{"id":368,"date":"2009-09-17T15:10:45","date_gmt":"2009-09-17T13:10:45","guid":{"rendered":"http:\/\/www.evematringe.eu\/bl0g\/?p=368"},"modified":"2019-03-27T15:13:32","modified_gmt":"2019-03-27T14:13:32","slug":"la-publication-de-faille-une-infraction-penale","status":"publish","type":"post","link":"https:\/\/www.evematringe.eu\/bl0g\/2009\/09\/17\/la-publication-de-faille-une-infraction-penale\/","title":{"rendered":"La publication de faille: une infraction p\u00e9nale?"},"content":{"rendered":"<header class=\"entry-header\"><\/header>\n<div class=\"entry-content\">\n<p>Un expert en informatique, sp\u00e9cialis\u00e9 en s\u00e9curit\u00e9 (donc a priori, pas un <a href=\"http:\/\/www.tsgk.net\/cowboyz\/cow.html\" target=\"_blank\" rel=\"noopener noreferrer\">#c0wb0yZ<\/a>), a diffus\u00e9 sur le site de sa soci\u00e9t\u00e9 des failles informatiques ainsi que le moyen de les exploiter, et ce, quelques jours avant la publication des patchs par les \u00e9diteurs de logiciel concern\u00e9s.<\/p>\n<p>Sur avis de l&rsquo;Office Central de Lutte contre la Criminalit\u00e9 li\u00e9e aux Technologies de L\u2019Information et de la Communication, le parquet a charg\u00e9 la DST d\u2019enqu\u00eater et les faits ont \u00e9t\u00e9 \u00e9tablis, l\u2019informaticien ne niant d\u2019ailleurs pas leur r\u00e9alit\u00e9, mais exposant qu\u2019il avait un motif l\u00e9gitime d\u2019agir puisqu\u2019il s\u2019agissait d\u2019informer et de sensibiliser le public \u00e0 la s\u00e9curit\u00e9 informatique.<\/p>\n<p>La Cour d\u2019appel de Montpellier a cependant estim\u00e9 qu\u2019en rendant publiques ces informations, et surtout le moyen d\u2019exploiter les failles de s\u00e9curit\u00e9, sans d\u2019abord avoir pr\u00e9venu l\u2019\u00e9diteur de logiciel concern\u00e9 afin de le mettre en mesure de produire un patch et ainsi d\u2019\u00e9viter les piratages, le pr\u00e9venu s\u2019\u00e9tait rendu coupable de l\u2019infraction incrimin\u00e9e par l\u2019<a href=\"http:\/\/www.legifrance.gouv.fr\/affichCodeArticle.do;jsessionid=53CF1EFFCF929398E4764EFB4573DD77.tpdjo03v_1?idArticle=LEGIARTI000006418323&amp;cidTexte=LEGITEXT000006070719&amp;dateTexte=20090917\" target=\"_blank\" rel=\"noopener noreferrer\">article 323-3-1 du Code p\u00e9nal<\/a>. \u00e0 savoir \u00ab\u00a0<em>Le fait, sans motif l\u00e9gitime, d\u2019importer, de d\u00e9tenir, d\u2019offrir, de c\u00e9der ou de mettre \u00e0 disposition un \u00e9quipement, un instrument, un programme informatique ou toute donn\u00e9e con\u00e7us ou sp\u00e9cialement adapt\u00e9s pour commettre une ou plusieurs des infractions pr\u00e9vues par les articles 323-1 \u00e0 323-3 [intrusion ou maintien dans un syst\u00e8me informatis\u00e9 de gestion de donn\u00e9es, ou alt\u00e9ration ou destruction dudit syst\u00e8me]<\/em>\u00ab\u00a0.<\/p>\n<p>La Cour d\u2019appel refuse de retenir l\u2019existence d\u2019un motif l\u00e9gitime en relevant que<\/p>\n<p>\u00ab\u00a0<em>s\u2019agissant du motif l\u00e9gitime exon\u00e9ratoire, \u2026 monsieur X\u2026 Y\u2026. ne peut valablement arguer d\u2019un motif l\u00e9gitime tir\u00e9 de la volont\u00e9 d\u2019information d\u00e8s lors que par la mise en place d\u2019un service de veille destin\u00e9 \u00e0 des abonn\u00e9s et par la communication d\u2019informations d\u2019alerte directement \u00e0 MICROSOFT \u00e0 son adresse email, monsieur X\u2026 Y\u2026. a fait la preuve de ce qu\u2019il connaissait les dispositifs permettant de concilier le souci d\u2019information avec la n\u00e9cessaire confidentialit\u00e9 de ce type d\u2019informations, \u00e9tant pr\u00e9cis\u00e9 que monsieur X\u2026 Y\u2026., selon ses propres d\u00e9clarations, n\u2019a pas \u00e9t\u00e9 remerci\u00e9 par MICROSOFT pour avoir publi\u00e9 sur le site web les exploits le concernant mais pour l\u2019avoir avis\u00e9 directement \u00e0 son adresse mail des failles existantes ;<\/em><\/p>\n<p><em>Attendu que s\u2019agissant de l\u2019\u00e9l\u00e9ment intentionnel de l\u2019infraction, monsieur X\u2026 Y\u2026. ne peut arguer de sa bonne foi alors que la fr\u00e9quentation de son site par un public tout venant lui procurait des revenus publicitaires adoss\u00e9s au nombre de visiteurs, qu\u2019en cons\u00e9quence il est \u00e9tabli qu\u2019il avait un int\u00e9r\u00eat \u00e9conomique \u00e0 la diffusion d\u2019informations dont il ne pouvait ignorer, du fait de son expertise en cette mati\u00e8re et de ses ant\u00e9c\u00e9dents judiciaires, qu\u2019elles pr\u00e9sentaient un risque d\u2019utilisation \u00e0 des fins de piratage par un public particulier en recherche de ce type de d\u00e9viance<\/em>\u00ab\u00a0.<\/p>\n<p>En r\u00e9alit\u00e9, ce qui est reproch\u00e9 n\u2019est pas la publication de faille de s\u00e9curit\u00e9, mais le fait de l\u2019avoir fait avant d\u2019avoir mis en mesure l\u2019\u00e9diteur de logiciel de proposer un patch, faisant ainsi courir un risque de piratage \u00e0 tous les utilisateurs, et ce, dans le seul but de d\u00e9montrer son expertise.<\/p>\n<p>Au final, compte tenu de la personnalit\u00e9 du pr\u00e9venu, celui-ci n\u2019est condamn\u00e9 qu\u2019\u00e0 une peine de mille euros d\u2019amende.<\/p>\n<p><a href=\"https:\/\/www.evematringe.eu\/bl0g\/jurisprudence\/jurisprudence-francaise\/ca-montpellier-3-ch-corr-12-mars-2009-n08-01431\/\" target=\"_blank\" rel=\"noopener noreferrer\">CA Montpellier, 3e ch. corr. 12 mars 2009, n\u00b008\/01431<\/a><\/p>\n<\/div>\n<footer class=\"entry-meta\">Cette entr\u00e9e a \u00e9t\u00e9 publi\u00e9e dans Droit de l&rsquo;informatique, Droit p\u00e9nal, et marqu\u00e9e avec Article 323-3-1 CP, Droit p\u00e9nal de l&rsquo;informatique, Expert informatique, Faille de s\u00e9curit\u00e9, Piratage, le <time class=\"entry-date\" datetime=\"2009-09-17T17:48:56+00:00\">17 septembre 2009<\/time> <span class=\"by-author\">par <span class=\"author vcard\">matringe<\/span><\/span>.<\/footer>\n","protected":false},"excerpt":{"rendered":"<p>Un expert en informatique, sp\u00e9cialis\u00e9 en s\u00e9curit\u00e9 (donc a priori, pas un #c0wb0yZ), a diffus\u00e9 sur le site de sa soci\u00e9t\u00e9 des failles informatiques ainsi que le moyen de les exploiter, et ce, quelques jours avant la publication des patchs par les \u00e9diteurs de logiciel concern\u00e9s. Sur avis de l&rsquo;Office Central de Lutte contre la&hellip; <a class=\"more-link\" href=\"https:\/\/www.evematringe.eu\/bl0g\/2009\/09\/17\/la-publication-de-faille-une-infraction-penale\/\">Poursuivre la lecture <span class=\"screen-reader-text\">La publication de faille: une infraction p\u00e9nale?<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16,5,136],"tags":[283,284,285,286,287],"class_list":["post-368","post","type-post","status-publish","format-standard","hentry","category-droit-de-linformatique","category-droit-francais","category-droit-penal","tag-article-323-3-1-cp","tag-droit-penal-de-linformatique","tag-expert-informatique","tag-faille-de-securite","tag-piratage","entry"],"share_on_mastodon":{"url":"","error":""},"_links":{"self":[{"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/posts\/368","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/comments?post=368"}],"version-history":[{"count":1,"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/posts\/368\/revisions"}],"predecessor-version":[{"id":369,"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/posts\/368\/revisions\/369"}],"wp:attachment":[{"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/media?parent=368"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/categories?post=368"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/tags?post=368"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}