Est-il illégal de publier des failles de sécurité ?

GNU/FDL - ēɾaṣøft24 sur Commons

Le buzz continue de s’amplifier autour de la décision de la cour de cassation du 27 octobre 2009 dernier. Et les titres d’affirmer: « La cour de cassation confirme que la publication de failles de sécurité exploitables est un délit » (Numerama, 22/12/2009), « La révélation publique de failles de sécurité est un délit » (01Net, 18/12/2009), etc.

J’avais déjà discuté d’un sujet approchant (mais différent sur le fond) en évoquant l’affaire Zataz récente (sur ce blog, le 05/10/2009). Est-on libre d’échanger sur les failles de sécurité ?

La décision de la cour d’appel de Montpellier

Commençons par le commencement, la cour de cassation se prononçait en effet sur une décision de la cour d’appel de Montpellier datant du 12 mars 2009. La chronologie y est rappelée:

  • il est créé en 2004 une société « spécialisée dans le conseil en sécurité informatique » ;
  • le 26 octobre 2005, l’OCLCTIC « avisait le Parquet de Montpellier que la société XYZ diffusait sur son portail internet www…..com des scripts permettant d’exploiter des failles de sécurité informatique, directement visibles sur le site et accessibles à tous« ;
  • (non expliqué dans l’arrêt) le bulletin de sécurité Microsoft MS05-053 du 08 novembre 2005 publiait un avis avec une correction proposée, qui ne se révélera pas suffisante ;
  • l’enquête était ensuite confiée à la DST, cette enquête confirmait que le dit site Web diffusait « un code d’exploitation d’une faille dans le moteur graphique WINDOWS qui avait donné lieu à une alerte du CERTA (Centre d’Expertise gouvernemental de Réponse et traitement des Attaques informatiques) publiée le 28 décembre 2005 et avant que MICROSOFT y remédie le 5 janvier 2006″;
  • il est entendu le 14 mars 2006 par les enquêteurs et on apprend que les revenus de cette société sont issus de la publicité que voient ses visiteurs et d’abonnements que prennent différentes sociétés aux alertes de sécurité ;
  • le 28 août 2006, il est entendu et mis en examen par le juge d’instruction et lui confirme qu’il ne diffusera plus d’exploits sur son site Web, il aurait notamment expliqué que la publication de failles et d’exploits lui permettait d’asseoir ses compétences ;
  • le prévenu était renvoyé devant le tribunal pour avoir, courant 2005 et 2006 mis à disposition sans motif légitime des programmes ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé des données (infraction prévue par l’article 323-3-1 du code pénal);
  • il est relaxé par le tribunal correctionnel,

au motif qu’il est établi que le site www…..com n’incitait en aucune façon à l’utilisation de ces codes à des fins malveillantes ou de piratage informatique, que la seule intention qui ait animé X… Y…. est un souci d’information des menaces existantes non corrigées à destination des utilisateurs de programmes informatiques, qu’il justifie d’ailleurs en avoir été remercié par MICROSOFT, aucune intention délictueuse n’est établie

  • la cour d’appel argumente en soulignant que l’article 323-3-1 du code pénal ne prévoit pas « que soit caractérisée une incitation à l’utilisation d’un tel système », mais réprime « le fait sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données »;
  • eu égard à sa personnalité, le prévenu n’était condamné qu’à 1000 euros d’amende correctionnelle.

Première conclusion: la personne en cause n’a pas été condamnée pour la publication de failles de sécurité, mais pour la diffusion d’exploits, c’est-à-dire de programmes permettant d’exploiter ces failles de sécurité. On notera au passage que ni Microsoft, ni le CERTA n’ont été poursuivis pour avoir diffusé les informations sur les dites failles, c’est une reconnaissance implicite de la légitimité de l’information sur les failles de sécurité.

