Loi Sapin 2 : rejet de l'amendement Bluetouff sur les failles informatiques

Loi Sapin 2 : rejet de l’amendement Bluetouff sur les failles informatiques

L'hacker a ses raisons que la raison ne connaît point

64

Loi Sapin 2 : rejet de l'amendement Bluetouff sur les failles informatiques

Dans le cadre du projet de loi relatif à la transparence, en discussion à l’Assemblée nationale, les députés ont repoussé un amendement Les Républicains qui voulait protéger les hackers ayant découvert une faille informatique.

Le moteur de cette rustine, portée par Nathalie Kosciusko-Morizet, Alain Suguenot ou encore Lionel Tardy, était limpide : le droit pénal de l’informatique punit aujourd’hui de deux ans d’emprisonnement et 60 000 euros d’amende, le simple fait « d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données ».

Kitetoa, Zataz, Bluetouff

Or, ce couperet attend tous les intrus, peu importe leur motivation. Aujourd’hui, « le simple fait de vérifier l’existence d’une faille constitue un accès non autorisé, donc une infraction », constatent les signataires qui citent trois jurisprudences, les affaires Kitetoa (2002), Zataz (2009) et Bluetouff (2015) qui toutes, ont confirmé l’existence d’une épée de Damoclès pesant sur ce genre d’activités : « Le risque est désormais de dissuader ceux qui découvrent des failles de les signaler aux responsables informatiques, par peur de poursuites judiciaires. [Or,] sans lanceurs d’alerte, les sites mal protégés resteraient alors plus longtemps vulnérables face à des internautes mal intentionnés ».

Ces députés de l’opposition voudraient donc déployer un parapluie au profit des hackers qui ont « tenté de commettre ou commis ce délit » mais - point crucial - ont « averti immédiatement l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause » afin « d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ».

Dans une telle hypothèse, ces « sentinelles du web » doivent être exemptées de poursuites, puisqu’elles « jouent ainsi un rôle utile de lanceurs d’alerte » et méritent « un cadre juridique » exonératoire de responsabilité, ces vigies n’ayant aucune intention de nuire.

Seulement, en séance, leur généreuse proposition a été repoussée d’un revers de la main. Alors que le projet de loi Sapin 2 contient des articles relatifs aux lanceurs d’alerte, le rapporteur et député PS Sebastien Denaja l’a jugée... « hors sujet ». Quant au gouvernement, il s’est contenté du minimum syndical, un rapide et bref « avis défavorable ». Circulez !

La vaine tentative lors du projet de loi Lemaire

Ce n’est pas la première fois que des députés tentent une telle incursion. Lors du projet de loi pour une République numérique, deux amendements LR et EELV avaient été pareillement repoussés. À l’Assemblée nationale, c’est une autre option, portée par la majorité PS, qui l’a emportée, à savoir une exemption de peine, mais non comme ici, de poursuite (notre actualité).

Au Sénat, craignant l’arrivée d’une forme d’immunité pénale encourageant le piratage informatique, les parlementaires ont préféré un système encore moins ambitieux. En l’état actuel du projet de loi Lemaire, bientôt arbitré  en Commission mixte paritaire, les fonctionnaires de l'Agence nationale de sécurité des systèmes informatiques (ANSSI), alertés de l’existence d’une faille de sécurité par une personne de bonne foi, n’auraient pas à dénoncer cette intrusion comme l’oblige en principe l’article 40 du Code de procédure pénale.

Cependant, cette bienveillance n’est que de façade : rien n’empêchera la prétendue victime, le responsable du système informatique poreux, de porter plainte contre l'intrus et même d’obtenir sa condamnation.

Voilà pourquoi NKM, Lionel Tardy et les autres signataires de l’amendement ont blâmé ces alternatives : « en exemptant de peine mais pas de poursuite (rédaction AN), ou en se contentant d’autoriser à l’ANSSI à ne pas poursuivre systématiquement le lanceur d’alerte (rédaction Sénat), ces dispositions n’apportent pas une véritable sécurité à ce dernier, qui risque toujours des poursuites (même s’il n’y a pas de peine à la fin) et qui devra assumer le coût de sa défense ». Leur argumentaire n’aura pas pesé une cacahuète dans l’hémicycle.

Commentaires (64)


Punaise ce sous titre <img data-src=" />



Ils n’ont donc toujours pas compris qu’il faut que les failles soient trouvées et colmatées au plus vite, au lieu de faire l’autruche et de se retrouver avec ses données dans la nature…


On se croirait revenu en 1995 quand personne (ni juge, ni administration) n’y captait quoi que ce soit à l’informatique et à ses enjeux. Quelle consternation…


C’est clair, c’est affligeant ce manque de connaissance :/

Faudrait un conseiller du numérique obligatoire pour chaque député.


