l’égard de cette obligation :
Les juges se montrent de plus en plus sévères à l'égard des entreprises qui ne maîtrisent pas la
sécurité de leur système et l'utilisation qui en est faite par leurs salariés.
Ainsi, la cour d'appel de Paris a considéré qu'il ne pouvait être reproché à un internaute de
s'être introduit dans les parties d'un site Internet d'une société pour constater des failles de
sécurité, en utilisant un logiciel grand public de navigation, dans la mesure où ce site ne
faisait l'objet d'aucune protection de la part de l'exploitant dudit site59
.
Il devient indispensable pour l'entreprise de mettre en œuvre des mesures techniques de
protection aux fins de sécurisation de son système (pare-feu, filtrage d'url, anti-spam...).
Néanmoins, toute mise en place de moyens techniques de contrôle et de sécurisation du
système d'information doit nécessairement respecter certains principes, tels que la
proportionnalité60
, la loyauté, la transparence, et être justifiés par un intérêt légitime.
En revanche tout contrôle, dès lors qu'il permet de collecter des informations individuelles
poste par poste, destiné à obtenir des informations sur l'activité des utilisateurs, doit faire
l'objet d'une déclaration préalable auprès de la CNIL.
B) Responsabilité de l’auteur d’une divulgation liée à l’entreprise :
La protection du système d'information d'une entreprise repose principalement sur
l'anticipation des atteintes qui pourraient lui être portées. Dans ce cadre, les responsables des
systèmes d'information (DSI, RSSI) interviennent en amont pour anticiper les attaques
externes du système (virus, vers, piratage...). Ils contrôlent qu’en outre, en interne, les salariés
58 L. n° 78-17, 6 janv. 1978, art. 2 : Journal Officiel 7 Janvier 1978.
59 CA Paris, 12e ch., sect. A, 30 oct. 2002, Tati c/ Kitetoa.
60 C. trav., art. L. 120-2.
40
ne mettent pas en péril, volontairement ou involontairement, la sécurité du système
notamment lors de l'utilisation à des fins personnelles de leurs outils informatiques
professionnels61
.
Il n'est pas utile d'être un hacker assidu pour parvenir à mettre à mal tout ou partie du système
d'information et causer un préjudice certain à l'entreprise. Face à cet état de fait, le Code pénal
prévoit la qualification de plusieurs infractions : l'accès et le maintien frauduleux dans un
système de traitement automatisé de données (STAD), l'entrave ou faussement du
fonctionnement d'un STAD, l'introduction frauduleuse de données dans un STAD62
.
À titre d'exemple, le tribunal correctionnel de Paris a récemment condamné un ancien salarié
d'une société à six mois d'emprisonnement avec sursis pour avoir utilisé les codes d'accès des
messageries de deux dirigeants et pour avoir divulgué leur contenu63
. En l'espèce, l'intéressé
avait parfaitement conscience qu'il n'avait plus le droit d'utiliser ce code et qu'il ne faisait plus
partie de la liste des personnes autorisées.
SECTION 2 : Incertitude inhérente à la sévérité des critères retenus
Une des difficultés relatives à la divulgation réside dans la multiplicité des hypothèses
existantes (§-1), ce qui a amené récemment la Cour de cassation à réaffirmer clairement les
critères permettant d’en sanctionner (§-2).
§-1: Diversité des hypothèses de divulgation
Certaines divulgations sont autorisées (A) et conditionnées, tandis que certaines sont
totalement prohibées par le droit français (B).
61 Florence CHAFIOL-CHAUMONT , La protection de son système d'information : quelles obligations, quels risques,
quelles solutions ? Cahiers de droit de l'entreprise n° 2, Mars 2008.
62 C. pén., art. 323-1 à 323-7.
63 TGI Paris, 12e ch., 1er juin 2007, Oddo.
41
A) Divulgations encadrées :
1- Travaux de recherches :
Comme le précise Antoine Latreille « il est assez largement admis, au sein de la communauté
scientifique, que la sécurité et la robustesse des systèmes de protection doivent faire l’objet
d’analyses, y compris sous forme d’attaques, et que les résultats issus de ces recherches
doivent être librement discutés »64
.
D’un point de vue technique, l’efficacité des systèmes de protection ne peut être garantie
qu’en éprouvant continuellement la sécurité des systèmes et en discutant des failles au sein de
la communauté scientifique65
. Toutefois, il apparaît que le droit ne partage pas complètement
ce point du vue pourtant nécessaire en pratique.
En effet, si on prend la directive de 2001, cette dernière se contente de préciser que la
protection des mesures techniques « ne doit pas faire obstacle à la recherche sur la
cryptographie »66
. Quant à la loi française, celle-ci prévoit une cause d’exonération de
responsabilité pénale en matière de cryptographie. Les articles L.335-3-1 à L.335-1-1 du Code
de la propriété intellectuelle admettent par exemple, s’agissant des activités préparatoires, que
la personne qui procure ou propose à autrui un moyen de contournement qu’elle a fabriqué ou
importé, échappe à la sanction dès lors qu’elle a agi à des fins de recherche.
Cette exception reste toutefois propre à la cryptographie. S’agissant de la divulgation, il
semble en aller autrement. L’article 323-3-1 du Code pénal qui incrimine le fait de céder ou
de mettre à disposition un équipement ou programme conçu ou adapté pour commettre une
infraction ne prévoit pas une telle exonération pour les chercheurs. Pour être tout à fait précis,
la mouture initiale du texte présentait un alinéa 2 qui disposait que les actes incriminés
64 Antoine Latreille, JurisClasseur Propriété littéraire et artistique, Fasc. 1660 : MESURES TECHNIQUES DE
PROTECTION ET D'INFORMATION, 26 Avril 2007.
65 Ph. Chantepie, M. Hérubel et F. Tarrier, Mesures techniques de protection des oeuvres et DRMS : Un état des lieux,
Ministère de la Culture et de la Communication, Rapp. n° 2003-02 : Doc. fr., 2003, p. 74 et 75.
66 Dir. n° 2001/29/CE, consid. 48.
42
pouvaient être justifiés « par les besoins de la recherche scientifique et technique… ». Cet
alinéa fut toutefois supprimé dans la version finale du texte…
Il est donc permis d’être sceptique devant une telle disposition. L’expert juridique en sécurité
de l’information Marie Barel rappelle d’ailleurs à plusieurs reprises que tout l’équilibre du
dispositif repose sur la notion de « motif légitime » (voir infra) « dont le juge aura à apprécier
librement pour faire la part du bon grain et de l’ivraie ».
2- Tests d’intrusion :
Parmi les divulgations encadrées, il convient de mentionner celles relatives aux intrusions
prévues par contrat. Ainsi, il est courant qu’une entreprise souhaite s’assurer de la fiabilité de
son système informatique, au niveau sécurité. A cette fin, elle va engager des spécialistes de
la sécurité qui auront pour mission de s’introduire dans son système informatique, afin de voir
si des failles existent. Le cas échéant, l’entreprise de sécurité préviendra son client des
résultats des tests effectués.
Précisons que la divulgation dont il est question ici n’est pas publique. Elle ne sera faite qu’au
client, qui a autorisé l’intrusion dans son système pour le tester. Pour s’assurer de la
confidentialité des informations liées au test d’intrusion, un contrat est mis en place par les
deux parties. Le plus souvent, le client autorise expressément l’entreprise de sécurité ainsi que
ses préposés à s’introduire dans son système d’information. En conséquence, le client dégage
l’entreprise ainsi que ses préposés de toute responsabilité sur les conséquences qui
surviendraient à la suite des tests de vulnérabilité et s’engage à faire son affaire de toute
réclamation ou action qui pourrait en résulter.
Le contrat d’intrusion prévoit également que chacune des parties est tenue, en ce qui
concerne les informations confidentielles qu’elle reçoit de l’autre partie de les garder
strictement confidentielles, à cet effet de les protéger dans les conditions adéquates mais aussi
de ne pas les divulguer à un tiers, que ce dernier lui soit apparenté ou non ; de ne les divulguer
qu’à ceux de ses employés auxquels une telle divulgation sera strictement nécessaire pour la
réalisation du Projet visé en préambule, et sous réserve de leur faire respecter l’obligation de
confidentialité prévue dans cet accord…
43
3- Contrats éditeur / client :
L’activité d’une entreprise repose sur son réseau, dont elle est complètement dépendante. Les
failles ont donc des conséquences qui peuvent être dramatiques tant sur l'image que sur
l'activité de l'entreprise67
: sa crédibilité sera atteinte si sa responsabilité (civile et/ou pénale)
est engagée du fait des dommages causés à des tiers, volontairement ou non. Aussi,
indépendamment des coûts pécuniaires conséquents (incluant, le cas échéant, la réparation du
préjudice subi par les clients), il convient de s’interroger sur le jeu des clauses contractuelles
entre l’éditeur et son client en cas de failles.
D'abord, il est utile de se référer au contrat de maintenance, qui doit contenir des informations
concernant la procédure de résolution des bogues (notamment le temps nécessaire à la
réparation) selon la nature de l’anomalie. A défaut, le droit commun pourrait alors
s’appliquer, notamment dans le cadre de l’obligation d’information et de conseil sur les
caractéristiques techniques. Quant à un quelconque vice de consentement (erreur, dol…), il
appartiendra au client d'en démontrer l'existence (connue du prestataire) antérieure à la
conclusion du contrat.
Concernant la garantie des vices cachés, la preuve semble aussi être difficile à apporter. En
l’absence de stipulations spécifiques et/ou de preuves circonstanciées, il risque d’être délicat
d’imputer l’existence de failles de sécurité à l’éditeur.
B) Divulgations interdites :
1- Clause de confidentialité :
Les salariés d’entreprise sont soumis à une obligation de confidentialité en vue de protéger les
secrets commerciaux ou de fabrication. Sont couverts par le secret de fabrique les procédés de
fabrication d'une certaine originalité ayant un intérêt pratique et commercial pour
l'entreprise (amélioration de la production, diminution du prix de revient) s'ils sont traités de
67 Garance Mathias, Les failles de sécurité face au droit des données à caractère personnel : http://pro.01net.com/
44
façon confidentielle. Il convient donc de protéger les secrets de fabrique en insérant dans les
contrats de travail et d'entreprise une clause de confidentialité, éventuellement assortie d'une
clause pénale fixant le montant des indemnités dues à l'entreprise en cas de violation de
l'obligation.
La divulgation des secrets de fabrique d'une entreprise par l'un de ses employés constitue un
délit pénal en vertu de l'ancien article L. 152-7 du code du travail devenu L.1227-1 depuis
2008 : « Le fait pour un directeur ou un salarié de révéler ou de tenter de révéler un secret de
fabrication est puni d'un emprisonnement de deux ans et d'une amende de 30 000 euros ».
L'auteur de la révélation du secret, dès lors qu'il connaissait l'utilité et le caractère secret des
procédés divulgués, risque une peine de deux ans d'emprisonnement et une amende tout
comme celui qui aurait tenté de les divulguer. Le tiers complice de la divulgation qui cherche
à obtenir d'un employé un procédé de fabrication encoure les mêmes peines.
La divulgation de secrets de fabrique est également condamnable au civil. Elle peut résulter
de la violation d'une clause de confidentialité.
2- Large champ d’application de l’interdiction de divulguer :
Certains journalistes spécialisés ont monté des sites où sont répertoriées les failles de sécurité
de sites grand public. L'objectif déclaré de ces journalistes est à la fois d'alerter le public sur le
niveau de fiabilité de certains sites mais aussi de favoriser l'émergence d'un Internet
sécurisé68
.
En 2008, un journaliste informatique, a constaté une faille de sécurité sur le serveur de la
société FLP qu'il a rapidement avertie. La société FLP a alors fait le nécessaire pour y
remédier. En effectuant les recherches, le journaliste a pu accéder à des données sensibles
(bancaires, comptables, etc.) contenues dans le serveur. Il a procédé à des copies d'écran
affichant les données confidentielles après les avoir floutées pour l'essentiel, les
dénominations des établissements bancaires restant apparentes, puis il a publié un article sur
son site zataz.com relatant les faits au soutien desquels venait une vidéo intégrant les copies
d'écran. L'article en cause a, par la suite, été retiré de la mise en ligne.
68 Éric A. CAPRIOLI, Accès frauduleux aux données à caractère personnel et préjudice d'image, Communication Commerce
électronique n° 12, comm. 120, décembre 2009.
45
Malgré la bonne foi reconnue par le juge au profit du défendeur, le tribunal de grande instance
de Paris69
a, dans son ordonnance de référé en date du 26 janvier 2009, fait droit aux
demandes de la société FLP et a considéré que le trouble constitué était manifestement illicite.
Ordonnance confirmée par la cour d'appel de Paris. La cour a réaffirmé que le fait d'accéder
ou de se maintenir sans droit dans un système d'information constituait un trouble
manifestement illicite relevant bien des pouvoirs du juge des référés. Ce trouble
manifestement illicite est, selon elle, constitué « alors même que l'accès aux données n'est pas
limité par un dispositif de protection ; [...] Il suffit que le maître du système ait manifesté
l'intention d'en restreindre l'accès aux seules personnes autorisées ». L'arrêt reprend la
motivation d'un autre arrêt de la cour d'appel de Paris en date du 5 avril 1994, aux termes
duquel, « il n'est pas nécessaire pour que l'infraction existe que l'accès soit limité par un
dispositif de protection, mais qu'il suffit que le maître du système ait manifesté l'intention d'en
restreindre l'accès aux seules personnes autorisées »70
Le rapport de l'expert indique : « ayant constaté que le serveur FTP de la Forever Living
Products France était sécurisé sur plusieurs plans, ceci nous a conduit à en déduire que
l'intrusion des 29 septembre 2008 et 2 octobre 2008 a notamment pu être réalisée en
exploitant une faille de sécurité (telles celles affectant les systèmes d'exploitations). Ajoutons
que ce n'est pas l'existence d'une faille de sécurité qui exclut la qualification d'accès
frauduleux, c'est la recherche de ces failles (qui existent dans tous systèmes) pour pénétrer les
systèmes qui conduisent à la qualification d'accès frauduleux ».
L'analyse du caractère frauduleux de l'accès au serveur, conduite par la cour s'inscrit dans la
droite ligne de l'arrêt de la cour d'appel de Paris du 30 octobre 2002 dans l'affaire
« Kitetoa »71
, présentant des faits similaires.
En outre, si l'on se fondait sur l'article 34 de la loi dite « Informatique, fichiers et libertés » et
sur l'article 226-17 du Code pénal, on remarquera que la société FLP avait également commis,
une infraction dans la mesure où : « le responsable du traitement est tenu de prendre toutes
précautions utiles, au regard de la nature des données et des risques présentés par le
69 TGI Paris, 26 janv. 2009, Forever Living Products c/ Damien B : www.legalis.net.
70 CA Paris, 5 avr. 1994 : D. 1994, inf. rap. p.130.
71CA Paris, 30 oct. 2002, Antoine C. c/ Min. public, Sté Tati : JurisData n° 2002-204096 ; Comm. com. électr. 2003, comm.
5, L. Grynbaum ; Expertises des systèmes d'information, n° 266, janv. 2003, p. 27-31, C. Morel.
46
traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès ». Sur ce fondement
juridique, la décision aurait pu être tout autre, étant précisé que certaines données auxquelles
Damien B. avait eu accès sont considérées comme « sensibles » (les données bancaires
notamment).
Une autre affaire qu’il convient de mentionner, est celle jugée par le TGI de Paris, le 2 juin
2006 : Colt télécom c/M.B, dans laquelle les juges rappellent que l'accès, l'entrave et
l'introduction frauduleux dans un système de traitement automatisé de données sont
constitutifs d'une infraction pénale, l'intention de démontrer les failles de sécurité n'étant pas
un fait exonératoire de responsabilité72
.
En l’espèce, le gérant d'une société de sécurité informatique, prend le contrôle, en août 2002,
d'un serveur de la société Colt Télécommunications dans lequel il introduit divers
programmes, notamment un outil permettant de contrôler le serveur à distance, ainsi qu'un
logiciel permettant de scruter les vulnérabilités du système et lance des attaques vers des
centaines de serveurs gouvernementaux pour explorer leurs failles de sécurité. Le serveur du
Casier judiciaire national et celui du Centre d'expertises gouvernemental de réponse et de
traitement des attaques informatiques sont parmi les victimes des attaques.
Afin d'échapper à sa responsabilité, l’auteur déclare aux juges avoir d'une part "agi dans un
esprit de sécurisation des serveurs", et d'autre part, que "le serveur qui a subi des
inconvénients, c'est celui de Colt mais ce serveur n'était pas sécurisé."
Le Tribunal de Grande Instance de Paris condamne néanmoins M.B. à 4 mois
d'emprisonnement avec sursis pour accès frauduleux dans un système de traitement
automatisé de données (STAD), entrave au fonctionnement d'un STAD, introduction
frauduleuse de données dans un STAD et tentative d'introduction frauduleuse de données dans
un STAD sur le fondement des articles L. 323-1 à L. 323-7 du Code Pénal. M.B. est
également condamné au paiement des dommages-intérêts aux parties civiles.
72 Marc d'Haultfoeuille pour www.afjv.com/, 18 décembre 2006.
47
Cette décision permet d'illustrer les contours de l'atteinte à un STAD en évacuant tout doute
sur l'exonération de responsabilité de l'auteur de ce type d'atteinte lorsque le délit est motivé
par la volonté de démontrer un défaut de sécurité.
§-2 : Des critères nouvellement posés par la JP
La Cour de cassation est venue rappeler l’interdiction de l’intrusion non autorisée (A) en
ajoutant quelques précisions relatives à la notion de motif légitime (B).
A) Sanction réaffirmée de l’intrusion non autorisée
Le phénomène de la divulgation soulève des interrogations, en France comme à l’étranger
(voir supra). La loi comme la jurisprudence ont du mal à l’appréhender juridiquement, de telle
sorte que la Cour de cassation a fini par apporter des précisions nécessaires, des rappels utiles
en la matière, à travers un arrêt du 27 octobre 200973
.
Cet arrêt présente tout son intérêt ici dans la mesure où il s’agit du premier arrêt rendu par la
haute juridiction concernant l’article 323-3-1 du Code pénal, relativement à la question
particulière de la publication des vulnérabilités informatiques.
En l’espèce, le gérant d’une société spécialisée dans la surveillance des menaces à la sécurité
des SI est poursuivi pour avoir diffusé, sur son portail internet accessible à tous, des scripts
permettant d’exploiter certaines vulnérabilités. Le site révélait en particulier, fin 2005, une
faille dans le moteur graphique Windows, qui ne fut « patchée » (corrigée, en langage
informatique) que début 2006 par Microsoft.
Rappel : l'article 323-3-1 du Code pénal dispose que « le fait, sans motif légitime, d'importer,
de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un
programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre
une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines
prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement
73 Cass. crim., 27 oct. 2009, n° 09-82.346, F P+F : JurisData n° 2009-050361.
48
réprimée ». On voit que « la rédaction de ce texte dénote de façon évidente sa vocation à
englober plus largement la publication de codes d'exploitation de failles non corrigées »74
.
La bonne compréhension de cet article implique de préciser que les articles 323-1 à 323-3
visent différentes atteintes à un système automatisé de données75
: le fait d'accéder ou de se
maintenir, frauduleusement, dans tout ou partie d'un tel système76
; le fait d'en entraver ou
d'en fausser le fonctionnement77
; et enfin le fait d'introduire frauduleusement des données,
toujours dans un système de traitement automatisé, ou de supprimer ou de modifier
frauduleusement les données qu'il contient78
.
Ainsi l'article 323-3-1 sanctionne de façon, autonome, c'est-à-dire sans exigence de
commission d'un fait principal, une forme de complicité par fourniture de moyens
spécifiquement préparatoires d'une ou de plusieurs infractions précitées79
Dans cet arrêt, les magistrats viennent caractériser cette infraction. L'élément matériel est à la
fois clair et large : importer, détenir, céder ou mettre à disposition un équipement, un
instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés
pour commettre l'un des délits évoqués plus haut. En l'espèce, cet élément matériel était retenu
du fait que le prévenu avait diffusé sur son portail internet des scripts permettant d'exploiter
des failles de sécurité informatique, directement visibles sur le site et accessibles à tous.
Concernant l'élément moral de ce dernier, la décision du 27 octobre 2009 est plus intéressante.
Pour mémoire, l'article 323-3-1 du code pénal ne dit rien sur cet élément. Il convient dès lors
de se référer à l'article 121-3 du code pénal posant les règles générales en la matière. Or, pour
74 Agathe Lepage, la Semaine Juridique Edition Générale n° 1, 11 Janvier 2010, 19 La volonté d'information ne constitue pas,
en soi, un motif légitime en matière de publication des vulnérabilités
75 Lors des travaux préparatoires de la loi n° 88-19 du 5 janv. 1988, la notion de système de traitement automatisé de données
avait été largement définie comme désignant « tout ensemble composé d'une ou plusieurs unités de traitement, de mémoires,
de logiciels, de données, d'organes d'entrées-sorties de liaisons qui concourent à un résultat déterminé », Rapp. Thyrand,
Doc. Sénat 1987-1988, 1re session, n° 3.
76 V. par ex., Paris, 5 avr. 1994, D. 1994. IR 130 ; JCP E 1995. I. 461, obs. M. Vivant et C. Le Stanc.
77 V. par ex., Crim. 12 déc. 1996, Bull. crim. n° 465 ; RTD com. 1997. 144, obs. B. Bouloc.
78 V. par ex., Crim. 5 janv. 1994, JCP E 1994. I. 359, obs. M. Vivant et C. Le Stanc.
79 Cette infraction obstacle fait immanquablement songer à l'art. L. 163-4-1 CMF qui sanctionne, quant à lui, le fait, pour
toute personne, de « fabriquer, d'acquérir, de détenir, de céder, d'offrir ou de mettre à disposition des équipements,
instruments, programmes informatiques ou toutes données conçus ou spécialement adaptés pour contrefaire ou de falsifier »
un chèque ou un autre instrument de paiement. Pour une application, Douai, 5 sept. 2006.
49
ce dernier, tous les crimes et délits sont intentionnels, hormis lorsque les textes en disposent
autrement. L'infraction étudiée est donc intentionnelle. Cette solution est d'ailleurs confirmée
par l'arrêt : « la constatation de la violation (...) et en connaissance de cause, de l'une des
interdictions prévues par l'article 323-3-1 du code pénal implique de la part de son auteur
l'intention coupable exigée par l'article 121-3 du même code ».
Ainsi, l'infraction ne saurait être retenue si l'élément matériel n'a pas été commis
consciemment et volontairement par l'intéressé. En revanche, faute de précision légale en ce
sens, l'intention de nuire n'est pas requise80
. Dès lors, les actes en question ayant bien été
commis, pour les magistrats, intentionnellement, le délit pouvait être caractérisé. Mais, un
motif légitime ne pouvait-il pas, également, être retenu ?
B) Précision de la notion de « motif légitime »
Dans l’arrêt de la Cour de cassation de 2009, l'auteur de la publication ne contestait pas la
réalité des faits, mais, estimant avoir été animé par le seul souci d'information des menaces
existantes non corrigées à destination des utilisateurs de programmes informatiques, il
soutenait que toute intention délictueuse faisait défaut. C'est ainsi que la détermination de
l'élément moral de cette infraction, à travers lequel est envisagée la notion de motif légitime,
constitue le principal apport de l'arrêt.
Le délit figurant à l'article L. 323-3-1 du code pénal a pour particularité de prévoir en son sein
une cause d'irresponsabilité pénale spécifique : l'existence d'un « motif légitime ». En
présence de ce dernier, l'infraction peut être justifiée. Ce fait justificatif s'explique par la
rédaction initiale du projet de loi relatif à la confiance dans l'économie numérique qui avait
prévu que l'infraction ne « s'appliquait pas dans certains cas lorsque les actions réprimées par
le présent article étaient, par exemple, justifiées par les besoins de la recherche scientifique
»81
. Le Sénat, quant à lui, avait préféré substituer à cette expression la notion de « motif
légitime ». Cette dernière est, bien évidemment, nettement plus vaste, et laisse, en
conséquence, un large pouvoir aux magistrats pour la définir. L'arrêt étudié en témoigne.
80 Il en va de même pour le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de
supprimer ou de modifier frauduleusement les données qu'il contient, Crim. 8 déc. 1999.
81 Rapp. AN n° 1282, p. 73.
50
En l'espèce, le prévenu prétendait qu'il avait réalisé cette diffusion, sur le portail internet de sa
société, dans un but informatif : expliquer au public certains risques informatiques. Or, ce
moyen était rejeté par la Cour de cassation. Cette dernière reprenait le motif de la cour
d'appel, aux termes duquel « du fait de son expertise en la matière, il savait qu'il diffusait des
informations présentant un risque d'utilisation à des fins de piratage par un public particulier
en recherche de ce type de déviance »82
, et estimait qu'en se prononçant comme elle l'avait
fait, la cour d'appel avait justifié sa décision.
Cette solution est source d'enseignements. D'une part, la solution paraît prendre en
considération le fait que les informations étaient « directement visibles sur le site et
accessibles à tous ». Le risque d'utilisation frauduleuse semble donc suffisant pour écarter ce
motif légitime. On peut penser que si de tels renseignements avaient simplement été transmis
à certaines personnes déterminées, c'est-à-dire à celles qui sont particulièrement intéressées
par les informations en question, l'infraction n'aurait pas été retenue. En effet, dans ce cas, il
n'y aurait pas eu de risque que, parmi les réceptionnaires des informations, figurent des
personnes malintentionnées susceptibles d'en abuser en commentant l'une des infractions
visées par les articles 323-1 à 323-3.
D'autre part, la compétence du prévenu était également prise en considération. L'arrêt se
réfère ainsi expressément à son « expertise en la matière ». Du fait de cette compétence, il ne
pouvait pas invoquer son ignorance quant au risque existant que certaines personnes usent des
informations données pour commettre l'un des délits. Mais que ce serait-il passé si l'intéressé
n'avait pas eu une telle qualité ? Il semble que toute personne qui met des informations en
ligne, à l'attention du grand public, concernant des failles informatiques, peut légitimement
s'attendre à ce que des personnes malintentionnées les utilisent de façon illégale… Mais ce
critère fondé sur la « compétence » est-il à écarter pour autant ? Une réponse négative
s'impose, cet élément pouvant parfaitement jouer dans d'autres circonstances.
La Cour de cassation a ainsi, peut-être, simplement souhaité préciser, d'une façon générale,
les premiers critères permettant de caractériser le motif légitime visé par l'article 323-3-1 du
82 Plus précisément, la cour d'appel estimait « que s'agissant de l'élément intentionnel de l'infraction, Monsieur X. ne peut
arguer de sa bonne foi alors que la fréquentation de son site par un public tout venant lui procurait des revenus publicitaires
adossés au nombre de visiteurs, qu'en conséquence il est établi qu'il avait un intérêt économique à la diffusion d'informations
dont il ne pouvait ignorer, du fait de son expertise en cette matière et de ses antécédents judiciaires, qu'elles présentaient un
risque d'utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance ».
51
code pénal. Ce dernier pourrait ainsi être retenu, en présence d'autres faits, plus difficilement
en fonction de la qualité d'expert de l'intéressé. Il est regrettable que la Cour de cassation n'ait
pas été plus explicite sur ce point.
Pour l'heure, le motif légitime en question est entendu strictement par les magistrats. Nous
nous retrouvons ici, en définitive, avec une solution relativement proche de la jurisprudence
rendue en matière d'accès ou le maintien frauduleux dans un système automatisé de données.
En effet, pour les juges, l'éventuel mobile scientifique ou de l'auteur reste indifférent au regard
de l'élément moral de cette infraction83
. C'est ainsi qu'il importe peu que l'intéressé ait
simplement souhaité mettre à jour les failles de sites.
Chapitre 2 : L’évolution attendue
Devant les incertitudes persistantes en matière de divulgation, il apparait toutefois que
certaines réactions sont en cours. Ainsi, l’Europe donne l’impulsion (SECTION 1) aux
législations nationales, telles que la France, qui a son tour tente actuellement de faire évoluer
la situation en matière de sécurité des systèmes d’information et des
vulnérabilités (SECTION 2).
SECTION 1 : la réaction de l’UE : Paquet Télécom de novembre 2009
Le législateur européen est intervenu en 2009 via le Paquet Télécom (§-1) en posant de
nouvelles obligations relatives à notre sujet (§-2).
§-1 : Les raisons de l’adoption du Paquet Télécom
Le « paquet Télécom »84
modifié, est un ensemble de directives encadrant le secteur des
communications électroniques. Ce dernier, publié au journal officiel de l’UE le 18 décembre
2009, fait partie d’un processus de révision engagé depuis le 13 novembre 2007 et qui
83 De même, il a été jugé qu'était indifférent le fait que l'intéressé pensait être le propriétaire des données récupérées. Cela
n'influait en rien sur l'élément moral de l'infraction, Crim. 22 nov. 2005, n° 05-82.200 ; Rouen, 17 mars 2005.
84 http://www.ddm.gouv.fr/rubrique.php3?id_rubrique=173
52
concerne les cinq directives qui forment le cadre juridique communautaire des
communications électroniques, adopté en 2002.
A travers ce nouveau Paquet Télécom, les 5 directives originelles sont mises à jour par le biais
de deux directives distinctes :
- La directive du 25 novembre 200985
, qui modifie les directives : « service universel »
et « vie privée et communications électroniques » de 2002, et le règlement « relatif à la
coopération entre les autorités nationales chargées de veiller à l’application de la
législation en matière de protection des consommateurs », datant de 2004.
- La 2nde
directive du 25 novembre 200986
qui modifie les directives « cadre », « accès »
et « autorisation » de 2002.
D’inspiration américaine (A), ces dispositions ont été le fruit d’une réaction du législateur
européen en matière de sécurité des réseaux notamment (B).
A) Inspiration américaine
A l’origine, ce type d’obligation a vu le jour aux Etats-Unis, à travers une loi californienne de
2002, régissant la protection des renseignements personnels. La volonté du législateur
américain étant de lutter contre l’usurpation d’identité, les bases de données et réseaux de
nombreux opérateurs économiques (FAI, sites de e-commerce…) contiennent de nombreuses
informations à caractère personnel de client. Ces données, en cas de vol, permettent au pirate
de contrefaire l’identité du client, en utilisant frauduleusement un numéro de sécurité sociale,
un numéro de carte bancaire…
Pour tenter de limiter ces risques, cette loi oblige les acteurs économiques qui disposent de
telles informations, à notifier aux clients toute faille de sécurité qu’ils constatent. Dans les
faits, une telle obligation se révèle extrêmement efficace, dans un pays où les actions de
groupe (« class action ») conduisent assez souvent à des condamnations financières très
importantes. Les entreprises sont donc fortement incitées à mettre tout en œuvre afin de
sécuriser de façon optimale leur système informatique.
85 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:FR:PDF
86 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0037:0069:FR:PDF
53
B) Réaction de l’UE
Devant ces mesures adoptées outre Atlantique, l’Union européenne n’est pas restée sans agir.
Sa réponse a lieu via le « Paquet Télécom », la même année. Le législateur européen affirme
lui aussi sa volonté de mieux sécuriser les réseaux, par le biais de mesures a priori (obligation
d’évaluation de la sécurité des systèmes) mais aussi a posteriori (obligation de notifier les
failles de sécurité), la seconde étant celle qui nous intéresse ici.
Au regard du considérant 44 de la directive, il est rappelé que « la complexité des systèmes,
les défaillances techniques ou les erreurs humaines, les accidents ou les attentats peuvent tous
avoir des conséquences sur le fonctionnement et la disponibilité des infrastructures physiques
qui fournissent des services importants aux citoyens de l’Union européenne, y compris les
services d’administration en ligne ».
S’agissant de la directive 2009/136/CE, celle-ci prévoit cette obligation au regard de la
protection des données à caractère personnel qui transitent par les réseaux de communications
électroniques. Elle concerne non seulement les problèmes d’usurpation d’identité, mais aussi
les atteintes à l’intégrité physique ou à la réputation « en rapport avec la fourniture de services
de communications accessibles au public » dans la Communauté (considérant 61).
Pour le moment, ces nouvelles exigences se cantonnent au secteur des communications
électroniques. Toutefois, l’UE souhaite vivement qu’elles soient à terme étendues à tous les
secteurs et à tout type de données (exemple, considérant 59 de la directive 2009/136/CE).
La transposition de ces deux directives doit intervenir avant la fin du mois de mai 201187
.
Elles prévoient de nouvelles obligations (par exemple, la portabilité du numéro en téléphonie
fixe ou portable). Pour ce qui nous intéresse, elles tendent à améliorer la sécurité des réseaux,
en posant notamment l’obligation, à certains opérateurs techniques, de notifier les violations
de sécurité de leurs systèmes d’information.
87 Article 4 de la directive 2009/136/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 25 novembre 2009.
54
§-2 : Modalités des nouvelles obligations
Le Paquet Télécom prévoit diverses dispositions dont une double notification (A) pesant sur
certaines autorités (B).
A) Double notification
Un même principe, deux modalités différentes. Tel est le constat qu’on peut faire au vu des
directives « cadre » et « vie privée et communication électronique ». En effet, si leur esprit
quant à l’obligation nouvelle apparaît proche, le processus de notification et les autorités à
saisir le sont beaucoup moins.
La directive « cadre » s’applique notamment aux services de communications électroniques
accessibles au public tels que les FAI. Elle ne conditionne pas la notification à la nature des
données accédées via une faille de sécurité mais au fait même de l’existence de la
vulnérabilité. Il faut ainsi une atteinte portée à la sécurité ou une perte d’intégrité « ayant eu
un impact significatif sur le fonctionnement des réseaux ou des services »88
.
La notification consiste en une information de l’autorité réglementaire concernée (voir infra)
qui informe, le cas échéant, les autorités concernées des autres Etats membres et l’ENISA
(Agence européenne chargée de la sécurité des réseaux et de l’information). En ce qui
concerne le public, il ne sera averti, par l’autorité nationale ou le fournisseur victime de la
faille qu’en cas d’impact significatif sur le fonctionnement ou si la divulgation se révèle
d’intérêt public.
La directive « vie privée » contient des dispositions assez différentes. Certes, tout comme la
directive cadre, toute hypothèse de violation de données personnelles entraîne dans tous les
cas, l’obligation d’en avertir l’autorité nationale compétente89
. La différence entre les deux
tient plutôt au fait que contrairement à la directive cadre, ces obligations de notification et de
sécurisation ne s’appliquent qu’aux seuls fournisseurs de services de communications
électroniques accessibles au public (tels que les FAI).
88
Article 13 bis §3 de la directive 2002/21/CE modifiée.
89 François Coupez, Obligation de notification des failles de sécurité : quand l’Union Européenne voit double… ,
octobre 2010 : http://www.juriscom.net/
55
B) Autorités concernées
La question se pose de savoir qui sont les autorités nationales concernées et mentionnées par
les directives.
S’agissant de la France, on pourrait tout d’abord penser à l’Autorité de Régulation des
Communications Electroniques et des Postes (ARCEP)90
. L’ARCEP a été créée en 2005 par
le législateur, venant remplacer l’Autorité de Régulation des Télécommunications (ART) qui
avait été créée par la loi de 1996 pour réguler le secteur des télécommunications.
Toutefois, il apparaît qu’un autre organisme semble être tout aussi concerné par les
directives : l’autorité nationale compétente dont il est question pourrait dès lors être la
Commission nationale de l’Informatique et des Libertés (CNIL)91
, tant il est vrai qu’elle est
déjà en charge des autres problématiques présentes dans la directive « vie privée… »
(Courriers électroniques non sollicités, etc.).
Enfin, un troisième acteur pourrait se voir considérer à juste titre comme une autorité
nationale concernée par la directive : les notifications de failles de sécurité pourraient être
cordonnées au niveau français par l’Agence nationale des Systèmes d’information. Comme le
précise François Coupez, « qui d’autre que celle qui est rattachée au Secrétaire général de la
défense nationale et qui a pour mission d’autorité nationale en matière de sécurité des SI,
pourrait s’occuper valablement de ces questions ? ».
Il reste que le Conseil national du numérique français (créé en avril 2001 par Nicolas
Sarkozy)92
a rendu fin mai son premier avis concernant le projet d'ordonnance transposant
dans la loi française les directives du Parlement européen du « paquet télécom », estimant que
le dispositif était « plus contraignant » que celui prévu par l'Europe.
En effet, la directive prévoit qu'en cas de violation de la sécurité entraînant accidentellement
ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé
à des données à caractère personnel, le fournisseur de communications électroniques doit
prouver à la CNIL qu'il a pris les mesures technologiques appropriées en cas de violation.
90 http://www.arcep.fr/
91 http://www.cnil.fr/
92 http://www.gouvernement.fr/gouvernement/le-conseil-national-du-numerique-voit-le-jour
56
Or, selon le CNN « le projet d'ordonnance soumis à consultation va au-delà du texte la
directive en imposant une validation par la Commission Nationale de l’Informatique et des
Libertés des mesures mises en œuvre ».
De même, « la directive prévoit une information de l'intéressé dans l'unique cas où la violation
de sécurité aurait entraîné un préjudice pour celui-ci. Le projet d'ordonnance fait abstraction
de cette notion, pourtant essentielle, de préjudice », estime le CNN.
Pour le Conseil, « il serait donc souhaitable de transposer plus fidèlement les dispositions de
la directive en matière de protection des données à caractère personnel ».
SECTION 2 : la réaction nationale : loi du 23 mars 2010
La France a réagi par une proposition de loi (§-1) qui cependant est encore à l’étude et ne
semble pas répondre à l’ensemble des interrogations (§-2).
§-1 : Contenu du projet de loi
Il convient de définir le contexte de l’adoption de cette loi (A) avant de traiter de son contenu
(B).
A) Contexte de l’adoption :
Cette proposition fait suite à l’adoption, en novembre 2009, des directives européennes du
Paquet télécom, qui devront être transposées au niveau national avant mai 2011. Cette
proposition de loi encadre notamment le défaut de sécurisation et met en place une procédure
de notification des failles.
C’est dans ce contexte qu’a été adoptée, en première lecture par le Sénat, la proposition de loi
« visant à mieux garantir le droit à la vie privée à l’heure du numérique »93
qui instaure un
nouveau cadre légal en cas de failles de sécurité concernant le traitement automatisé de
données à caractère personnel (modifiant la loi informatique et libertés).
93 http://www.senat.fr/leg/ppl09-093.html
57
La proposition de loi, résultant du rapport des sénateurs Mme Anne-Marie Escoffier et M.
Yves Détraigne « La vie privée à l’heure des mémoires numériques », composée de 10
amendements a été adoptée le 23 mars 2010. Le décret d’application est prévu en 2011, n’est
toujours pas d’actualité…
B) Modalités des obligations
Une des nouveautés de cette réforme de la Loi Informatique et Libertés (LIL) est l’obligation
de « notification des failles de sécurité » (article 7). La LIL ainsi modifiée oblige les
entreprises (dont les traitements relèvent des articles 25 et suivants, et de plus de 100 salariés),
à désigner un Correspondant Informatique et Libertés (CIL) qui sera chargé de manière
indépendante de tenir un registre des traitements de données à caractère personnel, un
inventaire des atteintes aux traitements de données à caractère personnel et de veiller au
respect des dispositions de la LIL ainsi modifiée au sein de l’entreprise.
Si ce texte est adopté, le responsable du traitement automatisé, qui prend actuellement toutes
les mesures pour préserver la sécurité des données (notamment, empêcher qu’elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès, selon l’article 34 de la
loi 1978), devra avertir, « sans délai », le correspondant informatique et libertés (CIL) ou, à
défaut la CNIL.
Il devra également prendre « toutes les mesures nécessaires pour permettre le rétablissement
de la protection de l’intégrité et de la confidentialité des données et informer la CNIL ainsi
que les personnes concernées ». En d’autres termes, le responsable du traitement a une
double obligation, à savoir sécuriser les systèmes d’information contenant des données à
caractère personnel et notifier les failles de sécurité.
Un décret pris en Conseil d’Etat devra déterminer les modalités et la forme de cette
notification. Toutefois il est probable que ce texte reprenne les principes issus des directives.
En effet, le contenu minimum de la notification faite à l’abonné ou au particulier peut
comporter la nature de la violation de données à caractère personnel, les points de contact
auprès desquels des informations supplémentaires peuvent être obtenues, ainsi que les
58
recommandations prises pour atténuer les conséquences négatives possibles de la violation de
données à caractère personnel.
Concernant le point de contact, les entreprises victimes de failles de sécurité devront mettre en
place une ligne téléphonique dédiée ou encore un espace dédié accessible aux personnes. Pour
la CNIL, le contenu minimum de la notification est la suivante : les conséquences de la
violation des données à caractère personnel, les mesures proposées ou prises pour y remédier.
Un inventaire sera aussi dressé par le CIL, le cas échéant, répertoriant des violations de
données à caractère personnel.
Cette transposition semble s’orienter uniquement sur les failles de sécurité ayant un impact
sur le traitement des données à caractère personnel. En effet, deux directives posent deux
obligations distinctes de transparence dans le cadre de la notification des failles de sécurité
(voir supra).
Contrairement aux pays anglo-saxons ou à l'Allemagne - où il existe déjà une obligation de
déclaration des failles et de transparence pour les entreprises -, en France, les entreprises ne
souhaitent pas divulguer leurs failles. Ainsi, cette sinistralité est difficile à évaluer et à
appréhender. Néanmoins, ce projet tend à encadrer, à ce stade, uniquement les traitements de
données personnelles, celui-ci pouvant encore évoluer jusqu’à son adoption.
§-2 : Insuffisances de la loi ?
Pour beaucoup, il semble que cette loi présente avant même son entrée en vigueur, des
insuffisances tant au niveau juridique (A) que technique (B).
A) Manque de précisions sur le plan juridique
De nombreux obstacles juridiques et techniques empêchent une application optimale de cette
nouvelle obligation. La difficulté de la mise en œuvre pour le CIL de notifier les failles de
sécurité réside dans l’aspect juridique94
: Faut-il tout notifier ? Quelles sont les définitions et
94 http://www.adeli.org/contenu/notification-des-failles-s%C3%A9curit%C3%A9-ou-data-breach
59
les critères nécessaires ? Quelles sont les responsabilités et les sanctions applicables ? S’agit-
il d’une obligation de résultat ou de moyen ?
Par exemple, la proposition de loi ne précise pas comment vérifier la sécurité des données95
.
Selon le rapport du Sénateur Christian Cointat rendu au nom de la commission des lois du
Sénat, le but de l’obligation de notification, nouvelle en droit français, est d’inciter les
responsables de traitement à mettre en œuvre des mesures de protection adéquates. (p. 16) Ce
n’est pas tâche facile : le rapport d’information d’Yves Détraigne et d’Anne-Marie Escoffier
sur le respect de la vie privée à l’heure du numérique, publié en mai 2009, notait que “la
sécurité des données est en pratique difficile à vérifier, à moins de contrôler chaque système
de sécurité par des attaques-test“. (p. 99 du rapport)
Pourtant, bien que la sécurité des données soit “difficile à vérifier,” la proposition de loi ne
précise pas quelles pourraient être les mesures adéquates pour la protéger. La délibération de
la CNIL n°81-94 du 21 juillet 1981 relative aux mesures générales de sécurité des systèmes
informatiques recommandait déjà la mise en place de telles mesures de sécurité, qui seraient :
- Une évaluation des risques et une étude générale de la sécurité systématique pour tous
les traitements informatiques;
- Un effort d’information et de sensibilisation auprès des catégories professionnelles
concernées afin de les inciter à participer à l’application des mesures de sécurité;
- Une définition particulièrement soignée des dispositions destinées à assurer la sécurité
et la confidentialité des traitements et des informations, qui doivent être consignées
dans un document de référence, tenu à jour et dont il convient de veiller de manière
permanente à son respect;
- Une définition claire des responsabilités des personnels participant au respect des
mesures de sécurité.
95 http://blog.security-
breaches.com/2010/08/03/la_france_va_t_elle_se_doter_d_une_loi_rendant_obligatoire_les_notifications_des_violations_de
_securite/
60
B) Manque de précisions sur le plan technique
Concernant l’aspect « technique » et « les modalités de mise en œuvre » de cette obligation :
avec quels moyens, dans quel délai? Comment apprécier le risque ?
Cette obligation nécessite une convergence entre le CIL et le RSSI, cela peut se traduire
par exemple par une coopération au sein de l’entreprise. Pour cela la CNIL (organe juridique,
administratif et de service public) devra mettre à la disposition des entreprises : ses moyens et
son expertise, un service dédié à ce volet « technique » et participer à l’élaboration d’un
vocabulaire commun.
L’accompagnement de la CNIL sur ce volet Data breach est indispensable pour accompagner
les entreprises soumises à cette obligation :
- la mise en place de procédures et formations spécifiques ;
- des recommandations CNIL ;
- la définition du format de la notification de faille de sécurité (seuil et auto-
évaluation) ;
- un guide de bonnes pratiques de la sécurité des SI ;
- une sensibilisation de la protection des SI.
Les entreprises peuvent se reporter aux normes de sécurité informatique dites internationales
dont la Norme ISO 27035, les normes réseau, et les normes 27001 pour les services support
client et les data centers.
Cette nécessité de notifier les failles de sécurité des traitements de données personnelles voit
son utilité croître avec la protection des SI. Mais l’imprécision de cette obligation rend
difficile sa mise en œuvre d’où la nécessité d’harmoniser les bonnes pratiques de protection
des SI, de définir et classifier les failles de sécurité.
L’impact des technologies de l’information dans la gouvernance d’entreprise a bouleversé le
paysage législatif et juridique. Le déploiement du numérique et la circulation massive de
données personnelles au sein des entreprises ont comme corollaire l’augmentation des risques
d’atteinte aux traitements de données personnelles.
61
CONCLUSION
I- Nouvelles interrogations liées au « cloud »
Avec le développement des systèmes d’information via le « cloud » (système de gestion en
ligne) de nouvelles interrogations apparaissent. Par exemple, lorsqu’on voit qu’il aura suffi à
Thomas Roth, un chercheur allemand, de quarante-neuf minutes et de deux dollars pour
récupérer des mots de passe grâce au « cloud computing », plus précisément via les machines
virtuelles d’Amazon utilisées comme des supercalculateurs96
, on peut s’interroger sur l’avenir
des divulgations, tant il est vrai que s’il devient aussi aisé de détecter des failles de sécurité,
les hypothèses de révélations publiques n’en seront que plus nombreuses…
De même, si des failles sont mises à jour dans des systèmes aussi populaires que « Android »,
« Skype » et « Facebook », qu’en sera-t-il pour les nouvelles utilisations informatiques en
ligne ? Le contrôle des données personnelles et autres informations sensibles fait partie des
grands défis des géants de l’Internet. Une relation de confiance avec le grand public sera
indispensable aux firmes américaines comme Google, Facebook et Microsoft pour remporter
la bataille du web moderne.
II- Inquiétude persistante des professionnels :
La communication de vulnérabilités demeure un sujet sensible, notamment pour les
professionnels de la sécurité. En témoigne l’organisation il y a quelques mois à Paris, du faux
procès d'un hacker97
. Le but était de simuler un cas pratique tiré de réelles expériences sur le
sujet de la divulgation de failles de sécurité.
96
http://pro.01net.com/editorial/526957/il-detourne-le-cloud-amazon-pour-pirater-des-mots-de-passe/
97http://www.clubic.com/antivirus-securite-informatique/actualite-369762-full-disclosure-proces.html
62
Rapidement le tribunal se pose la question de savoir s'il y a eu ou non intrusion dans un
système informatique. La qualification est des plus difficiles car il n'y a pas eu de
modification de l'état du système. De même, le tribunal de Grande Instance a déjà estimé
qu'une découverte de faille via un simple navigateur (comme c'est le cas ici) ne constitue pas
une intrusion.
La France brille en effet toujours par un certain vide en la matière. Pire, ce cas a montré le
manque de communication et surtout de compréhension entre celui qui rapporte la faille et
celui qui en est victime. Les choses restent à éclaircir, sous peine de continuer à voir fleurir de
nombreux mécontentements en matière de divulgation…
63
LEXIQUE
AUTHENTIFICATION : L’authentification a pour but de vérifier l’identité dont une
entité se réclame. Généralement l’authentification est précédée d’une identification qui
permet à cette entité de se faire reconnaître du système par un élément dont on l’a
doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est
apporter la preuve de son identité.
