lundi 14 décembre 2009

Failles de sécurité et "exploits"

PRECISIONS :
Contrairement à ce que j'ai écrit dans la première version de ce billet, le site en question n'a pas été condamné pour avoir rendu public une faille de sécurité mais pour avoir diffusé ce que les experts en sécurité appellent un "exploit", c’est-à-dire un programme permettant d’exploiter une ou des failles de sécurité.

Comme le précise Eric Freyssinet, officier de gendarmerie, sur son blog : " On notera que ni Microsoft, ni le CERTA n’ont été poursuivis pour avoir diffusé les informations sur les dites failles, c’est une reconnaissance implicite de la légitimité de l’information sur les failles de sécurité".


Voici donc ci-dessous, une version corrigée et actualisée :

Internautes, dormez tranquille, vos logiciels présentent des failles de sécurité mais personne (ou presque) n'est au courant !

La révélation publique de la découverte d'une vulnérabilté non corrigée concernant un logiciel s'appelle le "full disclosure".

Lors d'une audience publique du 27 octobre, un arrêt de la chambre criminelle de la Cour de Cassation a précisé que la diffusion d'une faille n'est pas illégale.

C'est la diffusion d'un "exploit" qui est interdit.

Cette décision est l'aboutissement d'une affaire remontant à 2005. A cette époque, une société de Montpellier est condamnée à 1000 euros d'amende pour avoir mis en ligne une vulnérabilité visant les logiciels Microsoft, la fumeuse vulnérabilité dite Windows Metafile (WMF), un format d'image.

Cette société avait publié sur son site la découverte de cette faille mais SURTOUT un "exploit" quelques jours avant la publication des patchs de correction par Microsoft, en janvier 2006.

Les juges de la plus haute instance juridique francaise s'appuient sur l’article 323-3-1 du code pénal. Cet article « réprime le mise à disposition d’équipement, d’instrument ou de programme informatique conçus ou adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données »

2 commentaires: