Pour la recherche ou la sécurité informatique, la publication de vulnérabilités est légale

Par
Le 20 décembre 2013
 0
La législation encadrant les publications de vulnérabilités vient d'être modifiée. Désormais, sont considérées comme légales les publications d'informations relatives à la sécurité informatique lorsque celles-ci sont réalisées dans le cadre de la recherche en matière de sécurité informatique.

00fa000001473574-photo-dossier-s-cu-s-curit-informatique.jpg
La France fait un pas en avant en matière de Full Disclosure. Ce principe est central dans le domaine de la sécurité informatique puisqu'il préconise de procéder à la publication d'informations au sujet d'une faille de sécurité lorsque celle-ci est inconnue (0-Day). Il s'agit donc de permettre d'avertir les personnes concernées de l'existence d'une vulnérabilité, afin que l'éditeur puisse y remédier.

Dans ce cadre, la loi n°2013-1168 du 18 décembre 2013 - art. 25 vient modifier les règles existantes en ne punissant la pratique de la divulgation de failles uniquement quand son motif ne couvre pas la « recherche ou la sécurité informatique ». A contrario, les sociétés dont la spécialité est de vendre aux professionnels ce type de vulnérabilités se réjouissent de la mesure.

Sur son compte Twitter, Chaouki Bekrar, p-dg de Vupen, montre sa satisfaction en expliquant que désormais les chercheurs en France vont pouvoir « publier des documents, blogs et même des exploits sans risquer de menace légale ».

Jusqu'à présent la loi n'incluait pas les termes « notamment de recherche ou de sécurité informatique » et ces spécialistes en sécurité ne pouvaient donc pas publier les fruits de leurs travaux.
Modifié le 01/06/2018 à 15h36

Les dernières actualités Sécurité des données

scroll top