( AFP / ISSOUF SANOGO )
Il faut "peut-être passer par un texte de loi pour clarifier la situation et rassurer l'écosystème cyber", a estimé Johanna Brousse, magistrate au parquet de Paris, section cyber, interrogée par des députés il y a quelques mois.
Le "flou juridique" autour de l'utilisation des fuites de données rend les entreprises de cybersécurité françaises moins compétitives et peut également fragiliser des enquêtes pénales, selon des experts. Faut-il donc y mettre fin ?
Conçue à des fins militaires pendant la Seconde Guerre mondiale, l'Osint (Open Source Intelligence), le renseignement en sources ouvertes, connait depuis quelques années un développement fulgurant. Il s'agit d'enquêter et de collecter des données laissées en devanture d'internet ou dans les arrières-cuisines du "dark web", des données libres ou volées très accessibles. Les applications de l'Osint sont vastes : traquer un narco-trafiquant, scanner un candidat à l'embauche, détecter des cybermenaces, vérifier des informations pour des journalistes, etc. Mais son usage peut aussi être détourné.
Certaines pratiques sont strictement encadrées, comme celles de Viginum, service de l'Etat qui lutte contre les ingérences numériques étrangères, celles du fisc qui traque les piscines non déclarées, ou encore des journalistes protégés par le secret des sources. En revanche pour le reste, d'après de nombreux experts, un "flou juridique" entoure l'utilisation des fuites de données, lesquelles se multiplient en France, comme illustré récemment par celle de l'Agence nationale des titres sécurisés (ANTS).
"On touche à l'absurde"
Spécialiste du droit de la cybersécurité, Michel Séjean a planché deux ans avec un groupe de travail. "Une banque nous a dit que son juriste avait interdit à son équipe d'aller chercher ses propres fuites de données, qu'elle voulait racheter pour contenir le dommage, par crainte du recel", explique-t-il à l'AFP. "On touche à l'absurde", commente ce professeur de droit, qui milite avec l'appui de parlementaires pour "une réglementation de l'Osint" pour dissiper les craintes autour du recel. Car comme le rappelle la Cnil, "la personne qui télécharge ou réutilise une base de données manifestement illégale risque de se rendre coupable du délit de recel". D'où l'idée de créer un cadre légal pour l'utilisation de données volées dans un but légitime.
Interrogée par des députés il y a quelques mois, Johanna Brousse, magistrate au parquet de Paris, section cyber, avait indiqué qu'il fallait "peut-être passer par un texte de loi pour clarifier la situation et rassurer l'écosystème cyber", même si elle-même utilisait des "leaks" dans ses procédures.
Jean-Marc Bourguignon, cofondateur de Nothing2Hide, qui aide journalistes et ONG à sécuriser leurs données, connait parfaitement ce risque. "Quand je le fais, je sais que je commets quelque chose d'illégal", explique-t-il à l'AFP. Cela lui est arrivé de "télécharger un fichier puis de l'effacer immédiatement", par exemple pour prévenir des journalistes d'un piratage de la plateforme de stockage Dropbox. Autrefois, le même problème se posait pour les virus informatiques : il était interdit d'en avoir un sur son ordinateur, y compris pour les créateurs d'antivirus, rappelle Michel Séjean. La loi a été changée en 2004 introduisant l'idée de "motif légitime".
"Ce n'est pas autorisé, mais c'est un peu autorisé quand même"
Du côté des services de l'Etat, le général de gendarmerie Christophe Husson avait expliqué l'an dernier aux députés que le ministère de l'Intérieur avait réfléchi à un texte "sur son propre périmètre", pour les recherches faites en amont de la phase judiciaire, susceptibles de fragiliser l'enquête devant un tribunal. "On s’est aperçu que la gendarmerie avait les mêmes problèmes que nos boîtes pour judiciariser des éléments trouvés en faisant de l'Osint", affirme de son côté à l'AFP le directeur général de l'Alliance pour la confiance numérique (ACN), Yohann Kassianides, à l'origine du groupe de travail.
Des entreprises françaises de cybersécurité "utilisent l’Osint pour alerter et défendre", explique-t-il. Elles peuvent exploiter et croiser des milliers de fuites de données pour voir, par exemple, si les dirigeants d'une entreprise sont exposés. Pour l'instant, le risque reste théorique car aucune entreprise n'a été poursuivie pour recel, mais "allez dire à quelqu’un qui veut investir 20 millions dans une boîte : 'pour l’instant cela ne s’est pas trop posé'" !, argumente-t-il, mettant en avant la compétitivité. "Ce n'est pas autorisé, mais c'est un peu autorisé quand même", résume Baptiste Robert, cofondateur de Predicta Lab.
"Vous avez des acteurs étrangers, américains ou israéliens, qui font des produits à partir des fuites de données sans aucune considération de la loi. Ils font de la concurrence déloyale à des entreprises qui essaient de respecter la réglementation", explique-t-il à l'AFP. Pour autant, il craint les "effets de bord" d'une réglementation à venir et redoute que sous couvert de clarifier elle "ne restreigne la capacité d'investigation" parfois rendue possible par le flou.
1 commentaire
Vous devez être membre pour ajouter un commentaire.
Vous êtes déjà membre ? Connectez-vous
Pas encore membre ? Devenez membre gratuitement
Signaler le commentaire
Fermer