Valery Marchive
Couac au FIC à l'ouverture
Une start-up spécialisée dans les audits de sécurité avait signalé aux organisateurs du FIC une faille dans leur site Web. Ceux-ci ont porté plainte.
Cesar Security a-t-il cherché à forcer la main aux organisateurs du Forum International de la Cybersécurité, ou ceux-ci se sont-ils laissés aller à une erreur de communication ? L’histoire le dira. En attendant, le sujet a connu un succès certain sur Twitter quelques heures en amont du FIC.
Cesar Security est une jeune start-up française spécialisée dans l’audit de sécurité. Apparue sur Twitter mi-janvier, peut-être espérait-elle profiter de la résonnance offerte par l’un des événements phares de la sécurité des systèmes d’information dans l’Hexagone pour se faire connaître.
Une faille dans le site web du FIC
Ses créateurs ont ainsi découvert une faille sur le site Web du FIC et l’ont annoncé sur Twitter à quelques jours de l’ouverture de l’événement, mettant également nos confrères de Zataz dans la boucle. Publiquement, ils assurent avoir proposé à CEIS, co-organisateur du Forum, de réaliser un audit gratuit du site. Cette faille, corrigée depuis, permettait d’accéder à la base de données des participants. Banal, mais sûrement quelque peu gênant.
Selon nos sources, c’est au travers d’un échange téléphonique que tout a commencé, CEIS se disant prêt à payer pour les services de Cesar Security, avant de changer de fusil d’épaule après avoir reçu, par e-mail, le devis sollicité.
Le 21 janvier, les fondateurs de Cesar Security ont alors reçu la visite des gendarmes du Centre de lutte contre la criminalité numérique, le C3N, à la suite d’une plainte déposée par CEIS pour accès frauduleux à un système automatisé de traitement de données. Sur Twitter, Cesar Security remercie avec ironie : « on découvre une faille sur votre site, on propose de vous faire un audit gratuitement, on se retrouve en garde à vue ».
Toujours sur ce support, les organisateurs du FIC ont insisté, invitant les deux entrepreneurs à venir au salon « pour en savoir + sur l’article 323-1 du C. pénal » et dénonçant plus tard « une drôle de notion de la gratuité ».
Cette passe d’armes survient alors qu’un amendement rédigé pour protéger les chercheurs découvrant des failles vient tout juste d’être voté par l’Assemblée Nationale dans le cadre des débats sur le projet de loi pour une République numérique, leur accordant un statut de lanceur d’alerte. Un vote qui « va dans le bon sens » pour Guillaume Poupard, directeur général de l’Anssi, qui s’exprimait justement au FIC.