La Cour de cassation vient en effet, par un arrêt du 27 octobre 2009, n°09-82346, à paraître au Bulletin, d’approuver la Cour d’appel de Montpellier dont nous commentions précédemment l’arrêt. Un expert en sécurité informatique avait publié sur le site public de sa société des indications sur l’existence de failles informatiques dans un STAD et sur la façon de les exploiter, ce, avant même d’avoir avisé l’éditeur du logiciel, la société Microsoft, du problème.
Poursuivi et condamné en appel sur le fondement de l’article 323-3-1 du Code pénal, l’expert invoquait comme excuse le motif légitime de l’information du public. Cet argument avait été rejeté par la Cour d’appel qui avait observé qu’il aurait pu préalablement prévenir l’éditeur de logiciel plutôt que de vouloir ainsi accroître la fréquentation de son site, dont il tirait de substantiels bénéfices publicitaires.
Devant la Cour de cassation, il était soutenu que l’élément intentionnel de l’infraction n’était pas constitué car il n’aurait pas diffusé ces informations dans le but précis de permettre des actions de piratage informatique.
La Cour de cassation reprend la motivation de la Cour d’appel, en retenant que l’expérience professionnelle du prévenu le mettait en mesure de comprendre qu’il exposait les autres utilisateurs à un risque de piratage « par un public particulier en recherche de ce type de déviance », que dès lors l’élément intentionnel de l’infraction était constitué.
Cette solution réalise un juste équilibre entre les experts informatiques qui appuient leur renommée sur la publication de telles informations et la sécurité informatique que l’utilisateur lambda est en droit d’attendre. Il aurait en effet suffit que l’éditeur soit au préalable prévenu à temps pour élaborer les « patchs » avant la publication de l’exploit pour que l’expert ne soit pas condamné.
Edit:
Pour un descriptif complet (et technique) de l’historique de l’article L.323-3-1 du Code pénal ainsi que de la publication de failles informatiques, v. ici. L’auteur remarque que la criminalisation de la publication de failles est une prime à l’incompétence de l’éditeur, dont rien n’assure que contacté, il aurait pris la peine de mettre en place un correctif.
Certes, mais il me semble qu’outre l’éditeur, il existe aussi des agences publiques de sécurité informatique d’une part (d’ailleurs, la lecture de l’arrêt d’appel laisse comprendre que le CERTA avait lancé une alerte sur la même faille une semaine avant la sortie du correctif, mais lui n’aurait pas été pénalement poursuivi (alors que les personnes morales y compris de droit public peuvent voir leur responsabilité pénale engagée pour ces infractions, v. article 323-6 du Code pénal)), d’autre part, si l’expert avait d’abord prévenu l’éditeur, ensuite publié entre « collègues » experts pour trouver une solution, et enfin seulement mis en ligne l’exploit, l’excuse de motif légitime aurait pu être retenue. J’ajoute qu’en l’absence d’action pénale, il n’est pas exclu qu’une action civile soit engagée par un utilisateur victime de piratage du fait de la faille publiée, et là, les dommages-intérêts risquent de ne pas se limiter à mille euros si l’expert est solidairement condamné avec l’éditeur de logiciel.
Une question reste ouverte: est-ce que l’expert condamné saisira la Cour européenne des Droits de l’Homme, tant sur le principe de la liberté d’expression (encore qu’elle connaisse des limites, notamment l’interdiction de ne pas nuire à autrui) que sur le droit au procès équitable (le flou de l’incrimination pénale et de la notion de motif légitime ne mettant pas le citoyen en mesure de savoir qu’il commet une infraction).
MAJ du 24 décembre 2009 : le lecteur se reportera utilement à l’article de E. FREYSSINET, qui explique la différence entre la publication de faille (dire qu’un logiciel présente une faille) et la publication d’exploit (donner les recettes pour exploiter cette faille).
RSS