Et le Full Disclosure devient illégal
Par Korben | Nb visites : 59
Le Full Disclosure qui consiste a réveler au grand public une faille ou un exploit dans un logiciel est d’utilité publique. En effet, lorsque les chercheurs en sécurité découvre une de ces failles, la première chose qu’ils font, c’est prévenir l’éditeur du logiciel. Ensuite, le chercheur publie ses travaux sur le net, sans attendre spécialement que l’éditeur corrige (ou pas) la faille.
Dans un monde sans Full Disclosure, le chercheur aurait communiqué de la même manière la faille découverte à l’éditeur du logiciel concerné et …. plus rien ! Enfin si… le gentil chercheur devrait attendre que l’éditeur corrige sa faille avant de pouvoir en parler publiquement. Cela s’appelle le Responsible Disclosure. Et justement, l’éditeur n’ayant pas la pression de voir cette faille révélée au grand public, ne se pressera pas pour la corriger ou pire, ne prendra même pas la peine de le faire, laissant les utilisateurs livrés à eux-même face à d’éventuels crackers qui exploiteraient aussi cette faille.
Le Full Disclosure est donc indispensable car c’est un formidable moyen de pression pour que les éditeurs de logiciels fassent des softs propres (ou qui au moins sont corrigés rapidement) C’est d’ailleurs ce genre de pratiques qui a poussé Microsoft (au bout de quelques années j’avoue) a être super réactif pour ses mises à jours (via Windows Update par exemple).
Seul hic, suite à un jugment rendu par le tribunal de Montpellier, le FullDisclosure est illégal. La faute à l’article 323-3-1 du code pénal qui je cite : « Réprime le mise à disposition d’équipement, d’instrument ou de programme informatique conçus ou adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données »
Du coup, c’est le boxon dans la communauté des chercheurs en sécurité qui se demande vraiment où tout cela va les mener. Une chose est sûre, l’entrée dans l’illégalité du FullDisclosure ne servira pas les intérêts du consommateur final…
Ouin.
Je vous recommande aussi la lecture des sujets suivants
- Hack de Imageshack pour arrêter le full disclosure : Un combat juste ?
- Les premières machines à voter incrackables
- La VoIP mise à mal
- Une nouvelle faille dans IE
- Devenez The Master of BSoD grâce à Android
- La blague belge du jour
- Un moteur de recherche de failles
- Ubuntu sort en Release Candidate (dernière version avant la finale)
- Mettez à jour automatiquement vos logiciels sous Windows
- Vol de mot de passe sous Firefox 2.0.0.5
M4573rPunk
:/
Ils votent des lois etc… sans savoir de quoi ils parlent… vraiment sa devient n’importe quoi…
La même chose que si on avait un président qui ne parle pas 1 mot de français…
ça devient pitoyable…
Posté le 23 décembre 2009 à 13:41:19
primalmotion
tuons tous les vieux
Posté le 23 décembre 2009 à 13:46:15
ZmK
« devient » pas vraiment … ça fait un bout de temps qu’elle à été votée la « lcen » (2004?)
… en tout cas tout ça, c’est bien regretable 
… (et ça fera pas avancer les choses dans le bon sens)
Posté le 23 décembre 2009 à 13:47:29
Nono
Je n’y crois pas… Metasploit, milworm… Ca ne peut pas devenir illégal, c’est la sécurité de l’informatique entière qui est en jeu ici. Les éditeurs de logiciels préféreront laisser des failles plûtot que de les corriger, pour éviter d’assumer une boulette… La je dis bravo… Du grand, très grand n’importe quoi.
Posté le 23 décembre 2009 à 13:48:17
Kerlutin
@primalmotion: n’oublie pas que tu sera vieux un jour…
Ce qu’il faudrait ce sont des gens qui savent de quoi ils parlent avant de voter les lois ET hors de portée des lobbys ET qui ne soient pas des godillots.
Y’a du boulot…
Posté le 23 décembre 2009 à 13:48:35
Targhan
Le full disclosure ne donne pas un logiciel/outil pour hacker. Il explique où est la faille ce n’est qu’informatif, ça ne donne pas le code exploitant la faille.
Le Full Disclosure permet de connaitre la fiabilité réelle des logiciels en fonction du nombre de correction de bugs de sécurité. Quand ça devient opaque, on ne peut plus le mesurer et on finira par lire que les produits Microsoft sont sécurisés.
D’un autre coté, ça fait un argument de plus pour l’Open Source qui est totalement transparent y compris dans les failles de sécurité et leurs résolutions.
Posté le 23 décembre 2009 à 14:14:26
Ted
C’est hallucinant.
Il faudrait vraiment que ceux qui votent les lois, en France, se renseignent un jour sur les c*nneries qu’ils mettent en place …
Posté le 23 décembre 2009 à 14:26:47
Makash
Et on parle de droit francais ici. Les milworms etc n’ont aucun soucis à se faire.
