K-OTik : Réactions des experts en sécurité vis-à-vis de l'article 34 de la LEN

Réactions des acteurs de la sécurité vis-à-vis de l'article 46 de la LEN

Par Fabien Lesner (K-OTik.COM) - Après l'adoption en deuxième lecture dans la nuit de jeudi à vendredi 9 Avril 2004 du projet de loi sur l'économie numérique (LEN), l'article 46 de cette loi est désormais officiellement connu, ce qui soulève beaucoup d'inquiétudes dans le milieu des professionnels français et experts en sécurité. Cet article 46 de la LEN introduit le nouvel article 323-3-1 au code pénal, dont voici la version finale :

« I - Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.
II. - Aux articles 323-4 et 323-7 du code pénal, les mots : « les articles 323-1 à 323-3 » sont remplacés par les mots : « les articles 323-1 à 323-3-1 ».

Deux notions importantes ont été définitivement supprimées : La première concernait la manipulation/publication dans le cadre de la recherche scientifique (supprimée par l'amendement n° 84), la seconde notion définissait un cadre de "non intentionnalité" protégeant les personnes piratées ou infectées par des virus (supprimé par l'amendement n° 22).

Le CLUSIF avait, depuis 2003, transmis ses remarques et ses inquiétudes quant aux nouvelles dispositions de cet article et notamment la notion imprécise de "motif légitime".

Le rédacteur en chef de TheHackademy Journal, magazine traitant de la sécurité informatique, affirme son scepticisme : "Cette loi n'apportera donc rien de réellement efficace, et risque d'être désastreuse à long terme sur le niveau de sécurité des services Internet et des entreprises en France. Les magazines et sites web proposant des informations détaillées sur des risques informatiques risquent de se transformer, soit par peur soit par contrainte judiciaire, en fournisseurs de contenu autocensuré de faible intérêt technique... et donc de faible efficacité pour la sécurité des SI.".

Aucune réponse nouvelle aux crimes informatiques n'est apportée par cette loi, il ajoute : "Les instigateurs de cette loi sont partis d'une intention louable (lutter contre les créateurs de virus), mais n'ont pas compris les implications réelles du texte naïf qu'ils ont adopté : - le développement indépendant d'outils de sécurité informatique libres sera très découragé. En effet beaucoup de ces outils peuvent être utilisés à des fins d'attaque (comme les crackers de mots de passe ou les scanners de vulnérabilités, pourtant indispensables pour les administrateurs). - les pirates continueront à chercher des failles et développer des outils d'attaque. Ils étaient déjà dans l'illégalité et le resteront. - les hackers "white hat" ou "grey hat", qui développent les mêmes outils et cherchent les mêmes failles mais sans intention de les exploiter pour nuire, se cacheront (ou seront découragés) et ne publieront donc plus leurs découvertes. Les responsables sécurité et le grand public ne sera donc pas au courant de "l'état de l'art" en sécurité informatique... et les pirates feront ce qu'ils veulent !" Un avis partagé par Frédéric Raynal, rédacteur en chef du magazine sécurité MISC : "Il me semble qu'un certain nombre de points de la LEN sont destinés à alléger le travail des juges. Or, cet article va à l'encontre de cette logique. En effet, la nuance "sans motif légitime" ne va pas être simple à établir", il critique notamment l'instoration d'une sécurité passive en France : "A l'heure où virus (voir l'augmentation et la propagation des derniers vers/virus) et mafia deviennent de plus en plus virulents sur le net, à l'heure où des sociétés comme Cisco avouent que leur(s) produit(s) contien(nen)t des backdoors, à l'heure où certains pays reconnaissent ouvertement faire de la Lutte Informatique Offensive, est-il raisonnable d'instaurer le présumer coupable ? Les "bad guys" vont continuer leurs activités, cette loi n'y changera rien. En revanche, la question que je me pose est : à qui profite cet article ? Et je ne suis franchement pas convaincu que la réponse soit : à l'intérêt public ...". L'équipe technique, ainsi que l'équipe R&D de K-OTik Security, affirment leur détermination dans la lutte contre l'insécurité informatique en France, et ne songent aucunement à changer leurs méthodes de publication d'articles techniques, exploits et failles de sécurité. Une position similaire a été adoptée par les rédacteurs de magazines spécialisés, qui refusent un changement de leur ligne éditoriale ! On ne peut évaluer l'étendue réelle des risques de sécurité sans comprendre les techniques et méthodes utilisées en pratique par les pirates. La LEN doit maintenant passer devant la commission paritaire mixte (CMP) pour être aménagée avant d'être promulguée, puis appliquée. En cas d'échec de la CMP, la loi repasse devant les assemblées parlementaires. Aucune date n'est encore fixée !

LEN (adoptée le 08 Avril 2004) - http://www.senat.fr/leg/tas03-075.html