• Home  / 
  • Données personnelles
  •  /  Il est désormais légal d’attaquer des sites web (pour « tester » leur sécurité) !

Il est désormais légal d’attaquer des sites web (pour « tester » leur sécurité) !

Parmi les perles cachées de la LPM je viens de découvrir une énormité qu'un RSSI avisé à eu la gentillesse de me transmettre.

Droit à l'oubliEn résumé : la loi autorise désormais les attaques informatique - y compris sur des systèmes gouvernementaux d'ailleurs - pour "tester [leur] fonctionnement ou [leur] sécurité"...

Si vous pensez comme moi que l'on est en plein délire, et que ce que vous venez de lire relève d'un mauvais poisson d'avril, lisez ce qui suit... Initialement on croit rêver, mais le Gouvernement l'a (vraiment) fait !

1. Rétrospective de la (méga)-bourde

En fait, tout commence par l'article 25 de la LPM :

Article 25

I. ― A l'article 323-3-1 du code pénal, après les mots : « sans motif légitime », sont insérés les mots : « , notamment de recherche ou de sécurité informatique ».
II. ― Au III de l'article L. 122-6-1 du code de la propriété intellectuelle, après les mots : « le fonctionnement », sont insérés les mots : « ou la sécurité »

La bourde est dans le "ou la sécurité"... 3 mots qui vont déraper.

Vous notez que, comme souvent, cette loi complète d'autres textes de loi, ici le Code pénal, et le Code de la propriété intellectuelle. En fait pour avoir déjà vécu le cheminement d'un projet de loi, il est fréquent de se retrouver avec ce genre de "micro-dispositions" que quelqu'un propose à un moment donné, qui est inséré dans le projet de loi mais que personne ne va suivre en réalité. Je ne suis pas allé vérifier cela dans les débats parlementaires, mais je parierai volontiers que ces dispositions n'ont pas fait l'objet d'un grand débat au parlement, ni d'une réelle réflexion...

Il est vraisemblable que la portée de cette disposition ait échappé à son auteur. Lorsque l'on observe les dispositions modifiées de l'article L122-6-1 du Code de la propriété intellectuelle on constate en effet que celui-ci autorise purement et simplement de tester la sécurité informatique de sites web (y compris gouvernementaux, diplomatiques, militaires, les systèmes de santé, bref il n'y a aucune limites !), de même que tout logiciel en fonctionnement et cela quel qu'il soit :

"III. La personne ayant le droit d'utiliser le logiciel peut sans l'autorisation de l'auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer".

Il n'est même pas nécessaire de requérir l'autorisation de l'auteur, puisque la loi en dispense expressément !

La seule condition réelle imposée par la loi est de chercher à "déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel". Autant dire qu'on a de la marge !

Si je devais faire du droit-divinatoire, je dirais qu'initialement l'auteur de ces modifications souhaitait simplement ouvrir un peu plus la possibilité de faire du reverse-engineering pour des motifs de sécurité informatique.

[EDIT: Jean-March Manach à eu la gentillesse de me pousser l'amendement initial qui a introduit l'article 25 dans le texte de loi que je n'avais pas eu le temps d'aller chercher hier quand j'ai rédigé l'article].

2. Peut-on vraiment légalement tester la sécurité d'un site web ?

En l'état actuel les dispositions du Code de la propriété intellectuelle sont extrêmement claires, à condition de le faire "pour déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel"...

Pour autant, ces dispositions entrent directement en conflit avec l'article 323-1 du Code pénal qui interdit le fait d'accéder ou de se maintenir frauduleusement dans tout ou partie d'un système de traitement automatisé de données... Autant d'ailleurs que l'article 323-7 du Code pénal, qui incrimine la tentative d'accès ou de maintien frauduleux.

Mais le caractère frauduleux qu'imposent ces deux articles, en pratique, aura du mal à être caractérisé puisque la loi autorise expressément ce type de tests de sécurité.

En l'état actuel, on ne voit donc pas très bien ce qui pourrait l'empêcher...

3. Conséquences...

Il résulte de tout cela, certaines conséquences intéressantes :

  • d'abord tous les procès en cours qui mettent en jeu des personnes ayant recherché une faille de sécurité par exemple sur un site web vont être annulés, la loi ayant introduit une exception spécifique ici.
  • Ensuite, on va voir évidemment arriver un flot de "tests de sécurité" sur des serveurs web que les entreprises et administrations vont devoir gérer, avec évidemment leur lots de dérapages.
  • Quelqu'un un très vraisemblablement préparer en urgence un correctif législatif...

En attendant, ces dispositions sont génératrices d'un risque juridique majeur, car - à n'en pas douter - de nombreuses personnes vont se lancer dans "l'observation" de la sécurité de systèmes informatiques.

Car, dans ce lot évidemment une bonne partie va déraper, et plutôt que rester sur une étude de sécurité, de nombreux "chercheurs" vont modifier des données, porter atteinte aux systèmes, supprimer les données qu'ils contiennent, autant d'infractions qui sont elles bien en vigueur. Pour ceux qui vont s'y aventurer, le risque juridique est extrêmement élevé.

En fait si on avait voulu créer un cataclysme juridique on aurait pas mieux fait.

Et dans l'attente du correctif législatif,  les entreprises françaises (de même que les administrations) vont pouvoir se faire attaquer légalement (toujours pour "tester" leur sécurité évidemment) par des organisations étrangères qui vont évidemment pouvoir s'amuser...

Merci qui ?

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

30 comments
Jojo - 3 years ago

Oui enfin il ne faut pas oublier qu’il y a la loi du juge, et la loi des textes, ce sont quand même 2 choses sensiblement différentes

Reply
    Thiébaut Devergranne - 3 years ago

    Le juge applique la loi, mais comme je l’ai rappelé « En attendant, ces dispositions sont génératrices d’un risque juridique majeur, car – à n’en pas douter – de nombreuses personnes vont se lancer dans “l’observation” de la sécurité de systèmes informatiques », ce qui est risqué tant que la JP ne s’est pas prononcée sur le sujet.

    Mais elle n’aura probablement pas le temps de se prononcer, à mon sens l’erreur sera corrigée par un nouveau projet de loi.

    Reply
Titus - 3 years ago

Monsieur Devergranne,

Peut-on considérer que tout site Web accessible sur Internet est à priori « public », et que par conséquent, nous sommes tous des « utilisateurs » potentiels?
Par exemple, est-ce que la page d’accueil d’un site Web est considérée comme étant publique, même si celui-ci possède toute une zone réservée à ses adhérents?
Dans l’affirmative, n’importe qui pourrait se considérer comme un utilisateur légitime, et donc dans son droit de « tester la sécurité » de la page d’accueil de ce site?

Merci.

Reply
    Thiébaut Devergranne - 3 years ago

    Bonjour Titus,

    Vous avez soulevé le coeur du problème qui est que les sites web publics ont pour finalité de laisser les utilisateurs un accès libre.

    Légalement la loi autorise l’étude du fonctionnement de ces logiciels (le serveur web, les logiciels qui permettent de diffuser le contenu comme WordPress par exemple).

    Evidemment cela va poser un tas de problèmes pour délimiter légalement ce nouveau droit et les infractions des articles 323-1 et suivants qui sanctionnent les atteintes aux systèmes informatiques.

    A ce titre je déconseille TRES FORTEMENT de jouer avec ces dispositions pour s’amuser à tester le fonctionnement des systèmes que vous avez en face de vous. Disons qu’il y a une prise de risque très importante d’un point de vue juridique si vous franchissez la ligne…

    Reply
      Titus - 3 years ago

      Une autre question:
      Peut-on envisager une seconde que cela ne soit pas une erreur mais une nouvelle stratégie de la part de l’Etat? Dire aux personnes intéressés « allez-y, testez, contribuez à identifier les failles des systèmes d’information français, la Loi vous protégera… »
      Ce serait une approche très limite, mais qui pourrait peut-être contribuer à faire avancer la sécurité…
      Est-ce envisageable?

      Merci.

      Reply
Melkor - 3 years ago

Après les mots : « sans motif légitime », sont insérés les mots : « , notamment de recherche ou de sécurité informatique ».

Ce qui est vraiment délirant est que cet article peut signifier 2 choses radicalement contraires.

1- Si le « notamment » s’applique à « motif légitime », le texte précise que la recherche et la sécurité informatique sont des motifs légitimes
2- Si le « notamment », comme le français l’impose en raison de la virgule, s’applique à toute la proposition précédente « sans motif légitime » i.e « avec un motif illégitime », le texte précise que la recherche et la sécurité informatique ne sont pas des motifs valables.

Yeeehaaaa!! Vive la république! Vive la France!

Reply
iteanu - 3 years ago

Bravo à l’auteur, c’est bien vu et très clair. Il est manifeste que les auteurs des textes entendaient réserver les modifications de l’article 25 aux seuls sercices (déjà très nombreux d’ailleurs) de police douane et Cie. En modifiant le code pénal et le code de la propriété intellectuelle (où est le ministère de la culture ?), ils ont, c’est vrai commis une vraie bourde

Reply
    Thiébaut Devergranne - 3 years ago

    Merci Olivier 😉
    Cela me fait très plaisir que les juristes s’emparent du sujet.
    Oui ce n’est pas tout à fait facile de parler d’une aussi grosse ânerie (je pense être le premier à avoir soulevé le sujet côté juridique) et j’ai douté, douté, douté, douté, avant de me rendre compte à l’évidence qu’en fait non le texte est très clair et indiscutable.

    Donc oui énorme bourde…

    Reply
b0fh - 3 years ago

Croyez-vous vraiment que les « organisations étrangères » désireuses d’attaquer des entreprises françaises vont se laisser arrêter par une quelconque législation ?

De plus, la prévalence des réseaux anonymisants, botnets payants, ou autres machines tierces compromises servant d’intermédiaires, peut rendre quasi-impossible l’identification des attaquants pour peu qu’ils disposent de la volonté et des finances nécessaires.

En considérant toutes les occasions auxquelles ces lois ont été invoquées, dans quelle proportion des cas l’attaquant était-il une société étrangère à l’identité connue et aux intentions malveillantes avérées ? et dans quelle proportion un chercheur indépendant un peu trop zélé mais sans mauvaises intentions ?

Internet est un réseau global, qui présente un nombre potentiel d’attaquants immense. Dans ces conditions, il est illusoire de vouloir les maintenir à distance par des mesures légales; les mesures techniques doivent prévaloir.

En supposant qu’une partie importante des chercheurs va « déraper », vous faites bien peu de cas de leur intelligence et de leur éthique. Au contraire, punir les conséquences (pertes de données ou rupture de confidentialité) plutôt que l' »audit sauvage » (définition vague au possible), permettra aux chercheurs de remonter leur découvertes sans crainte de la réaction émotionnelle d’un DSI blessé dans son ego. La sécurité technique ne pourra qu’en bénéficier.

Reply
Sebdraven - 3 years ago

Sauf qu’il y a une méprise, on parle de LOGICIEL. Donc on peut chercher des vulnérabilités sur le serveur Apache ok mais cela se fait en offline et surement pas sur le site web d’un hébergeur comme un sauvage. Encore moins la vulnérabilité sur le contenu même du site web. Je pense que pas mal de personne s’emballe sur ce sujet qui pour moi est un non sujet.

Reply
    Thiébaut Devergranne - 3 years ago

    Oui et non. Vous soulevez un véritable point de discussion juridique à savoir est-ce qu’un site web est un logiciel. Les choses ne sont pas du tout tranchées en l’espèce car :

    – une application web totalement spécifique est un logiciel (ex : une API)
    – certains sites web sont développés entièrement « maison », Facebook en est un bon exemple, et sont des logiciels à part entière

    Pour le cas du site lui-même, il est « propulsé » par des logiciels : par exemple PHP, Apache, WordPress, Mysql, et j’en passe, qui sont assemblés pour livrer un contenu sur le web. Et derrière ce sont bien des lignes de code !

    Maintenant la loi n’a pas été prévue pour ça, ce point est indiscutable, personne ne le conteste. La difficulté à laquelle nous sommes confrontés est que sa rédaction est tellement large que cela englobe de pouvoir tester la sécurité de sites.

    Evidemment cela pose des TAS de problèmes d’interprétation juridique (l’adéquation avec les articles 323-1 et s, notamment).

    En pratique, on a bcp discuté ce matin sur Twitter sur le fait de savoir comment la JP devra gérer cela. Personnellement j’espère qu’elle n’aura pas à le gérer et qu’un « patch » législatif interviendra dans l’urgence pour clarifier ce point, sans quoi ce serait vraiment une catastrophe…

    Donc une grosse bourde de rédaction, mais pas de panique, ce sera corrigé (dans combien de temps est la vraie question).

    Reply
      Sebdraven - 3 years ago

      Une API est surtout service qui sert à se plugger dessus.
      Concernant PHP et autres, la loi vous permet de chercher des vulnérabilités mais absolument pas en online sinon vous êtes sur le coup de la loi Godefrain.
      Donc je maintiens que cela ne s’applique pas au site web. Et que certains se servent d’une méconnaissance de la loi et/ou du caractère technique pour faire peur. Cela encadre la recherche de vulnérabilité sur des système fermé. C’est tout. Absolument pas des applicatifs qui sont dans la nature.

