Whitehat : que pensez-vous des dispositions prévues par la législation française
Pour protéger les lanceurs d'alerte ?

Le , par Stéphane le calme, Chroniqueur Actualités
Lors des discussions à l’Assemblée nationale, un débat a vu le jour sur l’affaire dite « de l’ANSES » et la publication par un journaliste/blogueur célèbre de centaines de Mo de fichiers extraits d’un site officiel censé être sécurisé (accès permis via une simple recherche de documents sur Google). Il a été poursuivi du fait du maintien frauduleux dans l’extranet de l’Agence nationale de sécurité sanitaire, de l’alimentation, de l’environnement et du travail. En vertu des textes et de la jurisprudence, il aurait dû immédiatement se déconnecter et non poursuivre sa consultation (encore moins télécharger 7,7 Go de données). Il a donc été condamné par la Cour d’appel de Paris le 5 février 2014, la Cour de cassation n’ayant fait que confirmer cette position le 20 mai 2015.

Une affaire qui est devenue l’un des sujets qui sur la table des législateurs lors des discussions autour de la loi pour une République numérique, notamment une meilleure protection des « whitehat » qui souhaitent communiquer des failles de sécurité à l’Agence nationale pour la sécurité des systèmes d’information (Anssi). Celle-ci ne se verra plus dans l’obligation de transmettre au procureur des informations les concernant en vertu de l’article 40 du code de procédure pénale..

Pour rappel, l’article 40 du code pénal stipule que « toute autorité constituée, tout officier public ou fonctionnaire qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit est tenu d’en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs »

Les législateurs ont conclu dans l’article L2321-4 que « pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données ».

Et de continuer en soulignant que « l’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée » mais aussi que « l’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information ».

Un texte qui vient donc souligner à nouveau le rôle central de l’Anssi dans le signalement de la vulnérabilité, mais également faire une distinction législative entre le whitehat et le pirate. Pour ce dernier, l’article 323-1 du code pénal indique que « le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende » .

Plus la portée du piratage est importante, plus la punition est sévère. Le texte souligne que « lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 € d'amende. Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 150 000 € d'amende ».

Les whitehat ont donc une certaine sécurité juridique à condition que l’Anssi soit contactée sans délais. Bien entendu, il ne doit pas rendre cette information publique. Et s’il venait néanmoins à faire l’objet d’une plainte ? Selon François Coupez, avocat associé du cabinet Atipic, « l’intervention de l’Anssi pourra être de nature à tempérer les ardeurs de l’entreprise [ndlr: ciblée par l’intrusion] lors d’une éventuelle plainte, et aboutir, là aussi, à une meilleure protection des whitehats ». Selon lui, l’Anssi s’organise pour « centraliser en un point de contact unique les remontées d’informations ». Il ne reste plus qu’à savoir si la nouvelle législation aura une conséquence significative sur l’amélioration de la sécurité des systèmes d’information.

Source : Anssi, Article 323-1, Article L2321-4, Article 40

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de benjani13 benjani13 - Membre expérimenté https://www.developpez.com
le 23/10/2016 à 23:11
Citation Envoyé par Stéphane le calme Voir le message

Les whitehat ont donc une certaine sécurité juridique à condition que l’Anssi soit contactée sans délais. Bien entendu, il ne doit pas rendre cette information publique. Et s’il venait néanmoins à faire l’objet d’une plainte ? Selon François Coupez, avocat associé du cabinet Atipic, « l’intervention de l’Anssi pourra être de nature à tempérer les ardeurs de l’entreprise [ndlr: ciblée par l’intrusion] lors d’une éventuelle plainte, et aboutir, là aussi, à une meilleure protection des whitehats ». Selon lui, l’Anssi s’organise pour « centraliser en un point de contact unique les remontées d’informations ». Il ne reste plus qu’à savoir si la nouvelle législation aura une conséquence significative sur l’amélioration de la sécurité des systèmes d’information.
Cela reste encore insuffisant. Signaler à l'ANSSI permet juste d'appuyer un peu sa bonne foie, tant est si bien que le juge comprenne le principe de la déclaration à l'ANSSI. Voila la réponse de l'ANSSI à un "white hat":


https://twitter.com/respssi/status/7...48279241068545

Pas très encourageant non?
Avatar de abriotde abriotde - Membre éprouvé https://www.developpez.com
le 23/10/2016 à 23:59
Il est certains que la loie française est révoltante a plus d'un titre.
1) Comment contacter l'ansi sachant qu'une recherche sur goole renvoi a un site indiqué comme "non-sécrisé" avec une extension ".tn"(Tunisie?) et c'est le seul avec pour description "Agence Nationale de la Sécurité Informatique".
2) Il serait du devoir citoyen de porter plainte contre l"état français pour non sécurisation minimal (libre accès sur intrenet) de documentation confidentiel. C'est exactement si dans la rue on pouvait trouver ses documents trainer et qu'en les ramassant on soit accusé d'un proces.
Avatar de Pierre GIRARD Pierre GIRARD - Expert confirmé https://www.developpez.com
le 24/10/2016 à 6:47
Citation Envoyé par abriotde Voir le message
Il est certains que la loie française est révoltante a plus d'un titre.
1) Comment contacter l'ansi sachant qu'une recherche sur goole renvoi a un site indiqué comme "non-sécrisé" avec une extension ".tn"(Tunisie?) et c'est le seul avec pour description "Agence Nationale de la Sécurité Informatique".
2) Il serait du devoir citoyen de porter plainte contre l"état français pour non sécurisation minimal (libre accès sur intrenet) de documentation confidentiel. C'est exactement si dans la rue on pouvait trouver ses documents trainer et qu'en les ramassant on soit accusé d'un proces.
Évidemment, en cherchant n'importe comment, on arrive à n'importe quoi
ANSSI => bonne recherche = bons résultats, mais pas de résultat concernant ANSI
  1. www.ssi.gouv.fr (Agence nationale de la sécurité des systèmes d'information) Le premier dans la liste renvoyée par QWANT (je n'utilise plus GOOGLE depuis longtemps)


ANSII => recherche erronée = résultat moyen, mais pas de résultat concernant ANSI
  1. www.ssi.gouv.fr (Agence nationale de la sécurité des systèmes d'information) Le premier dans la liste
  2. ansii.in un peu plus loin (un site Indien)


ANSI => recherche erronée = résultat moyen
  1. www.ssi.gouv.fr (Agence nationale de la sécurité des systèmes d'information) en premier ... et toujours avec QWANT
  2. www.ansi.tn (Agence Nationale de la Sécurité Informatique) en deuxième et c'est bien un organisme Tunisien
  3. ansi.org (American National Standards Institute) un peu plus loin
Avatar de Daefaer Daefaer - Futur Membre du Club https://www.developpez.com
le 24/10/2016 à 7:28
Citation Envoyé par Pierre GIRARD
Le premier dans la liste renvoyée par QWANT (je n'utilise plus GOOGLE depuis longtemps)
Les résultats sont similaires sur Google.
Avatar de Pierre GIRARD Pierre GIRARD - Expert confirmé https://www.developpez.com
le 24/10/2016 à 11:31
Citation Envoyé par Daefaer Voir le message
Les résultats sont similaires sur Google.
Donc, la bonne recherche donne la bonne réponse ... aussi avec GOOGLE et donc pas le site Tunisien qui n'a strictement aucun rapport.
Avatar de xelm06 xelm06 - Candidat au Club https://www.developpez.com
le 24/10/2016 à 14:47
Vous avez une idée de comment émettre une demande ? Si par exemple je veux le code source du site de la CAF en vue de l'améliorer, je me présente à une agence en mettant en avant ce qu'indique la loi ?
Avatar de Jon Shannow Jon Shannow - Expert confirmé https://www.developpez.com
le 24/10/2016 à 14:48
Citation Envoyé par benjani13 Voir le message
Cela reste encore insuffisant. Signaler à l'ANSSI permet juste d'appuyer un peu sa bonne foie, tant est si bien que le juge comprendra le principe de la déclaration à l'ANSSI. Voila la réponse de l'ANSSI à un "white hat":

...

Pas très encourageant non?
Heu, c'est juste un rappel de la loi, c'est tout. Rien d'anormal là-dedans.
Avatar de benjani13 benjani13 - Membre expérimenté https://www.developpez.com
le 24/10/2016 à 15:12
Citation Envoyé par Jon Shannow Voir le message
Heu, c'est juste un rappel de la loi, c'est tout. Rien d'anormal là-dedans.
C'est tout de même paradoxale. Le gouvernement met en place des démarches permettant de déclarer des vulnérabilités, mais ne permet pas aux lanceurs d'alertes de se protéger. La situation est donc la même qu'avant. On reste dans le choix de soit déclarer une faille (à l'entrepris en question ou à une autorité officielle) et risquer de se prendre une plainte ou bien de de se taire pour ne pas prendre de risque.
Avatar de Grogro Grogro - Expert confirmé https://www.developpez.com
le 24/10/2016 à 15:49
Cela montre que le gouvernement n'a pas pensé à modifier la loi qui criminalise les lanceurs d'alertes. On a préféré empiler plutôt que nettoyer. Il leur faudrait un processus QA dans le législatif.
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 24/10/2016 à 16:14
Citation Envoyé par benjani13 Voir le message
permet juste d'appuyer un peu sa bonne foie, tant est si bien que le juge comprendra
Ça dépend s'il préfère le canard ou l'oie, perso j'ai un faible pour l'oie, c'est mon côté bourgeois.
Contacter le responsable de la rubrique Accueil