En 2002, Stefan Puffer démontrait que le réseau sans-fil du tribunal du comté de Harris était piratable en moins de temps qu'il ne faut pour l'écrire, ce qui lui valait un procès en règle. Résultat des courses, acquité en 15 minutes. Le cas de Bret McDanel est plus controversé. En 2004, il signale par courrier électronique un problème de sécurité dans les applicatifs de son ex-employeur aux clients de ce dernier. Il se retrouve au tribunal, non pas pour une sombre histoire de vengeance éventuellement saupoudré de chantage comme on pourrait s'y attendre, mais parce que... les courriers électronique reçus constitueraient un accès non autorisée au serveur de messagerie de cette entreprise. Condamné en première instance, il se verra acquité en appel suite au retrait des charges par l'accusation. Bien que le contexte soit différent, on pourra également citer l'affaire Guillermito et la confirmation en appel de sa condamnation en février dernier.

La première constatation que je fais, c'est que deux de ces affaires concernent l'accès à des données personnelles. Comme vous aurez pu le remarquer, la protection de telles informations m'est chère, parce qu'elles touchent à notre intimité. Mais ce ne sont pas les seuls cas. En France, on citera l'affaire Tati ou l'erreur de transmission d'annuaire de Free plus récemment. Aux USA, on aura l'université du Connecticut, le Boston College ou encore Berkeley, sans compter les banques et autres sociétés qui égarent portables et backups ou voient leurs bases ouvertes aux quatre vents. Sans parler de tous les sites dont les mesures de protection laissent manifestement à désirer. Parallèlement à la généralisation des services en ligne (E-Commerce, administration électronique, inscriptions diverses et variées, etc.) qui réclament forcément l'accès à des bases plutôt fournies, on constate inmanquablement la multiplication des failles et des erreurs permettant l'accès au données stockées. Inévitable diront certains, mais lourd en conséquence pour les utilisateurs d'une part, mais potentiellement pour les organismes incriminés au regard de certaines législations[1].

La seconde, c'est la difficulté de remonter une faille sans franchir la fine ligne tracée par la loi. L'affaire McCarthy illustre parfaitement ceci. Après avoir été contacté par Securityfocus, les administrateurs de l'USC n'admettent l'accès qu'à une petite partie de la base. N'ont-ils pas compris la faille, cherchent-il à minimiser l'incident, ont-ils décider de verser dans la mauvaise foi ? L'histoire ne le dit pas. Toujours est-il qu'il faudra leur fournir des enregistrements complets pour qu'ils reconnaissent l'ampleur du problème. Et c'est bien là que le bât blesse : pour obtenir ces informations, McCarthy a pénétré le système, violé la loi et s'est donc exposé à des poursuites. Aurait-il pu faire autrement ? Certainerment, mais il ne faut pas non plus se bercer d'illusions. Si vous ne démontrez pas une faille par A+B, résultat à l'appui, personne ne vous prendra au sérieux. Des "les XSS, c'est pas critique" aux "pfff, n'importe quoi" en passant par les "pas de HTTPS en effet, mais c'est pas critique", il y a de quoi en décourager plus d'un. Et malheureusement, ça s'applique parfois aussi aux organismes qui se proposent comme intermédiaires qui de plus, comme le montre cette affaire, ne peuvent pas à garantir l'immunité du celui qui leur remonte la faille.

Alors d'aucuns s'offusquent de ce qu'un marché fleurissent autour de la vente de failles. Peut-on vraiment s'en étonner ? D'un côté vous avez des individus qui ont découvert des failles et qui prennent le risque en les divulgant de se retrouver sur le banc des accusés. De l'autre, vous avez des sociétés prêtes à payer pour obtenir des informations leur permettant de se faire mousser. Que croyez-vous que ça puisse donner ? Les premiers, quelque soit la nature de leurs intentions, préfèreront passer par un intermédiaire. La nature humaine étant ce qu'elle est, si ça peut leur rapporter quelques centaines voire milliers de dollars dans la foulée, ce sera toujours ça de gagné. C'est ce que fait très justement remarquer Pappy dans l'édito du numéro 24 de MISC. Si en outre on regarde la nationalité des entreprises impliquées dans ce marché, la nature des failles qu'on leur remonte et leurs relations avec certaines agences gouvernementales[2], ça n'a pas de quoi rassurer...

Aujourd'hui, si vous trouvez une faille importante dans un site, quels sont vos choix ? Remonter la faille, en priant très fort pour tomber sur des gens intelligents et prendre le risque de passer au tribunal puisque le simple fait de communiquer les informations décrivant l'exploitation de la faille tombe sous le coup de la loi[3], ou se taire. Maintenant, imaginons que le marché de la faille, pour l'instant limitée aux vulnérabilités logicielles des grands produits commerciaux, s'étendent à de telles découvertes. Vous aurez alors accès à une troisème solution, celle de vendre votre découverte à prix d'or, à des gens dont vous ne connaissez rien pour qu'ils se la mette sous le coude et la revendent à d'autre gens que vous connaissez encore moins, exposant ainsi les données de centaines de milliers d'utilisateurs. Mais si votre conscience se refuse à céder aux appels du côté obscur, il vous restera toujours la possibilité d'inaugurer l'invocation du fameux motif légitime. Good luck, Jim...

Notes

[1] Art. 226-17 du code pénal français par exemple

[2] Je n'oserai pas m'aventurer sur le terrain de la moralité...

[3] Art. 323-3-1. du code pénal - Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.