Les amateurs du « full disclosure » (avertir le public d’une faille de sécurité) vont devoir réajuster leur pratique puisque la Cour de Cassation a condamné le fait de publier et d’expliquer une faille de sécurité dans un système de traitement automatisé de données.

Dans une décision de la chambre criminelle du 27 octobre 2009, la Cour de Cassation a rejeté un pourvoi demandant l’annulation de l’arrêt condamnant le gérant d’une société et d’un site Internet spécialisé dans le conseil en sécurité informatique pour avoir révélé plusieurs failles dans un format d’image numérique commercialisé par Microsoft.

En l’espèce, je gérant d’une société et d’un site Internet dans le conseil en sécurité informatique a constaté l’existence de plusieurs failles de sécurité importantes dans un format d’image numérique commercialisé par Microsoft. Il a informé la société américaine par courriel, puis a été remercié par cette dernière qui a rapidement mis en place une correction.

Toutefois, le gérant en question a aussi publié sur son site Internet ses découvertes par le biais d’un article dans lequel il « vendait » sa compétence de « découvreur de failles » en prenant l’exemple de Microsof et en détaillant la procédure qu’il a employée.

En première instance, le tribunal correctionnel, a relaxé le gérant de la société pour absence de motif légitime de la requête de Microsoft pour mise à disposition de moyens conçus pour commettre une atteinte à un système de traitement automatisé de données (STAD).

En appel (sur appel du ministère public !!) , il a été condamné par les juges du fond qui ont considéré qu’en publiant ces informations sur son site Internet, le gérant avait pleinement conscience que ces informations présentaient un risque d’utilisation à des fins de piratage par un public malveillant.

Le pourvoi en Cassation a donc été rejeté car les juges de la chambre criminelle ont estimé que « dès lors que la constatation de la violation, sans motif légitime et en connaissance de cause, de l’une des interdictions prévues par l’article 323-3-1 du Code pénal, implique de la part de son auteur l’intention coupable exigée par l’article 121-3 du même Code ». En outre, les juges ont considéré que l’acte incriminé entrait dans le champ d’application de l’article 6 de la Convention européenne sur la cybercriminalité qui réprime la production, la vente, l’obtention pour utilisation, l’importation, la diffusion ou d’autres formes de mise à disposition, soit d’un dispositif, y compris un programme informatique, principalement conçu ou adapté pour permettre la commission de l’une des infractions.

Ainsi, la simple diffusion d’information, même sans intention de nuire, ne peut pas constituer un motif légitime exonératoire de responsabilité. Certainement dans la continuité de l’affaire Zataz…

Photo Commons-Wikimedia et Niot (flickr)