Il est désormais légal d’attaquer des sites web (pour « tester » leur sécurité) !

• Thiébaut Devergranne

Parmi les perles cachées de la LPM je viens de découvrir une énormité qu’un RSSI avisé à eu la gentillesse de me transmettre.

Droit à l'oubliEn résumé : la loi autorise désormais les attaques informatique – y compris sur des systèmes gouvernementaux d’ailleurs – pour « tester [leur] fonctionnement ou [leur] sécurité »

Si vous pensez comme moi que l’on est en plein délire, et que ce que vous venez de lire relève d’un mauvais poisson d’avril, lisez ce qui suit… Initialement on croit rêver, mais le Gouvernement l’a (vraiment) fait !

1. Rétrospective de la (méga)-bourde

En fait, tout commence par l’article 25 de la LPM :

Article 25

I. ― A l’article 323-3-1 du code pénal, après les mots : « sans motif légitime », sont insérés les mots : « , notamment de recherche ou de sécurité informatique ».

II. ― Au III de l’article L. 122-6-1 du code de la propriété intellectuelle, après les mots : « le fonctionnement », sont insérés les mots : « ou la sécurité »

La bourde est dans le « ou la sécurité »… 3 mots qui vont déraper.

Vous notez que, comme souvent, cette loi complète d’autres textes de loi, ici le Code pénal, et le Code de la propriété intellectuelle. En fait pour avoir déjà vécu le cheminement d’un projet de loi, il est fréquent de se retrouver avec ce genre de « micro-dispositions » que quelqu’un propose à un moment donné, qui est inséré dans le projet de loi mais que personne ne va suivre en réalité. Je ne suis pas allé vérifier cela dans les débats parlementaires, mais je parierai volontiers que ces dispositions n’ont pas fait l’objet d’un grand débat au parlement, ni d’une réelle réflexion…

Il est vraisemblable que la portée de cette disposition ait échappé à son auteur. Lorsque l’on observe les dispositions modifiées de l’article L122-6-1 du Code de la propriété intellectuelle on constate en effet que celui-ci autorise purement et simplement de tester la sécurité informatique de sites web (y compris gouvernementaux, diplomatiques, militaires, les systèmes de santé, bref il n’y a aucune limites !), de même que tout logiciel en fonctionnement et cela quel qu’il soit :

« III. La personne ayant le droit d’utiliser le logiciel peut sans l’autorisation de l’auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n’importe quel élément du logiciel lorsqu’elle effectue toute opération de chargement, d’affichage, d’exécution, de transmission ou de stockage du logiciel qu’elle est en droit d’effectuer« .

Il n’est même pas nécessaire de requérir l’autorisation de l’auteur, puisque la loi en dispense expressément !

La seule condition réelle imposée par la loi est de chercher à « _déterminer les idées et principes qui sont à la base de n’importe quel élément du logiciel ». _Autant dire qu’on a de la marge !

Si je devais faire du droit-divinatoire, je dirais qu’initialement l’auteur de ces modifications souhaitait simplement ouvrir un peu plus la possibilité de faire du reverse-engineering pour des motifs de sécurité informatique.

[EDIT: Jean-March Manach à eu la gentillesse de me pousser l’amendement initial qui a introduit l’article 25 dans le texte de loi que je n’avais pas eu le temps d’aller chercher hier quand j’ai rédigé l’article].

2. Peut-on vraiment légalement tester la sécurité d’un site web ?

En l’état actuel les dispositions du Code de la propriété intellectuelle sont extrêmement claires, à condition de le faire « pour déterminer les idées et principes qui sont à la base de n’importe quel élément du logiciel« …

Pour autant, ces dispositions entrent directement en conflit avec l’article 323-1 du Code pénal qui interdit le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données… Autant d’ailleurs que l’article 323-7 du Code pénal, qui incrimine la tentative d’accès ou de maintien frauduleux.

Mais le caractère frauduleux qu’imposent ces deux articles, en pratique, aura du mal à être caractérisé puisque la loi autorise expressément ce type de tests de sécurité.

En l’état actuel, on ne voit donc pas très bien ce qui pourrait l’empêcher…

3. Conséquences…

Il résulte de tout cela, certaines conséquences intéressantes :

  • d’abord tous les procès en cours qui mettent en jeu des personnes ayant recherché une faille de sécurité par exemple sur un site web vont être annulés, la loi ayant introduit une exception spécifique ici.
  • Ensuite, on va voir évidemment arriver un flot de « tests de sécurité » sur des serveurs web que les entreprises et administrations vont devoir gérer, avec évidemment leur lots de dérapages.
  • Quelqu’un un très vraisemblablement préparer en urgence un correctif législatif…

En attendant, ces dispositions sont génératrices d’un risque juridique majeur, car – à n’en pas douter – de nombreuses personnes vont se lancer dans « l’observation » de la sécurité de systèmes informatiques.

Car, dans ce lot évidemment une bonne partie va déraper, et plutôt que rester sur une étude de sécurité, de nombreux « chercheurs » vont modifier des données, porter atteinte aux systèmes, supprimer les données qu’ils contiennent, autant d’infractions qui sont elles bien en vigueur. Pour ceux qui vont s’y aventurer, le risque juridique est extrêmement élevé.

En fait si on avait voulu créer un cataclysme juridique on aurait pas mieux fait.

Et dans l’attente du correctif législatif,  les entreprises françaises (de même que les administrations) vont pouvoir se faire attaquer légalement (toujours pour « tester » leur sécurité évidemment) par des organisations étrangères qui vont évidemment pouvoir s’amuser…

Merci qui ?


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)