Pour gérer vos consentements :

Opinion : l’affaire Vupen et le silence assourdissant de la France

Qui ne dit mot consent. En l’occurrence, le proverbe semble s’adapter parfaitement aux autorités françaises concernant la vente de failles logicielles et d’exploits par la société française Vupen à un service de renseignement étranger, la NSA américaine au centre du scandale Prism.

Par deux fois, Silicon.fr a demandé au cabinet de la ministre de l’Economie numérique, Fleur Pellerin, et à l’Anssi (Agence nationale de la sécurité des systèmes d’information) des précisions quant au cadre légal entourant ce business très discret. Par deux fois, nous nous sommes heurtés à une fin de non-recevoir.

Pourtant, comme nous l’avons précisé dans nos articles, avant et après la confirmation du contrat unissant Vupen à l’agence américaine, la diffusion et la commercialisation d’exploits tombent sous le coup d’un article du Code pénal, le 323-3-1, article qui a donné lieu à un arrêt de la Cour d’Appel de Montpellier, confirmé en Cassation. Ce qui laisse peu de place à l’interprétation. Pourtant, Vupen, par la voix de son PDG, préfère expliquer que ses activités sont réglementées par un autre article, inclus dans la LOPSSI et prévoyant une autorisation préalable du Premier ministre.

Dans ce contexte, le silence obstiné des autorités françaises apparaît au mieux comme une façon de ne pas embarrasser l’allié américain, au pire comme un discret soutien aux activités de Vupen. Un soutien visant également à protéger les propres activités de la France en matière d’achats de failles et d’exploits, et à éviter toute publicité autour des relations qu’entretiennent les services français avec le même Vupen ? La question doit être posée.

Rappelons simplement aux autorités du pays que, via la directive 2013/40 du 12 août 2013, l’Europe appelle ses états membres à ériger en infraction pénale la diffusion d’exploits.


Mise à jour : En réaction à notre article, le Pdg de Vupen, Chaouki Bekrar, explique dans un mail à la rédaction : « l’arrêt de la cour de cassation interdit uniquement la diffusion – publique – d’un exploit, c’est-à-dire qu’elle interdit le full-disclosure en France. Les publications dans un cadre privée sont autorisées pour permettre aux sociétés et administrations d’acquérir par exemple des outils dédiés à la réalisation de tests d’intrusion. »


Voir aussi

Rétrospective : la saga PRISM

Recent Posts

Pistage : les navigateurs ne s’attaquent pas qu’aux cookies

Dans la lignée de Brave, Firefox met en place un mécanisme de filtrage de certains…

15 heures ago

Open Source : la Fondation Linux veut normaliser l’accès aux DPU

L’effort porte sur la standardisation de la pile logicielle prenant en charge les processeurs de…

17 heures ago

vSphere+ : qu’y a-t-il dans la vitrine multicloud de VMware ?

VMware a structuré une offre commerciale favorisant l'accès à des capacités cloud à travers vCenter.…

17 heures ago

Le PEPR cybersécurité prend forme : les choses à savoir

Le PEPR rattaché à la stratégie nationale de cybersécurité a connu une forme d'officialisation la…

22 heures ago

ESN : Numeum s’étoffe et précise ses priorités

Numeum, qui réprésente les ESN et éditeurs de logiciels en France, a précisé sa feuille…

2 jours ago

HPE Discover 2022 : Red Hat rejoint l’écosystème GreenLake

OpenShift, RHEL, Ansible... Red Hat va proposer une version sur site avec paiement à l'usage…

2 jours ago