[info]LCEN: r�v�ler des failles de s�curit�

LCEN: r�v�ler des failles de s�curit� sera-t-il bient�t r�prim�?

Les experts en s�curit� qui, pour les besoins de leurs travaux, publient des vuln�rabilit�s technologiques pourraient �tre consid�r�s comme �coupables de piraterie�, apr�s la modification de la LCEN visant � durcir les dispositions contre la cybercriminalit�.

Dans sa derni�re version, la loi sur la confiance dans l'�conomie num�rique (LCEN), adopt�e en seconde lecture par les s�nateurs dans la nuit de jeudi � vendredi, supprime la possibilit� de r�v�ler des failles de s�curit� � des fins de recherche scientifique.

Les s�nateurs ont ainsi modifi� l'article 34 du projet de loi . Il apportait des pr�cisions au code p�nal en indiquant qu'il �tait interdit �de d�tenir, d�offrir, de c�der ou de mettre � disposition un �quipement, un instrument, un programme informatique ou toute donn�e con�us ou sp�cialement adapt�s� pour commettre les infractions pr�vues dans l'article 323-3 du code p�nal.

Ces infractions sont: �introduire frauduleusement des donn�es dans un syst�me de traitement automatis� ou encore �supprimer ou modifier frauduleusement les donn�es qu'il contient�. Elles sont punies de trois ans d'emprisonnement et de 45.000 euros d'amende.

Une version ant�rieure de la LCEN proposait, en outre, un alin�a pr�cisant que les dispositions de cet article ne sont pas applicables lorsqu'elles r�pondent aux �besoins de la recherche scientifique et technique ou de la protection et de la s�curit� des r�seaux de communications �lectroniques et des syst�mes informations, et lorsqu�elles sont mises en �uvre par des organismes publics ou priv�s ayant proc�d� � une d�claration pr�alable aupr�s du Premier ministre�.

C'est au juge seul de d�cider du �motif l�gitime�

Dans leur seconde lecture en janvier 2004, les d�put�s d�cidaient de supprimer cette mention, ce que les s�nateurs ont valid� en ajoutant la mention �sans motif l�gitime� dans la premi�re phrase de l'article 34. Tout est donc laiss� � la discr�tion du juge, qui devra d�cider seul de ce �motif l�gitime�. Une d�cision qui n'est pas sans soulever de vives critiques, comme d'autres dispositions de la LCEN luttant contre la cybercriminalit�.

�C'est scandaleux�, commente Olivier Iteanu, avocat au barreau de Paris, interrog� par ZDNet. �Les s�nateurs veulent criminaliser ceux qui font la d�monstration, preuves � l'appui, des failles de s�curit�. Ils n'ont aucune connaissance de ces pratiques et sanctionnent au plus dur. C'est dans la m�me veine que l'affaire Kitetoa.� Pour m�moire, Olivier Iteanu a d�fendu un webmaster fran�ais, condamn� puis relax� en appel pour avoir point� du doigt des failles dans les serveurs h�bergeant le site internet des magasins Tati.

M�me inqui�tude pour l'�quipe de K-Otik, un site fran�ais de veille en s�curit� informatique, qui a lanc� une alerte avant l'examen du texte au S�nat pour d�noncer les cons�quences d'un tel article sur la libert� d'expression. Ces nouvelles dispositions rendent d�sormais les experts en s�curit� �coupables de complicit� de piraterie�. �Il n'est donc plus possible de publier les d�tails techniques d'une vuln�rabilit�, publier ou manipuler des outils permettant les tests intrusifs ou les audits de s�curit�... sans �tre coupable de piraterie ou de complicit� de piraterie! (�) La pr�somption d'innocence est clairement remplac�e par la "pr�somption de culpabilit�"�, indiquent-ils dans un communiqu�.

Mais o� on va l� ???
Moi, plus tard, je veux �tre ing�nieur s�curit� (dans les r�seaux), alors y'a pas int�r�t que l'on touche � cela !
Et je me demande bien comment on pourra avancer si on ne peut plus donner connaissance des failles de tel ou tel syst�me !
Le pauvre Windows s'�croulera en moins de temps qu'il n'en faut pour le dire � partir du moment o� le texte sera adopt� !
C'est tout simplement scandaleux !

kler paske les hackers von pas regardais si ces interdit pour les exploitait les failles ...