e-torpedo le webzine sans barbeles



Selon EUCD, la loi DADVSI gênera aussi les RSSI

Catégorie politique
Il y a (0) contribution(s).

(JPEG)

Selon EUCD, la loi DADVSI gênera aussi les RSSI août 2006

La loi relative aux au droit d’auteur et aux droits voisins dans la société de l’information (connue sous l’acronyme DADVSI) est désormais applicable après validation et derniers amendements du Conseil Constitutionnel.

Les débats entre différentes associations et le gouvernement ont été pour le moins passionnés, notamment sur les questions culturelles et artistiques et de nombreux sites web se sont développés sur ces importants sujets de société.

Néanmoins, cette loi concerne également les logiciels et leurs systèmes de protection. Nous avons donc pensé utile de faire un point sur ce sujet avec des avocats réputés, en nous limitant volontairement aux seules questions relatives au sujet de notre site, à savoir la sécurité des systèmes d’information, pour examiner l’impact de cette loi sur le travail des Responsables de la Sécurité des Systèmes d’Information (RSSI).

Nous publions ici un premier interview de Christophe Espern, Co-fondateur de eucd.info, une structure émanant d’une initiative de la FSF France (Fondation pour le Logiciel Libre) qui s’est fortement opposé à cette loi.

Nous prévoyons de publier également le même interview réalisé avec différents avocats.

-  Mag Securs : Pouvez-vous nous résumer ce que sont les grandes lignes de cette nouvelle loi qui vont concerner les RSSI et les professionnels de la sécurité des systèmes d’information ?

-  Christophe Espern : La loi transpose en droit français une directive européenne qui prévoit la protection juridique des mesures techniques de contrôle d’usage des oeuvres - dispositifs matériels et/ou logiciels visant à empêcher les actes non autorisés par l’auteur sur son oeuvre. Un exemple parlant en entreprise est par exemple les logiciels de l’éditeur Adobe qui permettent d’empêcher au lecteur l’impression d’un document PDF et, de facto, sa conversion à un autre format de fichier. De tels logiciels sont désormais protégés juridiquement : il est interdit de les neutraliser et de divulguer des moyens permettant de les neutraliser. En plus de ces dispositions communautaires, le législateur a ajouté plusieurs dispositions purement franco-françaises, notamment une responsabilité étendue pour les titulaires d’abonnement internet et pour les éditeurs et distributeurs de logiciels communicants.

-  Mag Securs : Concrètement, cette loi change-t-elle la responsabilité des RSSI et des entreprises ? En quoi et comment ?

-  Christophe Espern : L’article 25 de la loi stipulent que les titulaires d’un accès internet doivent « veiller à ce que cet accès ne soit pas utilisé à des fins de reproduction ou de représentation d’oeuvres sans autorisation (...) en mettant en oeuvre les moyens de sécurisation qui lui sont proposés par le fournisseur de cet accès ». Appliquée strictement cela signifie que tout chef d’entreprise peut voir sa responsabilité engagé s’il n’a pas mis en place des dispositions pour empêcher qu’un salarié ne télécharge des oeuvres, voire ne lisent des oeuvres sans autorisation. Certains juristes pensent toutefois que cette disposition vise essentiellement à permettre la suspension de l’abonnement sur demande des producteurs, et à imposer une obligation de fourniture de logiciels de filtrage du P2P aux fournisseurs d’accès (voir « Ce que vous n’avez pas lu sur le DADVSI »
-  Benoît Tabaka Quoiqu’il en soit, et en l’attente de jurisprudence, l’insécurité juridique règne. On peut aussi s’interroger sur l’impact de cette disposition sur les entreprises disposant de bornes wi-fi.

-  Mag Securs : A-t-elle un impact sur le travail des éditeurs de logiciels, ou les communautés de développement de logiciels libres (open-source) ?

-  Christophe Espern : Oui. Les dispositions sur les mesures techniques concernent plus particulièrement les éditeurs de logiciels accédant à des contenus multimédia et qui souhaiteraient que leurs logiciels accèdent à des données protégées par des mesures techniques. Ils devront forcément s’acquitter d’une dîme auprès des éditeurs de mesures techniques et se plier aux conditions fixées par ces derniers (en général des Non Disclosure Act ce qui exclut les auteurs de logiciels libres). En pratique, concevoir et diffuser le code source d’un lecteur de DVD est interdit et passible de 6 mois d’emprisonnement et/ou 300.000 euros d’amende (article 22 et 23 ). Mais comme l’exemple du PDF protégé donné plus haut le démontre, tout éditeur, tout développeur, tout distributeur désireux de fournir un lecteur de données interopérable est potentiellement concerné. Concernant les dispositions relatives aux logiciels communicants, la loi - via l’article 21 - punit d’une peine pouvant aller jusqu’à trois ans de prison et/ou 300.000 euros d’amende la conception, la distribution et la promotion de tout logiciel « manifestement destinés » à la contrefaçon ainsi que l’« incitation » à l’utilisation d’un tel logiciel . Quant à l’article 27, il permet aux juges d’imposer la mise en place de mesures techniques aux éditeurs de logiciels « principalement utilisés » pour réaliser des actes non autorisés par l’auteur. Nul ne sait quel logiciel sont susceptibles d’être visés par ces articles. L’insécurité juridique est totale d’autant plus qu’aucun pays dans le monde n’a jamais adopté de telles dispositions.