      Reply
        Thiébaut Devergranne - 3 years ago

        Une API est un logiciel (sauf à dire qu’il n’y a pas de code derrière…), pour lequel vous avez une licence d’utilisation. Donc l’article L 122-6-1 va trouver à s’appliquer.

        Reply
          vincent - 3 years ago

          Certes, mais le « code » d’une API est fourni et bien souvent public, pour permettre son utilisation en effet. Vous pouvez donc tout à fait l’auditer (sans difficultés 🙂
          Mais vous n’avez pas le droit de rechercher des vulnérabilités sans mandat du service en ligne auquel l’API vous facilite l’accès (comme expliqué par Sebdraven).

          Reply
            Thiébaut Devergranne - 3 years ago

            Il y a en effet une limite assez fine entre l’application de la loi Godfrain et ce qui est autorisé par l’article L. 122-6-1. On peut en discuter pendant des mois car je pense que vue la marge d’interprétation dont on dispose il est permis de soutenir tout et son contraire.
            En attendant que la JP se prononce (en espérant que non) ou qu’un correctif législatif se fasse…

            Reply
    Gkar - 3 years ago

    +1
    Pour ma part je pense comme vous => Si je ne me trompe pas c’est ce que l’on appel du « reverse engineering »
    En aucun cas, il ne parle de site Web

    Reply
Ludovic Blin - 3 years ago

Le législateur a, semble-t-il, voulut organiser un mega-pentest sur l’ensemble du cyberespace national. Les juges pourront toujours condamner les intrusions persistantes ou au moins celles ayant causé un dommage.

Cela contrebalance l’autre bourde de cette loi à savoir l’article 13.

Ainsi, la LPM donne carte blanche, d’une part aux services de police et renseignement pour cybersurveiller la population en temps réel, mais aussi à la population (et donc aux anonymous) pour réaliser un gigantesque pentest dont le scope est l’ensemble du territoire et des institutions.

C’est un mécanisme juridique étonnant, mais qui pourrait entraîner par adaptation un renforcement de la sécurité, de la confidentialité, et même une protection accrue de la vie privée.

Reply
    Thiébaut Devergranne - 3 years ago

    😉

    Bon légalement le texte n’est pas vraiment prévu pour ça, mais de bourdes en bourdes on y finit par y arriver effectivement !

    Reply
    Titus - 3 years ago

    mouais… On pourrait aussi dire « vous pouvez essayer de pénetrer dans n’importe quelle maison ou propriété privée, ça permettra de vérifier que celles-ci sont bien protégées »… Ca serait un peu irresponsable comme approche!

    Derrière des logiciels/sites Web/SI qui tombent à cause d’un méga pentest « collaboratif », il peut y avoir des grave dommages collatéraux, voire des vies humaines!

    Reply
Ludovic Blin - 3 years ago

C’est la « french touch » 😀

En ajoutant à cela la diffusion a vitesse rapide de l’utilisation des techniques de chiffrement par la population, du fait notamment des outils « nsa-proof », et l’utilisation d’authentifications « blockchain-based », on peut augmenter rapidement la sécurité de notre partie du cyberespace, et cela pour un coût modique.

Lors de la récente audition sur les monnaies virtuelles au Sénat, il était assez manifeste que les sénateurs ne comprenaient pas tous complètement le phénomène, mais qu’ils sentaient bien, grâce à une sage intuition, qu’il y avait la une opportunité pour le pays.

Ce régime juridique innovant (d’ailleurs beaucoup d’innovations arrivent par hasard ou erreur) mérite surement d’être testé, ce qui est d’ailleurs le cas en ce moment même puisque la loi a été promulguée.

Reply
La loi de programmation militaire a-t-elle vraiment rendue légale l'attaque de sites internet? - 3 years ago

[…] Suite à une médiatisation massive mais relativement tardive, la loi de programmation militaire (LPM) a alimenté les passions[1] en décembre dernier. Fixant le cadre législatif et budgétaire de la Défense pour les cinq prochaines années, la LPM a pu être vue comme un équivalent français du Patriot Act états-unien[2]. Une disposition a toutefois échappé aux observateurs. En effet, Thiébaut Devergranne vient de relever l’existence dans cette loi d’une disposition « autorisant désormais les attaques informatiques pour tester leur fonctionnement ou leur sécurité »[3]. […]

Reply
Les liens du vendredi | Pierre DAL ZOTTO - a couple of years ago

[…] pourrait désormais tester la sécurité des sites et logiciels, à prendre avec des pincettes. En soit, une excellente idée, […]

Reply
PierreJ - a couple of years ago

Effectivement l’article en question n’a pas été très débattu au Parlement. L’article 122-6-1 se concentre sur les logiciels. On est ici surtout dans le droit de la contrefaçon.
Par ailleurs la première partie de l’article est aussi mal rédigée. Il faut toujours se méfier des « notamment » dans un texte de loi qui introduisent de l’imprécision et ne veulent pas dire grand chose.

Reply
    Thiébaut Devergranne - a couple of years ago

    Oui, effectivement dans ce cas précis, ce n’est pas très bien structuré 😉
    Après, il y a également de bonnes raisons d’utiliser « notamment », notamment dans les cas ou on ne peut lister toutes les situations ;)))

    Reply
armand - a couple of years ago

Bonjour,
Pour aller dans le même sens qu’un commentateur précédent, un site web n’est absolument pas un logiciel. Un site web utilise un certain nombre de logiciels, mais amalgamer site web et logiciel est une erreur.
Vous prenez comme exemple facebook, qui pour vous est un logiciel développé spécifiquement. Ce n’est pas le cas, Facebook est un service, un site web, mais ce n’est pas un logiciel. Facebook utilise par exemple Hadoop (http://hadoopblog.blogspot.fr/2011/05/realtime-hadoop-usage-at-facebook-part.html), qui est un logiciel open source publié par la fondation Apache.
Par contre l’application Facebook pour iOs est un logiciel. Vous pouvez vous amuser à tester la sécurité de cette application tant que vous voulez, mais en aucun cas vous pouvez vous prévaloir de cette faculté pour vous introduire, même par le biais de l’application, dans les serveurs de Facebook.
Par ailleurs le CPI parle de personne autorisée à utiliser le logiciel, ce qui vise clairement la personne qui a installé le logiciel sur le serveur et qui en a accepté le contrat de licence. Lorsqu’un site web utilise un logiciel type Apache, la personne autorisée à utiliser le logiciel est le gestionnaire du site web, et non pas l’internaute. Donc en aucun cas l’internaute ne peut se prévaloir du CPI pour tester quoi que ce soit.
Pour reprendre l’exemple de Facebook, Facebook a très certainement accepté les conditions d’utilisation de Hadoop et est donc autorisé à utiliser le logiciel Hadoop afin de fournir son service de réseau social, mais les utilisateurs de Facebook ne peuvent être pour autant qualifiés d’utilisateurs de Hadoop, ils ne bénéficient donc pas des exceptions du CPI. Même chose pour un serveur apache, l’internaute lambda n’a pas accepté le contrat de licence et n’est donc pas la personne visée par le CPI.
Pour le dire autrement votre analyse consiste à dire que comme la loi vous autorise à tester la sécurité d’une serrure que vous avez achetée dans une grande surface de alors vous pouvez impunément forcer la porte de vos voisins s’ils utilisent la même serrure.
La modification du CPI est un vrai plus car elle va permettre aux entreprises de tester la sécurité des logiciels dont elles acquièrent des licences, et ce sans avoir à demander l’autorisation à l’auteur. J’espère donc que ces dispositions ne seront pas corrigées car il n’y a rien à corriger ! Et s’il y a des inconscients qui espèrent se servir de ces dispositions pour échapper aux poursuites, ils resteront de toute façon condamnables pour intrusion et/ou maintient dans un STAD. Regardez la logique suivie par la cours d’appel qui a condamné Bluetouff : le caractère frauduleux du maintient n’aurait pas été remis en question par la nouvelle exception du CPI.

Reply
    chzoul - last year

    Bonjour, contrairement à vous, je pense que l’on peut dans la majorité des cas dire qu’un site internet est un logiciel. En effet, puisque beaucoup ici parlent de PHP, je tiens à rappeler qu’il s’agit d’un langage de programmation, et que les pages qu’un site développé en icelui affiche sont comparables à l’interface utilisateur d’un quelconque autre logiciel. Le fait qu’il y ait interactivité induit qu’il y ait logiciel. Seul un site totalement statique pourrait ne pas être un logiciel. Quand bien même ce raisonnement serait erroné, l’accès au site internet m’étant permis, j’ai donc un droit d’utilisation du logiciel soutenant ledit site, sans quoi ma simple connexion au site serait frauduleuse. Il en découle que les dispositions dont nous discutons sont applicables.

    Reply
      Thiébaut Devergranne - last year

      Oui exactement. Il suffit de regarder comment sont conçus les sites web aujourd’hui pour voire qu’il y a une bonne dose de logiciel derrière. Prenez woo-commerce par exemple, quelques (probablement dizaines de…) milliers de lignes de codes…

      Reply
Click here to add a comment

Leave a comment: