Selon un auteur, la LPM, en son article 25, permettrait dorénavant de tester la sécurité des sites internet sans risquer les foudres pénales du parquet le plus proche.
Il est exact que la loi modifie l’article 323-3-1 du Code pénal afin de permettre la diffusion de faille et des descriptifs des moyens de les exploiter, à des fins « notamment de recherche ou de sécurité informatique« . Dans la mesure où il s’agissait de modifier un texte du Code pénal, le législateur n’a cependant pas envisagé la conséquence de l’éventuelle responsabilité civile en raison du dommage causé par la publication imprudente de 0-Day, encore que cette question se règlera vraisemblablement assez rapidement par l’ajout d’une clause dans les contrats d’assurance RC pro des experts en sécurité informatique.
Par contre, l’auteur analyse la modification de l’article L. 122-6-1 du code de la propriété intellectuelle comme autorisant « purement et simplement de tester la sécurité informatique de sites web (y compris gouvernementaux, diplomatiques, militaires, les systèmes de santé, bref il n’y a aucune limites !), de même que tout logiciel en fonctionnement et cela quel qu’il soit« .
Il est tard et je ne suis pas sûre d’avoir les idées très claires (et je veux bien un éclairage technique si besoin), néanmoins, j’estime devoir contredire cette opinion. En effet, la modification du CPI a pour seul effet d’ajouter la sécurité informatique parmi les motifs justifiant qu’un utilisateur légitime étudie le fonctionnement d’un logiciel, motifs parmi lesquels figure déjà, notamment, l’interopérabilité entre logiciels(1)L’interopérabilité est définie comme étant la « capacité d’échanger des informations et d’utiliser mutuellement les informations échangées », par la directive CE n°91/250 du 14 mai 1991, codifié par la directive CE n°2009/24 du 23 avril 2009..
L’art.122-6-1 CPI III dispose que « La personne ayant le droit d’utiliser le logiciel peut sans l’autorisation de l’auteur observer, étudier ou tester le fonctionnement « ou la sécurité » de ce logiciel afin de déterminer les idées et principes qui sont à la base de n’importe quel élément du logiciel lorsqu’elle effectue toute opération de chargement, d’affichage, d’exécution, de transmission ou de stockage du logiciel qu’elle est en droit d’effectuer« .
Il est à mon sens audacieux de conclure de ce texte que cela permettrait à tout un chacun de tester la sécurité des sites internet gouvernementaux (acte visé à l’article 323-1 et s. du Code pénal). En effet, l’article 122-6-1 III du CPI réserve cette possibilité à la personne ayant le droit d’utiliser le logiciel et la limite au cadre des opérations qu’elle est en droit d’effectuer. L’indication de ce que l’auteur du logiciel ne peut s’y opposer ne me semble pas devoir être entendue comme la licence de passer outre l’opposition du maître du système. Or par définition, le maître du système n’est pas celui qui teste la sécurité d’un site internet à la sauvage. D’autant qu’un test de CMS ou de serveur n’a pas besoin de porter directement sur un site internet précis et peut s’exécuter en local.
Ce texte est donc un progrès sur la voie de l’interopérabilité entre logiciels et de la sécurité informatique, mais certainement pas un permis de pirater.
