J’avais déjà discuté d’un sujet approchant (mais différent sur le fond) en évoquant l’affaire Zataz récente (sur ce blog, le 05/10/2009). Est-on libre d’échanger sur les failles de sécurité ?
La décision de la cour d’appel de Montpellier
Commençons par le commencement, la cour de cassation se prononçait en effet sur une décision de la cour d’appel de Montpellier datant du 12 mars 2009. La chronologie y est rappelée:
- il est créé en 2004 une société « spécialisée dans le conseil en sécurité informatique » ;
- le 26 octobre 2005, l’OCLCTIC « avisait le Parquet de Montpellier que la société XYZ diffusait sur son portail internet www…..com des scripts permettant d’exploiter des failles de sécurité informatique, directement visibles sur le site et accessibles à tous« ;
- (non expliqué dans l’arrêt) le bulletin de sécurité Microsoft MS05-053 du 08 novembre 2005 publiait un avis avec une correction proposée, qui ne se révélera pas suffisante ;
- l’enquête était ensuite confiée à la DST, cette enquête confirmait que le dit site Web diffusait « un code d’exploitation d’une faille dans le moteur graphique WINDOWS qui avait donné lieu à une alerte du CERTA (Centre d’Expertise gouvernemental de Réponse et traitement des Attaques informatiques) publiée le 28 décembre 2005 et avant que MICROSOFT y remédie le 5 janvier 2006″;
- il est entendu le 14 mars 2006 par les enquêteurs et on apprend que les revenus de cette société sont issus de la publicité que voient ses visiteurs et d’abonnements que prennent différentes sociétés aux alertes de sécurité ;
- le 28 août 2006, il est entendu et mis en examen par le juge d’instruction et lui confirme qu’il ne diffusera plus d’exploits sur son site Web, il aurait notamment expliqué que la publication de failles et d’exploits lui permettait d’asseoir ses compétences ;
- le prévenu était renvoyé devant le tribunal pour avoir, courant 2005 et 2006 mis à disposition sans motif légitime des programmes ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé des données (infraction prévue par l’article 323-3-1 du code pénal);
- il est relaxé par le tribunal correctionnel,
au motif qu’il est établi que le site www…..com n’incitait en aucune façon à l’utilisation de ces codes à des fins malveillantes ou de piratage informatique, que la seule intention qui ait animé X… Y…. est un souci d’information des menaces existantes non corrigées à destination des utilisateurs de programmes informatiques, qu’il justifie d’ailleurs en avoir été remercié par MICROSOFT, aucune intention délictueuse n’est établie
- la cour d’appel argumente en soulignant que l’article 323-3-1 du code pénal ne prévoit pas « que soit caractérisée une incitation à l’utilisation d’un tel système », mais réprime « le fait sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données »;
- eu égard à sa personnalité, le prévenu n’était condamné qu’à 1000 euros d’amende correctionnelle.
Première conclusion: la personne en cause n’a pas été condamnée pour la publication de failles de sécurité, mais pour la diffusion d’exploits, c’est-à-dire de programmes permettant d’exploiter ces failles de sécurité. On notera au passage que ni Microsoft, ni le CERTA n’ont été poursuivis pour avoir diffusé les informations sur les dites failles, c’est une reconnaissance implicite de la légitimité de l’information sur les failles de sécurité.
La décision de la cour de cassation
Dans un premier temps, il faut comprendre sur quoi ce basait le pourvoi en cassation de l’avocat de la personne condamnée en appel: les défauts de motif et de base légale. L’argumentation se base sur le texte de la convention du Conseil de l’Europe sur la cybercriminalité, que son client n’incitait pas à commettre d’infraction avec les dits outils de piratage, que la cour ne s’appuyait que sur la motivation économique du prévenu et faisait référence à des antécédents judiciaires de façon générale.
L’argumentation de la cour de cassation se présente de la façon suivante:
- le site Web diffusait de façon visible et accessible des moyens permettant d’exploiter des failles de sécurité ;
- la compétence en sécurité informatique du prévenu ne pouvait lui faire ignorer le risque lié à l’utilisation éventuelle des codes d’exploitation qu’il diffusait et il ne peut donc arguer ainsi de son intention d’informer ;
- elle écarte le débat sur les antécédents judiciaires et conclut que la cour d’appel a parfaitement justifié la condamnation.
Le pourvoi en cassation est donc rejeté. Le prévenu définitivement condamné.
Conclusion
L’article 323-3-1 du code pénal:
Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.
La cour de cassation a donc bien confirmé qu’il n’est pas légitime, sous des motifs d’information du public, de diffuser sur un site Web accessible à tout un chacun des programmes informatiques ou des codes source de programmes informatiques permettant d’exploiter des failles de sécurité.
En revanche, il est parfaitement légitime d’informer sur les failles de sécurité.
Les débats présentés ici nous permettent de comprendre aussi que le juge est parfaitement ouvert à considérer que l’information de professionnels (en particulier la société qui commercialise un logiciel défaillant, les CERT, etc…) sur les moyens concrets d’exploiter des failles de sécurité, dans un contexte de bonnes pratiques est légitime, mais ce n’est pas ce qui était reproché dans cette affaire.