CONFIDENTIALITE : propriété d’une information qui n’est ni disponible, ni
divulguée aux personnes, entités ou processus non autorisés.
EXPLOIT : élément de programme permettant à un individu ou un logiciel
malveillant d'exploiter une faille de sécurité informatique dans un système
d'exploitation ou dans un logiciel que ce soit à distance (remote exploit) ou sur la
machine sur laquelle cet exploit est exécuté (local exploit), ceci, afin de prendre le
contrôle d'un ordinateur ou d'un réseau, de permettre une augmentation de privilège
d'un logiciel ou d'un utilisateur, ou d'effectuer une attaque par déni de service.
INTEGRITE : garantie que le système et l’information traitée ne sont modifiés que
par une action volontaire et légitime.
INTRUSION : fait, pour une personne ou un objet, de pénétrer dans un espace
(physique, logique, relationnel) défini où sa présence n’est pas souhaitée.
HACKER (PIRATE) : personne maîtrisant les mécanismes de sécurité informatique.
Il est chargé à la base de trouver et corriger les failles de réseaux en essayant de s'y
introduire par effraction. Il existe différentes catégories de pirates, qu’on appelle
respectivement les White et Black Hats. BLACK HAT : hacker qui pénètre par
effraction dans des systèmes ou des réseaux dans un objectif souvent personnel. Celui-
ci essaie à tout prix de récupérer ce qu'il veut, peu importe les dégâts pourvu que son
action se déroule le plus rapidement possible. WHITE HAT : hacker qui pénètre des
systèmes ou des réseaux dans l'objectif d'aider les propriétaires du système à mieux le
sécuriser.
64
SECURITE DES SYSTEMES D’INFORMATION : ensemble des moyens
techniques, organisationnels, juridiques et humains nécessaires et mis en place pour
conserver, rétablir, et garantir la sécurité du système d'information.
BUG INFORMATIQUE : En informatique, un bug (de l’anglais bug, « insecte ») ou
bogue, est un défaut de conception d'un programme informatique à l'origine d'un
dysfonctionnement.
VULNERABILITE : faiblesse dans un système informatique permettant à un
attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à son
fonctionnement normal, à la confidentialité et l'intégrité des données qu'il contient. On
parle aussi de faille de sécurité informatique.
PATCH : Ensemble de fichiers destinés à corriger les défauts ou améliorer les
fonctionnalités d'un logiciel. On parle aussi de correctif.
TEST D’INTRUSION : Action qui consiste à essayer plusieurs codes d’exploitation
sur un système d’information, afin de déterminer ceux qui donnent des résultats
positifs. Remarques : Il s’agit à la fois d’une intention défensive (mieux se protéger)
et d’une action offensive (agresser son propre système d’information).
ZERO DAY : Catégorie particulière de codes d’exploitation qui cible des
vulnérabilités qui ne sont pas encore publiquement annoncées par l’éditeur, le
constructeur ou un chercheur en sécurité. Remarques : Ces codes d’exploitation sont
particulièrement dangereux sur le plan SSI, car ils ne sont pas connus, et il n’y a pas
de correctif pour s’en protéger. Seule une défense en profondeur permet de limiter les
risques.
Sources définitions : securite-informatique.gouv.fr ; wikipedia ; secuser.com.
65
BIBLIOGRAPHIE
Principaux Sites internet :
- http://www.certa.ssi.gouv.fr/
- http://www.cert-ist.com/
- http://conventions.coe.int/
- http://www.copyright.gov/
- http://www.wipo.int/
- http://www.securityfocus.com/
- http://eurlex.europa.eu
- http://www.legalis.net/
- http://fr.wikipedia.org/
Revues :
- Revue droit pénal (LexisNexis)
- La Semaine Juridique, Edition Générale (LexisNexis)
- Revue Communication Commerce électronique (LexisNexis)
Ouvrages :
- Code de propriété intellectuelle
- Code pénal
66
ANNEXES
- Annexe 1 : cycle de vie d’une vulnérabilité, Nicolas FISCHBACH : www.securite.org
- Annexe 2 : modèle de contrat d’autorisation de test d’intrusion (Cap Gemini)
- Annexe 3 : Exemple d’alerte de sécurité publiée par le CERTA
67
ANNEXE 1
© 2003 Nicolas FISCHBACH
EU
RO
SE
C 2
00
3
3
Une vulnérabilité dans le temps (1)
Découverte dela faille
(Re)découvertede la faille
ou fuite
Publication Correctifdisponible
Correctifappliqué
“Victimes”
Temps
Correctif“complet”
» Evolution d’une vulnérabilité
Exploit
“Proof ofConcept” Automatisation
© 2003 Nicolas FISCHBACH
EU
RO
SE
C 2
00
3
7
Les différents acteurs (1)
fuite(“leak”)
publication
“advisory”marketing
alerte
Sociétécommerciale
Groupe“underground”
Agencegouvernementale,
CERT
Université,groupe
de recherche
» L’industrie de la sécurité informatique
Source : http://www.securite.org/presentations/cyclevuln/
68
ANNEXE 2
Autorisation pour la réalisation de tests de
Vulnérabilités et d’Intrusion informatiques
Je soussigné (Nom, Prénom, Fonction)
………………………………………………………………………………………………… …
représentant la Société …………………………………………autorise la société Capgemini,
représentée par M. …………………………………………….., à réaliser du …./…./…….. au
…./…./…….., des tests de vulnérabilité et d’intrusion sur les équipements informatiques et
téléphoniques suivants :
……………………………………………………………………………….…………………
……
……………………………………………………………………………….…………………
……
……………………………………………………………………………….…………………
……
……………………………………………………………………………….…………………
……
……………………………………………………………………………….…………………
……
……………………………………………………………………………….…………………
……
……………………………………………………………………………….…………………
……
69
RESPONSABILITÉ Capgemini s'engage à apporter tout le soin raisonnablement possible à l'exécution des prestations de services dans le respect des règles de l’art. Les parties conviennent que Capgemini a une obligation de moyens.
Dans le cadre de sa prestation, Capgemini est amenée, à la demande du Client, à éprouver la vulnérabilité de l'environnement défini ci-dessus par des intrusions illégitimes tant internes qu’extérieures, par piratage ou accès illégitime aux réseaux.
Pour ce faire Capgemini est amenée à entrer, à la demande du Client, dans le système d’information de ce dernier, dans des conditions comparables à celles d’un pirate informatique.
Il est indispensable qu’avant de lancer les tests convenus, le Client prenne les mesures de sauvegarde préalable, des données, fichiers, programmes de son système d’information. Il est rappelé au Client qu’il est le seul à pouvoir déterminer le périmètre ainsi que les conditions de la sauvegarde à effectuer en fonction des risques d’altération qui viennent être décrits ci avant. Capgemini met en garde le Client sur l’impérieuse nécessité pour ce dernier de vérifier, avant qu’elle ne procède aux tests de vulnérabilité, la lisibilité de ses sauvegardes et de leur exploitabilité.
Capgemini étant amenée à avoir accès à des données du Client pouvant porter sur des données personnelles, le Client fera le nécessaire pour se conformer à la législation en vigueur. Le Client dégage Capgemini de toute responsabilité de ce chef.
De la même façon, Capgemini étant amenée à avoir accès à des données confidentielles du Client et de tiers en relation avec le Client, ce dernier fait son affaire des engagements qu’il a pris pour la protection des données confidentielles et dégage Capgemini de toute responsabilité à cet égard. Nonobstant ce qui précède, Capgemini s’engage à respecter les termes de l’article « Confidentialité » ci-après.
Le Client autorise expressément Capgemini ainsi que ses préposés à s’introduire dans son système d’information. En conséquence, le Client dégage Capgemini ainsi que ses préposés de toute responsabilité sur les conséquences qui surviendraient à la suite des tests de vulnérabilité et s’engage à faire son affaire de toute réclamation ou action qui pourrait en résulter.
CONFIDENTIALITE
A. Définition :
Informations Confidentielles :
s’entendent de tout document marqué « confidentiel » par tout procédé (y compris par la simple apposition dactylographique) transmis par une partie à l’autre. Toute information échangée verbalement et relative à une donnée ou document présentée comme confidentielle sera également considérée comme une Information Confidentielle, à la condition que le caractère confidentiel de cette information orale soit annoncé lors de sa divulgation et confirmé par écrit à l’autre partie dans un délai de 5 jours calendaires.
B. Engagement
Chacune des parties est tenue, en ce qui concerne les Informations Confidentielles qu’elle reçoit de
l’autre Partie
de les garder strictement confidentielles, à cet effet de les protéger dans les conditions adéquates
;
de ne pas les divulguer à un tiers, que ce dernier lui soit apparenté ou non ;
70
de ne les divulguer qu’à ceux de ces employés auxquels une telle divulgation sera strictement
nécessaire pour la réalisation du Projet visé en préambule, et sous réserve de leur faire respecter
l’obligation de confidentialité prévue dans cet accord ;
de faire retour à l’autre Partie, sur demande de cette dernière, de toute Information
Confidentielle reçue sous une forme tangible et de n’en garder aucune copie ou reproduction.
de n’utiliser, copier, reproduire de manière totale ou partielle les Informations Confidentielles
communiquées par l’autre partie qu’aux seules fins de réalisation du Projet visé en préambule ;
de cesser immédiatement sur simple demande de l’autre, toute utilisation des Informations
Confidentielles communiquées par l’autre partie ;
C. Durée
Il est expressément convenu entre les parties que l’Obligation de confidentialité sera maintenue
pendant une durée de deux (2) ans à compter de l’expiration du présent accord et ce, quelle qu’en soit
la cause.
D. Limitation à l’obligation de confidentialité
Ne sont pas considérées comme Informations Confidentielles les informations :
qui sont dans le domaine public au moment de leur communication, ou viennent à la
connaissance du public sans faute attribuable à l’autre partie, ou
qui sont indépendamment développées par l’autre, sans qu’il ait été fait usage de l’Information
Confidentielle correspondante, étant toutefois entendu qu’il lui incombera de rapporter la preuve
du développement indépendant de ladite information.
E. Propriété intellectuelle
La divulgation d’Information Confidentielles au titre du présent protocole ne peut en aucun cas être
interprétée comme conférant de manière expresse ou implicite à l’autre Partie un droit quelconque sur
les éléments, données, produits ou invention auxquelles se rapportent ces Informations
Confidentielles.
F. – Restitution des Informations Confidentielles
En cas de résiliation du présent protocole , qu’elle qu’en soit la cause, les Parties ne seront dégagées
de leur obligation de respecter leur obligation de confidentialité et de non-divulgation prévue à
l’article qu’à l’issue du délai stipulé à l’article C.
Date et signature
…
71
ANNEXE 3
S . G . D . S . N Agence nationale de la sécurité des systèmes d’information CERTA
Affaire suivie par :
CERTA
Paris, le 22 avril 2011
No CERTA-2011-ALE-003-004
BULLETIN D’ALERTE DU CERTA
Objet : Vulnérabilité dans Adobe Flash Player, Adobe Reader et Acrobat Conditions d’utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ALE-003
Gestion du document Référence CERTA-2011-ALE-003-004
Titre Vulnérabilité dans Adobe Flash Player, Adobe Reader et Acrobat
Date de la première version 12 avril 2011
Date de la dernière version 22 avril 2011
Source Alerte de sécurité Adobe APSA11-02 du 11 avril 2011
Pièce(s) jointe(s) Aucune
TAB. 1 – Gestion du document
Une gestion de version détaillée se trouve à la fin de ce document.
1 Risque Exécution de code arbitraire à distance.
2 Systèmes affectés – Adobe Flash Player 10.2.153.1 et antérieures sur les systèmes Microsoft Windows, Linux et Oracle Solaris ;
– Adobe Flash Player 10.2.154.25 et antérieures pour les utilisateurs de Chrome ;
– Adobe Flash Player 10.1.156.12 et antérieures sur les systèmes Android ;
– Adobe AIR versions 2.6.19120 et antérieures ;
– le composant authplay.dll contenu dans les versions 10.0.2 et antérieures de Adobe Acrobat et Reader pour
les systèmes Windows et Macintosh.
3 Résumé Une vulnérabilité permettant l’exécution de code arbitraire à distance affecte des produits Adobe. Elle est
actuellement activement exploitée. L’éditeur a publié des dates de mise à disposition de correctifs.
Secrétariat général de la défense et de la sécurité nationale – ANSSI – COSSI – CERTA
51, bd de La Tour-Maubourg Tél.: 01 71 75 84 50 Web: http://www.certa.ssi.gouv.fr
75700 Paris 07 SP Fax: 01 71 75 84 70 Mél : [email protected]
4 Description Des produits Adobe sont vulnérables à une faille permettant à une personne malintentionnée d’exécuter du
code arbitraire à distance.
L’éditeur rapporte que cette vulnérabilité est actuellement exploitée sur l’Internet, en particulier via des
documents
Microsoft Word spécialement conçus.
72
Adobe n’a pas annoncé de date pour la mise à disposition d’un correctif pour ces produits, sauf pour Adobe
Reader X pour Microsoft Windows, dont le correctif est prévu pour le 14 juin 2011.
Mise à jour du 14 avril 2011 : l’éditeur annonce les dates de mise à disposition de correctifs suivantes :
– 15 avril 2011 pour Adobe Flash Player 10.2.x (tous les systèmes d’exploitation) ;
– semaine du 25 avril 2011 pour Adobe Reader 9.x, pour Windows et MacOS ;
– semaine du 25 avril pour Adobe Reader X (10.0.1) pour MacOS ;
– 14 juin 2011 pour Adobe Reader X (10.0.2) pour Windows.
5 Contournement provisoire Il est possible de supprimer ou interdire l’accès à la DLL authplay.dll. Le Protected Mode inclus dans Adobe
Reader X réduit les risques d’exploitation de la vulnérabilité.
Il est également recommandé d’utiliser un logiciel alternatif et à jour en attendant la publication du correctif.
6 Solution Partielle les versions suivantes corrigent le problème :
– Adobe Flash Player version 10.2.159.1 ;
– Adobe Flash Player version 10.2.154.27 incluse dans Google Chrome soit la version 10.0.648.205 de Google
Chrome ;
– Adobe AIR 2.6.19140 ;
– Adobe Reader et Acrobat 9.4.4 pour les systèmes Windows et Macintosh ;
– Adobe Reader et Acrobat X (10.0.3) pour les systèmes Macintosh.
Se référer aux bulletins de sécurité APSB11-07 et APSB11-08 de l’éditeur pour l’obtention des correctifs (cf.
section Documentation).
7 Documentation – Bulletin de sécurité Adobe APSB11-07 du 15 avril 2011 :
http://www.adobe.com/support/security/bulletins/apsb11-07.html
– Bulletin de sécurité Adobe APSB11-08 du 21 avril 2011 :
http://www.adobe.com/support/security/bulletins/apsb11-08.html
– Bulletin d’alerte Adobe APSA11-02 du 11 avril 2011 :
http://www.adobe.com/support/security/advisories/apsa11-02.html
– Notes de version Google Chrome :
http://googlechromereleases.blogspot.com/2011/04/stable-channel-update.html
– Avis de sécurité du CERTA CERTA-2011-AVI-234 du 19 avril 2011 :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-234/index.html
– Avis de sécurité du CERTA CERTA-2011-AVI-250 du 22 avril 2011 :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-250/index.html
– Référence CVE CVE-2011-0610 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0610
– Référence CVE CVE-2011-0611 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0611
Gestion détaillée du document
12 avril 2011 version initiale.
14 avril 2011 annonce des dates de publication des correctifs.
15 avril 2011 ajout du correctif Google Chrome.
19 avril 2011 ajout du bulletin de sécurité Adobe APSB11-07, de Adobe AIR dans les produits vulnérables et de
la solution partielle.
22 avril 2011 ajout du bulletin de sécurité Adobe APSB11-08, et des corrections Adobe Reader et Acrobat dans
la solution partielle.
Source : ce document provient du site internet du Centre d'Expertise gouvernemental de Réponse et
de Traitement des Attaques informatiques (CERTA) - http://www.certa.ssi.gouv.fr/.
73
