Actualités

Divulgation sur le réseau Internet d'une faille de sécurité informatique

separateur
Internet le 04/01/2010

Partager





Une société spécialisée dans la sécurité informatique publie sur son site des données complètes et précises relatives à la constatation d'une faille dans un format d'image numérique fourni par Microsoft.
La société en avertit d'ailleurs ouvertement l'éditeur, qui la remercie en retour...

Cependant, Microsoft engage une procédure à l'encontre de cette société, estimant qu'elle n'avait pas à divulguer tous les détails relatifs à cette faille ainsi que le moyen de contourner le système.
La question est donc celle de savoir si la simple divulgation, sans inciter directement à l'utilisation, de données issues d'une intrusion dans un programme informatique, est pénalement répréhensible.

Les dispositions de l'article L.323-3-1 du Code pénal énoncent à ce titre:
"Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée."

En première instance, la société est relaxée au motif qu'"elle n'incitait en aucune façon à l'utilisation de ces codes à des fins malveillantes ou de piratage informatique", et que cette divulation n'avait été faite que dans un "souci d'information des menaces existantes non corrigées à destination des utilisateurs de programmes informatiques."
Sur appel du ministère public, le jugement est infirmé au motif que le prévenu [la société], "du fait de son expertise en la matière, il savait qu'il diffusait des informations présentant un risque d'utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance."

Il s'agissait manifestement ici d'une fourniture de moyens, divulgués de manière intentionnelle.
La société savait pertinemment l'usage qui pouvait en être fait et ne pouvait en conséquence qu'être condamnée, la simple information du public ne pouvant en aucun cas constituer l'exception de "motif légitime" visée par le texte.

La Cour de cassation confirme le 27 octobre 2009 la condamnation en estimant que "la constatation de la violation, sans motif légitime et en connaissance de cause, de l'une des interdictions prévues par l'article 323-3-1 du code pénal implique de la part de son auteur l'intention coupable".

En définitive, toute "publicité" de failles informatiques, quelle qu'en soit la finalité, est prohibée.
La peine pénale est ici très faible (1000 €) lorsqu'on sait que les textes prévoient pour ce type d'infraction une peine pouvant s'élever à 30000 €.

Source : Cour de cassation, Chambre Criminelle, 27 octobre 2009, pourvoi n°09-82346

Partager