Est-il illégal de publier des failles de sécurité ?

GNU/FDL - ēɾaṣøft24 sur Commons

Le buzz continue de s’amplifier autour de la décision de la cour de cassation du 27 octobre 2009 dernier. Et les titres d’affirmer: « La cour de cassation confirme que la publication de failles de sécurité exploitables est un délit » (Numerama, 22/12/2009), « La révélation publique de failles de sécurité est un délit » (01Net, 18/12/2009), etc.

J’avais déjà discuté d’un sujet approchant (mais différent sur le fond) en évoquant l’affaire Zataz récente (sur ce blog, le 05/10/2009). Est-on libre d’échanger sur les failles de sécurité ?

La décision de la cour d’appel de Montpellier

Commençons par le commencement, la cour de cassation se prononçait en effet sur une décision de la cour d’appel de Montpellier datant du 12 mars 2009. La chronologie y est rappelée:

  • il est créé en 2004 une société « spécialisée dans le conseil en sécurité informatique » ;
  • le 26 octobre 2005, l’OCLCTIC « avisait le Parquet de Montpellier que la société XYZ diffusait sur son portail internet www…..com des scripts permettant d’exploiter des failles de sécurité informatique, directement visibles sur le site et accessibles à tous« ;
  • (non expliqué dans l’arrêt) le bulletin de sécurité Microsoft MS05-053 du 08 novembre 2005 publiait un avis avec une correction proposée, qui ne se révélera pas suffisante ;
  • l’enquête était ensuite confiée à la DST, cette enquête confirmait que le dit site Web diffusait « un code d’exploitation d’une faille dans le moteur graphique WINDOWS qui avait donné lieu à une alerte du CERTA (Centre d’Expertise gouvernemental de Réponse et traitement des Attaques informatiques) publiée le 28 décembre 2005 et avant que MICROSOFT y remédie le 5 janvier 2006″;
  • il est entendu le 14 mars 2006 par les enquêteurs et on apprend que les revenus de cette société sont issus de la publicité que voient ses visiteurs et d’abonnements que prennent différentes sociétés aux alertes de sécurité ;
  • le 28 août 2006, il est entendu et mis en examen par le juge d’instruction et lui confirme qu’il ne diffusera plus d’exploits sur son site Web, il aurait notamment expliqué que la publication de failles et d’exploits lui permettait d’asseoir ses compétences ;
  • le prévenu était renvoyé devant le tribunal pour avoir, courant 2005 et 2006 mis à disposition sans motif légitime des programmes ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé des données (infraction prévue par l’article 323-3-1 du code pénal);
  • il est relaxé par le tribunal correctionnel,

au motif qu’il est établi que le site www…..com n’incitait en aucune façon à l’utilisation de ces codes à des fins malveillantes ou de piratage informatique, que la seule intention qui ait animé X… Y…. est un souci d’information des menaces existantes non corrigées à destination des utilisateurs de programmes informatiques, qu’il justifie d’ailleurs en avoir été remercié par MICROSOFT, aucune intention délictueuse n’est établie

  • la cour d’appel argumente en soulignant que l’article 323-3-1 du code pénal ne prévoit pas « que soit caractérisée une incitation à l’utilisation d’un tel système », mais réprime « le fait sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données »;
  • eu égard à sa personnalité, le prévenu n’était condamné qu’à 1000 euros d’amende correctionnelle.

Première conclusion: la personne en cause n’a pas été condamnée pour la publication de failles de sécurité, mais pour la diffusion d’exploits, c’est-à-dire de programmes permettant d’exploiter ces failles de sécurité. On notera au passage que ni Microsoft, ni le CERTA n’ont été poursuivis pour avoir diffusé les informations sur les dites failles, c’est une reconnaissance implicite de la légitimité de l’information sur les failles de sécurité.

La décision de la cour de cassation

Dans un premier temps, il faut comprendre sur quoi ce basait le pourvoi en cassation de l’avocat de la personne condamnée en appel: les défauts de motif et de base légale. L’argumentation se base sur le texte de la convention du Conseil de l’Europe sur la cybercriminalité, que son client n’incitait pas à commettre d’infraction avec les dits outils de piratage, que la cour ne s’appuyait que sur la motivation économique du prévenu et faisait référence à des antécédents judiciaires de façon générale.

L’argumentation de la cour de cassation se présente de la façon suivante:

  • le site Web diffusait de façon visible et accessible des moyens permettant d’exploiter des failles de sécurité ;
  • la compétence en sécurité informatique du prévenu ne pouvait lui faire ignorer le risque lié à l’utilisation éventuelle des codes d’exploitation qu’il diffusait et il ne peut donc arguer ainsi de son intention d’informer ;
  • elle écarte le débat sur les antécédents judiciaires et conclut que la cour d’appel a parfaitement justifié la condamnation.

Le pourvoi en cassation est donc rejeté. Le prévenu définitivement condamné.

Conclusion

L’article 323-3-1 du code pénal:

Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.

La cour de cassation a donc bien confirmé qu’il n’est pas légitime, sous des motifs d’information du public, de diffuser sur un site Web accessible à tout un chacun des programmes informatiques ou des codes source de programmes informatiques permettant d’exploiter des failles de sécurité.

En revanche, il est parfaitement légitime d’informer sur les failles de sécurité.

Les débats présentés ici nous permettent de comprendre aussi que le juge est parfaitement ouvert à considérer que l’information de professionnels (en particulier la société qui commercialise un logiciel défaillant, les CERT, etc…) sur les moyens concrets d’exploiter des failles de sécurité, dans un contexte de bonnes pratiques est légitime, mais ce n’est pas ce qui était reproché dans cette affaire.

De l’affaire Zataz et des sites d’information sur la sécurité en général

Grandville_-_Descente_dans_les_ateliers_de_la_libert%C3%A9_de_la_presse[1]

Cet article pour appeler mes lecteurs à lire un article qui donne un point de vue intéressant sur l’affaire Zataz, sur le blog de Sid, et en discuter quelques aspects complémentaires.

Pour mémoire : il s’agit dans cette affaire de plaintes successives (au civil puis pour diffamation) dont a été l’objet le gestionnaire du site Zataz suite à la publication d’un article révélant un incident de sécurité qu’aurait vécu une société de commerce en ligne. Comme beaucoup de sites d’information de sécurité, Zataz publie régulièrement des alertes sur de tels incidents, non sans avoir auparavant prévenu les gestionnaires concernés.

Cette mise en cause publique n’a apparemment pas été appréciée et Sid estime que c’est peut-être parce que la sécurisation des données personnelles des clients n’était – à un instant donné dans le passé – pas complètement assurée. La société plaignante aurait finalement déclaré qu’elle ne souhaitait pas faire appliquer les sanctions prononcées contre le journaliste.

La démonstration de Sid est détaillée et je vous invite donc à la lire. Par ailleurs vous pouvez aussi consulter:

  • L’arrêt de la Cour d’appel de Paris 2ème chambre Arrêt du 09 septembre 2009 (sur Legalis.net), où l’on découvre un débat d’experts, mais où manifestement ne transparaissent pas tous les éléments d’appréciation,
  • La présentation des faits sur le site Zataz.

Le débat sur les sites d’information de sécurité informatique

En préambule, je tiens à souligner que ce n’est pas la bonne foi d’un journaliste que je questionne – d’ailleurs le plaignant dans cette affaire semble finalement le reconnaître, mais bien de la situation juridique dont je cherche à débattre. On est en effet dans une situation d’insécurité juridique aussi bien pour les personnes qui cherchent à protéger leurs données, que celles qui souhaitent informer librement le public.

Sur la discussion juridique donc, le droit français ne prévoit pas (article 323-1 du code pénal) que des données doivent être protégées par un dispositif spécifique pour qu’il y ait accès frauduleux à un système de traitement automatisé de données (de la même façon, même si comparaison n’est pas raison, qu’il n’est nul besoin d’effraction pour que le vol soit reconnu, même si l’assurance ne couvre pas ces cas-là).

Toutefois, il faut que l’intention (comme pour toute infraction, son élément moral) soit prouvée, à savoir la conscience de pénétrer dans un serveur privé (comme lorsqu’on pousse la porte d’un appartement). Donc, soit en contournant une sécurité – même faible, soit en s’apercevant – par exemple – de la nature confidentielle des données. Et c’est justement ici que l’on trouve les limites de l’exercice des sites d’information sur la sécurité, puisque ce qui est cherché ce sont justement les failles et l’existence de données confidentielles non protégées: on peut légitimement supposer l’intention d’accéder à des secrets. Même si la motivation est honnête, l’intention d’un accès frauduleux (non autorisé ou non voulu par son propriétaire) sera donc le cas le plus courant.

Il revient ensuite évidemment à l’expert d’évaluer si le service qui a permis l’accès à ces données était :

  • librement offert à tout visiteur (notamment depuis le site Web de l’entreprise),
  • accessible uniquement en effectuant des recherches poussées (et dans ce cas-là si la personne mise en cause à volontairement ou involontairement trouvé ces données),
  • accessible uniquement en contournant un dispositif de sécurité.

Contrairement à la situation d’entreprises chargées par leurs clients de tester la sécurité de leurs serveurs, un journaliste ne peut se prévaloir dans ces circonstances d’une relation préalable avec l’entreprise testée et donc d’une présomption d’autorisation à accéder aux systèmes et à leurs données – souvent formalisée dans le contrat conclu entre les deux parties.

La loi n’a pas non plus prévu d’exemption générale pour les professionnels, comme ce serait le cas dans l’article 323-3-1 du code pénal en matière de possession d’outils de piratage par des spécialistes en sécurité informatique. Et le droit d’informer ne justifie pas de commettre des infractions.

Et pourtant, il paraît socialement utile, comme le souligne Sid, que le public soit informé de l’existence de défauts (de façon générale) dans la sécurisation des données personnelles qu’ils confient à des tiers.

Cette affaire donc, comme en son temps l’aventure très semblable vécue par un autre journaliste en ligne (Affaire kitetoa.com), démontre clairement la nécessité d’un débat sur les règles juridiques et déontologiques à appliquer aux sites d’information sur la sécurité informatique. Cela renvoie aussi au débat sur une obligation qui devrait bientôt peser sur les opérateurs de communications électronique de signaler les atteintes importantes aux données personnelles qu’ils administrent et que va introduire le Paquet télécom: faut-il généraliser ce principe à tous les professionnels ? Un événement tel que celui vécu par un grand intermédiaire financier américain en début d’année serait-il rendu public en Europe ou en tous cas ses clients informés ?

Les pirates ont pignon sur rue

Un phénomène de plus en plus courant est dénoncé aujourd’hui par un article posté sur Switched.com: la présence de vitrines commercialisant des services de « piratage » divers et variés. Bien évidemment, je ne donne pas dans cet article de lien directement cliquable vers ces sites web dont l’activité est illicite.

Ici ce sont deux sites Web qui sont présentés : yourhackerz.com et slickhackers.com.

Que proposent-ils ? On peut voir sur le site du premier la page d’accueil suivante :

Page d'accueil de YourHackerZ.com

Page d'accueil de YourHackerZ.com

et les services proposés: « Pour 100 dollars, nous crackons les mots de passe des principaux sites de messagerie web ». Ils indiquent être en relation avec slickhackers.com. On y retrouve le même concept, mais étendu à d’autres types de sites comme Facebook mais aussi les mêmes messageries en ligne.

Aparté juridique

Sur le plan juridique, je rappelle que non seulement les services commercialisés par de telles personnes sont répréhensibles pénalement (2 à 3 ans de prison et 30.000 à 45.000 euros d’amende au moins en France, selon que le procédé suppose ou non de modifier le mot de passe), mais de la même façon pour toute personne qui achèterait un tel service ou en utiliserait le résultat. De surcroît, il s’agit vraisemblablement d’un groupe de délinquants rentrant dans la définition de la délinquance organisée, donc susceptibles de circonstances aggravantes.

Creusons un peu le dossier

Le site web que nous examinons ici est hébergé sur une adresse IP (94.194.139.xxx) qui héberge plusieurs sites Web :

Un examen des informations d’enregistrement de ces domaines nous donne des informations d’enregistrement pour :

  • Un certain V.M. (pas besoin de mentionner le nom complet pour la démonstration et de toutes façons c’est certainement un alias), chez Dynadot.com
  • Un certain V.S.
  • Un certain M.K.
  • Un certain H.S., dans un autre bureau d’enregistrement (EHostpros.com), avec cette fois-ci une adresse postale au Royaume-Uni.

L’adresse IP du serveur est identifiée elle-même comme correspondant à un serveur hébergé au Royaume-Uni (AS 35228, Beunlimited), qui semble en réalité être un fournisseur d’accès, donc vraisemblablement ici un hébergement artisanal « à domicile » (www.bethere.co.uk). Soit il s’agit de l’abonnement du premier suspect à inquiéter, soit il s’agit d’une machine dont le contrôle a été pris, à l’insu de son propriétaire…

Combien de temps avant que les personnes derrière ce site web soient identifiées et ce site fermé ? En plus, rien ne nous prouve (et je ne vais pas essayer ni les lecteurs non plus !) que le service offert soit réel.

Au passage, on note ici l’utilisation des services de Dynadot qui est souvent cité comme lié à des enregistrements de noms de domaines aux activités peu recommandables, tout simplement parce que cette société offre des services d’anoymisation et certainement des tarifs attractifs. Apparemment ces sites web sont en ligne depuis le début de l’année 2008 au moins…

En France, ce ne serait pas simple de mener une enquête sur ce type de site Web. En effet, il n’est possible de rentrer en contact et échanger avec des délinquants supposés (et donc vérifier les services proposés) que pour les infractions liées aux atteintes aux mineurs et de traite des êtres humains, visées par les articles 706-35-1 et 706-47-3 du code de procédure pénale introduits par la loi sur la prévention de la délinquance de mars 2007 (j’ai évoqué ce thème des cyberpatrouilles à plusieurs reprises). Souhaitons que ces dispositions soient étendues aux infractions d’atteintes aux systèmes de traitement automatisé de données.

Condamnation d’un cracker de 17 ans à 11 mois de prison aux USA

In English anglais

Worcester

Worcester

Âgé aujourd’hui de 17 ans, un jeune originaire de Worcester, dans la région de Boston (Massachusetts, USA) a été condamné à 11 mois de prison dans un centre de détention pour mineurs et un total de 2 ans avec sursis, lors d’un jugement prononcé la semaine passée.

Il était poursuivi pour avoir commis des faits d’atteintes à des systèmes de traitement automatisé de données (d’entreprises), passé des appels injustifiés au numéro d’urgence américain (911) et utilisé des numéros de cartes bancaires volés pour effectuer des achats. Tous ces faits ont été commis entre novembre 2005 et mai 2008.

Le suspect, connu sous le pseudonyme de DShocker, a reconnu les faits et risquait un maximum de 10 ans d’emprisonnement. En France, pour des faits similaires, à savoir des intrusions dans des systèmes de traitement automatisés de données, des attaques en déni de service, l’exploitation de botnets, ce jeune homme risquait jusqu’à cinq ans de prison et 75 000 € d’amende (articles 323-1 à 323-7 du code pénal). En réalité, s’agissant d’un mineur, il n’aurait peut-être pas été condamné en France à une peine d’emprisonnement pour de tels faits.

Interpellations par la gendarmerie dans le « warez »

Warez

Warez

Une quinzaine de personnes suspectées d’avoir participé à un forum organisant la diffusion de contrefaçons de films sur Internet ont été interpellés mardi dans le cadre d’une opération nationale initiée par la brigade de recherches de la gendarmerie nationale de Paris-Exelmans.

La Voix du Nord signale l’interpellation dans cette affaire de trois jeunes de la région d’Arras. 01net détaille le mode opératoire : l’intrusion frauduleuse dans les systèmes d’entreprises pour disposer d’espace de stockage et la diffusion sur le forum du groupe (de la « team ») des adresses de ces serveur pour mettre à disposition les contenus contrefaits fournis par les différents membres.

Ce n’est pas la première telle opération de la gendarmerie, qui s’attaque à la source des échanges organisés de contrefaçon de musique ou de vidéo :

En juillet de cette année, le SRPJ de Montpellier avait procédé à l’interpellation des auteurs présumés (affaire Carnage) de la création d’une contrefaçon du film Bienvenue chez les Chtis (et d’autres infos ici affaire Cinefox).

Au-delà des personnes qui téléchargent ces contenus d’origine illégale, il s’agit dans ces affaires des maillons essentiels de la contrefaçon d’œuvres de l’esprit. Ils sont soupçonnes de commettre de façon concertée :

  • des actes de contrefaçon (copie des supports originaux, copie du film en salle, copie des films avant leur sortie grâce à des complicités dans les circuits de production ou de distribution…). Une telle infraction constitue un acte de contrefaçon, réprimé par le code de la propriété intellectuelle et puni d’un maximum de trois ans d’emprisonnement et de 300.000 euros d’amende et jusqu’à cinq ans et 500.000 euros d’amende pour des faits commis en bande organisée ;
  • l’intrusion dans des serveurs et la copie sur ces serveurs ainsi contrôlés des contrefaçons pour les partager avec les membres des forums de partage. De tels faits sont punis par les articles 323-1 à 323-7 du code pénal, de cinq ans d’emprisonnement et 75.000 euros d’amende.

Évidemment, les peines maximum ne devraient pas être prononcées, toutefois, il ne faut pas négliger cet aspect particulier de la contrefaçon qui présente un risque pour les entreprises. En effet, il ne s’agit plus ici d’échanges entre « personnes consentantes » via des réseaux pair à pair, mais de l’abus des ressources de personnes innocentes – et souvent des entreprises – dont effectivement les machines étaient mal sécurisées, mais qui au mieux n’auront qu’une visite courtoise des autorités et au pire vont mettre plusieurs semaines à rétablir un fonctionnement correct de leurs systèmes.

Et il existe encore des dizaines de forums (ou « boards ») qui revendiquent de tels actes de contrefaçon. Souvent et historiquement, il s’agit de la scène « warez » de contrefaçon ou de contournement des protections des logiciels, mais de plus en plus souvent orientés exclusivement vers la musique et surtout les films commerciaux.

En conclusion, cette affaire et d’autres à venir sont une incitation supplémentaire de mieux sécuriser et surveiller correctement l’utilisation de vos machines et serveurs connectés à Internet !

Royaume-Uni: Nouvelle loi contre les attaques DDoS et les outils de piratage

ministry-of-justice-ukUn article du Register nous apprend qu’une nouvelle loi a été promulguée au Royaume-Uni (voir l’acte de promulgation ici) criminalisant les attaques en déni de service et la diffusion d’outils de piratage. Cette loi est valable pour le Pays de Galles et l’Angleterre, un texte semblable ayant déjà été promulgué en Écosse.

La nouvelle infraction du Computer misuse act interdit le fait d’entraver le fonctionnement d’un système d’information. Elle est punie d’une peine maximale de 10 ans d’emprisonnement et d’une amende.

L’accès illicite à un système d’information est maintenant puni d’une peine maximum de 2 ans d’emprisonnement contre six mois auparavant.

La deuxième infraction créée interdit la fabrication, l’adaptation, la fourniture ou l’offre d’un dispositif avec l’intention qu’il soit utilisé pour commettre, aider à commettre les infractions de piratage. Ce qui est intéressant à noter, il est aussi interdit de fournir un dispositif dont on pense qu’il peut servir à commettre ces infractions. Elle est punie d’une peine d’emprisonnement maximale de 2 ans.

Le texte de cette nouvelle loi provient des sections 35 à 38 de la loi sur la Police et la justice de 2006.

Cette promulgation vient compléter le dispositif de ratification par le Royaume-Uni de la convention du Conseil de l’Europe sur la cybercriminalité et notamment son article 6 qui criminalise la diffusion d’outils de piratage.

En France, cette infraction est punie par l’article 323-3-1 du code pénal:

« Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. »

La mention d’un « motif légitime » permet de couvrir la recherche et le travail des spécialistes sur la sécurité des systèmes d’information. C’est une vision un peu différente de ce texte anglais qui évoque l’intention malhonnête, le texte français est donc plus large dans son périmètre, puisqu’il interdit aussi la diffusion par des non professionnels ou hors d’un contexte « légitime ». Il reste à la jurisprudence d’établir progressivement ce qui sera en France considéré comme un motif légitime et à la justice anglaise de prouver l’intention malhonnête de l’une ou l’autre des parties.

Enfin, il faut noter que le texte anglais limite les dispositifs concernés à un programme ou des données stockées sous forme numérique, alors que la convention du conseil de l’Europe parle de tout dispositif, y compris un programme informatique et que la loi française est beaucoup plus large puisque visant aussi bien les matériels.

%d blogueurs aiment cette page :