Connexion
Abonnez-vous

Les députés FI plaident pour un statut du chasseur de faille et du « bug bounty »

Le bug au doigt

Les députés FI plaident pour un statut du chasseur de faille et du « bug bounty »

Le 17 janvier 2018 à 08h29

À l’occasion de l’examen du projet de loi transposant la directive Network and Information Security (NIS), les députés de la France Insoumise veulent autoriser les opérateurs à lancer des programmes de « bug bounty ». L’enjeu ? Créer un statut du chasseur de faille en France.

Le projet de loi sur la directive NIS est examiné ce matin en commission des lois à l'Assemblée nationale. À cette occasion, les élus de la France Insoumise proposent d’autoriser les opérateurs d’importance vitale à organiser des « bug bounty » (ou « prime » de dysfonctionnement). Une première étape avant la généralisation aux autres branches. Un secteur qui se développe en France, notamment avec B0unty Factory et Yogosha.

Les OIV sont ceux « dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ». Depuis la loi de programmation militaire de 2013, ils sont soumis à une série d’obligations de sécurité, rédigées et contrôlées par l’ANSSI.

Des personnes physiques enregistrées auprès de l’ANSSI

Selon l’amendement de FI, seules pourraient justement participer à un « bug bounty », les personnes physiques « dûment enregistrées en tant que chasseur de failles informatiques, auprès de l’autorité nationale de sécurité des systèmes d’information ».

Les élus ont conscience que leur proposition n’a que très peu voire pas de chance de passer. Mais par cet « amendement d’appel », ils voudraient que soit envisagée « la création d'un statut juridique des "chasseurs de faille", qui puisse permettre juridiquement l'organisation de "bug bounty" ».

Dans leur esprit, une personne déclarée « pourra disposer d'une protection (et ne pas se voir directement menacé d'être accusé de piratage informatique / d'être dans l'illégalité) ». Mieux, « ceci permettrait en outre de faire basculer du bon côté un grand nombre de spécialistes informatiques qui restent dans une zone oscillant entre la légalité et l'illégalité ».

Par ce biais, cependant, ils mettraient fin à un possible anonymat, et laisseraient dans l’incertitude l’ensemble des acteurs (notamment étrangers) qui n’auraient pas pensés à faire une telle déclaration.

Dans un amendement de repli, ces mêmes députés sollicitent à tout le moins du gouvernement la remise d’un rapport sur le sujet « afin de promouvoir la cybersécurité informatique par amélioration continue et encourager la contribution de ces mêmes spécialistes informatiques ».

La loi Lemaire et la protection des lanceurs d’alerte de sécurité

Rappelons que depuis la loi sur la République numérique de 2016, les internautes peuvent anonymement déclarer à l’ANSSI l’existence de faille de sécurité frappant n’importe quel acteur (OIV ou non). L’agence est alors dégagée des impératifs de l’article 40 du Code de procédure pénale qui l’obligeait jusqu’alors à transmettre ces faits de « piratage » à la justice. 

Toutefois, le texte n’est pas allé aussi loin que le voulaient des élus, qui plaidaient pour une exemption totale des poursuites. En clair, depuis la loi Lemaire, on peut certes déclarer l’existence de failles à l’ANSSI, mais le découvreur reste susceptible d’être poursuivi par l’entreprise « victime ».

Les opérateurs de services essentiels, les fournisseurs de services numériques

Les 48 amendements du projet de loi de transposition de la directive NIS seront examinés dès 9h30 en commission des lois à l’Assemblée nationale. Pour mémoire, ce projet de loi va imposer de nouvelles règles d’hygiène informatique à deux catégories d’acteurs, régime calqué sur celui des opérateurs d’importance vitale.

D’une part, les opérateurs de services essentiels (OSE), ceux « offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture ». De l’autre, les fournisseurs de services numériques (FSN) à savoir les moteurs, les prestataires de cloud et les places de marché (marketplace).

Les premiers, qui pourront intégrer en leur sein des acteurs du numérique comme les registrars, devront suivre à la lettre les préconisations de l’ANSSI, laquelle pourra les contraindre à mettre en œuvre des solutions certifiées.

Les seconds seront plus libres. Ils devront garantir « en l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d'information nécessaires à la fourniture de leurs services dans l'Union européenne adapté aux risques existants ». Néanmoins, l’ANSSI pourra exercer à leur encontre des opérations de contrôle.

Les mauvais élèves seront susceptibles de se voir infliger des sanctions pénales visant les dirigeants. Une autre menace plane : l’ANSSI pourra décider d’informer le public de l’existence d’un incident de sécurité grave.

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Intéressant <img data-src=" />

votre avatar

autant ils sont à la ramasse sur pas mal de sujets

autant&nbsp; FI est toujours en pointe pour les nouvelles technologies en général

votre avatar

Et si un chasseur se garde une ou deux failles qui n’auraient pas été trouvées par d’autres ? Il y a quand même des poursuites car il ne les a pas dévoilées ?

votre avatar

Ah les OIV… j’en ai entendu de belles sur certaines. Des box orange branchés sur le réseau sans passer par l’UTM… c’est beau ^^

votre avatar







Fab’z a écrit :



Ah les OIV… j’en ai entendu de belles sur certaines. Des box orange branchés sur le réseau sans passer par l’UTM… c’est beau ^^







Ou même placé après l’UTM… mais comme c’était un routeur Ethernet/4G, quand la liaison Ethernet est tombée le routeur a basculé en 4G en bypassant l’UTM.



(bien sur, c’est totalement hypothétique… bien sur… <img data-src=" />)


votre avatar

Fab’z, peux-tu préciser ce qu’est un UTM ?

votre avatar

UTM=Unified threat management. On dit aussi NGFW pour NextGen firewall.



Bref, un super-firewall qui inclut firewall, antivirus, détection d’intrusion, anti-spoofing, honeypot, VLAN, Secure/Guest access, VPN… (exemple: Fortigate, Check Point UTM, …)

votre avatar

Crois moi ils sont pas à la ramasse. Tu peux ne pas être d’accord avec tout, voir tout,mais c’est pas à la ramasse, c’est un choix de société. Après on est pour ou contre, et on en a le droit.

&nbsp;

&nbsp;Moi je suis pro LFI, pourtant je ne suis pas d’accord avec tout mais avec la majorité des idées.



Et concernant le numérique, ils ne font que déployer les idées de leurs programmes :



https://avenirencommun.fr/notre-revolution-numerique/



Je t’invite en lire, en matière de libre, .. y’a plein de choses intéressantes

votre avatar

Anéfé, rejeté.

votre avatar

J’ai encore en tête cette histoire d’un mec qui, en composant des numéros de téléphone rose au hasard, était tombé sur une banque de données d’une administration publique et avait été poursuivi pour piratage &gt;&lt;

votre avatar

bon j’ai un peu trollé avant, je voulais voir si ca mordait. je te prie de m’en excuser je n’aurai pas du

mais ca donne l’occasion de papoter

&nbsp;

j’ai passé une quinzaine d’heures sur FI nettement plus que les autres partis, y compris leur analyse de 4h de leur programme avec des économistes.

pendant la campagne présidentielle, c’était honnêtement le contenu le plus intéressant en tout cas sur Internet.

je pense que ca dépasse le cadre de l’avis de comptoir et sans fausse modestie que je dépassais le niveau de connaissance de l’électeur moyen.

et honnêtement intellectuellement le programme semble intéressant et les centres d’intérêt sont très intéressants et en relation avec certains des miens (notamment l’IT ou l’environnement)

mais j’ai plus l’impression que tout ensemble en fait un gloubiboulga et je doute de leur inter cohérence

&nbsp;

ils te présentent le tout comme étant des estimations pessimistes mais je n’y crois tout simplement pas.

et ensuite humainement le mélanchon chien fou que j’apprécie certes pour son bagout mais merde je n’ai pas envie de le voir en président même si il a adoucit son discours, et les hordes de militants FI qui tapent quand on les contredit je n’apprécie pas (après on peut me rétorquer que c’est comme ça qu’un petit parti existe et marche, pq pas ..)

votre avatar

Eh bien voilà quelque chose de plus raisonnable. <img data-src=" />



Juste deux trois petites choses, sur les estimations économiques, non, ce n’est pas si pessimiste, en effet, mais j’attire ton attention sur le fait qu’on ne demande à aucun autre parti politique d’être aussi précis sur les résultats économiques qui résulte de la politique proposée. L’économie, si c’est une science, ce qui est déjà discutable, est si complexe qu’on ne peut jamais en contrôler tous les paramètres, surtout lorsque l’on sort du cadre de simples ajustements économiques (un peu plus de cela, un peu moins de ceci). Il faut être réaliste, oui le travaille programmatique qu’ils ont (que nous avons) fourni est sérieux, mais oui il reste un grand nombre d’incertitudes qui ne découlent pas d’un manque de sérieux, d’un manque de vision ou que sais-je mais de l’incapacité technique réelle à laquelle tous les partis politiques sont confrontés à faire tourner un model économique sûr. Il est plus simple de faire fonctionner un model de changement climatique qu’économique, par exemple.



En ce qui concerne Mélenchon, on aime, ou on aime pas. Mais j’ai envie de dire peu importe, est-il pire que les précédents ? Je ne crois pas. Et quand bien même, la création d’une sixième République par la convocation d’une assemblée constituante répond à cet éventuel “problème” et réglera le cas de son poste toute seule.



Enfin, concernant les militants, que veux-tu, des comme ça il y en a partout, mais chez nous la mobilisation, la colère est forte et s’exprime beaucoup, par conséquent on les voit plus qu’ailleurs… Pour s’en convaincre il n’y a qu’à écouter Guillaume Merice et les débilos qu’ils itw ! Haha !



Concernant “notre” amendement, évidemment, il a été rejeté. Tout comme l’amendement de replis.

votre avatar







127.0.0.1 a écrit :



UTM=Unified threat management. On dit aussi NGFW pour NextGen firewall.



Bref, un super-firewall qui inclut firewall, antivirus, détection d’intrusion, anti-spoofing, honeypot, VLAN, Secure/Guest access, VPN… (exemple: Fortigate, Check Point UTM, …)





<img data-src=" /><img data-src=" /><img data-src=" />


votre avatar







007sivade a écrit :



Eh bien voilà quelque chose de plus raisonnable. <img data-src=" />



Juste deux trois petites choses, sur les estimations économiques, non, ce n’est pas si pessimiste, en effet, mais j’attire ton attention sur le fait qu’on ne demande à aucun autre parti politique d’être aussi précis sur les résultats économiques qui résulte de la politique proposée. L’économie, si c’est une science, ce qui est déjà discutable, est si complexe qu’on ne peut jamais en contrôler tous les paramètres, surtout lorsque l’on sort du cadre de simples ajustements économiques (un peu plus de cela, un peu moins de ceci). Il faut être réaliste, oui le travaille programmatique qu’ils ont (que nous avons) fourni est sérieux, mais oui il reste un grand nombre d’incertitudes qui ne découlent pas d’un manque de sérieux, d’un manque de vision ou que sais-je mais de l’incapacité technique réelle à laquelle tous les partis politiques sont confrontés à faire tourner un model économique sûr. Il est plus simple de faire fonctionner un model de changement climatique qu’économique, par exemple.



En ce qui concerne Mélenchon, on aime, ou on aime pas. Mais j’ai envie de dire peu importe, est-il pire que les précédents ? Je ne crois pas. Et quand bien même, la création d’une sixième République par la convocation d’une assemblée constituante répond à cet éventuel “problème” et réglera le cas de son poste toute seule.



Enfin, concernant les militants, que veux-tu, des comme ça il y en a partout, mais chez nous la mobilisation, la colère est forte et s’exprime beaucoup, par conséquent on les voit plus qu’ailleurs… Pour s’en convaincre il n’y a qu’à écouter Guillaume Merice et les débilos qu’ils itw ! Haha !



Concernant “notre” amendement, évidemment, il a été rejeté. Tout comme l’amendement de replis.





oui évidemment je me rends bien compte qu’ils ont effectué un travail pour légitimer le programme qui était effectivement nécessaire car disruptif et forcément on te demande de plus valider ce que tu as fait.

&nbsp;macron était beaucoup plus dans la continuité, et même si il fait apparemment ce qu’il dit, il n’a pas fait beaucoup de promesses. ça aide et honnêtement je préfère peu de promesses plutôt que les monts et merveilles. il y a eu dans le passé pas mal de manipulations sur la croissance. aux dernières élections on a bien eu un hollande qui a fait des prévisions qui se basaient sur 2.5 pts de croissance en fin de mandat ce qui était largement plus que le consensus de eurostats. et bien avant le miterrand qui se basait sur 3%.

bref on en vient effectivement à des présidents beau parleurs qui respectent le programme écrit par (je l’espère) un spécialiste du sujet. on en vient à des combats de punch phrases assez ridicules pour exister dans les médias.

au final cette élection démontre bien un soucis dans le scrutin en 2 tours.

(même si au final j’ai voté pour le gagnant, c’était un peu absurde)

et bon un président avec une majorité telle, c’est anormal de poutrer les amendements de tout le monde. je préfère le consensus allemand.


votre avatar

“Des personnes physiques enregistrées auprès de l’ANSSI” Mais euh… L’anonymat ?












votre avatar

Qu’est-ce que l’extrême-gauche ne ferait pas pour rapparier des électeurs. Taper dans l’IT et les développeurs c’est du lourd. Ça risque de fonctionner en plus.

votre avatar

D’autres l’on expliqué, mais en gros c’est la porte d’entrée. :)

Le seul passage intérieur/extérieur… en principe.

Les députés FI plaident pour un statut du chasseur de faille et du « bug bounty »

  • Des personnes physiques enregistrées auprès de l’ANSSI

  • La loi Lemaire et la protection des lanceurs d’alerte de sécurité

  • Les opérateurs de services essentiels, les fournisseurs de services numériques

Fermer