Cette révélation était aussi pratiquée en France mais surtout par des chercheurs et en général après avoir averti l’éditeur du logiciel ou le fabricant du matériel. La Cour de cassation, dans un arrêt du 27 octobre 2009, a confirmé que cette pratique est interdite en France et quelle constitue un délit.
Le fondement juridique employé est l’article 323-3-1 qui punit «le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 (accès à un système de traitement automatisé de données, entrave à son fonctionnement ou introduction de données frauduleuses)».
Cet article est tellement large que ce n’est pas seulement la révélation au public d’une faille qui est interdite mais la recherche même de cette faille si elle se fait au moyen d’un logiciel ou d’un matériel. Cette disposition à l’origine prévue pour défendre et protéger la valeur des bases de données sert aujourd’hui pour réprimer une pratique qui a pourtant certains avantages.
En effet, le full disclosure a pu permettre de faire corriger des failles de sécurité plus rapidement en forçant les responsables à mettre les moyens pour régler rapidement le problème. S’il y a eu des abus, il est dommage que tous les adeptes de la pratique soient punis. On peut cependant estimer que le juge pénal saura trier selon les cas et notamment pour la publication de travaux de chercheurs.