Des experts en sécurité critiquent un article du « projet de loi pour la confiance dans l’économie numérique »

Un article contenu dans le projet de loi « pour la confiance dans l’économie numérique » prévoit de sanctionner la détention de programmes permettant de commettre des délits dans le traitement des données. Les experts en sécurité sont critiques.

Le «projet de loi pour la confiance dans l’économie numérique», présenté au conseil des ministres le 14 janvier par Nicole Fontaine, la ministre déléguée à l’Industrie, prévoit d’ajouter un nouvel article au code pénal, qui risque de poser problème à certains experts en sécurité et aux utilisateurs victimes de virus.

Il s’agit de l’article 323-3-1 présenté dans le chapitre II du projet et intitulé : «Lutte contre la cyber-criminalité». Ce nouvel article prévoit que soit désormais puni par la loi «le fait de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés», pour commettre des infractions dans des systèmes de traitement automatisé de données.

Un article qui donne donc un cadre juridique, non plus aux seules actions frauduleuses, mais également aux outils qui servent à les commettre. Cela englobe notamment les virus informatiques ou les logiciels de prise de contrôle à distance.

Les victimes de virus pourraient être poursuivies

«Il manque une notion de détention accidentelle», estime Pascal Lointier, vice-président du Clusif, le Club de la sécurité des systèmes d’information français, interrogé par ZDNet à l’occasion de la présentation à Paris du « Panorama de la cyber-criminalité de l’année 2002» de l’association.

«Dans le cas d’un poste contaminé par un virus, la victime détient le programme de manière involontaire, puisque ce type de nuisance se propage le plus souvent à l’insu des utilisateurs», poursuit Pascal Lointier. «Même chose pour ce qui est des programmes de prise de contrôle à distance tels que Back Orifice, dont une partie est installée sur le poste de la victime.»

Enfin, «une société victime d’hébergement clandestin de données dangereuses pourrait être poursuivie», met-il en garde. Certaines personnes malintentionnées utilisent, par exemple, des serveurs d’entreprise pour y stocker discrètement et à distance des programmes illicites, explique le responsable du Clusif.


Les activités de certains professionnels mises en péril

Second problème : certains professionnels de la sécurité détiennent ce type de programmes pour leur propre information ou étude. Le projet de loi prévoit sur ce point que les dispositions du nouvel article «ne soient pas applicables lorsque la détention, l’offre, la cession et la mise à disposition sont justifiées par les besoins de la recherche scientifique et technique ou de la protection et de la sécurité des réseaux de communications électroniques et des systèmes d’information».

«Ce n’est pas assez large», poursuit Pascal Lointier. «Les conseillés et les consultants en sécurité risquent de ne pas être concernés par cette dérogation», conclut le responsable.

De son côté, François Paget, chercheur chez l’éditeur de logiciels antivirus Networks Associates, tient à saluer ce projet «qui donne enfin un cadre juridique à la malveillance virale». Pour autant, il critique également la seconde partie de l’article 323-3-1 qui «donnera une excuse en or pour les pirates et créateurs de virus qui n’auront simplement qu’à revendiquer des recherches scientifiques».

«Les auteurs de virus indiquent déjà souvent sur leurs sites que leur programme est à titre de recherche et qu’ils ne sont pas responsables de l’usage que pourrait en faire une personne malintentionnée. Ils n’auront qu’à référer leur message au nouvel article pour éviter d’éventuelles poursuites», explique François Paget.

Il déplore par ailleurs que le projet de loi ne soit pas plus précis et n’indique pas clairement les programmes malveillants auxquels il fait référence. Le mot « virus » est ainsi totalement absent du texte et n’est évoqué que dans le résumé des principales dispositions du projet de loi, publié notamment sur le site du ministère de l’économie, des finances et de l’industrie.

Pour ces nouvelles infractions, le projet de loi prévoit que soient appliquées les peines et amendes prévues par les articles 323-1 à 323-3 du code pénal. Des sanctions que le même projet voudrait alourdir avec un doublement quasi systématique des peines et amendes. Ces dernières pourraient atteindre au maximum cinq ans d’emprisonnement et 75000 euros.

[source – ZDNet.fr]