Après la France, l´Allemagne, l´Italie, c´est au tour le la Grande Bretagne d´adopter une série de lois visant à réprimer sévèrement tout possesseur « d´outils de hacking » signale Out Law. Sont ainsi confondus dans un melting-pot fort pratique, à la fois les programmes de test de pénétration et les logiciels capables de provoquer des attaques en déni de service. Les textes, renforçant le Computer Misuse Act, portent à 10 années d´emprisonnement toute attaque d´un système d´information « sans autorisation ».
De prime abord, il s´agit bien là d´une loi salvatrice visant à renforcer la protection des honnêtes internautes, particuliers comme professionnels. Il reste que tout viol d´un S.I. faisait déjà l´objet de mesures répressives relativement sévères. Mais, précisent nos confrères Britanniques, les nouveaux textes visent quiconque « fabrique, adapte, fournit ou offre de fournir (sic) quelque article que ce soit qui pourrait être susceptible de commettre ou de concourir un méfait [du genre hacking, modification non autorisée de données ou attaque en déni de service]. » Une fois de plus, la loi établit une confusion entre l´outil et l´usage de l´outil, et étend la culpabilité au diffuseur de l´outil. En osant une parabole fort inexacte, et si l´on étendait l´esprit des lois au secteur automobile, les constructeurs de voiture et équipementiers seraient tous fichés au grand banditisme pour meurtre aggravé, les concessionnaires automobiles auraient un casier digne de Mesrine, et les derniers cascadeurs finiraient leurs jours dans les geôles de Guantanamo. Dans toute démocratie, c´est la nature de l´acte qui définit l´accusation, et non l´intention de l´acte ou l´information relative à l´acte.
Bien sûr, il s´agit, tout comme c´est actuellement le cas en nos contrées, d´une loi légèrement liberticide (mais pas trop), entravant légèrement (mais pas trop) le travail des spécialistes et chercheurs en sécurité, et dont l´application la plus rigoureuses est laissée à la seule appréciation des juges. Bien sûr, il s´agit, tout comme c´est actuellement le cas en nos contrées, d´une loi strictement nationale, dont les rodomontades et les moulinets n´inquiètent pas particulièrement les industriels de la fabrication de malwares établis en Chine, en Russie, au Brésil. Bien sûr, il s´agit, tout comme c´est actuellement le cas en nos contrées, d´un texte qui favorisera grandement le travail des cyber-délinquants. En dissuadant, par excès de paperasseries et arguties juridiques, la pratique saine des tests de pénétration réguliers et des audits intrusifs. En opacifiant un peu plus les marchés « underground » sur lesquels l´on trouve kits de malwares et plateformes de « Piracy as a Service ».
A l´heure où nous rédigeons ces lignes, il n´existe pratiquement plus qu´un seul pays en Europe où la liberté de conduire et de publier des recherches n´attire pas systématiquement les foudres de la justice. Ce pays, défenderesse de la liberté d´expression depuis le Siècle des Lumières, terre d´accueil du THC, c´est la Hollande. Une contrée qui, depuis ces 5 dernières années, est l´un des centres de communication scientifique les plus prolifique qui soit dans le domaine de la recherche sécurité. Tant en termes de fuzzing appliqué au « safe programming », que de préservation de la vie privée ou de dénonciations des mauvaises pratiques institutionnelles (dans le secteur des RFID notamment). Peu étonnant donc que les principales entreprises de « managed services » et d´audits à distance y installent systématiquement leurs NOC.