Connexion
Abonnez-vous

Loi Numérique : les lanceurs d’alerte de sécurité exemptés de peine, pas de poursuites

Olivier, c'est pour toi

Loi Numérique : les lanceurs d’alerte de sécurité exemptés de peine, pas de poursuites

Le 21 janvier 2016 à 16h19

Les députés ont adopté une disposition visant, selon l’exposé des motifs de l’amendement, à protéger les lanceurs d’alerte qui trouvent des failles informatiques.

À ce jour, une personne qui accède ou se maintient frauduleusement dans un système informatique encourt deux ans d'emprisonnement et à 60 000 euros d'amende. Celui qui modifie les données disponibles voit l’échelle des peines portée à trois ans d'emprisonnement et à 100 000 euros d'amende. Et si le système visé est mis en œuvre par l’État, alors « la peine est portée à cinq ans d'emprisonnement et à 150 000 euros d'amende. »

Cet après-midi, lors de l’examen du projet de loi Lemaire, les députés ont toutefois adopté un amendement du groupe socialiste visant à exempter de peines ceux qui ont tenté de commettre ou commis l’un de ces délits. Seulement, l’exemption ne vaudra que si la personne a immédiatement averti l’autorité administrative, l’autorité judiciaire ou bien le responsable du traitement faillible, du risque découvert.

Protéger les lanceurs d'alerte, d'après les élus PS

Dans l’esprit des députés socialistes, « cet amendement a pour but de protéger les lanceurs d’alerte lorsqu’ils veillent à avertir les responsables de traitement des failles dans leurs systèmes. En l’état de la jurisprudence de la Cour de cassation (arrêt du 9 septembre 2009) tout accès non autorisé à un système constitue un trouble manifestement illicite alors même que cela peut permettre d’éviter des atteintes ultérieures aux données ou au fonctionnement du système. »

Seulement, cette disposition charmante a priori, a suscité quelques troubles parmi les députés. Luc Bélot (PS), rapporteur, aurait aimé que cette exemption ne concerne que les cas de tentative, jamais celle d’un hacking consommé. De plus, il aurait préféré qu’on attende les conclusions du Conseil d’État qui travaille actuellement sur le statut de lanceur d’alerte.

Dans les autres camps, il faut surtout mentionner le rejet de deux autres amendements inspirés de la jurisprudence de notre collègue Bluetouff. Dans son amendement, Nathalie Kosciusko-Morizet (LR) par exemple, souhaitait exempter la personne de poursuite, tout comme les élus écologistes Ne peut donner lieu à des poursuites pénales »).

On voit ici la différence : l’amendement des élus PS exempte la personne non de la poursuite, mais de la peine, nuance. L’exemption n’interviendra donc qu’après la reconnaissance de culpabilité. Elle n’interdira surtout pas la poursuite, ni le jugement, ni la reconnaissance de culpabilité.

 

Commentaires (31)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
votre avatar

ben si c’est le juge qui décide c’est cool. le truc c’est que souvent le juge comprend pas de quoi ça parle.

votre avatar

Parce que l’internet est fait de site non mise à jour, abandonné,…. et le jour ou tous les sites seront à jour ( ce qui évidement est impossible), on trouvera juste d’autres failles. Donc autant un lanceur d’alerte présente un intérêt dans le cadre d’une société critique autant se balader dans 17000 wordpress abandonnés ne présente au mieux aucun intérêt.



Parce que qu’est ce qui empêchent de te connecter sur le serveur de la PME de 2 personnes du voisin et de lire ses documents une fois que t’es rentré dedans.



Parce que le lanceur d’alerte ne fait pas ca par gentillesse, soit pour la “gloire” post de blog explicatif ou pour l’argent. Et que dans le cadre d’une PME de 3 personnes, une faille révélée peut ne jamais être corrigé (ou prendre des mois au minimum).





 

votre avatar

C’est pour ca qu’en matière de technologie ils font appellent à des experts. C’est plutôt la compétence de ses “experts” qu’il faudrait remettre en cause.

votre avatar

non non.

c’est pas les experts qui jugent.

l’expert il est là pour dire: “oui le gars a eu accès à l’intranet de X parce que c’était ouvert aux 4 vents. oui il s’y est maintenu (forcément, même 1/2s)”.

derrière c’est le juge qui juge.

votre avatar

Et comme c’est un homme comme les autres, quand il sait pas il suit les recommandations de l’expert sans jouer sur les mots (après y’a des cons comme partout je te l’accorde).

votre avatar

l’expert ne fait pas de recommandations au juge. il dit ce qui s’est passé.

par ex sur l’infraction de maintien dans un système informatisé de données, il va dire que oui, le mec s’est maintenu.

mais forcément si t’accèdes au SI, tu te maintiens, même 10ms.

là dessus le juge dit: ok il s’est maintenu, il est coupable.



c’est le cas Bluetouff, où la l’accès frauduleux n’a pas été retenu, mais le maintien si.

votre avatar

j’étais sur que t’aillais parler du cas Bluetooth.



Donc non il ne s’est pas maintenu juste10ms. Et oui y’a bien un maintien dans leur système d’information après avoir pris connaissance du défaut de sécurisation. Puis il a téléchargé des fichiers (surement en 10ms grâce à sa grosse connexion internet). Puis il s’est barré.



On est loin du cas: “il connaissait pas google, il a été jugé par un mec largué qu’a fait n’importe quoi”.



Y’a un très bon post de maitre éolas sur le sujet.



Après on peut être d’accord ou non (comme moi) avec le résultat du procès j’en conviens.

votre avatar

10ms ou un mois ça n’aurait rien changé.

et effectivement il a été jugé par un mec largué qu’a fait n’importe quoi. ^^

votre avatar

Je viens de relire l’arrêt de la Cour d’appel de Paris, je ne vois vraiment pas en quoi ce qui y est écrit montre qu’il est l’œuvre de quelqu’un de largué.



Il est constaté que dans le dossier (dont ils ont eu connaissance contrairement à nous), Bluetouff est arrivé sur le site d’une façon qui ne permet pas de caractériser un accès frauduleux et le relaxe sur ce point.



Ensuite il est resté connecté le temps de télécharger 8go depuis son VPN panaméen tout en se rendant compte qu’il visitait des sections qui nécessitaient de s’identifier. En quoi le maintien n’est pas caractérisé et la condamnation sur ce point l’expression du fait que le rédacteur de l’arrêt une grosse tâche ?



Alors oui, le rapporteur prononçait l’anglais de façon assez … originale.



Comme quoi, 98% de la population française ?

votre avatar

Y a des sites du gouvernement qui utilise une vieille version de nginx, mais aucune faille exploitable avec les CVE marqués dans les changelog.

votre avatar

en quoi le fait d’avoir une page d’identification à la racine implique le fait de s’identifier dans les sous-répertoires?

sans compter qu’il est arrivé sur les docs directement, sans passer par la page d’accueil?

en quoi le fait de télécharger des docs qui sont d’ailleurs toujours accessibles sur Google constitue un maintien frauduleux dans un SI? visiblement l’ANSES n’a rien capté au schmilblick ou alors c’est un honeypot?



mais comme tu dis, il a le dossier, pas nous, donc fermons la, on a forcément tort.

ceci dit ils se sont quand même pourvus en cassation tout en ayant accès au dossier, c’est qu’ils estimaient que la cour d’appel s’était plantée quelque part.

votre avatar

“en quoi le fait d’avoir une page d’identification à la

racine implique le fait de s’identifier dans les sous-répertoires? ”



A priori, il a lui même dit en garde à vue qu’il en avait conscience.

 

“sans compter qu’il est arrivé sur les docs directement, sans passer par la page d’accueil? ”



C’est bien pour ça qu’on le relaxe de l’accès frauduleux.

 



“en quoi le fait de télécharger des docs qui sont d’ailleurs toujours

accessibles sur Google constitue un maintien frauduleux dans un SI?”



Le temps de télécharger 8Go, il n’est pas resté que 3mn … et le fait en sachant ne pas avoir le droit d’y aller de s’y maintenir, ça tendrait quand même à caractériser l’infraction.



“visiblement l’ANSES n’a rien capté au schmilblick ou alors c’est un

honeypot?”



