Une coalition internationale, initiée par une ONG basée à Paris et soutenue par des sommités mondiales de la cybersécurité, déplore le peu de protections juridiques dont feraient l'objet les chercheurs de bonne foi de failles « zero day ».
Cybersecurity Advisors Network (CyAN), une association mondiale à but non lucratif basée à Paris représentant des professionnels de la cybersécurité dans 22 pays, vient d'annoncer la formation d'un partenariat mondial visant à garantir des protections juridiques aux chercheurs de bonne foi de failles « zero day », du nom donné à ces vulnérabilités n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu.
« À une époque où l'ampleur et la gravité des cyberattaques menaçant nos informations personnelles, la continuité de nos entreprises ainsi que les systèmes et infrastructures qui soutiennent nos sociétés sont sans précédent, nous constatons que les personnes sur lesquelles nous comptons pour nous protéger restent menacées », explique Peter Coroneos, vice-président de CyAN International et responsable du projet législatif « Zero Day » :
« Les chercheurs "white hat" spécialisés dans les attaques de type "zero day" constituent un élément essentiel de la correction des systèmes connectés exploitables. Ils découvrent l'existence de vulnérabilités non corrigées et les signalent aux fournisseurs des systèmes concernés afin qu'elles soient corrigées. Malheureusement, ils font face à des menaces légales de la part de certains vendeurs sensibles à la découverte de failles dans leurs produits. »
Les menaces reposent généralement sur les lois sur les droits d'auteur et/ou pénales qui régissent l'accès ou l'interférence avec les systèmes informatiques. Or, déplore-t-il, « les lois obsolètes n'ont pas suivi le rythme des enjeux cyber, étouffant les efforts de recherche et d'alerte à un moment où les chercheurs devraient être soutenus ».
Cette coalition internationale entend ainsi « plaider en faveur d'une modification des lois afin de garantir que les chercheurs de failles "zero day" ne craignent plus les réactions juridiques brutales des entreprises dont ils cherchent à sécuriser les produits ».
Un problème d'ores et déjà pointé du doigt par l'OCDE
Elle relève à ce titre que l'OCDE a reconnu la nécessité d'agir dans ses orientations pour 2021 à l'intention des décideurs politiques, en observant dans son document de travail à l'intention des décideurs politiques au sujet du traitement des vulnérabilités informatiques que :
« Dans de nombreux pays, les chercheurs sont confrontés à des risques juridiques importants lorsqu'ils signalent des vulnérabilités. Les entités responsables des vulnérabilités peuvent menacer les chercheurs de poursuites judiciaires au lieu d'accueillir favorablement leurs rapports. Ce risque juridique, aggravé lorsque les parties prenantes sont situées au-delà des frontières, crée de puissants facteurs de dissuasion dans la communauté de la sécurité [informatique, ndlr]. »
Une initiative soutenue par un certain nombre de cyberdirigeants de premier plan. Pour Ciaran Martin, ancien responsable du département cybersécurité du GCHQ puis directeur de son National Cyber Security Centre (l'équivalent britannique de l'ANSSI) de 2016 à 2020, « la recherche éthique en matière de cybersécurité, qui nous aide à assainir l'environnement numérique, mérite et nécessite une protection juridique appropriée ».
« Il est important de distinguer les acteurs malveillants des chercheurs responsables et éthiques qui mènent leurs recherches dans le respect des meilleures pratiques. Soutenir les seconds, tout en condamnant les premiers, est une cause louable », précise de son côté Chris Painter, qui fut le premier « cyber diplomate » du département d'État américain. Il préside depuis le conseil d'administration du Global Forum on Cyber Expertise, qui entend « répondre aux défis émergents dans le domaine du renforcement des capacités cyber ».
« Les chercheurs en sécurité sont des lanceurs d'alerte »
Casey Ellis est le fondateur/président/CTO de Bugcrowd.com, l'une des principales plateformes de « bug bounties », et cofondateur du projet disclose.io, un projet de normalisation indépendant des fournisseurs des meilleures pratiques en termes de recherche de bonne foi en matière de sécurité.
Pour lui, « si la recherche de sécurité de bonne foi est le système immunitaire de l'Internet, alors la modernisation de la législation pour reconnaître le hacking comme une activité à double usage et moralement agnostique, ainsi que la création d'exceptions pour ces "serruriers numériques" de l'Internet d'aujourd'hui, équivaut à résoudre le problème auto-immune de l'Internet ».
Katie Moussouris, pionnière de la divulgation responsable des vulnérabilités, avait pour sa part créé le programme de « bug bounty » de Microsoft, et contribué à celui du département de la défense américain. Pour elle, « Les chercheurs en sécurité sont des lanceurs d'alerte. Il est grand temps que les lois offrent à ces hackers de bonne foi des moyens plus sûrs de mener leurs recherches essentielles à la sécurisation du monde contemporain ».
« En raison de la complexité et de la nature distribuée des vulnérabilités, nous devons responsabiliser et non pénaliser ceux qui travaillent de bonne foi dans l'intérêt de la sécurité publique », estime de son côté Stéphane Duguin, un ancien coordinateur et chef d'unité au Centre européen de lutte contre la cybercriminalité (EC3) d'Europol et CEO du CyberPeace Institute, une ONG dont la mission est de garantir les droits des personnes à la sécurité, à la dignité et à l'équité dans le cyberespace.
La coalition est également soutenue par Arnaud Coustillière, l'ex-commandant de la cyberdéfense et de la cybersécurité des armées (COMCYBER) puis Directeur général du numérique et des systèmes d'information et de communication du ministère des Armées, aujourd'hui président du Pôle d'excellence cyber créé en 2014 par le ministère de la Défense et la Région Bretagne.
« On est comme dans un champ de bataille complètement miné »
Interrogé sur ce qui a permis de réunir un tel tableau de chasse, Jean-Christophe Le Toquin, président du CyAN et d'Encryption Europe, une alliance de promotion du chiffrement, explique à NextInpact que « ce sont des gens que Peter Coroneos, moi-même et quelques autres connaissons de plus ou moins longue date. Aucun de nos signataires n’a mis longtemps à se décider » :
« C’est parti d’un membre de CyAN qui est un chercheur de "zero day" et qui nous a alerté sur ses difficultés de publier des failles, sur les réticences des éditeurs de les corriger, sur le retard des Européens à acheter des failles par rapport à ce qui se fait par exemple au Moyen-Orient et en Asie. On s’est dit qu’il fallait faire quelque chose pour réhabiliter ces chercheurs.
De là, on a monté un premier webinar avec le FIC au printemps, car le sujet intéressait Guillaume Tissier [le co-organisateur du Forum International de la Cybersécurité, ndlr]. De là on a observé avec plus d’attention les travaux publics, ceux de l’OCDE et de l’Appel de Paris. À l’évidence, beaucoup de gens beaucoup plus compétents que nous se posent beaucoup de questions. »
Interrogé sur ce que la coalition compte faire afin de faire évoluer les lois, et de parvenir à protéger les chercheurs, Le Toquin nous répond qu'il n'en a « aucune idée, honnêtement. C’est un reproche qu’on nous a fait, mais sur un sujet aussi brûlant, aussi complexe, je ne crois pas qu’on puisse avoir de plan préétabli, surtout qu’on n’a aucun financement (je rappelle que la cotisation à CyAN c’est 200€/an) » :
« On est comme dans un champ de bataille qui est en principe complètement miné. On lève un drapeau blanc et on le remue, et on voit ce que ça donne. Si le drapeau ne se fait pas mitrailler, on peut commencer à penser à l’étape d’après. »
En France, une législation encore hésitante
Notre droit apporte peu de nuances en la matière. Une personne qui s’introduit ou se maintient sans autorisation dans un système informatique encourt jusqu’à deux ans de prison et 60 000 euros d’amende (323-1 du Code pénal, alinéa 1). L’échelle des peines s’alourdit en cas de modification, suppression, etc.
La loi pour la République numérique a néanmoins introduit une disposition dans le Code de la défense pour défaire l’ANSSI des obligations du Code de procédure pénale inscrites à l’article 40.
Depuis cette loi du 7 octobre 2016, il est possible en effet de transmettre à l’Autorité nationale de sécurité des systèmes d'information « une information sur l'existence d'une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données ».
Sous condition d’être de bonne foi, ce « chapeau blanc » aura une garantie : l’ANSSI ne sera pas tenue de transmettre ce dossier à la justice.
Sans ce filet, l’article 40 aurait dû jouer à plein régime puisque selon ce dernier, « toute autorité constituée, tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs ».
Sur le site de l'agence, une page dédiée permet aux découvreurs de faille de la contacter soit par mail, soit par courrier postal.
Face à ces hackers, « certains voient de dangereux acteurs, moi j’y vois plutôt des citoyens outrés par ce qu’ils voient ». En 2016, aux Assises de la Cybersécurité, Guillaume Poupard applaudissait cette disposition. Voilà, pour le numéro un de l’ANSSI, « une avancée fondamentale, faisant entrer dans le cyber des honnêtes gens pas identifiés, non des industriels ou des personnes qui portent le costume cravate ».
La tentative avortée de l'exemption des peines ou des poursuites
L’histoire récente montre néanmoins que le droit français n’est pas passé loin d’une protection beaucoup plus ample des découvreurs de failles informatiques. Voire un peu trop, aux yeux des sénateurs.
Retour aux travaux préparatoires de la loi de 2016 sur la République Numérique. Les députés avaient adopté en séance un amendement du groupe socialiste afin d’organiser une exemption des poursuites des hackers : « Toute personne qui a tenté de commettre ou commis le délit prévu au présent article est exempte de peine si elle a immédiatement averti l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause d’un risque d’atteinte aux données ou au fonctionnement du système. »
Le camp LR et celui des écologistes avaient même ouvert la porte beaucoup plus généreusement, en faveur d’une exemption pure et simple des poursuites :
« Toute personne qui a tenté de commettre ou commis ce délit est exemptée de poursuites si, ayant averti immédiatement l’autorité administrative ou judiciaire, ou le responsable du système de traitement automatisé de données en cause, elle a permis d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ».
En séance le 21 janvier 2016, la députée LR Nathalie Kosciusko-Morizet rappelait le contexte : « un internaute ou, en l’occurrence, un hacker ne sait pas à quel régime juridique il s’expose. Dans ces conditions, le risque est grand qu’il ne signale pas une faille qu’il découvrirait, et toutes les assurances orales que l’on peut donner dans cet hémicycle n’y changeront rien. »
Ainsi, pour l’élue, « la bonne administration du droit exige que l’on y inscrive certaines mesures, pour que chacun sache à quel régime juridique il est soumis. Il y va aussi de la sécurité des systèmes : si nous voulons que les failles soient révélées, les choses doivent être dites clairement. C’est ce à quoi vise le présent amendement, en garantissant une protection aux lanceurs d’alerte de sécurité ».
Ces exemptions, inspirées par la jurisprudence Bluetouff de la Cour de cassation, où notre collègue avait été épinglé pour vol de fichiers informatiques, ne survécurent cependant pas aux débats.
En commission, au Sénat, le rapporteur M. Christophe-André Frassa (LR) releva cependant que la rédaction tout juste adoptée par les députés était très insatisfaisante. C’est d'ailleurs à ce stade des débats que l’amendement ANSSI-Article 40 fut adopté dans notre droit, seul maigre filet pour les activités relatives aux failles de sécurité.
Pourquoi cette marche arrière ? Pour l’élu, le texte des députés « d'une part, ne répond pas à la jurisprudence relative aux "hackers" ayant signalé des failles de sécurité et, d'autre part, pourrait présenter des effets négatifs si elle devait inciter à l'intrusion dans les systèmes de traitement automatisés de données ».
Et pour cause, « en vertu de la rédaction adoptée par l'Assemblée nationale, toute personne qui accèderait frauduleusement et intentionnellement dans un système de traitement automatisé de données (STAD) afin de supprimer des données ou d'en altérer son fonctionnement, par exemple, devrait être exemptée de peine dès lors qu'elle aurait contacté, après son forfait, le responsable du traitement en cause ».
De plus, soutenait le même sénateur, « contrairement à ce qui a pu être évoqué pendant les débats à l'Assemblée nationale, le signalement d'une faille informatique au responsable dudit traitement n'est pas pénalement répréhensible, lorsque la vulnérabilité était apparente à tout internaute »
L’est, par contre, « la publication en ligne, la diffusion à des tiers non autorisés desdites failles est, quant à elle, répréhensible sur le fondement de l'article 323-3-1 du Code pénal ».
Motifs légitimes, Code de la propriété intellectuelle
Cet article réprime le fait, sans motif légitime, de « mettre à disposition un équipement, un instrument un programme informatique ou toute donnée conçus ou spécialement adaptés » afin de permettre une atteinte à un système de traitement automatisé de données (STAD). Depuis la loi de programmation militaire du 18 décembre 2013, ont été précisés deux motifs légitimes, à savoir la « recherche » et « la sécurité informatique ».
Dans cette législation hésitante, précisons enfin que le Code de la propriété intellectuelle n’est pas en reste.
Il autorise la personne « ayant le droit d'utiliser » un logiciel d’ « observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer ».
L’utilisateur peut ainsi depuis 2013 auditer « la sécurité » alors que son périmètre se limitait auparavant au seul « fonctionnement » du logiciel.
Commentaires (14)
#1
Je ne sais pas, je crois qu’il faut remonter à assez loin pour retrouver un découvreur de 0day de bonne foi inquiété par la justice.
Plusieurs personnes citées dans l’article étant financièrement dépendantes de l’écosystème des “bugs bounty”, il n’est pas étonnant qu’elles militent pour une dérégulation du secteur… Mais il me semble qu’il est tout à fait possible aujourd’hui d’effectuer des recherches sérieuses sans tomber dans l’intrusion et maintien dans un STAD.
Étant moi payé par le côté défensif, je dirais au contraire qu’il faut aller dans l’autre sens, et que toute exception juridique doit au moins être accompagnée d’un encadrement du commerce des 0days, parce qu’il ne s’agirait pas non plus de donner carte blanche aux uns (chercheurs) ou aux autres (plateformes de bug bounty) pour lancer impunément leur petite boutique.
Ce qui, je suspecte, est l’intention de certains.
#1.1
Votre question est légitime. L’OCDE, qui est une organisation internationale publique (certes avec une vocation économique, mais à mon avis hors d’atteinte des opérateurs de bug bounty) a fait un point tout récemment des actes d’intimidation contre des chercheurs de zero day :
https://www.oecd.org/digital/encouraging-vulnerability-treatment.pdf
#1.2
voir aussi la VF : Encourager le traitement des vulnérabilités
Comment les politiques publiques peuvent-elles aider à pallier les vulnérabilités de sécurité numérique ?
https://www.oecd.org/fr/numerique/encourager-le-traitement-des-vulnerabilites.pdf
#1.3
Je ne suis pas professionnel du métier et j’ai potentiellement mal compris mais ce que je vous suggérez c’est que ce n’est pas grave que des failles ne soient pas rapportées pour des pb de protection légale des chercheurs/pirates ?
Que derrière des gens gagnent de l’argent en étant utiles serait nocif ? immoral?
Etonnant raisonnement a priori
Pour mon point de vue de manipulateur de données informatiques sensibles, peu importe le moyen pour que la donnée soit le plus sécurisée possible, l’essentiel est d’empêcher l’exploitation de failles.
C’est un peu comme si on punissait/menaçait les testeurs qui trouvent des bugs sous prétexte qu’on a Sonar dans le pipeline
, ça ne peut pas donner de bons résultats au final, pb de secret, pb de recrutement des professionnels etc.
#2
C’est pas pour être pédant, mais est-ce bien nécessaire de préciser “chercheur de failles zero day” ? Ca laisse penser qu’il y a des chercheurs qui se concentrent sur chercher des failles qui ont déjà été découvertes
#3
les chercheurs de bonne foi de failles « zero day ».
à mon avis…tout le problème est là !!!
“séparer le BON grain, de l’ivraie” ???
#4
Le plus gros problème c’est que plusieurs entreprise ont poursuivi en justice des chercheurs qui leur avait reporté une faille en suivant scrupuleusement la loi, certaine plateforme propose meme de faire le report pour le chercheur pour les protéger de ces entreprise vampire qui dégaine l’avocat pour n’importe quoi.
Vu le nombre de 0DAY détectée par an c’est plus qu’urgent de protéger les chercheurs.
Pourquoi pas une carte (comme pour les journaliste) pour ceux qui font que ca, et un portail par l’état pour les gens normaux qui tomberais dessus par hasard.
#5
Ce n’est pas ce que propose l’ANSSI ??
#6
Pas la moindre idée, les failles que j’ai trouvée je les ai toujours reportée a l’ENISA (Agence de cybersec europe).
#6.1
C’est ce que déclare l’article en pointant sur cette page: https://www.ssi.gouv.fr/actualite/vous-souhaitez-declarer-une-faille-de-securite/
Après je n’ai jamais déclaré de failles (et j’en pas les compétences).
#7
Pour m’être fait viré de mon école pour avoir signalé un (gros) paquets de failles dans leur réseau, je confirme qu’il y a urgence à protéger les white-hats…
#8
Il y a un problème de distribution. On ne commet pas 2 fois la même erreur d’exécution entre deux produits : on la multiplie ou on la corrige.
Si on dit qu’à l’inverse le développement se fait au fil de l’eau c’est une fatalité de l’update et des versions : on sait avant qu’il y ait une faille trouvée qu’on en trouvera. C’est assez logique… inutile de lutter contre ce fait. Nobody’s perfect.
Sans trop m’avancer pas mal semblent privilégier le second mode afin de réagir vite mais la durée de relecture se limite à ce qui ressort et non ce qui par définition fait vice.
Et enfin jusqu’ ici on lit rarement des états d’âme ou des prises de position sur les méthodes de conception et leurs problèmes : il y a manifestement trop de paramètres humains pour unifier les recettes sans assumer de sabrer nombre de fioritures.
Bref : l’enjeu de la distribution est largement surestimé.
#9
En symétrie presque totale : la production admettant la faille comme simple problème technique on est dans l’ambigüité totale sur l’impact local en délaissant le délit réel voire en le substituant carrément à une naïveté criarde de la défense d’une techno “malgré tout”.
Tant qu’il n’existera pas d’enquête systématique afin de lier l’erreur de production à sa conséquence c’est open bar. Aucun secteur de l’économie ne jouit de ce “droit à l’erreur”.
#10
Ce qui peut expliquer assez facilement les réactions ostracisantes des gardiens du temple prompts à donner d’un doigt ce qu’ils reprennent de l’autre et en laissant ainsi les bonnes âmes bien braves leur passer poignet à la bague.