Posté le 23 décembre 2009 à 14:29:34
Julien
@Targhan
« …ça fait un argument de plus pour l’Open Source qui est totalement transparent y compris dans les failles de sécurité et leurs résolutions »
Le fait de « révéler au grand public une faille ou un exploit dans un logiciel… » semble illégal aussi pour l’open source.
c’est le fait de révéler qui devient illégal quel que soit la cible !
ça pourrais même en pousser certains à lancer des procès pour bloquer le développement de concurrents gratuits. (suis sur qu’ils n’attendront même pas qu’on les pousse)
Posté le 23 décembre 2009 à 14:32:45
Michael
Ça fait au moins 5 ans qu’une série de loi est sortie pour interdire cela.
Posté le 23 décembre 2009 à 14:36:31
Bonob0
Le chercheur n’a qu’à transmettre ses informations à un journaliste ayant carte de presse et le tour est joué
Posté le 23 décembre 2009 à 14:37:33
Hogx
Ce n’est pas tant la loi qui pose problème, la phrase est plutôt logique et généraliste, le problème est que l’interprétation des différents juges qui se sont succédés, ne la pondère pas de manière intelligente et ceci est d’autant plus regrettable que, si je ne me trompe pas, il s’agît d’un jugement en cassation donc une juris-prudence définitive.
S’il y a quelqu’un à blâmer c’est les juges, il ne sont pas là pour appliquer bêtement le texte mais en comprendre le but et le sens, sans compter qu’ils auraient pu prendre en compte le droit des utilisateurs à être informer de la sécurité des données et ce quelque soit la personne révélant l’information…
Posté le 23 décembre 2009 à 14:37:42
cloud
Donc la célèbre société a été condamnée mais ce qui lui a été apparemment fortement reproché c’est de mettre à disposition des exploits sans expliquer comment s’en protéger. Donc apparemment si on ajoute un « pensez a couper votre wifi et à débrancher votre câble réseau », ca devrait être bon
Après il y a des sites agissant dans le sens du Responsible Disclosure comme ZDI. Seulement en regardant le temps de réactivité de certains éditeurs, ca fait parfois peur : http://www.zerodayinitiative.com/advisories/upcoming/
Par ailleurs c’est une loi française qui donc ne s’applique pas aux sites étrangers.
Posté le 23 décembre 2009 à 14:42:01
degobiol
Ben en passant par l’étranger le tour est joué, le droit français ne s’applique par exemple pas en suisse (demandez à johnny…)
Posté le 23 décembre 2009 à 14:44:33
xbb
Navrant.
Posté le 23 décembre 2009 à 14:45:28
degobiol
@cloud : vaudrait mieux mettre un truc genre : bien fait pour vot’poire, utilisez des OS propres .
Posté le 23 décembre 2009 à 14:45:46
Sybian
Erreur de saisie pour le deuxième « Full Disclosure » de l’article (deux C)
Posté le 23 décembre 2009 à 14:53:23
Rhan
le problème n’est pas la publication à l’étranger (quoi que)
mais en France, n’importe quelle site/blog/journal soumis a la loi française ne pourra pas en parler sous peine d’être poursuivis.
ça c’est déjà vue pour des sites relayant des potins mondains.
vous ne pouvez pas frapper l’auteur, taper sur le messager.
Posté le 23 décembre 2009 à 15:03:17
Akhilleus
Salut,
Un article (plus) intéressant sur le même sujet, c’est Sid (du blog éponyme) qui en parle avec une réflexion (plus) pertinente : http://u.nu/452c4
La censure c’est mal.
Posté le 23 décembre 2009 à 15:07:49
noktec
énorme
Posté le 23 décembre 2009 à 15:22:22
Anonym
ça me rapelle l’histoire de ce gars condamné en France parcequ’il avait osé dire qu’un éditeur d’AntiVirus MENTAIT puisqu’il prétendait son antivirus 100% sûr ce qui est illegal.
résultat le gars s’est choppé une grosse amende… Vieve la justice.
Posté le 23 décembre 2009 à 15:31:02
HIK3
C’est valable que pour la France? Si on poste des disclosure sur milw0rm c’est illégal?
Posté le 23 décembre 2009 à 15:42:33
babelkot
@primalmotion
Ce sont les « vieux » qui ont inventés internet et ils t’emmerdent..
Posté le 23 décembre 2009 à 15:52:04
seebz
Je vois pas en quoi une explication peut devenir illégale.
Si je dis :
- tu ajoutes » &_SESSION['admin']=1 » Ã l’url
- tu envois un fichier PHP avec un faux type Mime » image/jpeg »
- … etc …
Je ne vois ni « équipement », ni « instrument » et aucun « programme informatique » dans ces quelques lignes, pas vous ?
Posté le 23 décembre 2009 à 16:02:41
Deadeye
et quand les instrument sont nos cerveaux, on fait quoi?
doit-on tous devenir les idiots du village?
Posté le 23 décembre 2009 à 16:10:16
OlolGiveMePoney
Fraternité, égalité,… et c’est quoi le troisième ?
Je me sens bien en Suisse |o/
(Curieux de voir comment les médias pro-gouvernementaux vont tourner ça.)