La décision de la cour de cassation

Dans un premier temps, il faut comprendre sur quoi ce basait le pourvoi en cassation de l’avocat de la personne condamnée en appel: les défauts de motif et de base légale. L’argumentation se base sur le texte de la convention du Conseil de l’Europe sur la cybercriminalité, que son client n’incitait pas à commettre d’infraction avec les dits outils de piratage, que la cour ne s’appuyait que sur la motivation économique du prévenu et faisait référence à des antécédents judiciaires de façon générale.

L’argumentation de la cour de cassation se présente de la façon suivante:

  • le site Web diffusait de façon visible et accessible des moyens permettant d’exploiter des failles de sécurité ;
  • la compétence en sécurité informatique du prévenu ne pouvait lui faire ignorer le risque lié à l’utilisation éventuelle des codes d’exploitation qu’il diffusait et il ne peut donc arguer ainsi de son intention d’informer ;
  • elle écarte le débat sur les antécédents judiciaires et conclut que la cour d’appel a parfaitement justifié la condamnation.

Le pourvoi en cassation est donc rejeté. Le prévenu définitivement condamné.

Conclusion

L’article 323-3-1 du code pénal:

Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.

La cour de cassation a donc bien confirmé qu’il n’est pas légitime, sous des motifs d’information du public, de diffuser sur un site Web accessible à tout un chacun des programmes informatiques ou des codes source de programmes informatiques permettant d’exploiter des failles de sécurité.

En revanche, il est parfaitement légitime d’informer sur les failles de sécurité.

Les débats présentés ici nous permettent de comprendre aussi que le juge est parfaitement ouvert à considérer que l’information de professionnels (en particulier la société qui commercialise un logiciel défaillant, les CERT, etc…) sur les moyens concrets d’exploiter des failles de sécurité, dans un contexte de bonnes pratiques est légitime, mais ce n’est pas ce qui était reproché dans cette affaire.

À propos Éric Freyssinet
Officier de gendarmerie. Docteur en informatique. Travaille depuis 1998 dans le domaine de la lutte contre la cybercriminalité, actuellement conseiller auprès du Préfet en charge de la lutte contre les cybermenaces au Ministère de l'intérieur. Les idées publiées sur ce blog le sont à titre personnel. Law enforcement officer (colonel with the Gendarmerie nationale in France). PhD in computer science. Working since 1998 in the fight against cybercrime. Views published on these blogs are personal.

19 Responses to Est-il illégal de publier des failles de sécurité ?

  1. Félix Aimé dit :

    Des fois, la diffusion d’exploits devient nécessaire afin d’accélérer la mise en place des correctifs sur les applications. C’est un mal nécessaire. (Certains développeurs & sociétés mettent des mois avant de publier certaines correctifs sur des vulnérabilités annoncées).

    De plus, lorsqu’on dit précisément où est la faille, généralement l’exploit arrive sans tarder… Par exemple le cas de la « Faille Kaminsky » sur la prédiction des numéros de séquence DNS ou autres.

    Cette décision est malheureuse pour notre pays qui voit ses chercheurs en sécurité informatique s’expatrier, car beaucoup mieux payés et possédant une législation beaucoup plus souple dans leur pays d’adoption. Permettant à terme de faire de la publicité sur leur découvertes sans être inquiétés par les services secrets.

    • La décision ne crée pas de droit nouveau, elle dit simplement que le cas d’espèce n’est pas un motif légitime de diffusion de ces exploits au sens de l’article L323-3-1 du code pénal et que la cour d’appel avait clairement argumenté en ce sens. L’article L323-3-1 existe depuis 2004 et il ne me semble pas qu’il ait fait des ravages dans la communauté de la recherche ou dans les sociétés de conseil en sécurité informatique.

