|
|
 - © Nabil BIYAHMADINE – Fotolia.com
Voilà un sujet qui m’intéresse car il s’agit de mon sujet de thèse. J’y soulignais d’ailleurs l’importance d’une prise de conscience des pouvoirs publics et la nécessité de considérer que la sécurité informatique est plus que jamais une question de protection de l’ordre public sous toutes ses formes. Depuis les choses avancent peu à peu en ce sens. Ainsi, avons nous vu naître l’ENISA, Agence européenne chargée de la sécurité des réseaux et de l’information il y a déjà environ 5 ans.
En France, historiquement c’est la DCSSI, Direction centrale de la sécurité des systèmes d’information qui avait en charge les questions de sécurité informatique au niveau national et principalement tout ce qui touchait à la cryptographie. La DCSSI, par un décret du 7 juillet 2009, devient l’ « Agence nationale de la sécurité des systèmes d’information » ou ANSSI (c’est beau Annecy  ) qui se veut investie d’une mission plus large de protection des systèmes d’informations. J’espère que c’est là le signe d’une vraie prise de conscience de la situation de vulnérabilité qui est la nôtre, particuliers comme professionnels. En 2008 un rapport sur la défense nationale avait déjà clairement énnoncé les actions à mettre en oeuvre :
« Face à une menace croissante d’origine étatique ou non étatique, la France doit se doter à court terme d’une capacité réactive de défense de ses systèmes d’information.
Seront développés, à cette fin, nos moyens de détection précoce des attaques informatiques en mettant sur pied un centre de détection chargé de la surveillance permanente des réseaux sensibles et de la mise en œuvre de mécanismes de défense adaptés. Afin de prévenir la menace, le recours à des produits de sécurité et à des réseaux de confiance sera généralisé. Ce besoin implique de disposer de capacités industrielles nationales suffisantes, développant une offre de produits de très haute sécurité totalement maîtrisés pour la protection des secrets de l’État, ainsi qu’une offre de produits et de services de confiance labellisés à laquelle recourront les administrations et qui seront largement accessibles au secteur économique. Des dispositions réglementaires seront également prises pour que les opérateurs de communications électroniques mettent en oeuvre les mesures techniques et d’organisation nécessaires à la protection de leurs réseaux contre les pannes et les attaques les plus graves. À ce titre, le réseau Internet devra être considéré comme une infrastructure vitale et un effort important devra être mené pour améliorer sa résilience. »
Je croirais presque me relire, mais cela est normal car il s’agit de mesures évidentes. Je préfère néanmoins présenter la situation autrement : Internet constitue une infrastructure essentielle qui doit être protégée par l’État. Dès lors, il convient de favoriser la sécurisation des éléments qui composent ce réseau et sa richesse. Cela implique de sécuriser à un niveau minimum tous les systèmes informatiques qui sont connectés à internet ou qui sont des éléments de son infrastructure de fonctionnement. Cette sécurisation minimum ne doit pas être une question d’argent ou de compétence. Chacun doit pouvoir mettre en place des solutions gratuites et indépendantes, car il n’en va pas seulement de l’intérêt des utilisateurs du réseau mais bien de l’intérêt général et de la protection de l’ordre public économique. Oui, je suis bien en train de dire que je trouve essentiel que l’État propose ses propres solutions logicielles de sécurité informatique (antivirus et pare-feu essentiellement). Imaginez vous le niveau de sécurité et la capacité de réaction que nous pourrions obtenir avec une telle solution.
Certains me diront, faut-il faire plus confiance à l’État qu’à une entreprise privée notamment en matière de respect de la vie privée ? En fait, avons nous bien le choix ? Je trouve d’ailleurs beaucoup plus logique d’ imposer de tels systèmes de sécurité informatique, que d’imposer le port de la ceinture de sécurité… Bref, je n’ai pas envie de mettre dans les plateaux d’une même balance, un intérêt national stratégique et la protection des petits secrets des personnes qui vont étaler leur photos personnelles sur fessebook.
De toute manière, il est évident que l’Etat devrait être lui-même contrôlé dans la mise en oeuvre et l’utilisation d’un tel outil. La CNIL ne pourrait-elle pas servir alors de contrôleur ? Les programmes en question ne devraient-ils pas être des programmes Open-source, autorisant le contrôle des fonctions et de leur fiabilité. Pourquoi ne pas d’ailleurs penser grand, en s’apuyant sur la puissance de la communauté open-source mondiale pour faire appel aux contributions de tous les programmeurs ? Une offre logicielle open-source officielle labelisée par l’Etat, l’UE ? Ne serait-ce pas la plus belle des solutions ? L’Etat français à l’initiative d’un projet encourageant tout un chacun, en toute transparence, à participer à la sécurité de tous et au bien être général.
Je me dis soudain que c’est peut-être la vocation naturelle de l’Etat, que de susciter, d’initier des mouvements qui ne peuvent se concrétiser que par la mobilisation de chacun afin que le résultat ne puisse qu’apparaître légitime aux yeux de tous. Le pire est que tout utopique que soit ce dessin, j’y crois à l’instant où je l’écris, car désormais, tous les éléments sont en place. La nouvelle agence aura à se prononcer sur ces questions qui rentre dans le champ de ses prérogatives mais qui doivent certainement encore être rendues efficientes par l’allocation d’un budget à la hauteur du travail à accomplir.
Gérald SADDE – Avocat (qui réfléchit sans doute trop)
Cela fait des années que, lorsque je réalise des formations en matière de responsabilité de l’internet, je me réfère à une classification très simple opérée entre les différents types de liens hypertextes. Cette classification qui nous vient d’un rapport du forum des droits sur l’internet distingue le lien simple (vers la page d’accueil), le lien profond (vers un article précis par exemple), et le « framing » (l’encadrage Monsieur Toubon !). Cette technique consiste à afficher le site internet d’un autre dans le cadre principal de son site tout en conservant les autres cadres de son propre site contenant sa bannière et le menu de navigation voire des publicités par exemple.
Or, devant la tête ahurie de mes étudiants à l’évocation de cette technique de développement préhistorique (puisque datant des années 90), j’ai fini par battre en retraite. Un jour, le regard pensif et le front haut, prenant l’air de celui qui dit une évidence, j’ai sorti un truc du genre : » Il est vrai qu’aujourd’hui cette dernière catégorie n’a plus beaucoup d’intérêt car la technique des frames n’est plus tellement utilisée ». Je venais de sceller la tombe du « framing » pour les 5 années à venir dans mes démonstrations. Et puis, je suis tombé sur cette décision (Tribunal de grande instance de Paris 3ème chambre, 4ème section Jugement du 25 juin 2009) courant septembre sur legalis.net. Et là, je me suis dit que je pourrai de nouveau exposer le framing avec la fougue qui me caractérise (en toute modestie ).
Dans cette affaire, un site de réservation de voyages proposait une section « annuaire » référençant moults professionnels du tourisme. Ce référencement s’accompagnait de la création d’une fiche sur lesdits professionnels. Or ce fichage était réalisé sans l’autorisation des concernés. Je vous dirais qu’il n’y avait pas de problème jusque là dans la mesure où il y a un avantage manifeste pour tout acteur professionnel à se voir référencé de manière permanente dans un maximum de sites. Les « bots » googliens aiment beaucoup ça. D’ailleurs n’hésitez pas à référencer ce blog sur votre site ( tout un article pour cette phrase, je vous jure …).
Non, là où les choses se corsent c’est qu’en fait de fiche sur le professionnel, c’est en réalité tout le site du professionnel qui se trouvait affiché dont celui du site www.voyanet.com, l’initiateur de l’action. Cette fois nous sommes déjà en plein framing, et le terme a clairement été évoqué dans le texte du jugement à l’énoncé des demandes de voyanet.com. En soit, il y a donc déjà un risque de contrefaçon important et de parasitisme puisque cela détourne le trafic du site reproduit.
Mais ce n’est pas tout, puisque le fameux cadre (frame) contenant le site affiché proposait lui aussi un certain nombre de bannières publicitaires venant donc joliment décorer façon guirlande le site déjà reproduit sans autorisation. Et le pire est encore à venir : certaines de ces bannières faisaient la promotion de concurrents directs du site voyanet.com !
Dès lors, on saisit toute la vilénie de la chose puisque les postes de préjudice se trouvent tout bonnement démultipliés, cumulant contrefaçon de site, contrefaçon de marque, parasitisme, détournement de clientèle au profit de concurrents. Bref, le framing mérite à l’évidence son titre de chose la plus abominable en matière de création de lien hypertexte…
Reste que le service Adwords de Google a tendance à générer le même type de préjudice mais que cela est fait de manière moins évidente et que Google semble plus extérieur au préjudice. Dans notre cas les magistrats n’ont pas hésité à condamner le site seul à l’origine de cette situation au motif des actes de contrefaçon, de concurrence déloyale et de publicité mensongère et trompeuse. Oui, sot que je suis, j’oubliais la publicité trompeuse puisque la société easyvoyage a cru bon de faire état de réductions imaginaires proposées par le site voyanet.com.
Cela vous fera 10 000 € mon bon Monsieur, vous payez comment ?
Gérald SADDE -Avocat qui ne peut pas encadrer le framing
 banana hazard © Qilux Ce n’est pas pour dire, mais parfois les avocats et juristes en général ne crient pas au loup pour rien. Il y a quelques mois je me suis confronté sur un forum au dirigeant d’un site d’enchères inversées qui soutenait que son site était parfaitement légal. Je n’y croyais pas une seconde et j’ai essayé de lui expliquer qu’il encourait un risque pénal. Il fallait être aveugle pour ne pas le voir (d’où le titre ^^). J’avais d’ailleurs écrit un billet à l’époque.
Bref à l’occasion de nouveaux dossiers sur ce type de sites, j’ai vérifié ce qu’il était advenu de ces gens et devinez quoi : ils ont fermé fin juillet. On a pu lire pendant un certain temps le message suivant sur le site avant sa suppression totale :
« Depuis le 23 07 2009 le site n’est plus accessible.
En effet à 19h00 ce jour du 23 07 2009, les services des Courses et jeux, dépendant du ministère de la justice, nous ont signifié l’arrêt du site et la réquisition du serveur ainsi que de toutes les données.
Le dossier étant en cours d’instruction, nous ne disposons pas de renseignement plus précis, si ce n’est qu’il s’agirait d’une remise en cause de la légalité du concept que nous pensions pourtant, comme bon nombre de sites, tout à fait légal.
Dans la mesure où nous en avons le droit, nous vous donnerons plus de détails au fur et à mesure que nous en aurons via notre forum. »
Je confirme donc que cela ne m’étonne pas du tout. Il s’agissait d’un jeux de hasard puisque la chance y tenait une place tout à fait prédominante et en tous les cas déterminante. J’avais tenu ce discours à un journaliste du Figaro, qui avait fait son enquête et découvert qu’il y avait déjà eu des fermetures de sites.
Donc rien de nouveau mais juste une confirmation qu’il faut réellement réfléchir avant de lancer de tels sites. Le point de rupture entre stratégie et hasard est parfois vraiment complexe à déterminer.
Il reste que, même si je suis heureux d’avoir raison, je ne me réjouis pas le moins du monde du malheur de ces créateurs de sites, entrepreneurs avant tout, la plus noble des espèces.
Gérald SADDE – Avocat compatissant
|
|
