Remonter des failles à l'ANSSI, une bien belle idée... sur le papier

lolcat-i-are-lawyer-cat L'écriture de la loi est toujours quelque chose de long et de douloureux. Un bon texte de loi est par définition un texte court et intelligible de tous. Sauf qu'à vouloir faire court en matière de sécurité informatique, on se retrouve avec des maillons un peu faibles.

Vous pouvez donc désormais remonter des failles de sécurité à l'ANSSI, ces derniers s'engagent à conserver votre identité confidentielle. Ça c'est la théorie.

En pratique, comme le législateur a omis de fixer un délai légal pour corriger une faille dans un système faillible (et si encore il n'avait oublié que ça), ce système peut rester faillible des mois, et même des années. C'est malheureusement quelque chose de très banal pour de multiples raisons, la plus classique dans les administrations étant le manque de budget alloué à la sécurité des systèmes d'information, talonnée de près par les lourdeurs administratives et les contraintes en matière de marchés publics si un prestataire doit intervenir pour la résolution de l'incident.

Pendant tout ce temps, il se peut donc que d'autres que vous découvrent la vulnérabilité que vous avez remonté et l'exploitent à des fins malveillantes (intrusion, extraction d'informations...). Pour peu que le système en question soit un OIV, vous voici le premier suspect dans une enquête judiciaire qui sera de fait confiée à la DGSI.

Vous la voyez la faille de la remontée de faille ?

Que devient donc la confidentialité de votre identité dans ce cadre là ? Comment l'ANSSI va s'assurer de votre "bonne foi" mentionnée dans la loi ? Au doigt mouillé ?

Remonter des vulnérabilités à l'ANSSI reste une bonne idée en soi, mais le côté simpliste du texte qui omet de contraindre à la prise en compte de l'incident et à sa résolution dans les meilleurs délais, vous exposera, chaque jour un peu plus, au risque qu'un tiers moins bienveillant que vous ne vous attire de sérieux ennuis.Rien dans la loi ne vous exemptera de poursuites judiciaires, même si au final vous êtes reconnu innocent.

En l'état actuel de l'article 47 de la loi du 7 octobre 2016 pour une République numérique, sachez qu'il demeure risqué de remonter à l'ANSSI des vulnérabilités, même découvertes de bonne foi.

Si vous le faites, faites le de manière vraiment anonyme, quelque soit le support que vous utiliserez car l'ANSSI ne pourra pas vous protéger d'un texte de loi lui-même bourré de failles.