  2. bluetouff dit :

    Bonjour, merci pour ce billet qui a le mérite de remette les choses au clair.
    Cependant, il ne me rassure pas pour autant.
    J’utilise dans le cadre de mes activités professionnelles (pentesting, administration de mes propres serveurs…) de nombreux outils de sécurité qui embarquent des exploits. Metasploit est l’un de ces outils et est même livré avec une impressionnante base de données d’exploits et de payloads.
    A la lecture de votre billet, j’en viens à la conclusion que Loppsi, ou une autre loi en « i » viendra instaurer l’interdiction et la criminalisation de ces outils pourtant nécessaires… et ils sont légions, qu’il s’agisse d’Nmap, nikto, ou de Nessus (un logiciel d’origine française) … et puis pourquoi pas par extension, interdire des distributions Linux comme Backtrack qui proposent ces outils.
    On pourrait avec le même genre d’arguments en venir à interdire à la vente de Cuda avec les cartes graphiques Nvidia au motif que ce dernier peut permettre de casser du WPA en exploitant la puissance de calcul des GPU.

    Informer ne suffit malheureusement pas toujours. Les travaux de recherche nécessitent l’utilisation de certains framework et / ou de se baser sur des exploits pour découvrir d’autres failles de sécurité. Interdire ces outils reviendrait à me mettre du monde au chômage ou à les clandestiniser. Je ne pense pas que ce soit là le propos de la Cour de Cassation, cependant, sa décision n’est pas sans conséquence et laisse envisager le pire pour la suite.

    • Bonsoir !
      C’était en tous cas intéressant que le juge se prononce sur ce type de publications à tous vents d’exploits avec leurs code source, pour définir petit à petit ce qui serait un motif légitime de diffusion au sens du code pénal.
      Prenons le cas de Metasploit: déjà dès la page d’accueil, il est clairement indiqué qu’il s’agit d’une application destinée à un usage légal de pentesting ou de recherche.
      Mais on pourra en reparler effectivement, c’est un exemple important, tout comme NMAP.
      Pour les cartes graphiques NVIDIA et leur exploitation possible … elles ne sont pas spécialement conçues pour commettre des atteintes aux STAD.

  3. bluetouff dit :

    Je partage votre avis sur l’intérêt qu’un juge se prononce sur ces points après les affaires de Kitetoa et de Zataz, même si elles ne sont toutefois pas réellement comparables à celle qui a motivé la décision de la Cour de Cassation. En revanche je suis beaucoup plus méfiant sur l’impact que ceci a déjà sur les communautés de chercheurs en sécurité. Ce sont des gens qui ne s’expriment que très peu usuellement et un bon nombre a déjà quitté la France, je vous laisse le soin de lire ce billet assez édifiant : http://news0ft.blogspot.com/2009/07/lechec-de-la-securite-francaise.html

    Et on pourrait en ajouter d’autres comme Guillermito (dont le pseudo vous dit surement quelque chose avec l’affaire Tegam), j’ai moi même quelques amis qui ont senti le vent tourner dés la LCEN et qui exercent aux USA, en Allemagne ou aux Pays-Bas.

    Etant de nature assez modérée mais très méfiant de l’intelligence que l’on peut déployer à casser ce que l’on ne comprend pas, ce n’est pas tant le juge que le législateur qui m’inquiète. Le juge ne fait que dire le droit et en cela je ne trouve pas la décision de la Cour de Cassation chocante. Mais voici les faits :

    – L’année dernière Microsoft annonçait fièrement qu’il venait de patcher une vulnérabilité critique vielle de sept ans et une autre encore plus importante dans le noyau XML vielle de 2 ans.

    – Il y a 3 mois de cela j’ai moi même signalé une vulnérabilité importante à une administration, elle est toujours présente, pire, ils préparent la V2 … avec la même vulnérabilité ! (une base de données Oracle dont le password est accessible, en clair via votre navigateur avec pour seule protection une directive disallow dans le robots.txt qui vous indique exactement où aller fouiller.

    – La vulnérabilité dans la séquence de génération des clef WPA sur les Bbox est un exemple aussi très amusant : Thomson n’a pas jugé bon de modifier son algo et l’a ré-implémenté dans les box du fournisseur d’accès… alors qu’il dernier était connu comme défaillant depuis 2 ans et déjà cassé sur les modems speedtouch.

