avril 13th, 2012

Une page du site du Parlement Européen explique dans les grandes lignes les bases d’un projet de loi « anti hacker » qui risque fort bien de transformer le Net du vieux continent en une sorte de panoptique exposé aux seuls yeux des polices… et des véritables black-hat.

Le projet est présenté comme un texte visant à défendre contre des attaques Scada et rassure en disant que les sanctions prévues ne concerneront pas les « cas mineurs »… une pondération qui n’a bien entendu strictement aucune signification d’un point de vue juridique.

Aux termes de cette loi, la production et la vente de « cyber-attaque » (y compris des logiciels de cassage de mot de passe) sont passibles de poursuites. Le but évident est d’entraver le développement de toute entreprise privée d’écriture d’outils de test de pénétration et d’en interdire l’usage. Ce qui exposera encore plus les entreprises Européennes aux attaques distantes perpétrées par des réseaux mafieux ou des entités nationales impliquées dans des opérations d’intelligence économique. Le pentesting, qu’il soit artisanal (car toutes les PME ne peuvent s’offrir le luxe et l’attention toute particulière des fonctionnaires de l’Anssi) ou professionnel, ainsi que le développement de certains métiers de la sécurité sont donc condamnés à terme. Font également partie des choses condamnables l’IP spoofing (l’usage de Tor ou d’un vpn en font donc nécessairement partie). Le parlement étend d’ailleurs au niveau de l’entreprise le « délit d’incompétence technique » inventé pour Hadopi, en cas de cyber-méfait commis par un intrus qui se serait infiltré sur le réseau de ladite entreprise. Ces dispositions, précise avec un cynisme le communiqué, sont dictées par les précédents des attaques qui ont visé l’Estonie en 2007, la Lituanie en 2008, et le secteur IT de structures publiques et privées dans plus de 103 pays en mars 2009. Dans les trois cas, l’attaque ne provenait pas de l’intérieur des frontières de l’Europe, aucune puissance du concert Européen n’a été capable de déterminer avec précision et certitude l’origine de ces attaques (donc de poursuivre les éventuels « spoofeurs » d’adresses IP) et ont clairement mis en évidence la carence des administrations Européennes ainsi que du secteur privé en matière d’audit et de contrôle des protections périmétriques et des filtrages au niveau des infrastructures nationales.