Les Députés veulent protéger les lanceurs d’alerte… oui mais

Les députés ont adopté, ce mercredi 21 janvier, un amendement qui, si la loi est votée, protégera les lanceurs d’alerte qui trouvent des failles. Une porte ouverte aux piratages sauvages ou véritable avancée pour la sécurité informatique en France.

Lanceur d’alerte ? Je vous l’avoue, mon cœur balance. Les députés ont adopté, ce mercredi 21 janvier, un amendement qui annonce permettre de protéger les lanceurs d’alerte qui trouvent des failles. L’idée est séduisante, depuis 19 ans, ZATAZ permet d’alerter les entreprises à la suite de la découverte d’une fuite de données, d’une faille permettant le vol de données. Durant toutes ces années, plus de 60 000 entreprises ont été aidées. Rien que lundi, 48 entreprises.

Matinée d'alertes du @Protocole_ZATAZ. 48 à venir (banque, universités, entreprises…) #cybersécurité #cyberdéfense @Damien_Bancal

— ZATAZ (@zataz) January 20, 2016

Pour mes alertes, je ne fais aucun audit. Je m’arrête là ou la loi a posé ses jalons. Dans le cas de lecteurs qui utilisent le protocole d’alerte, certains organisent des audits sauvages. La loi l’interdit, mais ils le font quand même. Pour le fun, le défit, l’envie d’aider. Je leur déconseille clairement. Mais je ne suis pas leur mère !

Comme le rappel Senseï Marc Rees dans Nextinpact, une personne qui accède ou se maintient frauduleusement dans un système informatique encourt deux ans d’emprisonnement et 60 000 euros d’amende. La loi Godfrain délimite ce périmètre depuis 1988. Ceux qui modifient le contenu (deface, changer les prix…) rajoutent une année de prison (3 ans) et 40 000 à l’enveloppe. Si le « pirate » s’attaque à un site étatique, 5 ans de prison et 150 000 euros d’amende.

Dans le cas des lanceurs d’alerte qui jouent, par exemple avec des SQLi, seul, normalement, l’accès frauduleux peut être retenu. Ils ne font pas dans le vol de données, dans le barbouillage. Seulement, tous ne font pas dans l’accès frauduleux, en mettant en place la technique d’intrusion. En testant cette SQLi histoire de constater ce qu’elle fournit. Google, son cache, les dossiers de sites web utilisés comme lieu de stockage sont autant de vecteur de fuite. Tomber sur des données par ce biais, un vrai jeu d’enfant [1] ; [2] ; [3] …

L’examen du projet de loi Lemaire a donc pris en compte cet amendement proposé par le groupe socialiste. Il propose de ne pas punir, par une peine de prison ou une amende, l’internaute qui aura alerté, rapidement, de sa découverte. Il n’a jamais été dit ou écrit que cet amendement était un blanc saint à s’attaquer à tout ce qui bouge. « cet amendement, indiquent les députés socialistes, a pour but de protéger les lanceurs d’alerte lorsqu’ils veillent à avertir les responsables de traitement des failles dans leurs systèmes« . Bref, l’entreprise pourra toujours déposer plainte, considérant que le lanceur d’alerte a utilisé des techniques de piratage. Après tout, elle veut aussi se protéger. Je n’ai que trop d’exemples de pirates, voleur de données, se transformant, devant les autorités et la justice, en de soit disant sauveurs numériques.

Bref, vous voulez aider ? Utilisez le protocole d’alerte de ZATAZ. Mais n’utilisez pas un marteau piqueur pour ouvrir une porte afin d’expliquer au propriétaire de la maison que vous avez pu percer son entrée. Pas évident qu’il apprécie l’humour.