Intéressant de voir que Marc préfère la version du Diable au corps de Radiguet que celle des Pensées de Pascal.








Calvi VI a écrit :



On se croirait revenu en 1995 quand personne (ni juge, ni administration) n’y captait quoi que ce soit à l’informatique et à ses enjeux. Quelle consternation…







on est pas revenu en 1995, on y est toujours. A quelques exceptions près (pour cause de déménagement au cimetière), on a toujours les mêmes crocodiles au sénat et à l’an….



Assemblée nationale 1.0, à quand une nouvelle version ?&nbsp;


Update in progress



#ERROR# Your system is out-dated and can’t be updated, please upgrade your system and try again.



&nbsp;


C’est pire que ça : je pense qu’ils comprennent les enjeux pour la plupart, mais comme c’est une proposition de l’opposition, oust, circulez, y a rien à voir. C’est comme ça depuis des années et des années, à chaque mandat, le parti au pouvoir regarde l’opposition de haut.



Je serai curieux des résultats d’un blind test où on prendrait les députés un par un, à une moitié on leur montre la proposition en leur faisant croire qu’elle vient de leur camp, et l’autre moitié on leur dit que cela vient de l’opposition. Rajoute à ça l’effet de groupe qui accroît leur bêtise et paf, ça fait des chocapics.


Un bon amendement, sous réserve que la divulgation de la faille soit faite de façon “éthique”… de fait , on pourrait enchainer avec une obligation légale pour l’éditeur d’apporter une correction (et un accompagnement des utilisateurs)….

Comme toujours les lobbies ont bien fonctionnés…. et d’une façon générale, le socialistes si prompts à donner des leçons se révèlent être les premiers gros mangeurs !


C’est fou de vouloir légiférer sans vouloir user des bons termes, ils mélangent des termes qui ne concernent pas la même chose là, lanceur d’alerte != dénonciateur, mince c’est pourtant pas compliqué d’ouvrir le premier lien google pour avoir la définition exacte. Ils sont encore à coté de la plaque.



Le dénonciateur rapporte les défaillances dans un but de consolidation

Le lanceur d’alerte rapporte un comportement illégal ou légal/alégal mais moralement indéfendable et c’est cette deuxième notion qu’il est compliqué d’appréhender.



Par ailleurs les enjeux ne sont pas les mêmes entre dire “regarde je peux entrer dans ta BDD par là” envoyé à une agence de sécurité et “oyez oyez ! on vous la met sévère !” lancé au tout venant.



Après il est clair qu’il faut un cadre pour pouvoir dénoncer les failles sans risquer de finir en taule, mais il me parait idyllique de penser qu’un lanceur d’alerte puisse bénéficier du même niveau de protection.


il manque un groupe test pour lequel on ne précise pas l’origine, dans on expérience. Elle resterait cependant très intéressante.


+1



Quand la gauche propose une idée de droite, même la droite refute l’idée, mais la gauche s’y précipite.



Je me demande l’intérêt de “cloisonner” un parti à un côté.


“amendement Les Républicains qui voulait protéger les hackers ayant découvert une faille” <img data-src=" />



en fait y’a que quand un parti est dans l’opposition qu’il fait des trucs potables ? <img data-src=" />


Bonne proposition.



Après il est vrai que certains hackers joue dans la zone grise:




  • si ils se font prendre, ils diront que c’est pour que leur but était de trouver les failles

  • si ils ne se font pas prendre ils exploiteront de manières monétaires leurs découvertes.



    Je ne suis pas juriste, mais il faudra voir si le immédiatement suffira. De plus dans le cas de Bluetouff, il n’avait pas conscience de la faille immédiatement et déclare que selon lui les documents étaient dans un espace public.

    &nbsp;

    Mais il est clair que la situation actuelle n’est pas satisfaisante.


&nbsp;C’est exactement ça et cela démontre que nos politiques ne pensent qu’a leur électorat mais pas à la totalité de la population…&nbsp;&nbsp; en fait je sais pas à quoi il pense, mais qu’ils arrêtent de juger une proposition de loi ou un amendement par le groupe parlementaire qui l’a fait mais pas sa pertinence… &nbsp; ça m’énerve…. <img data-src=" />


Comme d’hab les NKM Tardy and co n’y connaissent absolument rien en info et veulent juste tenter de faire moderne.



Ceux qui découvrent une faille et avertissent immédiatement la société ou les autorités ne sont jamais poursuivis. Aucun rapport avec les 3 affaires, qui sont des vrais piratages avec des gens qui ont voulu rendre publics des documents ou des failles.


Surtout ne vérifiez pas si la porte du voisin est ouverte ou non… sinon vous êtes un cambrioleur.








Soriatane a écrit :



Bonne proposition.



Après il est vrai que certains hackers joue dans la zone grise:




  • si ils se font prendre, ils diront que c’est pour que leur but était de trouver les failles

  • si ils ne se font pas prendre ils exploiteront de manières monétaires leurs découvertes.



    Je ne suis pas juriste, mais il faudra voir si le immédiatement suffira. De plus dans le cas de Bluetouff, il n’avait pas conscience de la faille immédiatement et déclare que selon lui les documents étaient dans un espace public.

     

    Mais il est clair que la situation actuelle n’est pas satisfaisante.








  1. oui le “prévenir immédiatement” est la clé de voute de l’argumentation pour bonne foi. Reste à définir cet immédiatement (dans la seconde ? dans les quelques jours qui suivent, histoire de documenter ? etc) <img data-src=" />

  2. Accessible au public car mal (voire pas) sécurisé n’implique pas espace public (où tu invites explicitement le public à venir). Et il a admis lui-même avoir eu conscience qu’il n’aurait pas dû être là “assez tôt” mais y est quand même resté (je ne nie pas sa bonne foi ni son manque de malice, cependant le “je savais pas de bout en bout” ne tenait pas, en l’espèce)



donc, soyez blackHat mais surtout pas White.&nbsp;

&nbsp;En même temps, si je suis un bandit, je ne vais quand même pas organiser le règlement pour qu’il gêne mes affaires.

A croire qu’ils ne perçoivent que les petits gris.



&nbsp;





salinne a écrit :



(…) avec des gens qui ont voulu rendre publics des documents ou des failles.&nbsp;





faudrait quand même pas qu’on soit informés que nos données sont exposées. on risquerait de ne plus faire confiance&nbsp;



messieurs-mesdames les députés socialistes ou assimilés, ne dépensez pas l’argent de votre officine pour refaire campagne, vous n’aurez pas nos voix. Autant donner directement nos suffrages aux représentants LR puisque vous faites aussi bien voire mieux qu’eux !








salinne a écrit :



Comme d’hab les NKM Tardy and co n’y connaissent absolument rien en info et veulent juste tenter de faire moderne.



Ceux qui découvrent une faille et avertissent immédiatement la société ou les autorités ne sont jamais poursuivis. Aucun rapport avec les 3 affaires, qui sont des vrais piratages avec des gens qui ont voulu rendre publics des documents ou des failles.





dommage c’est le nom qui fait tache. Ca rend le troll trop gros <img data-src=" />









Calvi VI a écrit :



On se croirait revenu en 1995 quand personne (ni juge, ni administration) n’y captait quoi que ce soit à l’informatique et à ses enjeux. Quelle consternation…





Il y a des problématiques où ils sont plus compétents que l’info.



On n’y est pas revenu, c’est juste eu qui n’en sont jamais parti…


Ça a l’air d’être un bon article, je m’y plongerai ce midi, pendant ma pause officielle… ben oui, je suis censé bosser là tout de suite&nbsp;<img data-src=" />

Les seuls propositions de loi où les deux grands partis se mettent d’accord sans sourciller ne vont généralement pas dans le bon sens (enfin le mien) :

– le loi de renseignement <img data-src=" />

– les retraites des parlementaires <img data-src=" /><img data-src=" />

– etc.








Calvi VI a écrit :



Ça a l’air d’être un bon article, je m’y plongerai ce midi, pendant ma pause officielle… ben oui, je suis censé bosser là tout de suite <img data-src=" />

Les seuls propositions de loi où les deux grands partis se mettent d’accord sans sourciller ne vont généralement pas dans le bon sens (enfin le mien) :

– le loi de renseignement <img data-src=" />

– les retraites des parlementaires <img data-src=" /><img data-src=" />

– etc.





