Drôle d’ambiance en ouverture de l’édition 2016 du Forum International de la Cybersécurité (FIC), qui se tient les 25 et 26 janvier à Lille. Nos confrères de 01net racontent en effet la mésaventure survenue à deux jeunes entrepreneurs, qui viennent tout juste de créer leur société spécialisée dans les audits de sécurité et la prévention contre la fraude bancaire, Cesar Security. Ces derniers ont découvert une faille, assez banale et aujourd’hui corrigée, sur le site du FIC. Cette dernière permet tout de même d’accéder à la base de données des participants à l’événement, racontent nos confrères. Evidemment gênant pour un forum qui accueille chaque année le gratin de la cybersécurité.
Les fondateurs de Cesar Security signalent alors la vulnérabilité par téléphone à l’éditeur du site, la Compagnie Européenne d’Intelligence Economique (CEIS), qui co-organise l’événement. Le 14 janvier, ils publient également un tweet mentionnant le problème. Rebelotte le 20 janvier, avec un second mini-message sur le réseau social.
Le lendemain, les deux entrepreneurs ont la désagréable surprise de voir débarquer les gendarmes du Centre de lutte contre les cybercriminalités numériques (C3N), suite à une plainte de CEIS pour « accès frauduleux à un système automatisé de données ». Délit passible de deux ans de prison et 60 000 euros d’amende. « Nous avons tout perdu : les trois ordinateurs dans notre bureau, un téléphone, un ordinateur personnel et même une PlayStation », souligne S. Oukas, l’un des deux fondateurs de la startup interrogé par 01net.
@FIC_fr MERCI!On découvre une faille sur votre site,on propose de vous faire un audit gratuitement,on se retrouve en garde à vue #FIC #CEIS
— CesarSecurity (@SecurityCesar) January 21, 2016
De son côté, CEIS explique que Cesar Security a tenté de monnayer ses services et parle de pratiques « d’audit sauvage ». Ce que conteste la startup, qui affirme avoir proposé un audit gratuit.
Ce différend entre les deux sociétés intervient alors que l’Assemblée Nationale vient de voter un amendement visant à protéger les chercheurs découvrant des failles. Ce texte, qui vient s’insérer dans le projet de loi pour une République numérique, prévoit de leur accorder un statut de lanceur d’alerte – donc une exemption de peine – à condition d’avoir « immédiatement averti l’autorité administrative ou judiciaire ou le responsable du système ».
A lire aussi :
Vente de zero days : une petite entreprise qui ne connaît pas la crise
Cybersécurité : un RSSI sur deux voit son budget augmenter en 2016
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…