{"id":373,"date":"2009-11-28T15:59:38","date_gmt":"2009-11-28T14:59:38","guid":{"rendered":"http:\/\/www.evematringe.eu\/bl0g\/?p=373"},"modified":"2019-03-27T16:17:21","modified_gmt":"2019-03-27T15:17:21","slug":"la-diffusion-de-failles-informatiques-sans-precaution-est-une-infraction-penale","status":"publish","type":"post","link":"https:\/\/www.evematringe.eu\/bl0g\/2009\/11\/28\/la-diffusion-de-failles-informatiques-sans-precaution-est-une-infraction-penale\/","title":{"rendered":"La diffusion de failles informatiques sans pr\u00e9caution est une infraction p\u00e9nale"},"content":{"rendered":"<header class=\"entry-header\"><\/header>\n<div class=\"entry-content\">\n<p>La Cour de cassation vient en effet, par un arr\u00eat du <a href=\"http:\/\/www.legifrance.gouv.fr\/affichJuriJudi.do?oldAction=rechJuriJudi&amp;idTexte=JURITEXT000021299967&amp;fastReqId=2059395244&amp;fastPos=1#\">27 octobre 2009, n\u00b009-82346, Bull. n\u00b0177<\/a><span class=\"footnote_referrer\"><a role=\"button\" tabindex=\"0\" onclick=\"footnote_moveToReference_373_1('footnote_plugin_reference_373_1_1');\" onkeypress=\"footnote_moveToReference_373_1('footnote_plugin_reference_373_1_1');\" ><sup id=\"footnote_plugin_tooltip_373_1_1\" class=\"footnote_plugin_tooltip_text\">(1)<\/sup><\/a><span id=\"footnote_plugin_tooltip_text_373_1_1\" class=\"footnote_tooltip\">Obs. Francillon, RSC 2010. 178; obs. Darsonville, D. 2009. AJ 2935; note Lasserre Capdeville, ibid. 2010. 806; obs. Royer, AJ p\u00e9nal 2010. 79; obs. V\u00e9ron, Dr. p\u00e9nal 2010, n<sup>o<\/sup> 3; obs. Lepage, ibid. Chron. 10; note Lepage, JCP 2010, n<sup>o<\/sup> 1-2, 19; note Arrigo et Blin, Gaz. Pal. 2010. 261.<\/span><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_373_1_1').tooltip({ tip: '#footnote_plugin_tooltip_text_373_1_1', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });<\/script> d\u2019approuver la Cour d\u2019appel de Montpellier <a href=\"https:\/\/www.evematringe.eu\/bl0g\/2009\/09\/17\/la-publication-de-faille-une-infraction-penale\/\">dont nous commentions pr\u00e9c\u00e9demment l\u2019arr\u00eat<\/a>. Un expert en s\u00e9curit\u00e9 informatique avait publi\u00e9 sur le site public de sa soci\u00e9t\u00e9 des indications (un script) sur l\u2019existence de failles informatiques dans un STAD et sur la fa\u00e7on de les exploiter, ce, avant m\u00eame d\u2019avoir avis\u00e9 l\u2019\u00e9diteur du logiciel, la soci\u00e9t\u00e9 Microsoft, du probl\u00e8me.<\/p>\n<p>Poursuivi et <a href=\"https:\/\/www.evematringe.eu\/bl0g\/jurisprudence\/jurisprudence-francaise\/ca-montpellier-3-ch-corr-12-mars-2009-n08-01431\/\">condamn\u00e9 en appel<\/a> sur le fondement de l\u2019article 323-3-1 du Code p\u00e9nal, l\u2019expert invoquait comme excuse le motif l\u00e9gitime de l\u2019information du public. Cet argument avait \u00e9t\u00e9 rejet\u00e9 par la Cour d\u2019appel qui avait observ\u00e9 qu\u2019il aurait pu pr\u00e9alablement pr\u00e9venir l\u2019\u00e9diteur de logiciel plut\u00f4t que de vouloir ainsi accro\u00eetre la fr\u00e9quentation de son site, dont il tirait de substantiels b\u00e9n\u00e9fices publicitaires.<\/p>\n<p>Devant la Cour de cassation, il \u00e9tait soutenu que l\u2019\u00e9l\u00e9ment intentionnel de l\u2019infraction n\u2019\u00e9tait pas constitu\u00e9 car il n\u2019aurait pas diffus\u00e9 ces informations dans le but pr\u00e9cis de permettre des actions de piratage informatique.<\/p>\n<p>La Cour de cassation reprend la motivation de la Cour d\u2019appel, en retenant que l\u2019exp\u00e9rience professionnelle du pr\u00e9venu le mettait en mesure de comprendre qu\u2019il exposait les autres utilisateurs \u00e0 un risque de piratage \u00ab\u00a0<em>par un public particulier en recherche de ce type de d\u00e9viance<\/em>\u00a0\u00bb , que d\u00e8s lors l\u2019\u00e9l\u00e9ment intentionnel de l\u2019infraction \u00e9tait constitu\u00e9.<\/p>\n<p>Cette solution r\u00e9alise un juste \u00e9quilibre entre les experts informatiques qui appuient leur renomm\u00e9e sur la publication de telles informations et la s\u00e9curit\u00e9 informatique que l\u2019utilisateur lambda est en droit d\u2019attendre. Il aurait en effet suffit que l\u2019\u00e9diteur soit au pr\u00e9alable pr\u00e9venu \u00e0 temps pour \u00e9laborer les \u00a0\u00ab\u00a0<em>patchs<\/em>\u00a0\u00bb avant la publication de l\u2019exploit pour que l\u2019expert ne soit pas condamn\u00e9.<\/p>\n<p><strong>Edit du 12 f\u00e9vrier 2014<\/strong>:\u00a0la loi de programmation militaire modifie l\u2019<a href=\"http:\/\/www.legifrance.gouv.fr\/affichCodeArticle.do;jsessionid=EA1BF6CDC05B0AC246E1F3D888A7C32E.tpdjo04v_3?cidTexte=LEGITEXT000006070719&amp;idArticle=LEGIARTI000028345220&amp;dateTexte=20131227&amp;categorieLien=id\" target=\"_blank\" rel=\"noopener noreferrer\">article 323-3-1 du Code p\u00e9nal<\/a>\u00a0afin de permettre la diffusion de faille et des descriptifs des moyens de les exploiter, \u00e0 des fins \u00a0\u00ab\u00a0<em>notamment de recherche ou de s\u00e9curit\u00e9 informatique\u00a0\u00bb<\/em>. \u00a0Dans la mesure o\u00f9 il s\u2019agissait de modifier un texte du Code p\u00e9nal, le l\u00e9gislateur n\u2019a cependant pas envisag\u00e9 la cons\u00e9quence de l\u2019\u00e9ventuelle responsabilit\u00e9 civile (et p\u00e9nale?) en raison du dommage caus\u00e9 par la publication imprudente de 0-Day, encore que cette question se r\u00e8glera vraisemblablement assez rapidement par l\u2019ajout d\u2019une clause dans les contrats d\u2019assurance RC pro des experts en s\u00e9curit\u00e9 informatique.<\/p>\n<p>Edit:<\/p>\n<p>Pour un descriptif complet (et technique) de l\u2019historique de l\u2019article L.323-3-1 du Code p\u00e9nal ainsi que de la publication de failles informatiques, v. <a href=\"https:\/\/web.archive.org\/web\/20170704084657\/http:\/\/sid.rstack.org\/blog\/index.php\/375-lcen-m-a-tuer-ou-pas\">ici<\/a>.\u00a0L\u2019auteur remarque que la criminalisation de la publication de failles est une prime \u00e0 l\u2019incomp\u00e9tence de l\u2019\u00e9diteur, dont rien n\u2019assure que, contact\u00e9, il aurait pris la peine de mettre en place un correctif.<\/p>\n<p>Certes, mais il me semble qu\u2019outre l\u2019\u00e9diteur, il existe aussi des agences publiques de s\u00e9curit\u00e9 informatique d\u2019une part (d\u2019ailleurs, la lecture de l\u2019arr\u00eat d\u2019appel laisse comprendre que le CERTA avait lanc\u00e9 une alerte sur la m\u00eame faille une semaine avant la sortie du correctif, mais lui n\u2019aurait pas \u00e9t\u00e9 p\u00e9nalement poursuivi (alors que les personnes morales y compris de droit public peuvent voir leur responsabilit\u00e9 p\u00e9nale engag\u00e9e pour ces infractions, v. article 323-6 du Code p\u00e9nal), d\u2019autre part, si l\u2019expert avait d\u2019abord pr\u00e9venu l\u2019\u00e9diteur, ensuite publi\u00e9 entre \u00ab\u00a0coll\u00e8gues\u00a0\u00bb experts pour trouver une solution, et enfin seulement mis en ligne l\u2019exploit, l\u2019excuse de motif l\u00e9gitime aurait pu \u00eatre retenue.\u00a0J\u2019ajoute qu\u2019en l\u2019absence d\u2019action p\u00e9nale, il n\u2019est pas exclu qu\u2019une action civile soit engag\u00e9e par un utilisateur victime de piratage du fait de la faille publi\u00e9e, et l\u00e0, les dommages-int\u00e9r\u00eats risquent de ne pas se limiter \u00e0 mille euros si l\u2019expert est \u00a0condamn\u00e9 <em>in solidum<\/em> avec l\u2019\u00e9diteur de logiciel (et sous r\u00e9serve que ce dernier ait effectivement fait preuve de n\u00e9gligence).<\/p>\n<p>Une question reste ouverte: est-ce que l\u2019expert condamn\u00e9 saisira la Cour europ\u00e9enne des Droits de l\u2019Homme, tant sur le principe de la libert\u00e9 d\u2019expression (encore qu\u2019elle connaisse des limites, notamment l\u2019interdiction de ne pas nuire \u00e0 autrui) que sur le droit au proc\u00e8s \u00e9quitable (le flou de l\u2019incrimination p\u00e9nale et de la notion de motif l\u00e9gitime ne mettant pas le citoyen en mesure de savoir qu\u2019il commet une infraction).<\/p>\n<p>MAJ du 24 d\u00e9cembre 2009 : le lecteur se reportera utilement \u00e0 l\u2019<a href=\"http:\/\/blog.crimenumerique.fr\/2009\/12\/24\/est-il-illegal-de-publier-des-failles-de-securite\/\">article de E. FREYSSINET<\/a>, qui explique la diff\u00e9rence entre la publication de faille (dire qu\u2019un logiciel pr\u00e9sente une faille) et la publication d\u2019exploit (donner les recettes pour exploiter cette faille).<\/p>\n<\/div>\n<footer class=\"entry-meta\">Cette entr\u00e9e a \u00e9t\u00e9 publi\u00e9e dans Droit de l&rsquo;informatique, Droit p\u00e9nal, et marqu\u00e9e avec 323-3-1, Article 323-3-1 du Code p\u00e9nal, Cybercriminalit\u00e9, Diffusion de moyens de piratage, Droit de l&rsquo;informatique, Droit de l&rsquo;internet, Expert informatique, Faille de s\u00e9curit\u00e9, Fins de recherche ou de s\u00e9curit\u00e9 informatique, LPM, Patch, le <time class=\"entry-date\" datetime=\"2009-11-28T19:30:38+00:00\">28 novembre 2009<\/time> <span class=\"by-author\">par <span class=\"author vcard\">matringe<\/span><\/span>.<\/footer>\n<div class=\"speaker-mute footnotes_reference_container\"> <div class=\"footnote_container_prepare\"><p><span role=\"button\" tabindex=\"0\" class=\"footnote_reference_container_label pointer\" onclick=\"footnote_expand_collapse_reference_container_373_1();\">References<\/span><span role=\"button\" tabindex=\"0\" class=\"footnote_reference_container_collapse_button\" style=\"display: none;\" onclick=\"footnote_expand_collapse_reference_container_373_1();\">[<a id=\"footnote_reference_container_collapse_button_373_1\">+<\/a>]<\/span><\/p><\/div> <div id=\"footnote_references_container_373_1\" style=\"\"><table class=\"footnotes_table footnote-reference-container\"><caption class=\"accessibility\">References<\/caption> <tbody> \r\n\r\n<tr class=\"footnotes_plugin_reference_row\"> <th scope=\"row\" id=\"footnote_plugin_reference_373_1_1\" class=\"footnote_plugin_index pointer\" onclick=\"footnote_moveToAnchor_373_1('footnote_plugin_tooltip_373_1_1');\"><a role=\"button\" tabindex=\"0\" class=\"footnote_plugin_link\" ><span class=\"footnote_index_arrow\">&#8593;<\/span>1<\/a><\/th> <td class=\"footnote_plugin_text\">Obs. Francillon, RSC 2010. 178; obs. Darsonville, D. 2009. AJ 2935; note Lasserre Capdeville, ibid. 2010. 806; obs. Royer, AJ p\u00e9nal 2010. 79; obs. V\u00e9ron, Dr. p\u00e9nal 2010, n<sup>o<\/sup> 3; obs. Lepage, ibid. Chron. 10; note Lepage, JCP 2010, n<sup>o<\/sup> 1-2, 19; note Arrigo et Blin, Gaz. Pal. 2010. 261.<\/td><\/tr>\r\n\r\n <\/tbody> <\/table> <\/div><\/div><script type=\"text\/javascript\"> function footnote_expand_reference_container_373_1() { jQuery('#footnote_references_container_373_1').show(); jQuery('#footnote_reference_container_collapse_button_373_1').text('\u2212'); } function footnote_collapse_reference_container_373_1() { jQuery('#footnote_references_container_373_1').hide(); jQuery('#footnote_reference_container_collapse_button_373_1').text('+'); } function footnote_expand_collapse_reference_container_373_1() { if (jQuery('#footnote_references_container_373_1').is(':hidden')) { footnote_expand_reference_container_373_1(); } else { footnote_collapse_reference_container_373_1(); } } function footnote_moveToReference_373_1(p_str_TargetID) { footnote_expand_reference_container_373_1(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } } function footnote_moveToAnchor_373_1(p_str_TargetID) { footnote_expand_reference_container_373_1(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } }<\/script>","protected":false},"excerpt":{"rendered":"<p>La Cour de cassation vient en effet, par un arr\u00eat du 27 octobre 2009, n\u00b009-82346, Bull. n\u00b0177(1)Obs. Francillon, RSC 2010. 178; obs. Darsonville, D. 2009. AJ 2935; note Lasserre Capdeville, ibid. 2010. 806; obs. Royer, AJ p\u00e9nal 2010. 79; obs. V\u00e9ron, Dr. p\u00e9nal 2010, no 3; obs. Lepage, ibid. Chron. 10; note Lepage, JCP 2010,&hellip; <a class=\"more-link\" href=\"https:\/\/www.evematringe.eu\/bl0g\/2009\/11\/28\/la-diffusion-de-failles-informatiques-sans-precaution-est-une-infraction-penale\/\">Poursuivre la lecture <span class=\"screen-reader-text\">La diffusion de failles informatiques sans pr\u00e9caution est une infraction p\u00e9nale<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","footnotes":""},"categories":[16,5,136],"tags":[290,291,292,293,294,295,285,286,296,165,297],"class_list":["post-373","post","type-post","status-publish","format-standard","hentry","category-droit-de-linformatique","category-droit-francais","category-droit-penal","tag-323-3-1","tag-article-323-3-1-du-code-penal","tag-cybercriminalite","tag-diffusion-de-moyens-de-piratage","tag-droit-de-linformatique","tag-droit-de-linternet","tag-expert-informatique","tag-faille-de-securite","tag-fins-de-recherche-ou-de-securite-informatique","tag-lpm","tag-patch","entry"],"share_on_mastodon":{"url":"","error":""},"_links":{"self":[{"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/posts\/373","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/comments?post=373"}],"version-history":[{"count":1,"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/posts\/373\/revisions"}],"predecessor-version":[{"id":374,"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/posts\/373\/revisions\/374"}],"wp:attachment":[{"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/media?parent=373"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/categories?post=373"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.evematringe.eu\/bl0g\/wp-json\/wp\/v2\/tags?post=373"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}