Sécurité réseau : du non droit d’informer

Maître EOLAS a dit un jour « il n’y pas de vide juridique ». Il n’a peut-être pas tort. Par contre, il est du droit qui ne s’applique pas et heureusement.

Sinon, un pourcentage a priori très important de sites internet de qualité en matière de sécurité informatique encourt 7 ans d’emprisonnement. Evidemment, on ne met pas les sites en prison (quoique Megavideo) mais leurs webmasters voire contributeurs si, on peut ou du moins on pourrait.

0x0ff prison

Et pourquoi le ferait-on ? Par ce que l’article 323-3-1 du code pénal (issu aussi sauf erreur de ma part de la Loi Godfrain) dispose que :

« Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. »

Pour information, la plus sévèrement réprimée – qui consiste à introduire ou modifier des données dans un STAD de l’Etat est punie de 7 ans d’emprisonnement.

Pas de méprise ! Cette peine est un maximum. Le juge est libre d’en adapter le quantum, de l’assortir d’un sursis, de s’en tenir à une simple amende.

Toutefois, la rédaction de cet article est incroyablement large et peu pertinente. Le « motif légitime » n’aura échappé à personne. Non plus que le « toute donnée ».

Cette dernière expression est d’interprétation facile puisque tout est donnée (même si rien n’est jamais gratuit), donc la seule description littérale ou photographique d’un modus operandi d’intrusion à l’encontre d’un réseau est sanctionnable.

Le « motif légitime » est plus difficile à appréhender et met à mal tout concept de précision de la loi pénale.

Cet article a déjà fait l’objet d’une application judiciaire. Et c’est en tombant sur une décision sanctionnant un webmaster que m’est venue l’idée d’écrire ce papier. Ci-dessous l’extrait pertinent de cette  décision (Crim. 27 octobre 2009 n° 09-82346) où l’on constate que la Cour de cassation s’exprime dans une langue accessible à tous :

« Attendu qu’il résulte de l’arrêt attaqué et des pièces de procédure que X… a diffusé sur le portail internet de la société XX Consulting, spécialisé dans le conseil en sécurité informatique, dont il est le gérant, des écrits directement visibles sur le site et accessibles à tous permettant d’exploiter des failles de sécurité informatique ; que, renvoyé devant le tribunal correctionnel pour mise à disposition, sans motif légitime, de moyens conçus ou spécialement adaptés pour commettre une atteinte à un système de traitement automatisé de données, il a été relaxé ;

Attendu que, pour infirmer, sur appel du ministère public, le jugement et condamner le prévenu, l’arrêt énonce qu’il ne peut valablement arguer d’un motif légitime tiré de la volonté d’information, dès lors que, du fait de son expertise en la matière, il savait qu’il diffusait des informations présentant un risque d’utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance ;

Attendu qu’en l’état de ces énonciations, abstraction faite du motif surabondant relatif aux antécédents judiciaires du prévenu, et dès lors que la constatation de la violation, sans motif légitime et en connaissance de cause, de l’une des interdictions prévues par l’article 323-3-1 du code pénal implique de la part de son auteur l’intention coupable exigée par l’article 121-3 du même code, la cour d’appel a justifié sa décision ; »

La Cour a estimé que la volonté d’informer n’est pas un motif légitime. En l’occurrence, il s’agissait a priori de vulnérabilités qui n’avaient pas encore été patchées et la Cour a estimé que le prévenu, Expert en la matière, connaissait les risques qu’il faisait courir à des systèmes. C’est là que le bât aurait blessé.

Je dis “aurait” car c’est en faisant des recherches un peu plus poussées que je me suis aperçu qu’un papier avait déjà été écrit en son temps sur un blog bien documenté du nom de « Ma petite parcelle d’Internet ». Voici le lien pour le billet.

Alors comme je ne pense pas pouvoir faire mieux…

Perceval

Bonne lecture.

PS : Pour la petite histoire, Monsieur X a été condamné à 1.000 euros d’amende “eu égard à sa personnalité et à sa progression professionnelle” sachant qu’il a créé une activité de conseil en sécurité informatique. J’ignore si la condamnation a été inscrite à son casier judiciaire. Ce dernier point n’est pas sans importance puisque notamment dans le cadre du référentiel des exigences de l’ANSSI, la possibilité est prévue d’exiger des consultants une copie du bulletin n° 3… On y reviendra.