Etre alerté le plus tôt possible des failles informatiques de son système d’information représente aujourd’hui un besoin majeur pour les organisations publiques comme privées. Certaines recourent au bug bounty (voir interview de Fabrice Appelboin, n° 409, p. 10), qui consiste à s’adresser à des hackers (white hats ou chapeaux blancs) en les rémunérant en fonction des problèmes découverts. Les sociétés qui proposent ces services sont en général étrangères, mais des projets français tentent d’émerger malgré les incertitudes juridiques tenant aux infractions pénales de fraude informatique. De même, est-il risqué pour une personne de prendre l’initiative de révéler des failles de sécurité qu’elle aura découvertes. Les affaires Kitetoa ou Zataz en sont des exemples.
Les parlementaires de droite comme de gauche (du moins ceux qui en comprennent les enjeux), Axelle Lemaire, secrétaire d’Etat chargée du Numérique, mais aussi l’Anssi (Agence nationale de la sécurité des systèmes d’information), sont tous conscients de la nécessité de protéger ces informateurs. Mais comme souvent, les remèdes envisagés ne sont pas les mêmes. Des députés de l’opposition, dont Nathalie Kosciusko-Morizet ou Patrice Martin-Lalande, avaient déposé un amendement au projet de loi République numérique qui prévoyait d’adjoindre à l’article 323-1 du code pénal, sur l’accès frauduleux, un alinéa prévoyant que « toute personne qui a tenté de commettre ou a commis ce délit est exemptée de poursuites si, ayant averti immédiatement l’autorité administrative ou judiciaire, ou le responsable du système de traitement automatisé de données en cause, elle a permis d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ». Cette proposition a cependant été rejetée. Le même amendement a été présenté, le 31 mai dernier, dans le cadre du projet de loi relatif à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. Et il a connu le même sort que le premier. Les députés comme les sénateurs ont craint que ce dispositif ne crée une immunité pénale pour tous les hackers, dans la mesure où il leur suffirait d’envoyer un email d’alerte aux autorités ou à l’organisation visée pour échapper à toute poursuite.
Les socialistes ont, quant à eux, introduit un amendement plus « modéré » au projet de loi République numérique, qui a été adopté par l’Assemblée nationale avant d’être rejeté par le Sénat. Il consistait à exempter de peine et non de poursuite le lanceur d’alerte. Le Sénat a considéré que cette rédaction comportait encore des risques d’immunité. Il a préféré voter un article qui prévoit seulement que « pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale [qui concerne les fonctionnaires tenus de dénoncer les délits] n’est pas applicable aux services de l’Etat, définis par le Premier ministre, lorsqu’ils sont informés de l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données, par une personne agissant de bonne foi et en l’absence de publicité de l’information ». Ce qui laisse sans réponse la question de la recherche et de la révélation des failles de sécurité des systèmes du secteur privé. Une commission mixte paritaire doit départager les deux chambres.