-  Mag Securs : Cette loi a-t-elle un impact pour les utilisateurs privés de logiciels ?

-  Christophe Espern : Oui. Elle diminue leur liberté de choix et légitime les pratiques de mise en captivité de certains éditeurs.

Tenter de convertir un fichier téléchargé sur le site de la FNAC ou d’Apple au format MP3 est passible de 3.750 euros d’amende (article 22 et 23 de la loi).

Les mesures techniques sont en pratique des menottes pour le public. Par ailleurs les internautes sont, tout comme les entreprises, responsables de l’usage qui est fait de leur accès internet, avec à leur charge désormais de démontrer qu’ils ont mis en oeuvre des « moyens de sécurisation » adaptés.

Nul ne peut dire ce que sont ou seront ces « moyens » et si les fournisseurs d’accès en fourniront pour toutes les plateformes. Le risque ici est que l’on impose aux abonnés internet des logiciels qui affaiblissent la sécurité de leur systême et que se développe une surveillance généralisée. Mais la loi est tellement floue et mal rédigée qu’il est difficile de prévoir ses effets. Par ailleurs, le rôle de la CNIL sur ces questions sera important.

-  Mag Securs : Faut-il y voir une avancée ou un frein en matière de sécurité des systèmes d’information ?

-  Christophe Espern : La protection accordée ne vise pas à améliorer la sécurité des systèmes d’information. Les impératifs de sécurité informatique n’ont été pris en compte que tardivement par le gouvernement, notamment suite aux actions de sensibilisation que nous avons mené auprès de parlementaires. Par exemple, avant notre intervention, les experts en sécurité informatique aurait risquer jusqu’à trois ans de prison et 300.000 euros d’amende en cas de divulgation d’une faille de sécurité dans une mesure technique de protection. La nécessité pour les chercheurs en cryptographie de divulguer des études explicitant des attaques sur des algorithmes de chiffrement n’avait pas non plus été pris en compte. Ceci étant, le risque d’affaiblissement global des systêmes d’information reste présent. Déployer à grande échelle des dispositifs que l’utilisateur a interdiction de neutraliser peut générer de nombreux effets pervers. Il suffit de repenser à l’affaire du root-kit Sony - XCP - logiciel espion déployé sur des centaines de milliers de machines dans le monde par la firme japonaise et dont les failles de sécurité ont permis des exploitations malveillantes. Les éditeurs d’anti-virus ont un temps hésité à classer XCP comme root-kit car, ironiquement, il était présenté comme permettant de « lutter contre le piratage ». La frontière entre logiciel espion et mesure technique est donc poreuse. Par ailleurs, à terme, seul le Secrétariat National de la Défense National (SGDN) sera en mesure de vraiment savoir ce que font les mesures techniques reposant sur des puces cryptographiques à identifiant unique. C’est l’article 15 de la loi dont la rédaction est explicite puisqu’il parle de « mesures techniques permettant le contrôle à distance direct ou indirect d’une ou plusieurs fonctionnalités ou l’accès à des données personnelles ». Cet article vise en fait à prendre en compte le déploiement annoncé de puces de type TCG (Trusted Computing Group) et à réaffirmer la souveraineté de l’État sur ses systèmes d’information. Le simple fait qu’il ait été rajouté par les députés que nous avions sensibilisé, puis conservé in extremis par les sénateurs malgré les pressions énormes qu’ils subissaient, démontre que le concept d’une protection par le secret sur des dispositifs bas-niveau de contrôle de flux est en lui même excessivement douteux.

-  Somme toute, qui contrôle le contrôle permis par les mesures techniques ?

source :
-  Mag securs



Publié le 26 août 2006  par torpedo


envoyer
imprimer
sommaire
retour haut de page


Si vous appréciez le e-torpedo.net
participez à son indépendance, faites un don.

Contrat Creative Commonsdri.hebergement
Réalisation et conception Zala . Ce site utilise PHP et mySQL et est réalisé avec SPIP sous license GNU/GPL.
© 2005 e-torpedo.net les articles sont à votre disposition,veillez à mentionner, l'auteur et le site emetteur
ACCUEILPLAN DU SITEContact Syndiquez le contenu de ce site Admin