C’est surtout ce point que je voulais souligner :





Le groupe ‘Les Républicains’ tente de supprimer la peine d’inéligibilité en cas de corruption









Calvi VI a écrit :



Ça a l’air d’être un bon article, je m’y plongerai ce midi, pendant ma pause officielle… ben oui, je suis censé bosser là tout de suite <img data-src=" />





<img data-src=" /> Le cas de beaucoup de monde qui commente je pense <img data-src=" />



<img data-src=" />



C’est Juppé qu’a proposé ca ? <img data-src=" />








athlon64 a écrit :



C’est Juppé qu’a proposé ca ? <img data-src=" />





La liste des signataires est dispo ici



Quelle tristesse autant d’incompétence et de bêtise…


En même temps c’est pas dur de protéger les lanceurs d’alerte quand on ne fait rien derrière, il n’y a qu’à voir ce qui s’est (pas) passé suite au scandale des viols par les casques bleus français : rien. Le lanceur d’alertes a démissionné.



&nbsp;








Patos le fourbe a écrit :



En même temps c’est pas dur de protéger les lanceurs d’alerte quand on ne fait rien derrière, il n’y a qu’à voir ce qui s’est (pas) passé suite au scandale des viols par les casques bleus français : rien. Le lanceur d’alertes a démissionné.





<img data-src=" /> et pareil pour les différents leaks récents…



Tu n’imagines pas ma surprise en y voyant le nom de M. Balkany, dis donc <img data-src=" />








WereWindle a écrit :



Tu n’imagines pas ma surprise en y voyant le nom de M. Balkany, dis donc <img data-src=" />





Non non ça doit être une erreur, on a du usurper son identité, il était en train de regarder un match de son équipe de basket à ce moment là, 3 policiers municipaux peuvent en témoigner, ils lui servaient le champagne et les petits fours !



Bon après ils n’ont pas non plus vidé complétement la proposition, ils l’ont juste écourté pour que la peine ne soit pas systématique donc au final ça sera jamais appliqué mais ils soutiendront qu’ils risquent qu’en même la peine si ils sont pris …



D’un autre côté, ça me parait tellement logique que si on est condamné à un délit/crime effectué sous mandat, on devient inéligible, mais bon je ne dois pas être dans la bonne logique <img data-src=" />









WereWindle a écrit :



Tu n’imagines pas ma surprise en y voyant le nom de M. Balkany, dis donc <img data-src=" />





Alors là, je ne comprend pas pourquoi ? Un si grand démocrate qui se soucie de restriction du pouvoir d’appréciation des juges, ça n’a rien d’étonnant <img data-src=" />



C’est même pas une version finale… C’est plutôt une alpha, avec plein de failles, de bugs et d’instabilités. Et qui, bien sûr, ne répond pas correctement aux demandes formulées&nbsp; <img data-src=" />








thomgamer a écrit :



D’un autre côté, ça me parait tellement logique que si on est condamné à un délit/crime effectué sous mandat, on devient inéligible, mais bon je ne dois pas être dans la bonne logique <img data-src=" />





à plus forte raison quand ça concerne des condamnations pour corruption (j’aurais ajouté abus de biens sociaux et abus de confiance… On élit les représentant sur la confiance qu’on leur accorde (pour faire mieux ou continuer de faire aussi bien s’ils ont un bilan passé, pour tenir leur promesses et leur programme si ce n’est pas le cas). Ces délit-là sapent la confiance et donc la cause même de leur présence dans un mandat électif :/









Tifeing a écrit :



C’est même pas une version finale… C’est plutôt une alpha, avec plein de failles, de bugs et d’instabilités. Et qui, bien sûr, ne répond pas correctement aux demandes formulées  <img data-src=" />





Les 3 grands mensonges de l’informatique restent toujours “c’est compatible”, “ça marche” et “ça sort bientôt <img data-src=" />



Et il a un témoin qui peut le prouver !


“L’hacker a ses raisons que la raison n’a pas”

Il semble que ça s’applique plutôt au rapporteur et député PS Sebastien Denaja, ainsi qu’au gouvernement.








WereWindle a écrit :



Les 3 grands mensonges de l’informatique restent toujours “c’est compatible”, “ça marche” et “ça sort bientôt <img data-src=" />





Je me permet de rajouter : “C’est pas un bug, c’est une évolution”



Carrément :-)








ActionFighter a écrit :



Il y a des problématiques où ils sont plus compétents que l’info.





Ouaip, il faut leur installer Norton Antivirus ET Mc Afee.









TaigaIV a écrit :



Ouaip, il faut leur installer Norton Antivirus ET Mc Afee.





Il faudrait leur expliquer qu’un anti-virus ne protège pas des IST.









ActionFighter a écrit :



Il faudrait leur expliquer qu’un anti-virus ne protège pas des IST.





Le PS a finalement décidé de changer de nom ?









TaigaIV a écrit :



Le PS a finalement décidé de changer de nom ?





Les intermittents du Socialisme Technocratique.