    – Et pendant ce temps, le législateur trouve subtil d’inventer un « délit de négligence caractérisée » pour les particuliers

    J’y vois là un certain … décalage.

    Le full disclosure n’est pas sans poser de problèmes, on le sait, mais il rend aussi service au consommateur qui devrait s’en remettre à la bonne volonté des éditeurs logiciels si ces derniers n’étaient pas un peu bousculés. Je suis plutôt partisan du responsible disclosure dans la majorité des cas. Mais les exploits 0day ne servent que dans de très rarement pour des attaques d’envergure (en fait en dehors de la vulnérabilité sur ssh je n’ai pas d’autres exemples qui me viennent). Je pense que vous savez très bien que ce sont dans les vieux pots qu’on fait les meilleures soupes, le monde de la sécurité ne déroge pas à cette règle (le virus ILoveYou n’exploitait-il pas une vulnérabilité qui trainait dans la bug list de Windows depuis plusieurs mois et que Microsoft avait jugé non critique ?).

    • Bonjour,

      Oui et les USA, l’Allemagne et les Pays-Bas ont aussi ratifié la convention du Conseil de l’Europe sur la cybercriminalité (de façon toute naturelle) et l’article 6 de celle-ci s’y applique. Il est donc tout aussi illégal aux États-Unis, en Allemagne et aux Pays-Bas de publier des outils de piratage.

  4. bluetouff dit :

    Bonjour et joyeux Noel.

    La question est que place t-on dans des outils de piratage, et qui décide que tel ou tel code est un outil de « piratage », la souveraineté de ces Etats dans l’application et la lecture de cette convention risque de s’avérer très différente de la solution que l’on va nous proposer en France : ‘le filtrage sur décret du ministère’.
    Pour les USA, l’Allemagne et les Pays-Bas, il y a une énorme différence avec la France : le marché de la sécurité informatique y est mature et ce sont des états qui ne se cachent pas d’avoir une force de frappe numérique offensive. En outre ces pays accueillent respectivement : des conventions (Defcon, Chaos Communication Congress ou Hacking at Random) dans lesquelles les services recrutent et que nous sommes pas prêts de voir en France.
    Pendant ce temps nous, en France, on se targue de ne pas pratiquer de techniques offensives… ce ne serait pas dans notes culture voyez vous … : http://www.rue89.com/2009/11/20/piratage-informatique-la-france-en-retard-dune-cyber-guerre-126771
    … un peu comme si on envoyait nos soldats sur le front sans armes, juste avec des gilets pare-balles.

  5. Ludovic Petit dit :

    La question est judicieuse, mais le législateur – notre législateur, i.e. la France – y a déjà répondu.

    En fait, et bien que la question de la « légitimité » de l’acte de publication soit relativement importante en soi, le fond, à mon sens, est plutôt « Est-il moral de publier des failles de sécurité? ».

    En effet, le débat est largement ouvert avec de telles questions.

    En revanche, quid de la moralité d’une publication de faille de sécurité, celle-ci pouvant bien souvent par voie de conséquence porter préjudice?

    Mais une question subsiste: « Est-il légal de laisser les éditeurs de logiciels, d’OS, etc. vendre des solutions non suffisament sécurisées car non suffisament contrôlées au niveau du développement lui-même? ».

    THAT’S the question!

    Il est certes bien facile pour ces « professionnels » de promouvoir la sensibilisation sécurité… quand eux-même pour la plupart ne suivent pas les prérequis minimum de développement sécurisé…

    Amen

    • Bonjour !

      Pour les praticiens, c’est au contraire essentiel de voir comment le juge se positionne sur un détail bien important de la loi, à savoir ce petit membre de phrase de l’article L323-3-1 du code pénal: « sans motif légitime »… On peut imaginer toutes sortes de motifs « légitimes » au sens de la morale de chacun… En réalité, le juge s’appuie souvent sur un avis technique ou sur la position de la société pour déterminer si une infraction est commise dans telle ou telle circonstance d’espèce. Ici, il semble que le juge a écouté les arguments des uns et des autres et trouvé que la légitimation recherchée par le prévenu n’était pas convaincante. Au passage donc, l’information globale du public, sans aucune précaution, n’est pas un motif légitime de diffusion d’exploits.
      Maintenant quid de sites Web à vocation professionnelle qui contrôlent les membres qui participent à ces échanges ? Moralement, cela semble « légitime », mais le juge aura-t-il le même avis ? Quid des sites qui ne font pas de commerce de cette information (dans cette affaire les juges ont souligné cet aspect commercial) ? etc…
      Maintenant, sur la question que vous posez… Il existe deux types d’obligations: celle qui pèse sur les épaules d’un responsable de traitement de données personnelles qui doit mettre en œuvre des mesures de sécurité adaptées (article 226-17 du code pénal et article 34 de la loi informatique et libertés), et en matière de services il y a une obligation de conseil instaurée par la jurisprudence (http://www.journaldunet.com/solutions/0302/030213_trib_juridique.shtml en parle par exemple). Mais pas pour les vendeurs de progiciels. En revanche, on notera que presque tous mettent en place une gestion des incidents, aussi bien en termes de défauts génériques que de suivi des incidents de sécurité et donc de patchs. Cela me semble la moindre des choses et en général largement suffisant. Est-on prêt à payer des progiciels dont la sécurité à été prouvée au niveau du développement ? Certainement pas pour les usages grand public.
      Enfin, ne nous leurrons pas, il existe même des défauts de sécurité dans les applications dédiées à la sécurité…

  6. Ludovic Petit dit :

    Je souscris bien volontiers aux arguments,vous prêchez un concaincu.

    Mais le débat de fond reste néanmoins.

    On se rend donc bien compte tant de l’importance d’une réelle expérience Sécurité, Technique, Opérationnelle, Stratégique, Business, que de l’approche légale et règlementaire indipensables de nos jours pour être à même d’appréhender la Sécurité dans son ensemble.

    Posts intéressants! Merci

  7. Berny dit :

    Le décision de la Cour de Cassation n’a en aucun cas précisé que la condamnation concernait la publication de programmes informatiques ou de logiciels permettant d’exploiter des failles, bien au contraire puisqu’elle considère qu’il n’est pas légitime de diffuser publiquement « des écrits directement visibles sur le site et accessibles à tous permettant d’exploiter des failles de sécurité informatique  » (source legifrance).

    Le terme « des écrits » est assez large puisqu’il englobe non seulement les exploits mais aussi les documents techniques, des articles dans des revues et des magazines, des livres, les comptes rendus de conférences de sécurité, etc.

    La décision de la cour de cassation est donc beaucoup plus large que celle de la cour d’appel, d’où la profonde inquiétude de la profession.

    • Bonjour, La phrase a laquelle vous faites référence n’est pas le point sur lequel la cour de cassation s’est prononcée (la loi est de toutes façons assez large). D’ailleurs ce n’est pas la question qui lui était posée. La marge de discussion du juge est sur la notion de « motif légitime » et c’est sur ce point que porte la décision.

  8. Ping : Google Chinagate : le Net bridé se débride | ☠ Bluetouff's blog

  9. Kitetoa dit :

    Bonjour,

    @bluetouff
    « La question est que place t-on dans des outils de piratage, et qui décide que tel ou tel code est un outil de « piratage », »

    Cela me rappelle la polémique lors de la sortie de BO2K. Le cDc disait qu’il s’agissait d’un outil d’administration à distance tandis que tous les éditeurs d’antivirus et autres spywares le classaient comme un logiciel malveillant. Peut-être parce qu’il était gratuit ?😉

    Autre sujet amusant, les logiciels de filtrage installés dans les grandes entreprises.
    Kitetoa.com a été classé sous la rubrique « sites pornographiques et déviants », « drogue, racisme, terrorisme », etc.😀

    On sort du droit et on aborde des aspects philosophiques. Qui a le droit de décider pour moi de ce que j’ai le droit de lire ?

    Comme je fais une petite collection de points Godwin en dilettante (depuis 9 secondes), je vous dirais que le fait de lire Mein Kampf n’implique pas que j’adhère à ce type d’élucubrations malsaines. Le fait que je lise le contenu des mails adressés au Front National entre les deux tours de 2002 n’implique pas que je devienne raciste. Et pourtant il y a des P.O.C et des exploits dans ces mails qui pourraient me transformer. On ne sait jamais…

    @Ludovic Petit
    « Mais une question subsiste: « Est-il légal de laisser les éditeurs de logiciels, d’OS, etc. vendre des solutions non suffisament sécurisées car non suffisament contrôlées au niveau du développement lui-même? ». »

    Intéressant… Il est plus facile de poursuivre une personne qui a utilisé un logiciel sans licence (Affaire Guillermito) qu’un éditeur de logiciels qui vend, pour des raisons marketing, des produits pas finis. Lesdits produits étant truffés de bugs, des millions de dollars sont gaspillés par les clients utilisant ces logiciels pour patcher, mettre à jour, maintenir, protéger…

    Le jour où l’on recherchera la responsabilité de l’entreprise responsable de la présence de failles dans un logiciel plutôt que celui qui diffuse de l’information (avec ou sans poc/exploit) on aura peut-être une hausse conséquente du niveau général de sécurité ?

    De même, si au lieu de chercher à condamner le pirate (l’un n’étant pas exclusif de l’autre), on cherchait à condamner l’entreprise qui a laisseé filer des millions de numéros de cartes bancaires (données personnelles en général), les entreprises qui les collectent mettraient peut-être plus d’argent au pot pour les protéger…

  10. anon dit :

    « En revanche, il est parfaitement légitime d’informer sur les failles de sécurité. »
    Le problème c’est que si on déclare un logiciel vulnérable sans prouver sa vulnérabilité c’est de la diffamation. Et le moyen le plus sûr pour prouver la vulnérabilité d’un logiciel, c’est le proof of concept.
    Tant que ce proof of concept ne cause pas de dégât à l’utilisateur et ne donne pas d’informations sur le code source du logiciel vulnérable, je ne vois pas où pourrait être le problème.

  11. Kitetoa dit :

    @Anon
    Malheureusement, votre réflexion, qui s’appuie sur une parfaite logique s’est fracassée sur le mur de la justice dans l’affaire Guillermito.

  12. bluetouff dit :

    @k
    Tu as bercé ma jeunesse
    Pour l’affaire Tegam au risque de dire une bêtise il me semble que la condamnation portait sur le reverse de la BDD de signatures non ?

  13. Kitetoa dit :

    @Bluetouff
    Ahem… j’espère que les berceuses étaient douces et agréables.🙂
    Pour l’affaire Tegam, c’est ici

  14. T. dit :

    La base de signatures de Tegam ? L’antivirus sans mise a jour (de signatures) ?

    Non, il a officiellement été condamné parce qu’il avait publié quelques lignes de code assembleur issues de la daube sus-citée, et parce qu’il n’a pas pu produire une licence d’utilisation de celui-ci. Le fait est que durant tout le procès (en première instance comme en appel) les avocats de la partie civile ont savamment entretenu la confusion entre reverse engineering et piratage (« cracking »), et ont laissé croire que Guillermito mettait gratuitement a disposition du public « des éléments du logiciel », le procureur ayant quant a lui décidé d’adopter la confortable position suivante: « les éditeurs antivirus, c’est des gentils, donc ceux qui les critiquent doivent forcément être des méchants ».

    Alors quand on sait qu’en plus le site de Guillermito était tout noir, c’était foutu d’avance…

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :