C'est jeudi que le Sénat a débattu de la loi pour la confiance dans l'économie numérique. Parmi les nombreuses propositions de cette dernière, un point fait particulièrement peur aux professionnels de la sécurité : leur mise en examen pourrait être demandée lorsqu'ils publient des informations sur les failles de sécurité.

au sommaire

    La publication des failles de sécurité a déjà fait couler beaucoup d'encre. Irresponsable pour certains (une position généralement commune aux éditeurs les plus concernés par les dites failles) ou au contraire d'utilité publique (une excuse souvent avancée par des consultants avides de publicité), il semble difficile de trouver un juste milieu. Pourtant, une chose est sûre : publiées ou pas, les failles existeront toujours et les pirates les exploiteront toujours. Et les esprits chagrins pourraient ajouter que les éditeurs préféreront toujours taire leurs bourdes.

    C'est dans cet imbroglio d'ego, d'intérêts économiques et de marketing que le Sénat a étudié la loi pour la confiance dans l'économie numérique (LEN). Et plus particulièrement ses articles 323-3-1 et suivants. Ceux-ci précisent, en l'état, que "le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée".
    Et nous avons vérifié : tout cela amène très vite à trois ans d'emprisonnement.

    Bien sûr, le texte peut encore changer, c'est là tout l'intérêt du débat parlementaire. Mais en l'état, la liberté de travail des consultants en sécurité ne tient plus qu'à l'interprétation qui sera faite de l'expression "sans motif légitime". Pour le reste, absolument tout dans une alerte informatique habituelle peut tomber sous le coup de la loi : les informations et les codes sources peuvent être vus comme des "données conçues ou spécialement adaptées pour commettre une ou plusieurs des infractions".
    Et cela sans parler même des outils de travail quotidiens des consultants tels que des scanners de vulnérabilité et autre nmap.

    Les autres dégâts collatéraux de ce texte sont, bien sûr, les nombreux sites internetinternet de passionnés, qui offrent de tels outils en téléchargement et souvent participent à leur traduction en Français et à leur développement. Pour eux, pas même besoin d'interprétation : ils offrent purement et simplement les "programmes informatiques" conçus pour "commettre une ou plusieurs des infractions". C'est d'ailleurs là leur seul objectif.

    Si le texte est loin d'être définitif, son intention, elle, semble acquise : limiter la circulation des informations nécessaires à l'exploitation des failles informatiques. Une approche pour le moins étonnante lorsque l'on sait que rien n'est fait, en revanche, pour responsabiliser les éditeurs de logicielslogiciels et les obliger à livrer des produits finis. Leurs failles à répétition, qui pourraient pourtant bien souvent être assimilées à de la négligence, seraient donc tout à fait légitimes si on en croit l'esprit de la Loi. C'est en parler qui risque de devenir incorrect.