Posté le 23 décembre 2009 à 16:16:58
Morphing
Ah chaque fois que j’entend ce genre de chose j’ai l’impression qu’on nous crache a la gueule, j’en ai mare… .
Posté le 23 décembre 2009 à 16:59:13
Winael
C’est con les outils d’audit de sécu informatique sont illégaux, et les procédures aussi. Finalement on va se retrouver avec un Internet comme le décrit Myard, plein de trojans, de rootexploit et autres cochonneries. Faut être vraiment con… On est pas chez les bisounours hémiplégiques ici y’a des gens malsain dehors, et c’est pas des lois débiles qui vont nous protéger. Mais bel et bien le Full disclosure
Posté le 23 décembre 2009 à 17:29:32
TheDeadMan
Au début je croyais à une blague et que l’article parlait de dinosaure ^^
En fait c’est super grave ! Je m’étais moi-même fait la remarque il y a quelques temps sur les braves gens qui avertissent les développeurs afin de réparer la faille. Je trouvais ça cool comme état d’esprit, et la loi va à l’encontre de ça !
ça devient vraiment nawak…
Posté le 23 décembre 2009 à 18:50:47
MikeZ
La jurisprudence n’a pas heureusement force de loi et on peut espérer (un vÅ“u pieux?) qu’un autre juge plus compétent sera capable de décider le contraire ce dont il a d’ailleurs parfaitement le droit. Tout ca à mettre au conditionnel..
Bienvenue dans le monde de l’obscurantisme?
Si les lois étaient votées par des gens compétents dans le domaine ca se saurait …
Et comme c’est du jargon pour eu, ils n’écoutent pas ceux qui savent soit car il s’en foutent soit parce qu’ils ont la flemme…
Godillot power :/
Posté le 23 décembre 2009 à 19:38:45
Kyotoweb
Que vont devenir les Repository ? Obligés de fermer ?
Posté le 23 décembre 2009 à 20:40:50
cedni
Les joies du proprietaire , laissez tomber le payant , meme sur windows !!!!!!!
Posté le 23 décembre 2009 à 20:50:43
T0m-S
Mais c’est pourtant simple voyons:
Plus aucuns report de beug
donc plus de virus/beug/trojans/…
donc plus de « pirates » (enfin surtout des scripts kiddies mais bon…)
donc plus de raisons de censurer le net car c’est plein de méchants
et finalement prendre le contrôle sur tout.
Je vais peut-être un peu loin, mais je suis sur qu’une telle décision n’est pas prise sans aucunes réflexions de la part du gouvernement.
Et vive la Belgique, pas de censure ici ^^
Posté le 23 décembre 2009 à 21:19:02
Bozy
L’article dit « Réprime le mise à disposition d’équipement, d’instrument ou de programme informatique conçus ou adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données ».
Mais il ne parle pas d’INFORMATIONS.
Hors, un full disclosure est la plupart du temps une information littérale, un texte informatif. Non un bout de code ou un programme..
Maître Eolas?
Posté le 24 décembre 2009 à 01:36:11
Dr Love
Et ce jugement, c’était suite à la plainte de quelle société ?
Juste histoire qu’on la boycotte un peu.
Posté le 24 décembre 2009 à 05:37:37
Guillaume
Il y avait déjà eu un cas similaire à l’époque avec le bloggeur Guillermito qui avait démontre que l’antivirus VIGUARD était loin d’être efficace.
Cet antivirus était sensé se passer de base de virus et donc de mise à jour… Il détectait les virus sur le comportement des programmes ..
Guillermito l’a désassemble et à démontré qu’il ne se protéger pas lui même…
Bref…
Posté le 24 décembre 2009 à 09:42:20
jbkechi
Hello,
Un jugement ne donne ne rend en rien quelque chose d’illégal ! Au pire si la même situation se présente dans un autre procès, le juge pourra regarder la jurisprudence précédente pour juger de la situation. L’article ne parle pas du tout d’une nouvelle loi (qui existe peut-être néanmoins je ne sais pas).
Bref un jugement ne fait pas loi, je pense que ça serait pas mal de corriger l’article car « le full disclosure devient illégal », avec les éléments que tu explique dans l’article, c’est totalement faux. Par contre je ne dis pas qu’il n’existe pas une loi contre ça, juste qu’avec ce que tu décris ce n’est pas du tout le cas.
Posté le 25 décembre 2009 à 11:02:52
Netsky
de manière général les lois sont fait et voter à la vas-vite j’ai jamais compris pourquoi ce n’est pas les citoyens français qui votent et non des c** en cravates qui se foutent bien de la gueule des français ^^
Posté le 25 décembre 2009 à 16:19:17
Korben.info | Le blog de SiebmanB
[...] РEt le Full Disclosure devient ill̩gal [...]
Posté le 28 décembre 2009 à 00:35:46
Moineau
Article débile : un jugement d’un lointain tribunal ne fait ni la loi ni la jurisprudence!
Si au moins il s’agissait d’une décision d’une Cour d’appel, on pourrait discuter mais la franchement…
Faudrait apprendre à s’informer avant de crier aux loups comme une petite vierge égorgée!
Posté le 13 janvier 2010 à 21:55:22