IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 371
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 371
    Points : 154 885
    Points
    154 885
    Par défaut Le gouvernement rejette un amendement qui prévoit de protéger les « lanceurs d'alertes de sécurité »
    Le gouvernement rejette un amendement qui prévoit de protéger les « lanceurs d'alertes de sécurité »
    sous certaines réserves

    La Commission des lois de l’Assemblée nationale a poursuivi aujourd’hui son examen du projet de loi numérique d’Axelle Lemaire. Le gouvernement s'est prononcé sur le fait d'exonérer de toute responsabilité les lanceurs d'alertes de sécurité, amendement de l'article 25 du projet de loi défendu entre autres par monsieur Patrice Martin-Lalande.

    « Certaines personnes, lorsqu’elles découvrent une faille sur un site web, avertissent le responsable de ce site afin de permettre la résolution du problème et la protection des données mises en danger. Elles jouent ainsi un rôle utile de lanceurs d’alertes », ont noté les élus.

    Ils ont rappelé que « dans la jurisprudence Kitetoa (2002), un journaliste qui avait trouvé des données clients en accès libre sur le site du groupe Tati, avait prévenu ce dernier d’une faille sur son site web. Tati l’avait néanmoins attaqué en justice pour accès frauduleux à son système d’information. Après avoir été condamné en première instance, le journaliste avait finalement été relaxé en appel, au motif que puisque les données étaient librement accessibles par un simple navigateur web, et n’étaient pas indiquées comme n’étant pas publiques, on ne pouvait pas sanctionner le fait d’y accéder ».

    De plus, l’arrêt du 9 septembre 2009 de la Cour d’appel de Paris, statuant en référé dans l’affaire Zataz, apporte un point de vue différent. Dans une affaire a priori similaire, la Cour énonce que l’accès non autorisé à un système constitue un « trouble manifestement illicite », et le journaliste qui avait signalé la faille de sécurité dans le système de la société FLP s’est vu ordonner de rendre inaccessible son article et de détruire les pièces copiées sur le serveur, tout en étant condamné aux dépens.

    Enfin, dans l’affaire Bluetouff, la Cour de cassation vient de rejeter en mai 2015 le pourvoi d’un blogueur condamné à 3000 € d’amende pour avoir téléchargé des fichiers sur le site d’une agence de sécurité sanitaire, fichiers qui étaient pourtant en accès libre du fait d’un défaut de sécurisation du site.

    Pour les élus, le risque est désormais de dissuader ceux qui découvrent des failles de les signaler aux responsables informatiques, par peur de poursuites judiciaires. Sans lanceurs d’alertes, les sites mal protégés resteraient alors plus longtemps vulnérables face à des internautes mal intentionnés.

    C'est pourquoi, afin de permettre aux internautes de continuer à exercer leur vigilance sur les failles de sécurité, jouant ainsi le rôle utile de sentinelles du web, et afin d’éviter la répétition de jurisprudences contradictoires et incertaines, ils ont estimé qu'il serait souhaitable d’établir un cadre juridique exonérant de responsabilité les lanceurs d’alertes, personnes détectant et signalant les failles de sécurité informatique sans intention de nuire, par exemple en s’inspirant de l’article 221-5-3 du Code pénal qui dispose pour les assassinats : « Toute personne qui a tenté de commettre les crimes d'assassinat ou d'empoisonnement est exempte de peine si, ayant averti l'autorité administrative ou judiciaire, elle a permis d'éviter la mort de la victime et d'identifier, le cas échéant, les autres auteurs ou complices ».

    Ils ont proposé que l'article soit ainsi modifié « toute personne qui a tenté de commettre ou commis le délit prévu aux alinéas précédents est exempte de peine si, ayant averti immédiatement l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause, elle a permis d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ».

    Une proposition qui n'a toutefois pas reçu l'aval du gouvernement. Cependant, la secrétaire d'État chargée du numérique a compris l'importance du sujet et a décidé de s'en remettre au Conseil d'État qui doit prochainement rendre un avis sur la question : « le Conseil d'État travaille à une étude globale sur la question des lanceurs d'alertes », a-t-elle assuré.

    Source : Assemblée Nationale

    Voir aussi :

    L’amendement pour l’OS souverain adopté, les députés votent pour la création d’un Commissariat à la souveraineté numérique

    Loi sur le numérique : le gouvernement rejette les portes dérobées, NKM retire sa proposition

    Les députés adoptent un amendement imposant la communication des codes source de logiciels utilisés ou développés par l'administration
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Homme Profil pro
    Développeur Web
    Inscrit en
    janvier 2013
    Messages
    139
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : janvier 2013
    Messages : 139
    Points : 458
    Points
    458
    Par défaut
    C'est rare mais j'approuve le rejet.

    Je n'aime pas l'aspect global de l'amendement. Ouvert à trop de dérives.
    L'exemple de la tentative d'assassinat est ridicule, car il y a quand même, à la base, volonté de nuire.

    Dans le cas de l'informatique, il s'agit d'une pratique courante et connue : Certaines personnes se contentent de rechercher les failles pour le sport ou pour l'aspect pécuniaire, sans vouloir exploiter la faille à des fins de nuisance. Tant qu'il n'y a pas nuisance, la personne ne devrait pas être condamnée.
    J'imagine mal un assassin préparer un assassinat juste pour ne pas tuer sa victime.

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 250
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 250
    Points : 2 871
    Points
    2 871
    Par défaut
    bizarre ta phrase ce qui fait de quelqu'un un assassin c'est son passage a l'acte. des l'ors un assassin qui prépare un crime n'est pas encore un assassin tant qu'il n'est pas passé à l'acte.
    du coup ça rejoint ce que tu disais sur l'informatique

  4. #4
    Membre expert
    Inscrit en
    juin 2009
    Messages
    1 071
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 1 071
    Points : 3 317
    Points
    3 317
    Par défaut
    Citation Envoyé par cuicui78 Voir le message
    bizarre ta phrase ce qui fait de quelqu'un un assassin c'est son passage a l'acte. des l'ors un assassin qui prépare un crime n'est pas encore un assassin tant qu'il n'est pas passé à l'acte.
    du coup ça rejoint ce que tu disais sur l'informatique
    Faux. Dans le droit français, l'intention si elle est prouvée est condamnable au même titre que l'infraction elle-même.

    Et encore heureux. Tu échappes à une tentative d'assassinat à coup de feu devant caméra de sécurité et le mec au tribunal "Bah non, j'l'ai pas tué, je suis pas un assassin, je lui faisait juste peur et j'ai fait exprès de le louper. Méssi méssi madame le jure, je suis gentils, jle jure."

  5. #5
    Membre confirmé Avatar de Darktib
    Profil pro
    Inscrit en
    mai 2009
    Messages
    66
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2009
    Messages : 66
    Points : 598
    Points
    598
    Par défaut
    Je crois que l'idée de la l'article sur l'assassinat a été pensé pour le cas où un groupe prévoit d'assassiner quelqu'un, mais un membre de la bande dénonce les autres à la police. Cela dit, je ne suis ni juriste ni avocat...

    Pour le reste, je trouve que la généralisation de l'article aurait été bien (en fait, ils auraient même pu beaucoup plus généraliser), s'il avait été précisé que la clause n'opère pas si le "prévenu" a profité des données / du fait de pouvoir assassiner quelqu'un. Cela aurait probablement réglé une bonne partie des abus possibles.

  6. #6
    Membre confirmé

    Homme Profil pro
    Développeur Java
    Inscrit en
    février 2007
    Messages
    179
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2007
    Messages : 179
    Points : 647
    Points
    647
    Par défaut
    il faut donc aller vers l'entreprise leur dire qu'on a découvert une faille sans indiqué la quelle (donc ils n'ont pas de preuve pour attaquer en justice).
    Leur proposer un contrat ou ils s'interdise d'attaquer en justice en échange de l'exploit.

    C'est bien ça qu'il faut faire ?
    Parce que peu de personne le feront...
    L'expérience est une lanterne que l'on porte sur le dos et qui n'eclaire jamais que le chemin parcouru.

    La nature fait les choses sans se presser, et pourtant tout est accompli.

  7. #7
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    838
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 838
    Points : 1 805
    Points
    1 805
    Par défaut L'assasin n'est pas un bon exemple
    Prenons un bon exemple : L'accès a l'espace VIP du festival de Cannes...

    Il est interdit d'y pénétrer car toute personne y entrant est suceptible d'attenter a des personnes haut placé, d'écouter des discutions sensible, de poser des micros... Mais si un malin, arrive a se faire passer pour un photographe ou un producteur, on ne le condamne pas comme l'espion ou l’assassin car il est reconnu assez aisément qu'il n'a pas voulu intenté a des personnes. Tout au plus lui infligera t'on une peine essentiellement symbolique (Le prix d'un billet en première)

    Il en est de même pour un lanceur d'alertes. Il met a jour un mécanisme pour récupérer ou simplement accéder mais il ne l'exploite pas. Il ne préviens pas les réseaux underground. Il a fait la partie difficile et s'arrête avant la partie simple... moneiller son geste.

    Dans 95% des cas, le responsable système (ou plutôt son responsable ) lui dira merci voire le rémunérera. Mais dans 5% des cas (comme chez Apple) il aurra un process et il risque très lourd. Alors ce qu'il se passe c'est simple c'est qu'il passe du côté obscur de la force pousser par un système judiciaire moisi. C'est une perte sèche de cerveaux pour la France. (Ca ne concerne pas grand monde mais un monde précieux)
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  8. #8
    Membre extrêmement actif
    Avatar de Aurelien Plazzotta
    Homme Profil pro
    .
    Inscrit en
    juillet 2006
    Messages
    312
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : juillet 2006
    Messages : 312
    Points : 920
    Points
    920
    Par défaut
    +150 abriotde !

    Tant que les dirigeants politiques et industriels français considéreront l'industrie du génie logiciel comme un centre de coûts et non comme un centre de profits, leurs décisions seront toujours irrationnelles et la situation économique pour ceux et celles oeuvrant dans les technologies de l'information grotesque.

    Le seul fait qu'une entreprise fasse appel à une SSII pour réaliser un projet logiciel prouve que son dirigeant est dénué de toute culture technologique. En clair, il paye au lance-pierres un "presta" parce que je n'a et n'aura jamais de développeurs en interne.
    Avant même de signer un contrat, un développeur contacté par une SSII sait dèjà qu'il passera un entretien d'embauche pour intervenir dans une boîte client où la reconnaissance sociale et la considération de la personne est une relique du passé. Les meilleurs ont fini par fuir le pays ou accepter un job de chef de projet pour décrocher une rémunération décente.

    Pour l'OS souverain, c'est la même histoire. La France est dotée d'un secrétariat aux technologies numérique; n'a-t-il pas un bassin de concepteurs-développeurs accrédités Confidentiel-Défense ? Ah bah non, j'oubliais, ça coûte trop cher ! (politique du centre de coûts).

    Je m'éloigne du sujet mais aux Etats-Unis et au Canada, les développeurs et ingénieurs logiciels sont mieux rémunérés que les encadrants de proximité (coordinateurs, chefs de projets, responsables projets, ...).

    Pas étonnant que notre pays subisse un exode des cerveaux pour ceux et celles ayant le courage de s'expatrier.
    Je porte l'épée brisée, et sépare les vrais rois des tyrans. Qui suis-je ?

Discussions similaires

  1. Un programme qui lance quelquechose toute les 50 minutes?
    Par altadeos dans le forum C++Builder
    Réponses: 4
    Dernier message: 12/03/2006, 11h16
  2. un CEdit qui n'accepte que les décimaux
    Par Midou dans le forum MFC
    Réponses: 4
    Dernier message: 01/03/2006, 17h43
  3. Graveur dvd qui ne lit plus les cd-rw
    Par Hyoga dans le forum Autres Logiciels
    Réponses: 3
    Dernier message: 18/02/2006, 20h42
  4. FTP qui prennent en charges les coupures de connexion
    Par denza1 dans le forum Développement
    Réponses: 2
    Dernier message: 14/01/2006, 18h46
  5. Qui ne voi plus les images ou smiley du forum ?
    Par Marc Lussac dans le forum Evolutions du club
    Réponses: 30
    Dernier message: 13/09/2004, 13h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo