Dans un avenir proche, il y aura ceux qui ont le droit de produire des outils de sécurité informatique et les autres, qui risqueront la prison. Ridicule...
Mais où vont-ils chercher tout ça ? À la lecture de l’article 35 du projet de loi sur la société de l’information (PLSI) ou de l’article 6 du projet de Convention contre la cybercriminalité du Conseil de l’Europe, on finit par trouver pénible le doux délire des auteurs de ces textes. L’article 6 en question indique : "toutes les parties feront en sorte d’adapter leurs législations pour rendre pénalement répréhensible lorsqu’est commis intentionnellement et sans droit : la production, la vente, la mise à disposition, l’importation, la distribution (...) d’un programme informatique fait pour, ou spécialement adapté pour, réaliser les crimes décrit dans les articles 2 à 5. (...)" En clair, si vous créez ou distribuez un outil informatique qui peut, sous certaines conditions, servir à réaliser une "atteinte volontaire au fonctionnement d’un système de traitement informatisé de données ou délit d’entrave", comme le dit si poétiquement la Loi Godfrain, vous allez vous trouver en situation délicate.
La mort du petit cheval
Or, la plupart des logiciels liés à la sécurité informatique sont capables, dans certaines conditions, d’entraver le fonctionnement normal d’un système informatique. Ces logiciels sont justement là pour tester les vulnérabilités et vérifient si oui ou non un serveur, une machine, vont tomber en carafe si on leur demande quelque chose de particulier. Les auteurs des textes réglementaires sont à mille lieues de la réalité technique. Résultat, les articles en question sont inapplicables. Car dans la liste des programmes capables de créer un dysfonctionnement de Mabelleboutiqueenligne.com, il y a les fenêtres DOS de windows, les navigateurs comme Netscape ou Internet Explorer et tous les terminaux sous Linux... Bien entendu, les législateurs objecteront que les chevaux de Troie sont bien des logiciels destinés au piratage. En fait, les chevaux de Troie sont appelés comme cela lorsqu’ils ne sont pas réalisés et distribués par des entreprises. Ainsi, le groupe Cult of the Dead Cow a eu toutes les peines du monde à faire écrire par la presse que Back Orifice 2000 était un "outil d’administration à distance" et non pas un "cheval de Troie". Tout comme l’auteur de Netbus. Ces deux programmes informatiques gratuits qui permettent de prendre la main à distance sur un poste équipé de Windows étaient considérés par les logiciels antivirus comme des programmes nuisibles. Impossible donc de les installer sur un réseau informatique sans faire sonner les alarmes. C’est donc la mort de ces programmes au profit de "logiciels d’administration à distance" réalisés par les très officielles entreprises comme Microsoft (Systems Management Server) ou Symantec (pcAnywhere) par exemple...
Question de langage
Au-delà des chevaux de Troie, qui sont avant tout un épouvantail pour journaliste en mal de sensations fortes liées au piratage, il y a surtout les programmes de tests de vulnérabilités comme Nessus. Ces logiciels distribués gratuitement sont en passe de devenir des logiciels de vilains pirates et leurs auteurs risquent d’être brûlés en place publique... Tout n’est donc qu’une question de langage. Outil de piratage contre outil de sécurité informatique. Et comme de nombreux outils de test sont produits par le monde des logiciels libres, on court à la catastrophe. Les administrateurs réseau seront bientôt contraints d’égorger des poulets les soirs de pleine lune en récitant des incantations pour tester leurs infrastructures.
Malin, le législateur européen qui a écouté (un peu) les critiques sur son texte, a pensé à ajouter cette précision : "Cet article ne doit pas être compris comme imposant une responsabilité pénale quand la production, la vente, la mise à disposition ne sont pas réalisées dans le but de commettre un crime (articles 2 à 5) mais dans le but de tester et de protéger les systèmes informatiques." Cette précision n’est pas du tout évoquée dans le PLSI...