De l’affaire Zataz et des sites d’information sur la sécurité en général

Grandville_-_Descente_dans_les_ateliers_de_la_libert%C3%A9_de_la_presse[1]

Cet article pour appeler mes lecteurs à lire un article qui donne un point de vue intéressant sur l’affaire Zataz, sur le blog de Sid, et en discuter quelques aspects complémentaires.

Pour mémoire : il s’agit dans cette affaire de plaintes successives (au civil puis pour diffamation) dont a été l’objet le gestionnaire du site Zataz suite à la publication d’un article révélant un incident de sécurité qu’aurait vécu une société de commerce en ligne. Comme beaucoup de sites d’information de sécurité, Zataz publie régulièrement des alertes sur de tels incidents, non sans avoir auparavant prévenu les gestionnaires concernés.

Cette mise en cause publique n’a apparemment pas été appréciée et Sid estime que c’est peut-être parce que la sécurisation des données personnelles des clients n’était – à un instant donné dans le passé – pas complètement assurée. La société plaignante aurait finalement déclaré qu’elle ne souhaitait pas faire appliquer les sanctions prononcées contre le journaliste.

La démonstration de Sid est détaillée et je vous invite donc à la lire. Par ailleurs vous pouvez aussi consulter:

  • L’arrêt de la Cour d’appel de Paris 2ème chambre Arrêt du 09 septembre 2009 (sur Legalis.net), où l’on découvre un débat d’experts, mais où manifestement ne transparaissent pas tous les éléments d’appréciation,
  • La présentation des faits sur le site Zataz.

Le débat sur les sites d’information de sécurité informatique

En préambule, je tiens à souligner que ce n’est pas la bonne foi d’un journaliste que je questionne – d’ailleurs le plaignant dans cette affaire semble finalement le reconnaître, mais bien de la situation juridique dont je cherche à débattre. On est en effet dans une situation d’insécurité juridique aussi bien pour les personnes qui cherchent à protéger leurs données, que celles qui souhaitent informer librement le public.

Sur la discussion juridique donc, le droit français ne prévoit pas (article 323-1 du code pénal) que des données doivent être protégées par un dispositif spécifique pour qu’il y ait accès frauduleux à un système de traitement automatisé de données (de la même façon, même si comparaison n’est pas raison, qu’il n’est nul besoin d’effraction pour que le vol soit reconnu, même si l’assurance ne couvre pas ces cas-là).

Toutefois, il faut que l’intention (comme pour toute infraction, son élément moral) soit prouvée, à savoir la conscience de pénétrer dans un serveur privé (comme lorsqu’on pousse la porte d’un appartement). Donc, soit en contournant une sécurité – même faible, soit en s’apercevant – par exemple – de la nature confidentielle des données. Et c’est justement ici que l’on trouve les limites de l’exercice des sites d’information sur la sécurité, puisque ce qui est cherché ce sont justement les failles et l’existence de données confidentielles non protégées: on peut légitimement supposer l’intention d’accéder à des secrets. Même si la motivation est honnête, l’intention d’un accès frauduleux (non autorisé ou non voulu par son propriétaire) sera donc le cas le plus courant.

Il revient ensuite évidemment à l’expert d’évaluer si le service qui a permis l’accès à ces données était :

  • librement offert à tout visiteur (notamment depuis le site Web de l’entreprise),
  • accessible uniquement en effectuant des recherches poussées (et dans ce cas-là si la personne mise en cause à volontairement ou involontairement trouvé ces données),
  • accessible uniquement en contournant un dispositif de sécurité.

Contrairement à la situation d’entreprises chargées par leurs clients de tester la sécurité de leurs serveurs, un journaliste ne peut se prévaloir dans ces circonstances d’une relation préalable avec l’entreprise testée et donc d’une présomption d’autorisation à accéder aux systèmes et à leurs données – souvent formalisée dans le contrat conclu entre les deux parties.

La loi n’a pas non plus prévu d’exemption générale pour les professionnels, comme ce serait le cas dans l’article 323-3-1 du code pénal en matière de possession d’outils de piratage par des spécialistes en sécurité informatique. Et le droit d’informer ne justifie pas de commettre des infractions.

Et pourtant, il paraît socialement utile, comme le souligne Sid, que le public soit informé de l’existence de défauts (de façon générale) dans la sécurisation des données personnelles qu’ils confient à des tiers.

Cette affaire donc, comme en son temps l’aventure très semblable vécue par un autre journaliste en ligne (Affaire kitetoa.com), démontre clairement la nécessité d’un débat sur les règles juridiques et déontologiques à appliquer aux sites d’information sur la sécurité informatique. Cela renvoie aussi au débat sur une obligation qui devrait bientôt peser sur les opérateurs de communications électronique de signaler les atteintes importantes aux données personnelles qu’ils administrent et que va introduire le Paquet télécom: faut-il généraliser ce principe à tous les professionnels ? Un événement tel que celui vécu par un grand intermédiaire financier américain en début d’année serait-il rendu public en Europe ou en tous cas ses clients informés ?

À propos Éric Freyssinet
Officier de gendarmerie. Docteur en informatique. Travaille depuis 1998 dans le domaine de la lutte contre la cybercriminalité, actuellement conseiller auprès du Préfet en charge de la lutte contre les cybermenaces au Ministère de l'intérieur. Les idées publiées sur ce blog le sont à titre personnel. Law enforcement officer (colonel with the Gendarmerie nationale in France). PhD in computer science. Working since 1998 in the fight against cybercrime. Views published on these blogs are personal.

4 Responses to De l’affaire Zataz et des sites d’information sur la sécurité en général

  1. Sid dit :

    Belle analyse, je trouve ça très intéressant, pleins de choses à creuser.

    Votre dernière partie m’inspire en particulier une réflexion que j’ai laissée de côté dans mon billet. Il faudrait probablement s’interroger sur l’efficacité de la pénalisation du défaut de sécurisation des données personnelles. En tout cas en comparaison de l’approche de pas mal d’états aux US, comme la Californie, sur une obligation de communication en cas de fuite. Ça me semble peut-être plus pertinent, en ce que ça oblige le responsable des données à informer précisément toutes les personnes concernées en leur indiquant qu’il y a eu fuite, comment il y a eu fuite et quelles sont les données concernées. Ce qui implique un véritable travail de gestion d’incident.

    J’ai l’impression que notre bonne vieille loi Informatique & Libertés ne fait qu’entretenir le silence pour éviter au maximum tout risque de plainte, quand ce n’est pas ce genre d’action en justice. Et aussi, et surtout, avec comme conséquence que ce sont souvent, pour ne pas dire toujours, les premiers concernés qui sont les derniers informés (quand ils le sont)…

  2. Vaugest dit :

    Il me semble que l’article 34 de la loi informatique et liberté oblige le détenteur d’informations à caractère personnel à les protéger. Les sanctions sont prévues par l’article 50 et suivants de la même loi.

    Il serait injuste de poursuivre au titre du l’article 323 du CP le journaliste sans poursuivre l’hébergeur au titre de manquement à l’article 34 de la 78-17.

    Dans cette affaire, il semble que tout soit allé de travers. Le journaliste a été mal défendu, l’hébergeur mal conseillé et le parquet ne connaissait les lois.

    • Bonjour,

      Oui c’est ce dont parle Sid dans son blog, d’ailleurs je l’évoque aussi. Mais je n’ai pas cherché à développer ce point particulier du débat. (Il s’agit de l’article 226-17 du code pénal pour être précis). Sur le point de savoir s’il s’applique il faudrait effectivement évaluer la sécurité de l’entreprise concernée (les éléments qui ne sont plus apportés par le billet de Zataz – qui n’est plus publié – ne le permettent pas).

      Sur le fait de savoir s’il fallait ou non que l’entreprise soit poursuivie, c’est un problème qui se pose effectivement souvent, encore faudrait-il évaluer cela au regard de la nature des données personnelles concernées, des mesures de sécurité mises en place, etc… D’ailleurs s’il s’agissait d’un incident ponctuel de sécurité (une erreur), mais que par ailleurs l’entreprise sécurisait habituellement bien ces données, l’infraction du 226-17 du code pénal ne serait pas forcément relevée.

      Mais pour conclure, oui il y a bien une responsabilité pénale des gestionnaires de traitement de données personnelles en matière de sécurisation des données et on peut faire le constat qu’il n’y a pas souvent de condamnations pour de tels manquements. Mais une infraction n’en annule pas une autre.

  3. Ping : Est-il illégal de publier des failles de sécurité ? « Criminalités numériques

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :