Chu de che / Je suis d'ici / Sono di qui / Ich bin von hier ! Notre liberté ne nous a pas été donnée, mais combattue et priée par nos ancêtres plus d'une fois! Aujourd'hui, comme autrefois, notre existence en tant que peuple libre dépend du fait que nous nous battions pour cela chaque jour. Restez inébranlable et soyez un gardien de la patrie pour que nous puissions remettre une Suisse libre telle que nous la connaissions à la génération suivante. Nous n'avons qu'une seule patrie!

dimanche 20 décembre 2009

La révélation publique de failles de sécurité est un délit

.
Fin octobre, la Cour de cassation s’est appuyée sur un article du code pénal pour condamner le full disclosure, une pratique consistant à rendre publique une vulnérabilité. Eclairage.

La Cour de cassation a fait un rappel à l’ordre : divulguer sur un site l’existence d’une faille de sécurité est un délit. C’est ce qu’a précisé la plus haute juridiction française fin octobre dans un arrêt qui énonce que l’on ne peut pas « valablement arguer d’un motif légitime tiré de la volonté d’information ». En un mot, l’activité appelée full disclosure, qui consiste à rendre publique la découverte d’une faille de sécurité (ce qu’on appelle un « exploit »), n’a plus de légitimité en France. Depuis, dans le monde de la sécurité informatique, c’est la consternation.

Pourtant, cet arrêt est la simple application de l’article 323-3-1 du code pénal*. Il est l’épilogue d’une affaire remontant à fin décembre 2005. A cette époque, une société spécialisée dans la sécurité informatique basée à Montpellier est condamnée à 1 000 euros d’amende pour avoir mis en ligne des scripts permettant d’exploiter la vulnérabilité concernant Windows Metafile (WMF), un format d’image numérique. Problème : cette publication est intervenue quelques jours avant la publication du correctif par Microsoft, le 5 janvier 2006.

Une correcte application de la loi pénale...

Le parquet diligente une enquête auprès de la DST. Attaqué en justice, le responsable du site est relaxé par le tribunal correctionnel de Montpellier en juin 2008. Mais comme le ministère public a fait appel, cette même personne se retrouve devant la cour d’appel de Montpellier en mars dernier. Pour sa défense, le gérant du site avait notamment précisé qu’il avait contacté à plusieurs reprises Microsoft sur son adresse électronique aux Etats-Unis afin de les prévenir de l’exploit, ce qui lui avait valu les remerciements officiels de la société sur le site de Microsoft.

Néanmoins, la personne se retrouve condamnée, la cour d’appel estimant que la volonté affichée d’information du public n’est pas un motif légitime compte tenu des activités commerciales du site. Pour Frédéric Connes, docteur en droit et consultant chez le cabinet de sécurité informatique HSC, « la Cour de cassation a fait son travail en vérifiant la correcte application de la loi pénale. Elle en a déduit, eu égard à l’expertise de l’intéressé et à l’existence d’autres moyens d’alerte, que la volonté d’information du public ne constituait pas, en l’espèce, un motif légitime exonératoire de responsabilité ».

... mais une mauvaise nouvelle pour les chercheurs

Pour les experts en sécurité, l’arrêt de la Cour de cassation est une mauvaise nouvelle car elle remet en cause la légitimité de leur activité. Pour Eric Filiol, directeur de la recherche de l’Esiea (Ecole supérieure d’informatique électronique automatique) et du laboratoire de cryptologie et virologie opérationnelles, « cela pose un problème de fond : publier ses travaux fait partie de l’activité d’un chercheur qui, pour être évalué par ses pairs, doit fournir des données claires et reproductibles (problème de la preuve) ; d’autre part c’est le SEUL moyen pour obliger le fournisseur à corriger le problème. Sans cette publication, qui aurait pu contraindre Microsoft a finalement corriger sa faille ? Il existe des cas – par exemple en VoIP – où des chercheurs ont uniquement communiqué auprès des fournisseurs, mais au final ces derniers n’ont rien corrigé. »

Cet arrêt relance donc le débat sur la légitimité du full disclosure par rapport au responsible disclosure, qui consiste à ne publier la faille qu’à partir du moment où un correctif est disponible. « Il est vrai que certains éditeurs mettent du temps à publier un correctif, et que dans cette hypothèse le full disclosure peut apparaître comme un moyen de les forcer à faire leur travail. Mais l’opinion dominante est que cette hypothèse doit rester l’exception », estime Frédéric Connes.

* Cet article « réprime le mise à disposition d’équipement, d’instrument ou de programme informatique conçus ou adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données ».
.

Philippe Richard