De retour à la réaction de l’actualité du web, c’est suite à cette annonce de la cour de cassation qui rappel que le fait de divulguer sur un site web, l’existence d’une faille de sécurité est un délit.Cette démarche s’appelle le Full Disclosure, une opération qui consiste à rendre publique une faille de sécurité (un exploit).Résultat, consternation générale dans le monde de la sécurité informatique.

Certes, cet arrêt correspond à l’application de l’article 323-3-1 du code pénal.Mais tout de même, appliquer une loi pénale à une communauté qui offre son temps libre à la détection de failles de sécurité permettant ainsi aux éditeurs de pouvoir les combler le plus rapidement possible est tout de même une action louable.Alors, certes, j’entends déjà certains me dire que ces « chercheurs de failles » pourraient très bien envoyer directement leur découverte aux éditeurs concernés.Le soucis, c’est qu’il n’y a aucun prise de conscience de ces derniers lorsqu’on leur indique une faille de sécurité importante, y compris Microsoft qui agit généralement longtemps après la bataille.Il faut bien l’avouer, ces exploits diffusés au quotidien est un moteur important de motivation, une spirale positive sur le développement de patch de sécurité.

Au lieu de réfléchir à cet article de loi et de l’adapter aux changements qui s’opèrent sur le web, la justice préfère nous rappeler cela en appuyant bien le fait qu’il s’agit d’un délit susceptible de vous faire recevoir une peine pénale.Un comportement qui à coup sur, fera reculé la veille technologique de certains qui ne divulgueront plus les failles qu’ils découvriront.Résultat, un panel d’application seront bourrées de failles de sécurité que seuls les hackers auront connaissance et pourront exploiter à leur guise.Est-ce donc un bon choix ?