Je trouve que le processus de décision de nos élus est complètement dépassé. Ils ne prennent pas le temps de comprendre réellement les détails des projets de loi pour lesquels ils votent.



Ils devraient passer à un système de débat informatisé par écrit plutôt que par oral pour élever le niveau de débat et la profondeur de réflexion.



Un tel système pourrait s’enrichir des commentaires des citoyens, ce qui pourrait aider les élus à prendre de meilleures décisions.













ActionFighter a écrit :



Les intermittents du Socialisme Technocratique.





Les Inconditionnels du Système Thénardier ?









TaigaIV a écrit :



Les Inconditionnels du Système Thénardier ?





<img data-src=" />



Les Ingénieurs de la Surveillance Territoriale.



Tu ne connais pas bien l’affaire Kitetoa, alors. Il a clairement signaler a plusieurs reprise le problème et les responsables s’en moquaient.

Kitetoa a donc dévoilé le souci au grand public et s’est pris un procès.



C’est clairement un exemple ou la publication a eu un impact car les voies traditionnelles d’alerte n’ont pas fonctionnées.








ActionFighter a écrit :



Les intermittents du Socialisme Technocratique.







Moi je cherche encore un vrai socialiste au PS.



On dirait qu’avec le temps, ils ont tous viré bien réac…









sr17 a écrit :



Moi je cherche encore un vrai socialiste au PS.

On dirait qu’avec le temps, ils ont tous viré bien réac…





Tu ferais mieux de jouer au Loto, les probas sont bien meilleures <img data-src=" />



Il en reste plein, un indice, va rue de Solférino, entre au siège, du PS, descend au 2ème sous sol, tu devrais entendre les cris des socialistes qui veulent s’échapper du cachot.








ActionFighter a écrit :



<img data-src=" />



Les Ingénieurs de la Surveillance Territoriale.





<img data-src=" />



Pourquoi perdre du temps à aider bénévolement et gratuitement le gouvernement à colmater les failles de sécurité de ses sites web ? S’ils ne veulent pas, qu’ils se débrouillent seuls et s’ils veulent de la sécurité, ils n’auront qu’à payer des salariés et des entreprises pour cela.


La récente histoire avec le site du PS pourrait pourtant être une bonne illustration de ce qui pourrait arriver. <img data-src=" />








eres a écrit :



Surtout ne vérifiez pas si la porte du voisin est ouverte ou non… sinon vous êtes un cambrioleur.





C’est exactement ça !

&nbsp;Et le serrurier de la ville est, potentiellement, un homme peu fréquentable car c’est lui qui reproduit les clés des serrures.

<img data-src=" />









Nerkazoid a écrit :



La récente histoire avec le site du PS pourrait pourtant être une bonne illustration de ce qui pourrait arriver. <img data-src=" />





Il aurait fallu que des hackers défacent le site, ou mieux chiffrent et demandent une rançon en BitCoins. <img data-src=" />&nbsp;









ActionFighter a écrit :



Il y a des problématiques où ils sont plus compétents que l’info.





C’est quand même malheureux d’être obligé de faire une telle loi aujourd’hui.

Faut croire que la corruption n’a jamais existé depuis de l’homme a créé le profit.

Bien entendu, il n’y aura aucun effet rétroactif. <img data-src=" />



Meilleur commentaire !

Et après de longues discussions et réflexions, ce point de vue logique a été retenu, et l’amendement a été rejeté

ça aurait été aussi bizarre qu’une garantie jeune dans une loi travail


Balkany doit avoir tout plein de dossiers sur ses copains. S’il tombe, le reste suivra.








Z-os a écrit :



Balkany doit avoir tout plein de dossiers sur ses copains. S’il tombe, le reste suivra.





je serais prêt à lancer des billets d’argent pour voir cela arriver.

Mais même en lançant un kickstarter, je pense qu’il est trop mithridatisé à la corruption pour qu’on puisse atteindre la somme requise <img data-src=" />









WereWindle a écrit :



je serais prêt à lancer des billets d’argent pour voir cela arriver.

Mais même en lançant un kickstarter, je pense qu’il est trop mithridatisé à la corruption pour qu’on puisse atteindre la somme requise <img data-src=" />





Pas besoin de le corrompre pour l’entrainer, un peu de rap et ça passe <img data-src=" />https://www.youtube.com/watch?v=V_zTBs1jUoU (je m’en lasse pas <img data-src=" />)





Kitetoa (2002), Zataz (2009) et Bluetouff (2015)





On peut même remonter à 1997 avec serge humpich et la carte à puce


Fermer