n des âges reculés à l'échelle du temps numérique, une loi pour la Confiance en l'Économie Numérique, LCEN pour les intimes, venait ajouter un nouvel article au code pénal qui a fait coulé beaucoup d'encre en 2004. Car ce dernier rend illégal "le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs infractions" informatiques. Ce qui a pour effet d'interdire toute publication de sécurité portant sur des failles et leur exploitation.
Bien qu'on ait pu lire énormément de conjectures, parfois éclairées, sur ce fameux motif légitime, son appréciation ne relevait guère que de la supposition en l'absence de jurisprudence. Or, un arrêt récent de la cour de cassation nous en apprend peut-être un peu plus sur le sujet en confirmant une condamnation prononcée par la cour d'appel de Montpellier sur la base, justement, de ce fameux Il s'agit du fameux article 323-3-1...
L'histoire commence lorsque l'OCLCTIC signale la présence sur un site spécialisé en sécurité informatique de ce qu'on appelle couramment des exploits et déclenche une enquête rondement menée par la DST. Il apparaît en particulier que, fin 2005, figurait parmi cette liste d'exploits, le code permettant de profiter de la faille WMF qui avait fait tant de bruit à l'époque puisqu'elle ne devait être patchée que tout début janvier 2006. Le propriétaire du site se retrouvait donc au Tribunal Correctionnel de Montpellier où il allait être relaxé.
Le Ministère Public faisant appel, nous retrouvons nos protagonistes à la Cour d'Appel de Montpellier le 12 mars dernier. Cette dernière infirme le jugement de première instance et condamne le prévenu[1], déclarant que la volonté affichée d'information du public ne pouvait constituer un motif légitime compte-tenu de ses activités commerciales de veille technologique en la matière qui lui permettaient d'apprécier la dangerosité des informations fournies. En outre, la présence de publicité sur la partie publique du site a également joué en sa défaveur...
Ce qui ressort de cette décision, c'est donc la condamnation du fait d'avoir fourni publiquement un exploit pour une faille non patchée, quand bien même aurait-on publié un avis et prévenu l'éditeur. Et c'est ce que confirme quelques moins plus tard la Cour de Cassation. Le motif de rejet du motif légitime me semble un peu plus clair dans ce dernier jugement. Exit les histoires d'activités commerciales et de revenus publicitaires, la cour affirme que l'expertise et les antécédents du prévenu lui permettaient de comprendre clairement la menace à laquelle il exposait les autres internautes, quand bien même il n'incitait pas à l'utilisation de cet exploit à des fins illicites...
La manière dont je comprends cet argumentaire est la suivante : "vous les experts en sécurité informatique qui savaient de quoi vous parlez, faites bien gaffe à ce que les autres utilisateurs disposent des moyens de se protéger des trucs[2] que vous publiez pour vous faire mousser". Pas complètement faux...
Lorsqu'on discutait beaucoup du projet de loi, j'ai plusieurs fois exprimé ma perplexité devant l'opportunité d'un tel article d'une part, et ses dangers d'autre part. Car il y a en particulier une profonde ignorance des mécanismes de diffusion des codes malicieux dans sa justification. Ou une certaine mauvaise foi. L'une ou l'autre, on les retrouve en partie illustrée ici. Car à supposer que notre condamné n'ait pas publié cet exploit, peut-on affirmer que cela aurait changé l'état de la menace qui pesait alors sur les internautes ? J'en doute fort considérant le nombre d'exploits qui tournaient déjà et dont certains servaient à armer du code malveillant. J'en doute d'autant plus que ce code a aussi, comme d'autres, servi pour tester l'efficacité du patch officieux fourni à l'époque par Ilfak Guilfanov.
Sans ignorer, ni même contester, que des exploits publiés sous le prétexte du bien de la communauté, mais aussi[3] pour satisfaire l'ego de leur auteur, aient pu être utilisés avec succès à des fins malveillantes, il est clair que beaucoup servent effectivement à des nombreuses personnes, professionnels ou pas, pour vérifier la sécurité de systèmes informatiques, voire parfois l'améliorer. On pourra par exemple se rappeler de l'exploit de H.D. Moore pour MS03-026 lequel avait servi de base aux premières moutures du ver Blaster affirmait-on à l'époque. Non seulement cette dernière affirmation était fausse, puisqu'il s'agissait de celui de Xfocus[4], mais cet exploit a en particulier permis à certains de s'apercevoir que le correctif proposé n'adressait pas complètement la faille, conduisant à la publication d'un nouveau bulletin de sécurité.
Car si j'avais quelque chose à reprocher à cet article, c'est de permettre la rupture d'un équilibre de forces entre certains éditeurs pas forcément de bonne foi et ceux qui voudraient s'assurer de la sécurité de leurs produits, en particulier ceux qui n'ont pas les connaissances et les compétences pour constituer leur propre arsenal. Car si on a retiré à ces derniers une partie de leur capacité à auditer ces produits et publier leurs résultats, on n'a pas, dans le même temps, soumis ces éditeurs à des contraintes plus strictes sur la sécurité de leurs produits. On leur a même fourni une arme supplémentaire pour faire taire les empêcheurs de coder salement. C'est le genre de réflexion qui m'amène à me m'interroger sur la tournure qu'aurait pu prendre l'Affaire Guillermito si elle avait vu le jour après la publication du 323-3-1...
Toute personne munie d'une once de jugeote n'aura aucun mal à retrouver l'identité de la personne condamnée sur la base des jugements publiés. L'anonymisation de ces derniers n'est en effet pas un modèle d'efficacité, très certainement un excellent exemple du contraire. Et si mon but n'est pas ici de stigmatiser qui que ce soit. Cependant, les observateurs avertis auront constaté que le site incriminé a depuis changé de nom et ne fournit plus ces mêmes informations qu'à une clientèle probablement triée sur le volet. Et que ce changement de politique n'est peut-être pas complètement étranger à cette affaire.
Comprenez-moi bien une nouvelle fois. Je ne critique pas non plus l'activité de cette société ou l'opportunité de se lancer sur le marché de la vente d'exploits, quand bien même je ne goûterais guère ce genre d'activité commerciale. C'est plus l'impression d'hypocrisie que crée ce genre de décision crée au regard de la réalité qui m'amène à m'interroger. Car si publier librement est mal, il y aurait moins de malice à revendre. À moins, bien évidemment, que le motif légitime découle d'un savant processus d'habilitation des clients d'un telle offre qui permettrait d'évincer le public particulier dont il est fait référence dans le jugement de la Cour d'Appel. Un jeu de règles qui, à l'inverse de celles qui régissent certains marchés sensibles, n'est malheureusement pas connu de tous.
Là encore, difficile de se faire une idée précise, mais toujours est-il que ce fameux motif légitime ne paraît pas défini plus clairement qu'avant. Car même si on dispose aujourd'hui d'un exemple de ce qu'il ne peut pas être, on n'a toujours pas plus d'idée de ce qu'il pourrait être. Mais s'il y a quelque chose à tirer de ces jugements, c'est de ne pas publier d'éléments offensifs sans produire les parades qui vont avec... Attitude que de nombreuses personnes qualifient de "responsible disclosure"...
Notes
[1] À une amende quasi symbolique de 1000€...
[2] Trucs qui peuvent certes êtes des exploits, mais pas que, puisque ça peut englober des outils, des articles ou, pourquoi pas, un billet sur votre blog...
[3] Qui a dit surtout ? :) <cc>
[4] Ce qui ne change pas grand chose au fait qu'un exploit publié ait été utilisé à des fins malveillantes.