TV5 Monde, Canal Plus, Météo France, toutes ont été victimes d’attaques informatiques. Aucune protection est fiable à 100%.
Pourtant des chevaliers blancs, des hackers éthiques ont à l’esprit la sécurité de l’utilisateur, souhaitent protéger contre des personnes malveillantes un site contenant une faille de sécurité (XSS, SQLi, via google…) en remontant la faille découverte à l’entreprise concernée.
Toutefois nous ne sommes pas dans un film Hollywoodien, car les ennuis pour les lanceurs d’alerte sont bien réels.
Selon le code pénal Article 323-1 :
Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 € d'amende.
Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 150 000 € d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 € d'amende.
Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 150 000 € d'amende.
Depuis le mois de Janvier 2016, des députés voulaient voter une loi pour protéger les lanceurs d'alerte à l'encontre des entreprises qui portaient plaintes contre ces bons samaritains ( Affaire Kiketoa en 2002, Zataz en 2009...)
Ainsi l’amendement n°72 présenté à l’assemblée nationale avait pour but de sensibiliser le gouvernement en protégeant les lanceurs d’alertes, finalement cet amendement a reçu un avis défavorable sans une réelle explication.
Voici un extrait :
Afin de permettre aux internautes de continuer à exercer leur vigilance sur les failles de sécurité, jouant ainsi le rôle utile de sentinelles du web, et afin d’éviter la répétition de jurisprudences contradictoires et incertaines, il serait souhaitable d’établir un cadre juridique exonérant de responsabilité les lanceurs d’alerte, personnes détectant et signalant les failles de sécurité informatique sans intention de nuire, par exemple en s’inspirant de l’article 221 5 3 du code pénal qui dispose pour les assassinats : « Toute personne qui a tenté de commettre les crimes d’assassinat ou d’empoisonnement est exempte de peine si, ayant averti l’autorité administrative ou judiciaire, elle a permis d’éviter la mort de la victime et d’identifier, le cas échéant, les autres auteurs ou complices ».
Restez prudent, en attendant un nouvel amendement pour protéger les sentinelles du web.
Vous avez la possibilité d’utiliser le protocole zataz pour remonter les failles de sécurité.
Pouvez-vous nous parler de vos expériences ?
Avez-vous des méthodes pour alerter des entreprises en plus de celle cité?
Laisser vos commentaires.
Sources: Silicon, Amendement n°72