Depuis une semaine, les discussions s’enflamment dans les forums spécialisés. Un récent arrêté de la cour de cassation condamne le responsable d’une entreprise de sécurité pour avoir publié l’existence d’une faille. A la lecture de l’arrêt, la LCEN, loi qui, à l’origine devait défendre les systèmes informatiques nationaux en boutant les « black hats » hors de France, a été employée pour poursuivre une société du Sud Ouest de la France.
Certes, l’amende ne s’élève qu’à 1000 euros « presque » symboliques. Certes, l’arrêt reconnaît l’absence de volonté d’incitation aux actes malveillants, mais refuse au prévenu la possibilité de « valablement arguer d’un motif légitime tiré de la volonté d’information ». Informer, c’est prendre le risque de trouver auprès du public des oreilles déviantes.
L’origine de cette décision est la conséquence d’une incroyable suite de péripéties et de rebondissements judiciaires que décrit fort précisément Cédric Blancher sur sa petite parcelle d’Internet : publication d’une information relative à une faille sur le site Web de la société en question, enquêtes de l’Oclctic et de la DST, procès, relaxe, appel, condamnation, cassation, confirmation de la condamnation, sous prétexte que le condamné ne pouvait ignorer, compte tenu de son métier, la dangerosité de l’information diffusée (laquelle, dans les semaines qui suivront, fera l’objet d’une impressionnante série d’exploits bien plus efficaces et bien moins poursuivis). Que l’éditeur du logiciel imparfait ait été prévenu n’est pas pris en compte. En revanche, le fait que ce même éditeur (Microsoft en l’occurrence) n’ait pas eu le temps de réagir et de publier un correctif avant la divulgation de l’information est une circonstance aggravante. *
Et Cédric Blancher de poser la question « à supposer que notre condamné n’ait pas publié cet exploit, peut-on affirmer que cela aurait changé l’état de la menace qui pesait alors sur les internautes ? » et de soulever le très épineux problème de la justification des exploits. Sans aucun doute, un exploit constitue un danger. Mais en interdire la publication n’empêchera pas qu’un autre chercheur, peut-être moins scrupuleux, de rédiger une information équivalente, voir encore plus indiscrète. Ceci, bien sûr, dans les colonnes d’un site qui pourra juridiquement échapper aux foudres de la justice Française. Sans parler du fait que, sans exploit réellement efficace, il est souvent impossible de vérifier l’efficacité des correctifs proposés par les éditeurs. S’ajoute à cela un dernier argument avancé par les défenseurs d’une divulgation rapide : sans l’aiguillon de la stigmatisation, les éditeurs ne feraient rien. Il y a eu « avant Internet », âge d’or durant lequel les trous de sécurité ne relevaient que d’une querelle byzantine opposant des Unixiens barbus à des pionniers de l’industrie logicielle, et « après Internet », révélateur du manque de qualité apporté aux développements en tous genre.
Dave Aitel, patron d’Immunity Sec et vendeur de l’outil de pentest Canvas (autrement dit d’un « automate à exploit ») y voit une autre explication : le souhait occulte des gouvernements à ne voir diffuser ce genre d’informations et d’outils qu’auprès des services de police et de renseignements. Propos ironiquement extrémistes et caricaturaux, mais qui montrent bien à quel point l’attitude pudibonde d’une pensée conservatrice ne peut admettre les porteurs de « mauvaises nouvelles ». « Cet arrêt marque, explique un « confrère » du prévenu, l’arrêt formel du Full Disclosure en France, voir de toute information relative à une faille de sécurité, à tel point que nos avocats nous ont conseillé de censurer les bulletins d’alerte que nous publions nous-mêmes sur notre site ».
L’arrêt du Full Disclosure en France. Une formule qui, une fois de plus, en réjouit plus d’un, qui expliquent à qui veut bien entendre que museler ces sauvageons de la sécurité informatique, c’est empêcher les pirates de lire ce genre d’informations susceptibles de servir à écrire virus et troyens. Comme tout raisonnement simpliste, cette affirmation ne résiste pas aux faits. Depuis la promulgation de la LCEN, la majorité des chercheurs français soit vont chercher du travail en des pays moins policés, soit publient leurs découvertes par le biais protecteur d’un intermédiaire tel que Zero Day Initiative, soit expédient leurs écrits aux gestionnaires de Milw0rm, du Bugtraq et autres listes de sécurité. Quand à l’influence d’une Lcen sur la diminution des attaques informatiques, elle est plus que douteuse, si l’on se réfère aux statistiques publiées par les Symantec, Owasp, Avert, Apwg et autres Kaspersky labs. On aurait même l’impression du contraire.
Les conséquences incalculables de cet arrêt, c’est encore Cédric Blancher qui les résume –dires que confirment l’attitude et les propos de Dave Aitel. Car, l’entreprise condamnée pour des faits relativement anciens s’est transformée depuis en « jeune pousse » spécialisée dans le développement d’exploits totalement commerciaux. Des exploits nécessaires aux tests de solidité des grandes structures informatiques pensent certains. Or, encore plus que dans l’affaire ayant servie de catalyseur à cette affaire, on peut craindre une nouvelle vague de condamnation. Un exploit commercial, c’est un outil perfectionné, dangereux, capable bien souvent de traverser les défenses périmétriques classiques. Bien plus qu’une publication, c’est un programme qui entre parfaitement dans la définition de la LCEN, qui pourchasse quiconque pourrait « importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 ». Seraient alors non seulement susceptibles de poursuite l’entreprise qui fait sont « business des exploits », mais également les importateurs des différents programmes concurrents, les clients desdits programmes, les journaux affichant la moindre mention ou publicité des logiciels, les blogueurs y faisant allusion, etc. Si la condamnation de « X » réjouit quelques personnes, les motifs invoqués pour le condamner pourraient bien un jour se retourner contre eux et contre tous ceux qui, un jour, ont osé signaler qu’un « hack » était publiquement disponible sur une URL quelconque.
*NdlR : La notion de temporalité entre publication d’une faille et son exploitation est une vue de l’esprit qui n’a pas de réalité dans le domaine informatique. Il serait préférable de parler de « fenêtre de vulnérabilité » établie entre le moment de la divulgation et un état de « correction généralement appliquée ». Mais cette notion de fenêtre de vulnérabilité, associée à la « mode » grandissante du reverse engineering des rustines par les auteurs de malware, ferait de chaque éditeur un « diffuseur d’informations irresponsable ». Le législateur n’a aucun intérêt à s’engager dans une telle voie.
oops
+100