France : une nouvelle loi sur l’alerte et les failles informatiques

Le lancement d’alerte de failles électroniques a toujours été très risqué en France. Selon la loi française en vigueur, le lanceur peut être poursuivi en justice pour crime. Ce qui ne sera plus le cas, une fois la loi numérique instaurée.

france-une-nouvelle-loi-sur-lalerte-et-les-failles-informatiques

Le lancement d’alerte de faille informatique sera sans risque en France

D’après Poupard Guillaume, il y aura, après la mise en vigueur du nouveau texte, plus de facilité dans la signalisation des failles informatiques détectées sur les sites internet français. Le Directeur l’ANNSI a profité de l’Assise de sécurité de Monaco pour mettre la lumière sur cette nouvelle disposition de la nouvelle loi qui traite les alertes. Selon les termes de ce texte, les experts informatiques ont le droit de reporter à l’ANNSI chaque faille informatique qu’il détecte sur les sites internet français. Notez que le dispositif en question devrait être promulgué avant la fin de cette année 2016.

En attendant, en France, toute détection de faille de sécurité informatique est encore supposée comme du vol. Elle est considérée comme une intrusion non autorisée à un système informatique,  une faute qui est passible d’une peine lourde. Et ce, quelle que soit l’intention du  lanceur d’alerte. C’est pourquoi ceux qui tombent par hasard sur une faille informatique préfèrent garder le silence au lieu de le rapporter à l’entreprise détentrice du site ou à l’administration concernée. Le Directeur de l’ANSSI qui est aussi chargé de la défense numérique de l’État suppose que le changement est nécessaire même si son entité reçoit une dizaine d’alertes non fondées par mois.

Le droit à l’alerte numérique

Ladite loi a reconnu l’ANSSI comme l’autorité apte à recevoir les alertes de faille informatique. Cependant, l’organisme n’est pas obligé de dénoncer l’incident détecté. En revanche, il doit procéder à la vérification de l’authenticité de l’information.

Toutefois, cette mesure ne remet pas en cause la loi régissant le piratage en France. En effet, la présente disposition a un champ d’application très limité, qui est celui de l’alerte. La nouvelle règle ne donne pas non plus le feu vert à l’infiltration des réseaux d’entreprise. Il exclut aussi l’emploi d’un outil d’attaque pour forcer la barrière de sécurité des sites. Pour clarifier la vocation de cette loi, l’ANSSI va publier une guide indiquant les situations dans lesquelles elle devra entrer en jeu.

L’ANSSI n’est pas chargé de détecter l’auteur des piratages

Le président de l’ANSSI profite de l’Assise nationale pour faire le lien entre le piratage de TV5 Monde, l’élection présidentielle aux États-Unis et celle de la France en 2017. Selon lui, les deux premiers évènements ont un dénominateur commun : Pawn Storm, le groupe de pirate qui travaille pour le gouvernement russe. Le président suppose qu’il y a de fortes chances que le hacker qui a infiltré TV5  monde et la campagne d’Hillary Clinton utilisera encore son malware pour perturber la présidentielle Française de 2017.

D’après les enquêtes menées auprès des ministères, ce malware est bel et bien présent en France. Il a été employé pour infiltrer des ministères. Toutefois, jusqu’ici, il est impossible d’identifier l’auteur de ces actes, s’il s’agit vraiment de Pawn Storm ou non.

L’ANNSI décline la responsabilité d’attribuer un nom à ces attaques. Il ne s’agit pas, selon les termes son président, d’une tâche qui sort de son champ d’action.