Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Itrust : La loi de programmation militaire a-t-elle vraiment rendu légale l’attaque de sites internet ?

janvier 2014 par Itrust

Suite à une médiatisation massive mais relativement tardive, la loi de programmation militaire (LPM) a alimenté les passions en décembre dernier. Fixant le cadre législatif et budgétaire de la Défense pour les cinq prochaines années, la LPM a pu être vue comme un équivalent français du Patriot Act états-unien. Une disposition a toutefois échappé aux observateurs. En effet, Thiébaut Devergranne vient de relever l’existence dans cette loi d’une disposition « autorisant désormais les attaques informatiques pour tester leur fonctionnement ou leur sécurité ».

Il apparaît en effet que la LPM est ambiguë, à un point tel que l’attaque de sites internet a semblé être permise par ses dispositions. Pourtant le législateur ne l’entend pas ainsi.
La modification du Code de la propriété intellectuelle par la LPM

L’indispensable lecture de son article nous apprend que l’article 25 de la LPM modifie l’article L. 122-6-1 III du Code de la propriété intellectuelle (CPI) en y insérant trois mots « ou la sécurité ».

Ce n’est qu’à la lecture de l’article consolidé du CPI que le problème apparaît : « La personne ayant le droit d’utiliser le logiciel peut sans l’autorisation de l’auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n’importe quel élément du logiciel lorsqu’elle effectue toute opération de chargement, d’affichage, d’exécution, de transmission ou de stockage du logiciel qu’elle est en droit d’effectuer ».

Le test de la sécurité d’un site internet permis ?

Un site internet est assimilable à un logiciel, car son code constitue un « ensemble de programmes, procédés et règles (…) relatifs au fonctionnement d’un ensemble de traitement de données ». De plus, tout site internet a, pour fonctionner, recours à des logiciels, par exemple Apache.

Il serait donc possible « pour déterminer les idées et principes qui sont à la base » et tester la sécurité du logiciel d’effectuer des tests de vulnérabilité contre tout site internet normalement accessible et sans l’autorisation de son auteur. Certains ont donc vu dans la LPM la légalisation de toutes les attaques subies par un site internet.

Un législateur aux motivations bien différentes

Mais l’exposé des motifs de l’amendement à l’origine de l’article 25 de la LPM assure que celui-ci a seulement pour but de clarifier et de sécuriser juridiquement des entreprises et produits ou services de sécurité informatique.

Cet article tend de ce fait à permettre de tester les vulnérabilités d’un site ou d’un programme. Ainsi, l’article 25 modifie, en plus du CPI, une disposition connexe du Code pénal afin de lever l’ambiguïté dans laquelle se trouvaient les entreprises et solutions de sécurité informatique. Les deux modifications de codes permettent de qualifier l’utilisation de programmes de sécurité informatique comme une activité légitime, constituant alors une exception à l’interdiction de tels programmes.
La limite de la loi Godfrain

De plus, la loi dite Godfrain du 5 janvier 1988 vise à prévenir la fraude informatique en interdisant l’accès ou le maintien frauduleux, ainsi que leur tentative, dans un système de traitement automatisé de données. Cette loi pose donc une sérieuse limite aux tests de vulnérabilités « sauvages » réalisés sans l’autorisation de l’auteur d’un site et qui auraient été introduits dans la LPM.

Conclusion

In fine, sous couvert de l’amélioration du cadre permettant l’activité de sécurité informatique et les tests de vulnérabilité, il semble que le législateur se soit perdu dans l’empilement normatif et a permis, sous certaines conditions, de tester la sécurité des sites internet sans aucun accord. Toutefois, l’ouverture sans condition d’une telle brèche semble contraire à la volonté du législateur. De même, il convient de prendre en compte la loi Godfrain qui réduit sensiblement la marge de manœuvre des attaquants de sites internet. Mais, en attendant la correction législative de l’article 25 de la LPM, une certaine insécurité juridique règne…


Voir les articles précédents

    

Voir les articles suivants