Dans le cadre du projet de loi relatif à la transparence, en discussion à l’Assemblée nationale, les députés ont repoussé un amendement Les Républicains qui voulait protéger les hackers ayant découvert une faille informatique.
Le moteur de cette rustine, portée par Nathalie Kosciusko-Morizet, Alain Suguenot ou encore Lionel Tardy, était limpide : le droit pénal de l’informatique punit aujourd’hui de deux ans d’emprisonnement et 60 000 euros d’amende, le simple fait « d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données ».
Kitetoa, Zataz, Bluetouff
Or, ce couperet attend tous les intrus, peu importe leur motivation. Aujourd’hui, « le simple fait de vérifier l’existence d’une faille constitue un accès non autorisé, donc une infraction », constatent les signataires qui citent trois jurisprudences, les affaires Kitetoa (2002), Zataz (2009) et Bluetouff (2015) qui toutes, ont confirmé l’existence d’une épée de Damoclès pesant sur ce genre d’activités : « Le risque est désormais de dissuader ceux qui découvrent des failles de les signaler aux responsables informatiques, par peur de poursuites judiciaires. [Or,] sans lanceurs d’alerte, les sites mal protégés resteraient alors plus longtemps vulnérables face à des internautes mal intentionnés ».
Ces députés de l’opposition voudraient donc déployer un parapluie au profit des hackers qui ont « tenté de commettre ou commis ce délit » mais - point crucial - ont « averti immédiatement l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause » afin « d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ».
Dans une telle hypothèse, ces « sentinelles du web » doivent être exemptées de poursuites, puisqu’elles « jouent ainsi un rôle utile de lanceurs d’alerte » et méritent « un cadre juridique » exonératoire de responsabilité, ces vigies n’ayant aucune intention de nuire.
Seulement, en séance, leur généreuse proposition a été repoussée d’un revers de la main. Alors que le projet de loi Sapin 2 contient des articles relatifs aux lanceurs d’alerte, le rapporteur et député PS Sebastien Denaja l’a jugée... « hors sujet ». Quant au gouvernement, il s’est contenté du minimum syndical, un rapide et bref « avis défavorable ». Circulez !
La vaine tentative lors du projet de loi Lemaire
Ce n’est pas la première fois que des députés tentent une telle incursion. Lors du projet de loi pour une République numérique, deux amendements LR et EELV avaient été pareillement repoussés. À l’Assemblée nationale, c’est une autre option, portée par la majorité PS, qui l’a emportée, à savoir une exemption de peine, mais non comme ici, de poursuite (notre actualité).
Au Sénat, craignant l’arrivée d’une forme d’immunité pénale encourageant le piratage informatique, les parlementaires ont préféré un système encore moins ambitieux. En l’état actuel du projet de loi Lemaire, bientôt arbitré en Commission mixte paritaire, les fonctionnaires de l'Agence nationale de sécurité des systèmes informatiques (ANSSI), alertés de l’existence d’une faille de sécurité par une personne de bonne foi, n’auraient pas à dénoncer cette intrusion comme l’oblige en principe l’article 40 du Code de procédure pénale.
Cependant, cette bienveillance n’est que de façade : rien n’empêchera la prétendue victime, le responsable du système informatique poreux, de porter plainte contre l'intrus et même d’obtenir sa condamnation.
Voilà pourquoi NKM, Lionel Tardy et les autres signataires de l’amendement ont blâmé ces alternatives : « en exemptant de peine mais pas de poursuite (rédaction AN), ou en se contentant d’autoriser à l’ANSSI à ne pas poursuivre systématiquement le lanceur d’alerte (rédaction Sénat), ces dispositions n’apportent pas une véritable sécurité à ce dernier, qui risque toujours des poursuites (même s’il n’y a pas de peine à la fin) et qui devra assumer le coût de sa défense ». Leur argumentaire n’aura pas pesé une cacahuète dans l’hémicycle.
Commentaires (64)
#1
Punaise ce sous titre " />
Ils n’ont donc toujours pas compris qu’il faut que les failles soient trouvées et colmatées au plus vite, au lieu de faire l’autruche et de se retrouver avec ses données dans la nature…
#2
On se croirait revenu en 1995 quand personne (ni juge, ni administration) n’y captait quoi que ce soit à l’informatique et à ses enjeux. Quelle consternation…
#3
C’est clair, c’est affligeant ce manque de connaissance :/
Faudrait un conseiller du numérique obligatoire pour chaque député.
#4
Intéressant de voir que Marc préfère la version du Diable au corps de Radiguet que celle des Pensées de Pascal.
#5
#6
Assemblée nationale 1.0, à quand une nouvelle version ?
#7
Update in progress
#ERROR# Your system is out-dated and can’t be updated, please upgrade your system and try again.
#8
C’est pire que ça : je pense qu’ils comprennent les enjeux pour la plupart, mais comme c’est une proposition de l’opposition, oust, circulez, y a rien à voir. C’est comme ça depuis des années et des années, à chaque mandat, le parti au pouvoir regarde l’opposition de haut.
Je serai curieux des résultats d’un blind test où on prendrait les députés un par un, à une moitié on leur montre la proposition en leur faisant croire qu’elle vient de leur camp, et l’autre moitié on leur dit que cela vient de l’opposition. Rajoute à ça l’effet de groupe qui accroît leur bêtise et paf, ça fait des chocapics.
#9
Un bon amendement, sous réserve que la divulgation de la faille soit faite de façon “éthique”… de fait , on pourrait enchainer avec une obligation légale pour l’éditeur d’apporter une correction (et un accompagnement des utilisateurs)….
Comme toujours les lobbies ont bien fonctionnés…. et d’une façon générale, le socialistes si prompts à donner des leçons se révèlent être les premiers gros mangeurs !
#10
C’est fou de vouloir légiférer sans vouloir user des bons termes, ils mélangent des termes qui ne concernent pas la même chose là, lanceur d’alerte != dénonciateur, mince c’est pourtant pas compliqué d’ouvrir le premier lien google pour avoir la définition exacte. Ils sont encore à coté de la plaque.
Le dénonciateur rapporte les défaillances dans un but de consolidation
Le lanceur d’alerte rapporte un comportement illégal ou légal/alégal mais moralement indéfendable et c’est cette deuxième notion qu’il est compliqué d’appréhender.
Par ailleurs les enjeux ne sont pas les mêmes entre dire “regarde je peux entrer dans ta BDD par là” envoyé à une agence de sécurité et “oyez oyez ! on vous la met sévère !” lancé au tout venant.
Après il est clair qu’il faut un cadre pour pouvoir dénoncer les failles sans risquer de finir en taule, mais il me parait idyllique de penser qu’un lanceur d’alerte puisse bénéficier du même niveau de protection.
#11
il manque un groupe test pour lequel on ne précise pas l’origine, dans on expérience. Elle resterait cependant très intéressante.
#12
+1
Quand la gauche propose une idée de droite, même la droite refute l’idée, mais la gauche s’y précipite.
Je me demande l’intérêt de “cloisonner” un parti à un côté.
#13
“amendement Les Républicains qui voulait protéger les hackers ayant découvert une faille” " />
en fait y’a que quand un parti est dans l’opposition qu’il fait des trucs potables ? " />
#14
Bonne proposition.
Après il est vrai que certains hackers joue dans la zone grise:
Je ne suis pas juriste, mais il faudra voir si le immédiatement suffira. De plus dans le cas de Bluetouff, il n’avait pas conscience de la faille immédiatement et déclare que selon lui les documents étaient dans un espace public.
Mais il est clair que la situation actuelle n’est pas satisfaisante.
#15
C’est exactement ça et cela démontre que nos politiques ne pensent qu’a leur électorat mais pas à la totalité de la population… en fait je sais pas à quoi il pense, mais qu’ils arrêtent de juger une proposition de loi ou un amendement par le groupe parlementaire qui l’a fait mais pas sa pertinence… ça m’énerve…. " />
#16
Comme d’hab les NKM Tardy and co n’y connaissent absolument rien en info et veulent juste tenter de faire moderne.
Ceux qui découvrent une faille et avertissent immédiatement la société ou les autorités ne sont jamais poursuivis. Aucun rapport avec les 3 affaires, qui sont des vrais piratages avec des gens qui ont voulu rendre publics des documents ou des failles.
#17
Surtout ne vérifiez pas si la porte du voisin est ouverte ou non… sinon vous êtes un cambrioleur.
#18
#19
donc, soyez blackHat mais surtout pas White.
En même temps, si je suis un bandit, je ne vais quand même pas organiser le règlement pour qu’il gêne mes affaires.
A croire qu’ils ne perçoivent que les petits gris.
#20
messieurs-mesdames les députés socialistes ou assimilés, ne dépensez pas l’argent de votre officine pour refaire campagne, vous n’aurez pas nos voix. Autant donner directement nos suffrages aux représentants LR puisque vous faites aussi bien voire mieux qu’eux !
#21
#22
#23
On n’y est pas revenu, c’est juste eu qui n’en sont jamais parti…
#24
Ça a l’air d’être un bon article, je m’y plongerai ce midi, pendant ma pause officielle… ben oui, je suis censé bosser là tout de suite " />
Les seuls propositions de loi où les deux grands partis se mettent d’accord sans sourciller ne vont généralement pas dans le bon sens (enfin le mien) :
– le loi de renseignement " />
– les retraites des parlementaires " />" />
– etc.
#25
#26
#27
C’est Juppé qu’a proposé ca ? " />
#28
#29
Quelle tristesse autant d’incompétence et de bêtise…
#30
En même temps c’est pas dur de protéger les lanceurs d’alerte quand on ne fait rien derrière, il n’y a qu’à voir ce qui s’est (pas) passé suite au scandale des viols par les casques bleus français : rien. Le lanceur d’alertes a démissionné.
#31
#32
Tu n’imagines pas ma surprise en y voyant le nom de M. Balkany, dis donc " />
#33
#34
#35
C’est même pas une version finale… C’est plutôt une alpha, avec plein de failles, de bugs et d’instabilités. Et qui, bien sûr, ne répond pas correctement aux demandes formulées " />
#36
#37
#38
Et il a un témoin qui peut le prouver !
#39
“L’hacker a ses raisons que la raison n’a pas”
Il semble que ça s’applique plutôt au rapporteur et député PS Sebastien Denaja, ainsi qu’au gouvernement.
#40
#41
Carrément :-)
#42
#43
#44
#45
#46
Je trouve que le processus de décision de nos élus est complètement dépassé. Ils ne prennent pas le temps de comprendre réellement les détails des projets de loi pour lesquels ils votent.
Ils devraient passer à un système de débat informatisé par écrit plutôt que par oral pour élever le niveau de débat et la profondeur de réflexion.
Un tel système pourrait s’enrichir des commentaires des citoyens, ce qui pourrait aider les élus à prendre de meilleures décisions.
#47
#48
#49
Tu ne connais pas bien l’affaire Kitetoa, alors. Il a clairement signaler a plusieurs reprise le problème et les responsables s’en moquaient.
Kitetoa a donc dévoilé le souci au grand public et s’est pris un procès.
C’est clairement un exemple ou la publication a eu un impact car les voies traditionnelles d’alerte n’ont pas fonctionnées.
#50
#51
#52
Il en reste plein, un indice, va rue de Solférino, entre au siège, du PS, descend au 2ème sous sol, tu devrais entendre les cris des socialistes qui veulent s’échapper du cachot.
#53
#54
Pourquoi perdre du temps à aider bénévolement et gratuitement le gouvernement à colmater les failles de sécurité de ses sites web ? S’ils ne veulent pas, qu’ils se débrouillent seuls et s’ils veulent de la sécurité, ils n’auront qu’à payer des salariés et des entreprises pour cela.
#55
http://www.lemonde.fr/politique/article/2016/06/08/bercy-porte-plainte-apres-la-divulgation-par-le-canard-enchaine-d-une-liste-de-contribuables-assujettis-a-l-isf_4942824_823448.html
#56
La récente histoire avec le site du PS pourrait pourtant être une bonne illustration de ce qui pourrait arriver. " />
#57
#58
#59
#60
Meilleur commentaire !
Et après de longues discussions et réflexions, ce point de vue logique a été retenu, et l’amendement a été rejeté
ça aurait été aussi bizarre qu’une garantie jeune dans une loi travail
#61
Balkany doit avoir tout plein de dossiers sur ses copains. S’il tombe, le reste suivra.
#62
#63
#64
Kitetoa (2002), Zataz (2009) et Bluetouff (2015)
On peut même remonter à 1997 avec serge humpich et la carte à puce