La loi du 21 juin 2004 pour la confiance dans l’économie numérique a introduit dans le code Pénal français un article 323-3-1 qui condamne le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3.

Sur base de cet article, la Cour de Cassation Française a, dans un arrêt du 27 octobre 2009, mis un coup d’arrêt à la pratique, courante dans le milieu de la sécurité informatique, du Full Disclosure.

De quoi s’agit-il ? Bon nombre de chercheurs et spécialistes en sécurité informatique scrutent en permanence des logiciels, à la recherche de failles pouvant être exploitées par des pirates.

Dés qu’une faille est découverte, le chercheur avertit l’éditeur du logiciel et publie immédiatement les informations concernant la faille.

En l’occurrence, une société spécialisée dans la publication de pareils « exploits » avait été citée devant le Tribunal Correctionnel de Montpellier pour avoir publié sur son site Web des informations concernant une faille du célèbre logiciel « Windows ».

Relaxée en première Instance, condamnée sur appel du Ministère Public, la société a finalement introduit un pourvoi en cassation qui a donné lieu à l’arrêt du 27 octobre 2009.

La Cour de Cassation française a refusé de prendre en compte la défense du prévenu, qui arguait d’un motif légitime basé sur sa volonté d’informer le public des failles de sécurité, en se fondant sur l’expertise de la société : « […] l’arrêt énonce qu’il ne peut valablement arguer d’un motif légitime tiré de la volonté d’information, dés lors que, du fait de son expertise en la matière, il savait qu’il diffusait des informations présentant un risque d’utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance ; ».

La condamnation a donc été confirmée.

Cette décision est vertement critiquée par les spécialistes. Car, si la publication d’une faille constitue certes un danger, elle incite l’éditeur à combler la brèche, ce qui permet d’augmenter le niveau de sécurité du logiciel concerné, et donc la sécurité du consommateur final.

En outre, la publication des travaux d’un chercheur est le passage obligé lui permettant d’obtenir la reconnaissance de ses pairs.

L’arrêt de la Cour de Cassation Française ne gênera finalement que les chercheurs honnêtes. Il facilitera même la tâche des pirates informatiques et portera atteinte en conséquence à la sécurité du consommateur final.

En Belgique, l’article 550 bis §5 du Code pénal condamne celui qui, indûment, possède, produit, vend, obtient en vue de son utilisation, importe, diffuse ou met à disposition sous une autre forme, un quelconque dispositif, y compris des données informatiques, principalement conçu ou adapté pour permettre la commission des infractions prévues aux articles 550bis §§ 1er à 4.

Cet article n’a – à notre connaissance – encore donné lieu qu’à peu de jurisprudence (Civ. Namur (Ch. Cons.), 7 janvier 2004, RDTI, n°22/2005, p. 113), mais sa similarité avec l’article 323-3-1 du Code pénal français laisse craindre que les mêmes conclusions en soient tirées.