Loppsi : Diminuer la sécurité pour combattre le hacking ?

par Astrid GIRARDEAU
publié le 8 juin 2009 à 15h03
(mis à jour le 8 juin 2009 à 16h05)

En voulant combattre l'utilisation de logiciels permettant de s'introduire sur un ordinateur (en clair le hacking), la Loppsi pourrait priver les administrateurs systèmes, en charge de la sécurité des systèmes d'information d'organisations (entreprises, associations, etc.), de précieux outils de travail. «On rejoint le classique problème de société de vouloir interdire les couteaux sous prétexte qu'ils peuvent servir à tuer des gens» , commente un administrateur système.

Le projet de loi sur la sécurité intérieure, présenté la semaine dernière en conseil des ministres, prévoit ainsi d'insérer des modifications (en gras dans le texte) sur l'article 226-3 du code pénal :

«Est punie des mêmes peines la fabrication, l'importation, la détention, l'exposition, l'offre, la location ou la vente, en l'absence d'autorisation ministérielle dont les conditions d'octroi sont fixées par décret en Conseil d'Etat, d'appareils ou de dispositifs techniques conçus pour réaliser les opérations pouvant constituer les infractions prévues par le second alinéa de l'article 226-15 et par l'article 323-1 ou qui, conçus pour la détection à distance des conversations, permettent de réaliser l'infraction prévue par l'article 226-1 et figurant sur une liste dressée dans des conditions fixées par ce même décret.»

En ajoutant «dispositif techniques», le texte vise donc à punir l'utilisation de logiciels permettant de s'introduire sur un ordinateur. L'article ajouté, le 323-1 du code pénal , dit quant à lui que «le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.» Cela monte à trois ans de prison et 45000 euros d'amende en cas de suppression ou modification de données contenues dans le système, ou d'altération du fonctionnement de ce système.

Le problème est que nombre d'administrateurs système se servent justement de ces logiciels -- par exemple les sniffeurs (tcpdump, wireshark, etc.) -- pour justement tester les failles et vulnérabilités de leur propre système. Pour débugger une application. Pour aider à la mise en place ou la configuration de leur réseaux. Ou simplement s'y connecter facilement. «S'ils sont interdits, cela veut dire que les administrateurs vont devoir relâcher un peu la sécurité de leur système pour pouvoir s'y connecter , nous indique un informaticien. Les gens du ministère de l'Intérieur connaissent bien les problèmes de sécurité informatique. Je ne vois pas comment ce texte peut rester.»

Lire les réactions à cet article.

Pour aller plus loin :

Dans la même rubrique

Les plus lus