Les “honeypot” en droit français, ça ne tient pas, puisque c’est une provocation à la commission de l’infraction. Que le serveur soit mal branlé à la base, c’est indifférent. Pous l’obligatoire analogie bagnolesque, si je laisse les clefs de ma bagnole sur le contact, personne n’a pour autant le droit de la prendre.



“mais comme tu dis, il a le dossier, pas nous, donc fermons la, on a forcément tort.”



Bah, ils ont au moins pu prendre connaissance des auditions en garde à vue, contrairement à nous.

 



“ceci dit ils se sont quand même pourvus en cassation tout en ayant

accès au dossier, c’est qu’ils estimaient que la cour d’appel s’était

plantée quelque part.



     "   





Il me semble avoir lu que le pourvoi avait été rejeté, donc a priori, la Cour d’appel ne s’est plantée que dans l’esprit de Bluetouff…



Maintenant, mon propos, ce n’était pas de prendre parti sur un dossier que je ne maîtrise absolument pas, faute de l’avoir lu.

 

C’est juste qu’une bonne partie des commentateurs (qui statistiquement sont des brêles en anglais) se foutent de la tronche d’une magistrate qui a des difficultés à prononcer Google. Que ce serait l’expression d’une nullité crasse de la magistrature en informatique et que forcément ils ne comprennent rien à rien.



Quand tu relis l’arrêt, tu vois que les concepts en jeu ont l’air bien mieux maîtrisés que les commentaires ne le laissent penser.

votre avatar

 





blob741 a écrit :



 “visiblement l’ANSES n’a rien capté au schmilblick ou alors c’est un

honeypot?”



Les “honeypot” en droit français, ça ne tient pas, puisque c’est une provocation à la commission de l’infraction. Que le serveur soit mal branlé à la base, c’est indifférent. Pous l’obligatoire analogie bagnolesque, si je laisse les clefs de ma bagnole sur le contact, personne n’a pour autant le droit de la prendre. 



 

Oui je sais que les honeypot ne tiennent pas en france, c’est bien pour ça que j’en parle, parce que les docs sont toujours dispos sur Google. ^^

  

Et pour le maintien, tu peux très bien te maintenir 10ms dans le SI, c’est toujours du maintien. donc tu cliques sur le lien sur Google, et tu te maintiens frauduleusement dans un SI.

c’est classe, je trouve.


votre avatar

 en gros ça sera 96h de garde à vue à Levallois, mais pas de peine. ^^

votre avatar

Qui dit poursuites dit procès et donc, pour le lanceur d’alerte, un avocat à payer :-/

votre avatar

Lol, je doute que cela incite à faire parler des failles découvertes !!

Autant les vendre à autrui … <img data-src=" />

votre avatar

il y’a un moyen simple de ce couvrir c’est les envoyer a ZATAZ&nbsp; :)

votre avatar

&nbsp;

L’exemption n’interviendra donc qu’après la reconnaissance de

culpabilité. Elle n’interdira surtout pas la poursuite, ni le jugement,

ni la reconnaissance de culpabilité.



Une loi Made In France.<img data-src=" />

votre avatar

Une loi qui va dans le meme sens que celle pour les autres lanceurs d’alertes, “ fait ce que je te dis !! ne fais pas ce que je fais !! ”

et dans le meme but : “ tout va tres bien madame la marquise, tout va tres bien […] ”

c’est beau de jouer les autruches :/

votre avatar

Ah, ce “genre là” de lanceur d’alerte…

/me est déçu.

votre avatar

En meme temps qui peut décider que quelqu’un est un hacker ou un “vrai” lanceur d’alerte ?

Qui peut etre en charge de décider qui est coupable et qui ne l’est pas ?



Réponse Le juge judiciaire, après un procès équitable.

&nbsp;

Si on permet d’en décider avant ça, qui doit se voir arroger le droit d’en décider, et sur quelle base ?

On risque d’arriver à du “ah lui je le connais c’est un pote, lanceur d’alerte, foutez lui la paix” ou au contraire “je l’aime pas, c’est pas un lanceur d’alerte - puisque je vous le dis - hop prison”… arbitraire



C’est la même chose que la légitime défense : elle n’empêche pas les poursuites, elle permet d’avoir gain de cause au tribunal. “Oui il a commis les faits qui lui sont reprochés, mais c’était pour se défendre, donc…”

votre avatar







Natsume a écrit :



En meme temps qui peut décider que quelqu’un est un hacker ou un “vrai” lanceur d’alerte ?

Qui peut etre en charge de décider qui est coupable et qui ne l’est pas ?



Réponse Le juge judiciaire, après un procès équitable.

 

Si on permet d’en décider avant ça, qui doit se voir arroger le droit d’en décider, et sur quelle base ?

On risque d’arriver à du “ah lui je le connais c’est un pote, lanceur d’alerte, foutez lui la paix” ou au contraire “je l’aime pas, c’est pas un lanceur d’alerte - puisque je vous le dis - hop prison”… arbitraire



C’est la même chose que la légitime défense : elle n’empêche pas les poursuites, elle permet d’avoir gain de cause au tribunal. “Oui il a commis les faits qui lui sont reprochés, mais c’était pour se défendre, donc…”





C’est ce que j’ai pensé aussi.

C’est une loi plutôt cool au final, tout du moins une grande avancée (reconnaissance du status de lanceur d’alerte par la justice) et tous les commentaires sont négatifs c’est assez marrant.



Les exempter de jugement sans juge c’est pas ce qu’on a toujours combattu avec la hadopi ?

Parce que la charge retenu c’est pas lanceur d’alerte mais intrusion dans un système informatique et qui est à même de décider si cette intrusion a pour but d’alerter ou pour but de nuire mieux qu’un juge ?


votre avatar







Natsume a écrit :



En meme temps qui peut décider que quelqu’un est un hacker ou un “vrai” lanceur d’alerte ?

Qui peut etre en charge de décider qui est coupable et qui ne l’est pas ?



Réponse Le juge judiciaire, après un procès équitable.



Certes. Mais par exemple, en cas de légitime défense, tu es déclaré innocent, pas coupable dispensé de peine. Pourquoi serait-ce différent pour un lanceur d’alerte ?

&nbsp;

&nbsp;


votre avatar

Ca peut changer beaucoup de choses si c’est inscrit au casier judiciaire, notamment interdire de bosser dans ou pour la fonction publique non ?



L’absence de peine implique l’absence d’inscription au casier judiciaire? Si l’article pouvait préciser cette notion pour les non juristes dans mon genre ce serait sympa&nbsp;&nbsp; <img data-src=" />

votre avatar







Natsume a écrit :



En meme temps qui peut décider que quelqu’un est un hacker ou un “vrai” lanceur d’alerte ?



 Qui peut etre en charge de décider qui est coupable et qui ne l'est pas ?       






 Réponse Le juge judiciaire, après un procès équitable.       

&nbsp;

Si on permet d'en décider avant ça, qui doit se voir arroger le droit d'en décider, et sur quelle base ?

On risque d'arriver à du "ah lui je le connais c'est un pote, lanceur d'alerte, foutez lui la paix" ou au contraire "je l'aime pas, c'est pas un lanceur d'alerte - puisque je vous le dis - hop prison"... arbitraire






 C'est la même chose que la légitime défense : elle n’empêche pas les poursuites, elle permet d'avoir gain de cause au tribunal. "Oui il a commis les faits qui lui sont reprochés, mais c'était pour se défendre, donc..."








 Le problème c'est que le juge ne pourra pas dire qu'il est innocent. Il sera obligé, en vertu de la loi de déclarer le lanceur d'alerte coupable. Il pourra juste le dispenser de peine. Mais il sera quand même coupable (avec tout ce que cela implique d'inscription au casier judiciaire, de référencement dans les fichiers de la police, etc...).      

&nbsp;Ce qui serait bien ce n'est pas une dispense de poursuite judiciaire mais une possibilité pour le juge de rendre un jugement d'innocence dans le cas d'un accès frauduleux à un système de données si la personne à alerté aussi vite que possible les autorités compétentes.





Là on a un truc bancale qui dit qu’on te reconnais bien comme lanceur d’alerte, c’est bien mon gars mais tu vas quand même t’en prendre dans la gueule quoiqu’il arrive….super la protection des lanceurs d’alerte….


votre avatar

On pourrais même se retrouver dans la situation ubuesque où un informaticien doué voulant mettre en lumière un problème de sécurité dans l’administration sera déclaré coupable et aura donc certainement énormément de mal (sinon l’impossibilité) d’être embauché comme spécialiste de la sécurité dans l’administration pour pouvoir régler ce problème et d’autres.

Il vaudra mieux ne rien dire, sinon byebye les potentiel boulots….

votre avatar







Douldoul a écrit :



&nbsp;Ce qui serait bien ce n’est pas une dispense de poursuite judiciaire mais une possibilité pour le juge de rendre un jugement d’innocence dans le cas d’un accès frauduleux à un système de données si la personne à alerté aussi vite que possible les autorités compétentes.





Je compléterais avec un : “et n’en a pas tiré de bénéfices personnels” (pour éviter certains abus possibles)


votre avatar







Douldoul a écrit :



Le problème c’est que le juge ne pourra pas dire qu’il est innocent. Il sera obligé, en vertu de la loi de déclarer le lanceur d’alerte coupable. Il pourra juste le dispenser de peine. Mais il sera quand même coupable (avec tout ce que cela implique d’inscription au casier judiciaire, de référencement dans les fichiers de la police, etc…).



 Ce qui serait bien ce n'est pas une dispense de poursuite judiciaire mais une possibilité pour le juge de rendre un jugement d'innocence dans le cas d'un accès frauduleux à un système de données si la personne à alerté aussi vite que possible les autorités compétentes.    





Là on a un truc bancale qui dit qu’on te reconnais bien comme lanceur d’alerte, c’est bien mon gars mais tu vas quand même t’en prendre dans la gueule quoiqu’il arrive….super la protection des lanceurs d’alerte….





En même temps si on enlève toute conséquence d’une intrusion dans un système informatique sous prétexte que le pirate à prévenu une fois l’intrusion faite c’est la porte ouverte à ce que le premier script-kiddies venu test tous les sites sous prétexte qu’une fois la faille trouvée, il l’aurait reporté aux autorités.



Donc je trouve qu’on a un entre-deux juste la. Sinon j’aurais déjà réinstallé backtrack.


votre avatar







aureus a écrit :



En même temps si on enlève toute conséquence d’une intrusion dans un système informatique sous prétexte que le pirate à prévenu une fois l’intrusion faite c’est la porte ouverte à ce que le premier script-kiddies venu test tous les sites sous prétexte qu’une fois la faille trouvée, il l’aurait reporté aux autorités.



Donc je trouve qu’on a un entre-deux juste la. Sinon j’aurais déjà réinstallé backtrack.





Ha bah si ça a ça comme conséquence c’est génial! T’imagine le gain en terme de sécurité pour l’ensemble des sites? Si le “script kiddy” n’a pas bénéficié de son action c’est bon (évidemment il faut rajouter le fait de n’avoir rien détruit/ou empêcher de fonctionner. Juste la mise en lumière d’une faille)


votre avatar







aureus a écrit :



En même temps si on enlève toute conséquence d’une intrusion dans un système informatique sous prétexte que le pirate à prévenu une fois l’intrusion faite c’est la porte ouverte à ce que le premier script-kiddies venu test tous les sites sous prétexte qu’une fois la faille trouvée, il l’aurait reporté aux autorités.



Donc je trouve qu’on a un entre-deux juste la. Sinon j’aurais déjà réinstallé backtrack.





Et aussi : pourquoi devrait-il forcément y avoir une conséquence négative pour un lanceur d’alerte? (de bonne foi&nbsp;évidemment,&nbsp;etc…etc…, au juge d’apprécier cela). Il fait un truc bien, pour le bien de la société ou d’une entreprise, pourquoi devrait-il être puni d’une quelconque manière?


Loi Numérique : les lanceurs d’alerte de sécurité exemptés de peine, pas de poursuites

  • Protéger les lanceurs d'alerte, d'après les élus PS

Fermer