Certains chercheurs se sont fait une spécialité de dénicher les vulnérabilités présentes dans les systèmes informatiques et exploitables par des acteurs malveillants. Rien n’oblige pourtant les éditeurs à les corriger. Et rien ne protège les chercheurs contre les menaces des entreprises. Un manque de régulation risqué pour la sécurité de certaines données.
Par milliers, les vulnérabilités des systèmes informatiques sont des portes d’entrée privilégiées par les hackers. Trend Micro, entreprise spécialisée en logiciels de sécurité, en a décelé plus de 37 000 rien que sur l’année 2023 dans le monde. Parfois connues, ces vulnérabilités ne sont pas toutes corrigées, car les éditeurs sont peu contraints par les États. Jérôme Barbier, responsable des questions spatiales, numériques et économiques pour le Forum de Paris sur la Paix, déplore le manque de normes internationales concernant les obligations de correction des vulnérabilités.
“L’espionnage n’est pas illégal en droit international”, indique-t-il durant cette table ronde, fin 2023, en amont du FIC (Forum InCyber), qui se déroulera du 26 au 28 mars à Lille. Ces vulnérabilités peuvent être utilisées à des fins politiques. Selon lui, cela participe du manque de régulations internationales. Chaque État a ses propres règles. “En France, le cadre juridique est assez flou”, estime Noémie Véron, maître de conférences en droit public à l’Université de Lille. Ainsi, dans l’Hexagone, on ne légifère pas tant sur les moyens d’obtenir de la donnée que sur la catégorie de donnée captée. “La captation de données informatiques sert de fondement pour permettre aux services de police d’exploiter des vulnérabilités avec leurs propres ressources ou à travers des sociétés privées”, assure Noémie Véron.
L’affaire Pegasus, révélée en 2021, du nom de ce logiciel espion israélien, utilisé par une dizaine d’États pour obtenir des informations sur des personnalités, est un exemple de l’utilisation des vulnérabilités à des fins politiques. Contrairement à d’autres pays d’Europe comme la Pologne, la France n’en a pas fait partie. “Ce sont des sujets éminemment sensibles pour les libertés individuelles”, juge Guilhem Guiraud. Cet ancien membre de la DST (Direction de la Surveillance du Territoire), aujourd’hui Direction centrale du Renseignement Intérieur, a fondé une société capable de fournir aux États des moyens éthiques de captation de données informatiques.
Introduction La cybersécurité est devenue une priorité stratégique pour toutes les entreprises, grandes ou petites.…
Cybersécurité : les établissements de santé renforcent leur défense grâce aux exercices de crise Face…
La transformation numérique du secteur financier n'a pas que du bon : elle augmente aussi…
L'IA : opportunité ou menace ? Les DSI de la finance s'interrogent Alors que l'intelligence…
Telegram envisage de quitter la France : le chiffrement de bout en bout au cœur…
Sécurité des identités : un pilier essentiel pour la conformité au règlement DORA dans le…
This website uses cookies.