La diffusion de failles informatiques sans précaution est une infraction pénale

La Cour de cassation vient en effet, par un arrêt du 27 octobre 2009, n°09-82346, Bull. n°177(1)Obs. Francillon, RSC 2010. 178; obs. Darsonville, D. 2009. AJ 2935; note Lasserre Capdeville, ibid. 2010. 806; obs. Royer, AJ pénal 2010. 79; obs. Véron, Dr. pénal 2010, no 3; obs. Lepage, ibid. Chron. 10; note Lepage, JCP 2010, no 1-2, 19; note Arrigo et Blin, Gaz. Pal. 2010. 261. d’approuver la Cour d’appel de Montpellier dont nous commentions précédemment l’arrêt. Un expert en sécurité informatique avait publié sur le site public de sa société des indications (un script) sur l’existence de failles informatiques dans un STAD et sur la façon de les exploiter, ce, avant même d’avoir avisé l’éditeur du logiciel, la société Microsoft, du problème.

Poursuivi et condamné en appel sur le fondement de l’article 323-3-1 du Code pénal, l’expert invoquait comme excuse le motif légitime de l’information du public. Cet argument avait été rejeté par la Cour d’appel qui avait observé qu’il aurait pu préalablement prévenir l’éditeur de logiciel plutôt que de vouloir ainsi accroître la fréquentation de son site, dont il tirait de substantiels bénéfices publicitaires.

Devant la Cour de cassation, il était soutenu que l’élément intentionnel de l’infraction n’était pas constitué car il n’aurait pas diffusé ces informations dans le but précis de permettre des actions de piratage informatique.

La Cour de cassation reprend la motivation de la Cour d’appel, en retenant que l’expérience professionnelle du prévenu le mettait en mesure de comprendre qu’il exposait les autres utilisateurs à un risque de piratage « par un public particulier en recherche de ce type de déviance » , que dès lors l’élément intentionnel de l’infraction était constitué.

Cette solution réalise un juste équilibre entre les experts informatiques qui appuient leur renommée sur la publication de telles informations et la sécurité informatique que l’utilisateur lambda est en droit d’attendre. Il aurait en effet suffit que l’éditeur soit au préalable prévenu à temps pour élaborer les  « patchs » avant la publication de l’exploit pour que l’expert ne soit pas condamné.

Edit du 12 février 2014: la loi de programmation militaire modifie l’article 323-3-1 du Code pénal afin de permettre la diffusion de faille et des descriptifs des moyens de les exploiter, à des fins  « notamment de recherche ou de sécurité informatique ».  Dans la mesure où il s’agissait de modifier un texte du Code pénal, le législateur n’a cependant pas envisagé la conséquence de l’éventuelle responsabilité civile (et pénale?) en raison du dommage causé par la publication imprudente de 0-Day, encore que cette question se règlera vraisemblablement assez rapidement par l’ajout d’une clause dans les contrats d’assurance RC pro des experts en sécurité informatique.

Edit:

Pour un descriptif complet (et technique) de l’historique de l’article L.323-3-1 du Code pénal ainsi que de la publication de failles informatiques, v. ici. L’auteur remarque que la criminalisation de la publication de failles est une prime à l’incompétence de l’éditeur, dont rien n’assure que, contacté, il aurait pris la peine de mettre en place un correctif.

Certes, mais il me semble qu’outre l’éditeur, il existe aussi des agences publiques de sécurité informatique d’une part (d’ailleurs, la lecture de l’arrêt d’appel laisse comprendre que le CERTA avait lancé une alerte sur la même faille une semaine avant la sortie du correctif, mais lui n’aurait pas été pénalement poursuivi (alors que les personnes morales y compris de droit public peuvent voir leur responsabilité pénale engagée pour ces infractions, v. article 323-6 du Code pénal), d’autre part, si l’expert avait d’abord prévenu l’éditeur, ensuite publié entre « collègues » experts pour trouver une solution, et enfin seulement mis en ligne l’exploit, l’excuse de motif légitime aurait pu être retenue. J’ajoute qu’en l’absence d’action pénale, il n’est pas exclu qu’une action civile soit engagée par un utilisateur victime de piratage du fait de la faille publiée, et là, les dommages-intérêts risquent de ne pas se limiter à mille euros si l’expert est  condamné in solidum avec l’éditeur de logiciel (et sous réserve que ce dernier ait effectivement fait preuve de négligence).

Une question reste ouverte: est-ce que l’expert condamné saisira la Cour européenne des Droits de l’Homme, tant sur le principe de la liberté d’expression (encore qu’elle connaisse des limites, notamment l’interdiction de ne pas nuire à autrui) que sur le droit au procès équitable (le flou de l’incrimination pénale et de la notion de motif légitime ne mettant pas le citoyen en mesure de savoir qu’il commet une infraction).

MAJ du 24 décembre 2009 : le lecteur se reportera utilement à l’article de E. FREYSSINET, qui explique la différence entre la publication de faille (dire qu’un logiciel présente une faille) et la publication d’exploit (donner les recettes pour exploiter cette faille).

Cette entrée a été publiée dans Droit de l’informatique, Droit pénal, et marquée avec 323-3-1, Article 323-3-1 du Code pénal, Cybercriminalité, Diffusion de moyens de piratage, Droit de l’informatique, Droit de l’internet, Expert informatique, Faille de sécurité, Fins de recherche ou de sécurité informatique, LPM, Patch, le par matringe.
Print Friendly, PDF & Email

References

References
1 Obs. Francillon, RSC 2010. 178; obs. Darsonville, D. 2009. AJ 2935; note Lasserre Capdeville, ibid. 2010. 806; obs. Royer, AJ pénal 2010. 79; obs. Véron, Dr. pénal 2010, no 3; obs. Lepage, ibid. Chron. 10; note Lepage, JCP 2010, no 1-2, 19; note Arrigo et Blin, Gaz. Pal. 2010. 261.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *