Les Députés veulent protéger les lanceurs d’alerte… oui mais

Posted On 22 Jan 2016

Tag: aide, amendement, infiltration, lanceur d'alerte, loi, piratage

Les députés ont adopté, ce mercredi 21 janvier, un amendement qui, si la loi est votée, protégera les lanceurs d’alerte qui trouvent des failles. Une porte ouverte aux piratages sauvages ou véritable avancée pour la sécurité informatique en France.

Lanceur d’alerte ? Je vous l’avoue, mon cœur balance. Les députés ont adopté, ce mercredi 21 janvier, un amendement qui annonce permettre de protéger les lanceurs d’alerte qui trouvent des failles. L’idée est séduisante, depuis 19 ans, ZATAZ permet d’alerter les entreprises à la suite de la découverte d’une fuite de données, d’une faille permettant le vol de données. Durant toutes ces années, plus de 60 000 entreprises ont été aidées. Rien que lundi, 48 entreprises.

Matinée d'alertes du @Protocole_ZATAZ. 48 à venir (banque, universités, entreprises…) #cybersécurité #cyberdéfense @Damien_Bancal

— ZATAZ (@zataz) January 20, 2016

Pour mes alertes, je ne fais aucun audit. Je m’arrête là ou la loi a posé ses jalons. Dans le cas de lecteurs qui utilisent le protocole d’alerte, certains organisent des audits sauvages. La loi l’interdit, mais ils le font quand même. Pour le fun, le défit, l’envie d’aider. Je leur déconseille clairement. Mais je ne suis pas leur mère !

Comme le rappel Senseï Marc Rees dans Nextinpact, une personne qui accède ou se maintient frauduleusement dans un système informatique encourt deux ans d’emprisonnement et 60 000 euros d’amende. La loi Godfrain délimite ce périmètre depuis 1988. Ceux qui modifient le contenu (deface, changer les prix…) rajoutent une année de prison (3 ans) et 40 000 à l’enveloppe. Si le « pirate » s’attaque à un site étatique, 5 ans de prison et 150 000 euros d’amende.

Dans le cas des lanceurs d’alerte qui jouent, par exemple avec des SQLi, seul, normalement, l’accès frauduleux peut être retenu. Ils ne font pas dans le vol de données, dans le barbouillage. Seulement, tous ne font pas dans l’accès frauduleux, en mettant en place la technique d’intrusion. En testant cette SQLi histoire de constater ce qu’elle fournit. Google, son cache, les dossiers de sites web utilisés comme lieu de stockage sont autant de vecteur de fuite. Tomber sur des données par ce biais, un vrai jeu d’enfant [1] ; [2] ; [3] …

L’examen du projet de loi Lemaire a donc pris en compte cet amendement proposé par le groupe socialiste. Il propose de ne pas punir, par une peine de prison ou une amende, l’internaute qui aura alerté, rapidement, de sa découverte. Il n’a jamais été dit ou écrit que cet amendement était un blanc saint à s’attaquer à tout ce qui bouge. « cet amendement, indiquent les députés socialistes, a pour but de protéger les lanceurs d’alerte lorsqu’ils veillent à avertir les responsables de traitement des failles dans leurs systèmes« . Bref, l’entreprise pourra toujours déposer plainte, considérant que le lanceur d’alerte a utilisé des techniques de piratage. Après tout, elle veut aussi se protéger. Je n’ai que trop d’exemples de pirates, voleur de données, se transformant, devant les autorités et la justice, en de soit disant sauveurs numériques.

Bref, vous voulez aider ? Utilisez le protocole d’alerte de ZATAZ. Mais n’utilisez pas un marteau piqueur pour ouvrir une porte afin d’expliquer au propriétaire de la maison que vous avez pu percer son entrée. Pas évident qu’il apprécie l’humour.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.