Pour une éthique de la révélation de faille de sécurité

Résumé Fr En

Le développement du recours aux outils numériques engendre des problèmes nouveaux résultant entre autres de l’imperfection inévitable des logiciels, qui a parfois pour conséquence la divulgation de données confidentielles ou personnelles. La révélation des failles de sécurité est nécessaire pour permettre aux éditeurs de logiciels d’y remédier. Cependant, le droit pénal français, sur la base de la Convention européenne sur la cybercriminalité, sanctionne la mise à disposition de « toute donnée conçue ou spécialement adaptée » pour commettre un piratage : le législateur français réprime donc potentiellement la révélation de failles de sécurité, sans pour autant assurer une indemnisation satisfactoire aux victimes de fuites de données personnelles engendrées par l’exploitation de ces défauts de sécurité. L’adoption d’une démarche éthique de la révélation des failles de sécurité pourrait remédier aux défauts du système actuel.

Development of the use of digital tools is creating new problems because of the inevitable imperfections of software, which sometimes result in the disclosure of confidential and/or personal data. Security vulnerabilities must be disclosed in order for software publishers to fix them. However, since the French legislator punishes the disclosure of security vulnerabilities, this solution is not satisfactory and does not provide adequate redress for victims of piracy. These problems could be solved by adopting an ethical approach to the disclosure of security vulnerabilities. Inviting all concerned parties to develop this type of approach could ensure that the disclosure of software flaws leads to immediate and effective solutions.