Le ministère fédéral allemand de la Justice a rédigé une loi visant à fournir une protection juridique aux chercheurs en sécurité qui découvrent et signalent de manière responsable des vulnérabilités de sécurité aux fournisseurs.
Lorsque des recherches de sécurité sont menées dans les limites spécifiées, les responsables sont exclus de toute responsabilité pénale et du risque de poursuites.
« Ceux qui veulent combler les failles de sécurité informatique méritent une reconnaissance, pas une lettre du procureur », a déclaré le ministre fédéral de la Justice, Dr. Marco Buschmann.
« Avec ce projet de loi, nous éliminerons le risque de responsabilité pénale pour les personnes qui assument cette tâche importante », mentionne le ministre dans le même communiqué.
En outre, l’amendement proposé au droit pénal introduit des sanctions plus strictes pour les cas graves d’espionnage et d’interception de données, en particulier lorsque des infrastructures critiques sont ciblées.
Protéger les chercheurs en sécurité
Le nouveau projet de loi modifie l’article 202a du Code pénal (StGB) afin de protéger les chercheurs en sécurité informatique, les entreprises et les « hackers » contre les sanctions pénales informatiques.
Cela s’applique lorsque leurs actions sont menées pour détecter et combler une faille de sécurité, à condition qu’elles ne soient pas considérées comme « non autorisées ».
Les critères à respecter pour une recherche en sécurité sont les suivants :
- L’action doit être menée dans le but d’identifier une vulnérabilité ou un autre risque de sécurité dans un système informatique.
- Le chercheur doit avoir l’intention de signaler la vulnérabilité de sécurité identifiée à une entité responsable capable de résoudre le problème, telle que l’opérateur du système, l’éditeur du logiciel ou l’Office fédéral de la sécurité de l’information (BSI).
- L’acte d’accéder au système doit être nécessaire pour identifier la vulnérabilité. Cela garantit que l’exemption ne s’applique que dans la mesure requise pour les tests de sécurité, sans accès inutile ou excessif.
La même exclusion de responsabilité pénale s’applique également aux infractions liées à l’interception de données (§ 202b StGB) et à la modification de données (§ 303a StGB), dans la mesure où les actions correspondantes sont considérées comme autorisées.
Dans le même temps, le projet de loi introduit une peine allant de trois mois à cinq ans d’emprisonnement pour les cas graves d’espionnage malveillant de données et d’interception de données (§ 202a StGB).
Concernant ce qui constitue un cas grave, l’avant-projet de loi mentionne les cas suivants :
- L’infraction entraîne un préjudice financier important.
- L’acte était motivé par un but lucratif, mené à une échelle commerciale ou commis dans le cadre d’une organisation criminelle.
- Cas qui compromettent des infrastructures critiques – comme des hôpitaux, des fournisseurs d’énergie ou des réseaux de transport – ou affectent la sécurité de l’Allemagne ou de l’un de ses États, y compris les attaques provenant de l’étranger.
Plus de détails sur le projet de loi et les amendements proposés sont disponibles disponible ici.
Les Länder et les associations concernées l’ont reçu pour examen et ont jusqu’au 13 décembre 2024 pour soumettre leurs commentaires avant qu’il ne soit présenté au Bundestag pour délibération parlementaire.
Le ministère américain de la Justice a annoncé une révision similaire de la loi CFAA (Computer Fraud and Abuse Act) en mai 2022, introduisant des exclusions de poursuites pour les chercheurs en sécurité « de bonne foi ».