La publication de faille: une infraction pénale?


Un expert en informatique, spécialisé en sécurité (donc a priori, pas un #c0wb0yZ), a diffusé sur le site de sa société des failles informatiques ainsi que le moyen de les exploiter, et ce, quelques jours avant la publication des patchs par les éditeurs de logiciel concernés.


Sur avis du Office Central de Lutte contre la Criminalité liée aux Technologies de L’Information et de la Communication, le parquet a chargé la DST d’enquêter et les faits ont été établis, l’informaticien ne niant d’ailleurs pas leur réalité, mais exposant qu’il avait un motif légitime d’agir puisqu’il s’agissait d’informer et de sensibiliser le public à la sécurité informatique.


La Cour d’appel de Montpellier a cependant estimé qu’en rendant publiques ces informations, et surtout le moyen d’exploiter les failles de sécurité, sans d’abord avoir prévenu l’éditeur de logiciel concerné afin de le mettre en mesure de produire un patch et ainsi d’éviter les piratages, le prévenu s’était rendu coupable de l’infraction incriminée par l’article 323-3-1 du Code pénal. à savoir « Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 [intrusion ou maintien dans un système informatisé de gestion de données, ou altération ou destruction dudit système]« .


La Cour d’appel refuse de retenir l’existence d’un motif légitime en relevant que

« s’agissant du motif légitime exonératoire, … monsieur X… Y…. ne peut valablement arguer d’un motif légitime tiré de la volonté d’information dès lors que par la mise en place d’un service de veille destiné à des abonnés et par la communication d’informations d’alerte directement à MICROSOFT à son adresse email, monsieur X… Y…. a fait la preuve de ce qu’il connaissait les dispositifs permettant de concilier le souci d’information avec la nécessaire confidentialité de ce type d’informations, étant précisé que monsieur X… Y…., selon ses propres déclarations, n’a pas été remercié par MICROSOFT pour avoir publié sur le site web les exploits le concernant mais pour l’avoir avisé directement à son adresse mail des failles existantes ;

Attendu que s’agissant de l’élément intentionnel de l’infraction, monsieur X… Y…. ne peut arguer de sa bonne foi alors que la fréquentation de son site par un public tout venant lui procurait des revenus publicitaires adossés au nombre de visiteurs, qu’en conséquence il est établi qu’il avait un intérêt économique à la diffusion d’informations dont il ne pouvait ignorer, du fait de son expertise en cette matière et de ses antécédents judiciaires, qu’elles présentaient un risque d’utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance« .

En réalité, ce qui est reproché n’est pas la publication de faille de sécurité, mais le fait de l’avoir fait avant d’avoir mis en mesure l’éditeur de logiciel de proposer un patch, faisant ainsi courir un risque de piratage à tous les utilisateurs, et ce, dans le seul but de démontrer son expertise.

Au final, compte tenu de la personnalité du prévenu, celui-ci n’est condamné qu’à une peine de mille euros d’amende.


CA Montpellier, 3e ch. corr. 12 mars 2009, n°08/01431

Une réflexion au sujet de « La publication de faille: une infraction pénale? »

  1. Ping : Les tweets qui mentionnent Jus et natura nihil operantur frustra » Blog Archive » La publication de faille: une infraction pénale? -- Topsy.com

Les commentaires sont fermés.