Aujourd’hui, jeudi 21 juin 2012, le Parlement européen va examiner une proposition de directive (PDF) européenne qui porte sur la protection des systèmes informatiques contre les attaques.
Dans la lignée de texte comme le Digital Millenium Copyright Act, américain, ou le plus récent Computer Fraud and Abuse Act, cette directive risque pourtant de créer un espace légal déséquilibré et dangereux, non pas tant pour ceux qui attaquent les systèmes d’information mais bien pour les hackers qui font des audits de sécurité et cherchent, en définitive, à servir l’intérêt commun.
Criminalisation des outils
Outre que ce texte est en partie redondant avec des textes de loi déjà existants, ce qui fait s’interroger sur sa pertinence éventuelle, un des soucis premiers se trouve dans l’article 7. Il vise à « criminaliser » les outils permettant des attaques, et même leur création et leur vente. Or, entre de bonnes mains, ces outils peuvent servir à découvrir des failles et à les réparer avant qu’une personne mal intentionnée ne le fasse. Et, penser qu’un service de police informatique, seul, peut faire ce travail, revient à nier la leçon donnée depuis plusieurs décennies par l’open source au monde de l’informatique propriétaire.
Une des solutions, recommandée d’ailleurs par l’EFF, Electronic Frontier Foundation, est de se concentrer non sur les outils mais bien sur les usages, tout en assurant le respect des libertés des codeurs.
Page d’accueil dédiée au cybercrime sur le site de la Commission européenne.
Peines plus que symboliques
Un point essentiel qui pourrait passer notamment par l’amendement de l’article 3, qui définit la notion d’accès non autorisé à un système informatique et en fait un crime. Ainsi, accéder à un service en ligne via une faille pour la démontrer et ensuite la partager avec son propriétaire pourrait être punie par la justice.
Pour autant, cette version de la proposition contient d’ores et déjà des améliorations par rapport aux brouillons précédents. Ainsi les peines criminelles sont désormais limitées aux cas qui ne sont « pas mineurs ». Les peines définies pour l’instant par le document de travail sont de deux ans d’emprisonnement minimum pour la distribution de logiciels non autorisés, par exemple, de trois ans pour l’utilisation de botnets et de cinq ans dans le cadre d’une action assimilée à un crime organisé.
Quoi qu’il en soit, tant que le texte n’est pas plus précis et ne cible pas plus certains agissements spécifiques, les auditeurs en sécurité informatique, essentiels dans le cadre d’une société numérique omniprésente, sont pour l’instant toujours menacés par ce texte. C’est donc potentiellement la sécurité même de notre société de services numériques qui est mise en question.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
