Le "piratage moral" ne sera bientôt plus puni
Le ministère allemand de la Justice a décidé de mieux protéger les pirates informatiques. Du moins lorsque ceux-ci agissent "avec de bonnes intentions". D'un point de vue juridique, c'est toutefois difficile. De plus, il existe un désaccord sur l'étendue de l'impunité.
Dès la fin octobre, le ministre fédéral de la Justice Marco Buschmann (FDP) a soumis au vote du gouvernement fédéral un projet de loi visant à moderniser le droit pénal informatique. Il estime que les hackers et les pirates informatiques dont les actions sont menées dans "l'intérêt de la société" ne devraient plus être poursuivis. Selon lui, les personnes qui souhaitent combler des failles de sécurité informatique méritent d'être reconnues et non punies. De telles failles de sécurité pourraient en effet être exploitées par des parties malveillantes.
Une "bonne intention" difficile à prouver
La révision de la loi envisagée concerne concrètement l'article 202a du code pénal. Celui-ci prévoit une peine d'emprisonnement pouvant aller jusqu'à deux ans ou une amende pour les personnes qui "se procurent ou procurent à autrui un accès non autorisé à des données particulièrement sécurisées en déjouant un dispositif de sécurité".
La sanction ne sera plus appliquée s'il peut être prouvé qu'une personne s'est simplement introduite dans un système (d'une administration ou d'une entreprise, etc.) pour constater une faille de sécurité. De plus, cette vulnérabilité doit être signalée à l'entité responsable. Il doit également être clair qu'il n'existe aucun autre moyen de détecter cette vulnérabilité. Il en va de même pour l'article 202b. Celui-ci prévoit la même peine si une personne "obtient sans autorisation des données pour elle-même ou pour autrui à partir d'un transfert non public".
Parallèlement, l'espionnage et l'interception de données dans des cas particulièrement graves seront punis plus sévèrement. Par exemple, si le piratage est motivé par l'appât du gain ou si quelqu'un a subi une perte financière. Mais aussi, par exemple, lorsque l'infrastructure de l'État fédéral ou d'un Land a été endommagée. Dans ce cas, la peine peut être portée jusqu'à cinq ans
La pomme de discorde de l'article 202c du code pénal
Le paragraphe 202c du code pénal ne devrait pas être affecté par la modification prévue. Celui-ci punit la "fabrication (...) ou la mise à disposition de mots de passe ou (...) de programmes informatiques appropriés (...)". Cela criminalise les outils de piratage qui sont (doivent être) déjà utilisés par les administrateurs de réseaux, mais aussi à des fins légales futures, selon des voix critiques.
C'est pourquoi le Chaos Computer Club (CCC), par exemple, estime que le paragraphe c de l'article 202 devrait également être supprimé, comme il l'a déclaré à Netzpolitik.org. Sinon, même les chercheurs professionnels en sécurité continueront à travailler dans une "zone grise dangereuse". Mais M. Buschmann ne voit pas la nécessité d'un changement dans ce domaine.
Depuis que j'ai découvert comment activer les deux canaux téléphoniques de la carte RNIS pour obtenir une plus grande bande passante, je bricole des réseaux numériques. Depuis que je sais parler, je travaille sur des réseaux analogiques. Un Winterthourois d'adoption au cœur rouge et bleu.