Expertises judiciaires ICE et Audit Sécurité des systèmes d’information Le «full disclosure» une pratique désormais prohibée ? Publier les moyens d’exploiter la vulnérabilité d’un système informatique peut constituer un délit. C’est ce qu’un expert en informatique, spécialisé en sécurité, a appris à ses dépends. Sous couvert d’informer et de sensibiliser le public à la sécurité informatique, il avait diffusé, sur le portail internet de sa société de conseil en sécurité informatique, des informations précises et accessibles à tous, relatives à l’existence et aux moyens d’exploiter plusieurs failles de sécurité dans un format d’image numérique fourni par Microsoft, ce avant la publication officielle des patchs correctifs. Le gérant de la société avait parallèlement informé par mail la société Microsoft de sa découverte, qui l’en avait remercié en retour. Poursuivi par Microsoft, qui estimait que le gérant n’aurait pas dû publier sur son site les scripts permettant de contourner son système avant qu’elle ne publie les correctifs, ce dernier a été condamné. La Cour de cassation a confirmé la condamnation à une peine d’amende de 1000 euros prononcée par la cour d’appel. Cette dernière l’avait jugé coupable de l’infraction incriminée par l’article 323-3-1 du Code pénal, à savoir mise à disposition sans motif légitime de programmes ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé de données. Il y a une grande différence entre faire état de l’existence d’une vulnérabilité (full disclosure) et délivrer les moyens techniques et la procédure à suivre en vue d’exploiter cette vulnérabilité (publication d’un «exploit»). Dans cette affaire, le gérant n’avait pas seulement publié l’existence de la faille dans le système de traitement automatisé de données (STAD), mais les moyens techniques de l’exploiter, faisant ainsi courir le risque qu’un « public malveillant » utilise les moyens ainsi diffusés à des fins de piratage d’un STAD, ce risque ne pouvant d’ailleurs pas être méconnu du gérant « du fait de son expertise ». Ainsi, il apparaît que ce n’est pas la publication de la révélation de la faille de sécurité qui est visée par la condamnation de la Cour, mais bien la diffusion accessible à tous de l’exploit y étant associé. Il en résulte qu’il semble autorisé d’informer les utilisateurs sur les failles de sécurité et ainsi de diffuser des informations sur l’existence d’une vulnérabilité, la simple publication d’une vulnérabilité ne constituant pas un délit. L’article 323-3-1 du Code pénal vise, sans les nommer, la détention et/ou l’utilisation de virus informatiques, et a vocation à englober de façon plus large les programmes visant à exploiter les failles informatiques, comme c’est le cas en l’espèce. Il faut espérer que cet arrêt ne condamne pas définitivement les travaux de recherche, dans la mesure où la publication d’une vulnérabilité par un tiers constitue également un moyen de contraindre l’éditeur du programme défaillant à résoudre le problème, ce qui est bénéfique pour l’ensemble des utilisateurs. Cass. crim. 27-10-2009 n° 09-82346 Paru dans la JTIT n°97/2010(Mise en ligne Février 2010) Autres brèves Le management de la sécurité des SI enfin normalisé par l’AFNOR ! (Mise en ligne Décembre 2007) Bientôt une norme NF sur les systèmes de management de la sécurité informatique… (Mise en ligne Juillet 2007) Respecter l’état de l’art en matière de sécurité des systèmes d’information (Mise en ligne Mars 2006)
