Opinion : l’affaire Vupen et le silence assourdissant de la France

RégulationsSécurité

La société française Vupen a bien vendu des vulnérabilités et des codes permettant de les exploiter à la NSA américaine. Une information qui laisse les autorités françaises de marbre. Ce qui en dit long.

Qui ne dit mot consent. En l’occurrence, le proverbe semble s’adapter parfaitement aux autorités françaises concernant la vente de failles logicielles et d’exploits par la société française Vupen à un service de renseignement étranger, la NSA américaine au centre du scandale Prism.

Par deux fois, Silicon.fr a demandé au cabinet de la ministre de l’Economie numérique, Fleur Pellerin, et à l’Anssi (Agence nationale de la sécurité des systèmes d’information) des précisions quant au cadre légal entourant ce business très discret. Par deux fois, nous nous sommes heurtés à une fin de non-recevoir.

Pourtant, comme nous l’avons précisé dans nos articles, avant et après la confirmation du contrat unissant Vupen à l’agence américaine, la diffusion et la commercialisation d’exploits tombent sous le coup d’un article du Code pénal, le 323-3-1, article qui a donné lieu à un arrêt de la Cour d’Appel de Montpellier, confirmé en Cassation. Ce qui laisse peu de place à l’interprétation. Pourtant, Vupen, par la voix de son PDG, préfère expliquer que ses activités sont réglementées par un autre article, inclus dans la LOPSSI et prévoyant une autorisation préalable du Premier ministre.

Dans ce contexte, le silence obstiné des autorités françaises apparaît au mieux comme une façon de ne pas embarrasser l’allié américain, au pire comme un discret soutien aux activités de Vupen. Un soutien visant également à protéger les propres activités de la France en matière d’achats de failles et d’exploits, et à éviter toute publicité autour des relations qu’entretiennent les services français avec le même Vupen ? La question doit être posée.

Rappelons simplement aux autorités du pays que, via la directive 2013/40 du 12 août 2013, l’Europe appelle ses états membres à ériger en infraction pénale la diffusion d’exploits.


Mise à jour : En réaction à notre article, le Pdg de Vupen, Chaouki Bekrar, explique dans un mail à la rédaction : « l’arrêt de la cour de cassation interdit uniquement la diffusion – publique – d’un exploit, c’est-à-dire qu’elle interdit le full-disclosure en France. Les publications dans un cadre privée sont autorisées pour permettre aux sociétés et administrations d’acquérir par exemple des outils dédiés à la réalisation de tests d’intrusion. »


Voir aussi

Rétrospective : la saga PRISM


Lire la biographie de l´auteur  Masquer la biographie de l´auteur