Qui ne dit mot consent. En l’occurrence, le proverbe semble s’adapter parfaitement aux autorités françaises concernant la vente de failles logicielles et d’exploits par la société française Vupen à un service de renseignement étranger, la NSA américaine au centre du scandale Prism.
Par deux fois, Silicon.fr a demandé au cabinet de la ministre de l’Economie numérique, Fleur Pellerin, et à l’Anssi (Agence nationale de la sécurité des systèmes d’information) des précisions quant au cadre légal entourant ce business très discret. Par deux fois, nous nous sommes heurtés à une fin de non-recevoir.
Pourtant, comme nous l’avons précisé dans nos articles, avant et après la confirmation du contrat unissant Vupen à l’agence américaine, la diffusion et la commercialisation d’exploits tombent sous le coup d’un article du Code pénal, le 323-3-1, article qui a donné lieu à un arrêt de la Cour d’Appel de Montpellier, confirmé en Cassation. Ce qui laisse peu de place à l’interprétation. Pourtant, Vupen, par la voix de son PDG, préfère expliquer que ses activités sont réglementées par un autre article, inclus dans la LOPSSI et prévoyant une autorisation préalable du Premier ministre.
Dans ce contexte, le silence obstiné des autorités françaises apparaît au mieux comme une façon de ne pas embarrasser l’allié américain, au pire comme un discret soutien aux activités de Vupen. Un soutien visant également à protéger les propres activités de la France en matière d’achats de failles et d’exploits, et à éviter toute publicité autour des relations qu’entretiennent les services français avec le même Vupen ? La question doit être posée.
Rappelons simplement aux autorités du pays que, via la directive 2013/40 du 12 août 2013, l’Europe appelle ses états membres à ériger en infraction pénale la diffusion d’exploits.
Mise à jour : En réaction à notre article, le Pdg de Vupen, Chaouki Bekrar, explique dans un mail à la rédaction : « l’arrêt de la cour de cassation interdit uniquement la diffusion – publique – d’un exploit, c’est-à-dire qu’elle interdit le full-disclosure en France. Les publications dans un cadre privée sont autorisées pour permettre aux sociétés et administrations d’acquérir par exemple des outils dédiés à la réalisation de tests d’intrusion. »
Voir aussi
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…
Le Premier ministre a précisé les usages de l'IA dans les services de l'administration et…
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…