Lors des discussions à l’Assemblée nationale, un débat a vu le jour sur l’affaire dite « de l’ANSES » et la publication par un journaliste/blogueur célèbre de centaines de Mo de fichiers extraits d’un site officiel censé être sécurisé (accès permis via une simple recherche de documents sur Google). Il a été poursuivi du fait du maintien frauduleux dans l’extranet de l’Agence nationale de sécurité sanitaire, de l’alimentation, de l’environnement et du travail. En vertu des textes et de la jurisprudence, il aurait dû immédiatement se déconnecter et non poursuivre sa consultation (encore moins télécharger 7,7 Go de données). Il a donc été condamné par la Cour d’appel de Paris le 5 février 2014, la Cour de cassation n’ayant fait que confirmer cette position le 20 mai 2015.
Une affaire qui est devenue l’un des sujets qui sur la table des législateurs lors des discussions autour de la loi pour une République numérique, notamment une meilleure protection des « whitehat » qui souhaitent communiquer des failles de sécurité à l’Agence nationale pour la sécurité des systèmes d’information (Anssi). Celle-ci ne se verra plus dans l’obligation de transmettre au procureur des informations les concernant en vertu de l’article 40 du code de procédure pénale..
Pour rappel, l’article 40 du code pénal stipule que « toute autorité constituée, tout officier public ou fonctionnaire qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit est tenu d’en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs »
Les législateurs ont conclu dans l’article L2321-4 que « pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données ».
Et de continuer en soulignant que « l’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée » mais aussi que « l’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information ».
Un texte qui vient donc souligner à nouveau le rôle central de l’Anssi dans le signalement de la vulnérabilité, mais également faire une distinction législative entre le whitehat et le pirate. Pour ce dernier, l’article 323-1 du code pénal indique que « le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende » .
Plus la portée du piratage est importante, plus la punition est sévère. Le texte souligne que « lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 € d'amende. Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 150 000 € d'amende ».
Les whitehat ont donc une certaine sécurité juridique à condition que l’Anssi soit contactée sans délais. Bien entendu, il ne doit pas rendre cette information publique. Et s’il venait néanmoins à faire l’objet d’une plainte ? Selon François Coupez, avocat associé du cabinet Atipic, « l’intervention de l’Anssi pourra être de nature à tempérer les ardeurs de l’entreprise [ndlr: ciblée par l’intrusion] lors d’une éventuelle plainte, et aboutir, là aussi, à une meilleure protection des whitehats ». Selon lui, l’Anssi s’organise pour « centraliser en un point de contact unique les remontées d’informations ». Il ne reste plus qu’à savoir si la nouvelle législation aura une conséquence significative sur l’amélioration de la sécurité des systèmes d’information.
Source : Anssi, Article 323-1, Article L2321-4, Article 40
Et vous ?
Qu'en pensez-vous ?
Whitehat : que pensez-vous des dispositions prévues par la législation française
Pour protéger les lanceurs d'alerte ?
Whitehat : que pensez-vous des dispositions prévues par la législation française
Pour protéger les lanceurs d'alerte ?
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !