Aller au contenu
Forum juridique de Net-iris

[Jurisprudence] Révélation de failles de sécurité et responsabilité


Messages recommandés

  • Moderateurs

A l'occasion d'un arrêt rendu le 27 octobre 2009 publié par la Veille Juridique par Net-iris, la chambre criminelle de la Cour de cassation a considéré que révéler au public l'existence d'une faille de sécurité favorise ou permet d'aider le piratage. En conséquence, quiconque serait responsable d'une telle révélation engage sa responsabilité pénale à cet égard.

 

Au delà de la décision elle-même, il semble qu'il pourrait y avoir une discussion autour de la question générale de la responsabilité en matière de faille de sécurité. Une obligation d'information du public existe-t-elle (ou devrait-elle exister) ? Si oui, pesant sur qui et dans quelles modalités (délai, mode de communication...) ?

 

Sans entrer dans l'éternel débat relatif à la lutte contre le piratage informatique et les lois polémiques de ces derniers mois, la question mérite d'être abordée, sous un angle juridique prospectif au moins.

Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 17
  • Création
  • Dernière réponse

La discussion ne peut porter que sur la bêtise de la France qui préfère condamner, plutôt que de remercier à la découverte de failles de sécurité numériques...

 

Aux USA (Pays que je n'affectionne pas énormément), il y a une chose extrêmement positive:

 

Lorsqu'une société apprend (par n'importe quel moyen détourné ou direct) que leur produit numérique comporte des failles de sécurité, ils ne cherchent pas à faire condamner la personne: Elle l'embauche...

 

Lorsqu'une personne est reconnu comme assez talentueuse pour dénicher des failles de sécurité, c'est l'Etat qui l'embauche...

 

Et nous?

En prison, sans toucher les 20 000...

 

Cherchez l'erreur;)

 

Le public à un droit: Celui d'être informé.

Seul les produits numériques sous droits propriétaires veulent conserver secret ces failles...

Et étrangement, la totalité des logiciels et autres systèmes d'exploitation libres, diffusent l'existence de failles, et sous moins de 12 heures, un correctif est disponible soit à la MàJ auto, soit à la MàJ manuelle...

A contrario, les autres, sous droits propriétaires, les correctifs se font attendre, ou pire, une fois installés, il créent de nouvelles failles...

 

En criminologie on se demande juste "à qui profite le crime";)

 

Ceci étant, un consommateur à un droit fondamental: Celui d'être informé.

Un professionnel vendant à un particulier consommateur, à une obligation: celle d'informer.

 

Partant de là, et du constat que bien trop souvent les professionnels ne se plient pas à leurs obligation d'informer leurs consommateurs, certains journaux spécialisés, certains "AS" en info se sont donnés la peine ,"eux", de palier à ce manque.

 

Une faille de sécurité en informatique, et c'est le risque pour la protection des données personnelles, d'informations sur la vie privée qui s'ouvre...

On se demande parfois si certains de nos dirigeants ne marchent pas sur la tête...:o

 

Très étrangement, c'est une décision qui arrive alors qu'un très gros éditeur de système d'exploitation à vu paraitre dans les médias spécialisés des failles grosses comme un poing....

Rapport de cause à effet..??:D

Lien vers le commentaire
Partager sur d’autres sites

Le problème est que la jurisprudence française considère qu'il est illégal de tenter de cracker un système même s'il s'agit de trouver des failles.

 

On ne retient que la tentative d'effraction...

 

Idem pour qui tente (et ça s'est déjà fait) de passer des armes dans des bagages à main d'avion, simplement pour vérifier la qualité des contrôles...

Lien vers le commentaire
Partager sur d’autres sites

Le problème est que la jurisprudence française considère qu'il est illégal de tenter de cracker un système même s'il s'agit de trouver des failles.

 

On ne retient que la tentative d'effraction...

 

Idem pour qui tente (et ça s'est déjà fait) de passer des armes dans des bagages à main d'avion, simplement pour vérifier la qualité des contrôles...

 

Ca se tient, mais je pourrais vous donner le nom d'un éditeur d'OS et de ses OS, où sans rien faire pour "cracker" ou "hacker" ledit OS, la faille est visible, soit parce qu'on subit une attaque, soit parce que d'autres logiciels vous le disent simplement...

 

Donc l'argumentaire est bon, mais hélas ne tiens plus en 2010...

 

Pour qu'il y ait des antivirus, il faut des virus.

Pour que des virus aient une légitimité à exister, il faut qu'il y ait possibilité pour ces virus à atteindre leur but primaire.

 

A qui profite le crime à cacher ces failles...?:rolleyes:

 

Ce que j'entends pas là, c'est qu'on est plus dans une histoire juridique, mais bien dans un système d'argent, de commerce, et de capitalisme (la plupart son côtés en bourse^^);)

 

Doit-on rappeler qui était présent au sein de l'hémicycle de l'ass. Nationale, lorsque fut débattue la DADvSI, avec son volet "logiciel espion obligatoire ne fonctionnant que sous un OS spécifique" (non retenu, mais revenu pas la suite avec la HADOPI!!)...??:D (au mépris du règlement de ladite ass. Nationale qui plus est, qui interdit de telles pratiques pour empêcher tout tentative de corruption et de trafic d'influence )

 

enfin bon, passons:o

Lien vers le commentaire
Partager sur d’autres sites

Et pourtant, vous le disiez vous-même, c'est le pays le plus capitaliste du monde qui "récompense " ces pratiques de découverte de failles de logiciels...

 

La mentalité anglo-saxonne, beaucoup plus "libérale" économiquement, voit plus vite les intérêts commerciaux de ce genre de choses, que nous, pays latins et procéduriers, arc-boutés derrière des codes, des lois et des règlements....

Lien vers le commentaire
Partager sur d’autres sites

Pourtant, on ne fait pas pire comme pays procédurier pour un oui ou pour un non....les USA...:D

 

Ceci dit, il est effarant de voir un éditeur d'os ou de logiciel demander qu'en France soit jugé une personne qui à publiée la présence d'une faille de sécurité, alors que dans le même temps, aux USA, pays où se trouve l'éditeur d'os ou de logiciel, une même personne ayant fait exactement la même chose en soit remerciée...;)

 

Je dirais qu'il ne s'agit pas réellement du pays, mais de la vision économique du dit éditeur...

Et on en revient encore une fois à l'aspect économique, ou plus précisément "capitaliste", et non au côté purement juridique..

 

Pourquoi un tel éditeur accepterait que dans tel ou tel autres pays, ce ne soit pas gênant, et que dans un pays en particulier, cela le soit...??:rolleyes:;)

(Peut-être parce que ce pays gênant, est en tête de liste de l'utilisation de système d'exploitation et de logiciels libres...:rolleyes:)

Lien vers le commentaire
Partager sur d’autres sites

En même temps, en matière pénale, l'interprétation des lois est stricte. Mettre la faute sur les juges me semble un peu raccourci: après tout ils ne font qu'appliquer les lois. Il me semble que la question est plutôt de savoir si une forme non pas d'impunité mais d'immunité pourrait être intégrée dans le dispositif législatif, pour ceux que le système américain appelle les "whistle blower".

 

Quant à la tolérance sur laquelle tu t'interroges, Olivier, selon le pays dans lequel on se trouve, elle est extrêmement courante et ne vise pas que les logiciels et la révélation des failles de sécurité... Si on devait engager la même lutte contre le piratage des logiciels (tous !!) au Maroc par exemple, il faudrait saisir quoi, 80, 90% des pc en fonctionnement... Un logiciel à Casablanca coûte entre 1 et 3 euros (selon le logiciel) au fameux Derb Ghalef (le plus gros marché de faux (en quantité, en qualité et en variété) qu'il m'ait été donné de voir...).

Lien vers le commentaire
Partager sur d’autres sites

En même temps, en matière pénale, l'interprétation des lois est stricte. Mettre la faute sur les juges me semble un peu raccourci: après tout ils ne font qu'appliquer les lois. Il me semble que la question est plutôt de savoir si une forme non pas d'impunité mais d'immunité pourrait être intégrée dans le dispositif législatif, pour ceux que le système américain appelle les "whistle blower".

Donc la question est: L'État est-il prêt à cela?;)

Vu la batterie de lois dernièrement votées, et celles qui sont déjà prêtes (HADOPI3 par exemple), j'en doute fortement:o

 

Il faut stigmatiser l'utilisateur, car il ne peut être que présumé coupable (je ne l'invente pas, c'est ce que dit explicitement HADOPI)...

L'internaute n'est autre qu'un pédophile, un terroriste, ou un pirate... (lire les projets de loi concernant la LOPPSI 2)...

Et j'en passe bien d'autre, donc nul en est le sujet ici;)

 

Quant à la tolérance sur laquelle tu t'interroges, Olivier, selon le pays dans lequel on se trouve, elle est extrêmement courante et ne vise pas que les logiciels et la révélation des failles de sécurité... Si on devait engager la même lutte contre le piratage des logiciels (tous !!) au Maroc par exemple, il faudrait saisir quoi, 80, 90% des pc en fonctionnement... Un logiciel à Casablanca coûte entre 1 et 3 euros (selon le logiciel) au fameux Derb Ghalef (le plus gros marché de faux (en quantité, en qualité et en variété) qu'il m'ait été donné de voir...).

 

Remarque, pas besoin d'aller par chez-toi...:D;)

 

Ceci dit, je ne mettais en évidence qu'une chose parmi tant d'autre, et dont le sujet m'est connu.. (et tu sait à quel point)

Lien vers le commentaire
Partager sur d’autres sites

La question est effectivement au niveau politique mais pas seulement... C'est bien sûr un point essentiel dans la perspective d'une évolution du droit (il suffit de voir les "grandes" réformes récentes: la plupart sont issues d'une émotion dans l'opinion publique...). Mais on peut aussi tenter une vision plus proche de la protection de l'intérêt général. Non ?

 

Pour information, un tableur hyper répandu était, il n'y a pas si longtemps, interdit sur les pc de la Défense Nationale parce qu'il envoyait des rapports sur l'activité des utilisateurs à l'éditeur, bien entendu installé à l'étranger... ;)

 

Pour ce qui est du côté de chez moi, l'avantage, c'est le SAV (et pas seulement le prix): en cas de pépin, ils viennent même dépanner la bête (bon, en même temps, je n'ai pas succombé aux sirènes des prix pour les logiciels, je préfère le libre et gratuit... mais pour les films quasi introuvables en version "légale", le prix d'1 euro me va, même quand le film n'est pas encore ou pas depuis longtemps à l'affiche...).

Lien vers le commentaire
Partager sur d’autres sites

Pour moi, une telle jurisprudence est suicidaire dans le mesure où la législation existante est obsolète et qu'elle ne correspond plus aux technologie d'aujourd'hui...

 

Une fois de plus l'État démontre qu'il protège les société et non l'intérêt général, dont entre autre la vie privée et les données personnelles du consommateur final.

Comme avec la DADvSI; la HADOPI et très prochainement la LOPPSI.

 

Ceci contredit l'effet d'annonce gouvernemental sur le fait de mettre l'accent sur la protection du consommateur (que vous nous aviez posté cher animateur;), il n'y a pas si longtemps, et où il est facile de voir qu'avec la suppression régulière d'enquêteurs de terrain à la Repression des fraudes, il est impossible que l'Etat s'engage dans une telle voie, et ne renvoi le consommateur pour sa défense que auprès d'organismes privés et couteux pour le lésé).

 

Il faut dire ce qui est:

Le professionnel à une obligation d'information, et dans un majorité très large ne respecte pas cette obligation.

 

Heureusement pour le consommateur, des journalistes spécialisés relayaient l'information sur les failles... or ces derniers seront désormais hors la loi en le faisant... et qui au final sera une fois de plus le dindon de la farce? Le consommateur final...:mad:

 

Pour en revenir à ce que tu dit Marsu sur la préférence des logiciels libres et os libre, tu n'est pas le seul, et cette jurisprudence me conforte dans mon choix...!

Ma vie privée, mes données personnelles sont elles respectées par ces derniers, contrairement avec les autres, sous droits propriétaires... qui bien au contraire de se soucier de savoir si une personne peut déceler si une faille de sécurité existe, se refuse à ce que cette personne puisse voir qu'il y a des mouchards, transmettant à l'étranger des infos sur l'utilisation et les données entrées par l'utilisateur final... et pire que tout, se refuse à ce que soit porté à la connaissance du grand public l'information concernant le fait que si une faille de sécurité existe, cette dernière peut permettre à l'aspiration des données personnelles contenues sur l'ordinateur qui possède cette faille, que ce soit par logiciel ou système d'exploitation....

 

Hélas, personne ne peut revenir sur cette jurisprudence favorable (comme par hasard à un très grand éditeur d'OS propriétaire), à part le législateur... qui démontre avec le temps que la protection du consommateur ne rentre pas dans sa considération (sou un tas d'excuses toutes plus bidons les unes que les autres par ailleurs).

 

Et dans le même temps, on constate que la promesse d'accès aux actions de groupe n'est toujours pas tenue, et que l'échéance de la création d'une telle loi est systématiquement repoussée, et que pire que tout, cette dernière ne pourrait désormais s'appliquer que si on passe par un organisme privé appelé "association de consommateur", et ont également parlés que seuls les Ass. de consomm. agrées pourrait prétendre à une telle procédure... et qui donnerait ces agréments...??:rolleyes:

 

Bref, le problème est bien plus complexe que le simple fait de cette jurisprudence, hélas.:mad:

Lien vers le commentaire
Partager sur d’autres sites

Attention, il peut aussi s'agir d'une provocation des juges, en applicant la loi, toute la loi, rien que la loi, mais jusqu'à la virgule. C'est déjà arrivé avec un arrêt en droit social connu sous le nom du grand magasin parisien à l'occasion d'un plan social. Les conséquences légales étaient juste insolubles dans la pratique. La loi avait été modifiée par la suite, le législateur prenant soudainement conscience de son erreur.

 

Mais cela suppose également que les juges aient eu conscience (quoi que) de la portée de leur décision et que le législateur la regarde ave cun tant soit peu d'attention...

Lien vers le commentaire
Partager sur d’autres sites

Vu la considération du législateur à l'encontre des utilisateurs d'ordinateurs et d'internet, en faisant systématiquement l'amalgame de voleurs, pirates, terroristes, malades sexuels...et j'en passe des plus belles, je ne doute pas un instant qu'en l'état actuel des chose, rien ne sera fait à l'encontre d'une telle jurisprudence...:rolleyes:;)

 

Quand au parti-pris, je n'en ai plus aucun doute non plus:rolleyes:

 

Le minitel 2.0 arrive à grand renfort de jurisprudences hallucinantes et lois totalement anticonstitutionnelles et illégales (avions-nous déjà vu un loi avoir un amendement portant le nom d'une sté privée, major N°1 en France...?? non jamais... mais c'est arrivé, et les suites de la voie donnée par cet amendement n'est autre que la HADOPI... amendement pour une loi inapplicable devient en elle-même la loi succédant ;) donc loi pour intérêt privé, présentée comme étant une loi d'intérêt général pour un droit commun... l'est pas belle la vie?:mad:)

Lien vers le commentaire
Partager sur d’autres sites

Olivier, il faut nuancer un peu sur les noms donnés aux amendements et aux lois. On a eu un loi, en 1985, sur les faillites, à qui on a donné le nom d'une entreprise stéphanoise qui venait justement de faire faillite. ;) Et ce n'est qu'un exemple parmi d'autres. Mais cela n'enlève rien au fait que le législateur est soumis au lobby d'un certain nombre de personnes et d'entreprises. On a ainsi parlé d'amendements du nom d'une fédération professionnelle, sur des sujets divers et variés mais pouvant avoir un impact sur l'activité des membres de cette fédération ;)

Lien vers le commentaire
Partager sur d’autres sites

Oui.. enfin le projet de loi fut présenté par ladite sté, qui était elle-même présente dans l'hémicycle lors des débats sur la fameuse loi, et ce, au mépris-même du règlement de ladite assemblé, qui l'interdit formellement... Ce n'est pas tout à fait pareil (mais pour diminuer la charge à son encontre, une délégation d'un très gros éditeur d'OS mondialement apposé dans les PC était également présent, ce qui força à l'époque, au président de l'assemblé à faire une allocution médiatique pour s'exprimer sur ce point... ce fut un certain Debré;))

 

Là, nous ne parlons donc pas de la même chose, et relativiser, alors que pour faire passer des lois à l'encontre des internautes, et des utilisateurs du numérique, plus largement, on a recours à des moyens que la loi ne permet pas, ou bien on use d'un passage forcé à la veille de Noël, en soirée, ou durant les vacances...désolé, mais non:eek:

 

Soit on respecte le principe de démocratie et de vote démocratique, englobant un calendrier stricte, soit on se fait tout petit;)

Lien vers le commentaire
Partager sur d’autres sites

Si on respecte le principe démocratique et la séparation des pouvoirs, pourquoi faire revoter (comme par hasard à l'identique après intervention de la commission mixte paritaire...) un texte refusé lors d'un premier vote à l'Assemblée Nationale... Il y a, de nos jours, des choses bizarres qu'on n'avait pas vues depuis longtemps (et, à vrai dire, on ne s'en plaignait pas vraiment...).

Lien vers le commentaire
Partager sur d’autres sites

Nous sommes bien d'accord;)

 

Ce qui m'étonne, c'est que dans le même temps, aucune mesure visant à réprimer tout professionnel dérogeant à son obligation d'information n'a été prise... ce qui laisse entre-voir que le consommateur final va donc se retrouver dans un flou absolu quand aux failles de sécurité (ce mot à une certaine importance, non?:confused:?), car plus personne ne tentera de braver la jurisprudence, au risque de se faire lui-même condamner, alors qu'il ne fait que son travail (rien d'autre)...:o

 

La presse et ses droits fondamentaux, le droit légitime du consommateur sont tout deux bafoués.

Et je ne parle pas des éditeurs de logiciels qui permettent d'avoir une alerte visuelle et/ou sonore, en cas de détection de faille, ou d'intrusion, et qui envoi un rapport à sont éditeur, à des fins de statistiques (ne soyons pas parano:D)...etc...

Combien d'emploi cette jurisprudence va-t-elle toucher? (combien de journaux spécialisés et d'entreprises spécialisé dans la sécurité numérique émettaient des alertes considérées comme d'utilité publique?:rolleyes:;))

Lien vers le commentaire
Partager sur d’autres sites

Ca pose quand même un vrai problème pour un paquet de choses. Par exemple, si personne n'a le droit de révéler une faille de sécurité, mais qu'elle est connue des experts, est-ce qu'on ne pourra pas exercer un recours contre l'éditeur du logiciel en cas de piratage ou de vol de données (personnelles ou non) d'un ordinateur personnel ? ;)

 

Où l'on voit que la lame d'une épée se distingue de celle d'une guillotine, notamment par le fait qu'elle a deux côtés tranchants ;)

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.

© 2000-2021 NET-IRIS, une marque de JuriTravail, société du Groupe MyBestPro. Tous droits réservés.
×
×
  • Créer...