Pour la recherche ou la sécurité informatique, la publication de vulnérabilités est légale

La législation encadrant les publications de vulnérabilités vient d'être modifiée. Désormais, sont considérées comme légales les publications d'informations relatives à la sécurité informatique lorsque celles-ci sont réalisées dans le cadre de la recherche en matière de sécurité informatique.

La France fait un pas en avant en matière de Full Disclosure. Ce principe est central dans le domaine de la sécurité informatique puisqu'il préconise de procéder à la publication d'informations au sujet d'une faille de sécurité lorsque celle-ci est inconnue (0-Day). Il s'agit donc de permettre d'avertir les personnes concernées de l'existence d'une vulnérabilité, afin que l'éditeur puisse y remédier.

Dans ce cadre, la loi n°2013-1168 du 18 décembre 2013 - art. 25 vient modifier les règles existantes en ne punissant la pratique de la divulgation de failles uniquement quand son motif ne couvre pas la « recherche ou la sécurité informatique ». A contrario, les sociétés dont la spécialité est de vendre aux professionnels ce type de vulnérabilités se réjouissent de la mesure.

Sur son compte Twitter, Chaouki Bekrar, p-dg de Vupen, montre sa satisfaction en expliquant que désormais les chercheurs en France vont pouvoir « publier des documents, blogs et même des exploits sans risquer de menace légale ».

Jusqu'à présent la loi n'incluait pas les termes « notamment de recherche ou de sécurité informatique » et ces spécialistes en sécurité ne pouvaient donc pas publier les fruits de leurs travaux.