Signaler les failles informatiques sera bientôt plus facile et moins risqué
Signaler les failles informatiques sera bientôt plus facile et moins risqué
Par Martin Untersinger
La loi numérique permet, sous certaines conditions, aux internautes qui signaleraient des failles d’être immunisés contre d’éventuelles poursuites.
Il sera bientôt plus facile et moins risqué de signaler des failles de sécurité informatique sur les sites Internet français. C’est en tout cas ce qu’espère Guillaume Poupard, le directeur de l’Agence nationale de sécurité de l’information (ANSSI), chargée de la défense numérique de l’Etat, dans le cadre d’un congrès dédié à la cybersécurité qui s’est ouvert mercredi 5 octobre à Monaco.
Un article passé relativement inaperçu dans la loi numérique, dont la promulgation devrait intervenir prochainement, permettra en effet aux internautes avertis ayant repéré une faille très importante sur un site ou un service français de le faire savoir à l’ANSSI.
Actuellement, de nombreux experts tombant par hasard sur un défaut de sécurisation d’un site s’abstiennent de le signaler à l’entreprise ou à l’administration concernée, de peur que leur curiosité se retourne contre eux et qu’ils soient poursuivis en justice. Il est en effet difficile de détecter une faille sans l’exploiter : impossible de savoir si une base de données censée être protégée par un mot de passe ne l’est pas sans y pénétrer. Or, la loi prévoit de lourdes peines pour la simple entrée non autorisée dans un système informatique, même si cela est fait de bonne foi. Actuellement, l’ANSSI reçoit une dizaine de signalements informels par mois.
« Cet article règle une question délicate, celle de ceux, des citoyens numériques responsables qui voient un problème, qui ne sont pas méchants et compétents, mais qui ont peur qu’on les traîne en justice. Actuellement, lorsqu’ils signalent des failles, ils ne sont pas sûrs de ne pas être poursuivis », a expliqué Guillaume Poupard.
« Droit d’alerte » numérique
La loi exonère, en outre, l’ANSSI de l’article 40 du code de procédure pénale, qui oblige tout agent public témoin d’une infraction à la dénoncer. Par ailleurs, l’agence va pouvoir vérifier la véracité de la faille détectée. Un progrès, estime son directeur, car aujourd’hui « on a beau être l’ANSSI, on ne peut pas faire ce qu’on veut », explique-t-il. « C’est une avancée fondamentale, estime-t-il encore, cela fait rentrer dans le jeu une partie de l’écosystème. »
Pas question, cependant, de remiser aux oubliettes la loi sur le piratage et d’accorder un blanc-seing à tous les pirates. En effet, le périmètre d’application de la loi sera très étroit. L’immunité accordée à l’internaute ne s’appliquerait pas s’il tentait avec trop d’insistance de pénétrer les réseaux d’une entreprise. « Un [serveur] sans mot de passe, oui, un serveur où le mot de passe est toto, je ne suis pas sûr que ça rentre dans le cadre de la loi », a-t-il précisé, excluant aussi l’utilisation « d’outils d’attaque ». L’ANSSI va bientôt publier un guide à destination des internautes précisant les contours exacts de ce nouveau droit d’alerte.
Un (cyber) séminaire pour les partis politiques
Guillaume Poupard s’est aussi exprimé au sujet des prochaines élections, en France, alors que les Etats-Unis ont fait l’objet de plusieurs piratages ou tentatives d’intrusions informatiques en lien avec leurs prochaines élections.
C’est le groupe de hackeurs à l’origine de l’attaque contre TV5 Monde qui est particulièrement montré du doigt dans cette vague de piratage. Les outils utilisés par les pirates pour attaquer la chaîne de télévision française continuent d’être utilisés contre l’Etat français, a révélé M. Poupard, expliquant que des sondes installées à l’entrée des ministères détectaient et bloquaient « régulièrement » ces outils d’espionnage, sans qu’il soit possible de dire s’il s’agissait du même groupe ou d’un autre, utilisant les mêmes outils.
M. Poupard a tenu à ne pas se placer sur le terrain, délicat, de l’attribution de ces attaques, d’autant plus qu’elle ne relève pas des missions de l’ANSSI, agence uniquement dédiée à la protection de l’Etat :
« La prudence est nécessaire pour ne pas se faire manipuler. Les autorités me demandent souvent qui est responsable d’une attaque, s’il faut avoir une réaction diplomatique. »
Selon lui, la France manque de « dossiers suffisamment épais », c’est-à-dire de preuves robustes pour avoir une réaction diplomatique officielle aux cyberattaques.
Afin d’éviter que la France ne se trouve dans une situation similaire à celle des États-Unis – où plusieurs piratages ont émaillé la campagne électorale – à l’approche des élections, l’ANSSI organisera prochainement un séminaire de formation à destination des partis politiques. L’ANSSI ne veut cependant pas s’impliquer dans les dispositifs entourant les primaires des partis politiques, malgré les failles.
Le directeur de l’ANSSI s’est d’ailleurs montré très prudent sur le vote électronique et a dit « préférer » le bulletin en papier en raison de l’important risque de piratage.