swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Accès refusé aux vulnérabilités d’une application informatique

Pauline Meyer, le 18 juillet 2022
La sécu­rité publique s’oppose à la divul­ga­tion de rapport(s) de tests de sécu­rité sur les vulné­ra­bi­li­tés d’une plate­forme servant au trai­te­ment de demandes de permis de construire et de dossiers de construc­tion (art. 16 al. 2 let. b LInfo).

Arrêt du Tribunal fédé­ral 1C_​235/​2021 du 17 mars 2022

Un indi­vidu requiert auprès de la Centrale des auto­ri­sa­tions en matière de construc­tion vaudoise (CAMAC) la commu­ni­ca­tion du ou des rapport(s) d’audit de sécu­rité depuis 2015 concer­nant l’application ACTIS, qui est une appli­ca­tion de saisie, de trai­te­ment et de suivi des demandes de permis de construire et des dossiers de construc­tion. Un docu­ment portant sur des tests d’intrusion dans l’application est iden­ti­fié par la Direction géné­rale du numé­rique et des systèmes d’information (DGNSI), laquelle refuse d’accorder au requé­rant l’accès au docu­ment. Ce docu­ment consiste en un rapport de tests de sécu­rité portant sur les vulné­ra­bi­li­tés de la plate­forme ACTIS, les manières d’exploiter ces failles et les actions pour y remé­dier. Compte tenu de la sensi­bi­lité infor­ma­tique de ces infor­ma­tiques, la DGNSI estime que la sécu­rité publique s’oppose, en tant qu’intérêt public prépon­dé­rant, à la commu­ni­ca­tion de ce document.

La Cour de droit admi­nis­tra­tif et public du canton de Vaud (CDAP) confirme cette déci­sion (arrêt de la Cour de droit admi­nis­tra­tif et public (CDAP) du Tribunal canto­nal du Canton de Vaud, 30 mars 2021, GE.2020.0217), dans la mesure où le docu­ment requis contient des infor­ma­tions engen­drant un risque accru de piratage.

Le requé­rant conteste cette déci­sion auprès du Tribunal fédé­ral, se plai­gnant d’une appli­ca­tion arbi­traire du droit canto­nal, plus spéci­fi­que­ment en lien avec l’art. 16 al. 2 let. b de la Loi vaudoise du 24 septembre 2002 sur l’information(LInfo).

Il n’est pas contesté que la DGNSI est un organe de l’État soumis au prin­cipe de trans­pa­rence en vertu de l’art. 2 al. 1 LInfo et que le docu­ment requis consti­tue un docu­ment offi­ciel tel que compris à l’art. 9 LInfo. Les art. 16 s. LInfo fixent les limites au droit à l’information.

Le docu­ment requis consiste en une présen­ta­tion PowerPoint d’une cinquan­taine de pages présen­tant notam­ment le nombre de vulné­ra­bi­li­tés iden­ti­fiées sur la plate­forme ACTIS, les risques liés à chacune d’entre elles ainsi que l’effort et le temps esti­més pour y remé­dier. Les infor­ma­tions conte­nues présentent donc un carac­tère sensible, puisqu’elles iden­ti­fient les vulné­ra­bi­li­tés du système et la manière de les exploi­ter. Le TF estime que ces infor­ma­tions peuvent permettre de faci­li­ter des pira­tages infor­ma­tiques suscep­tibles de causer un risque impor­tant à la sécu­rité publique. Selon lui, elles peuvent servir à pertur­ber les procé­dures en matière de construc­tion sur une large échelle ainsi que compro­mettre la confi­den­tia­lité et l’intégrité de données pouvant être quali­fiées de sensibles.

Le docu­ment ne permet pas de distin­guer entre les vulné­ra­bi­li­tés auxquelles il a pu être remé­dié et celles qui sont toujours d’actualité. Pour pouvoir répondre à cette ques­tion, il faudrait, selon le TF, procé­der à une nouvelle inter­pel­la­tion de la DGNSI. De toute manière, notre haute Cour estime que les infor­ma­tions concer­nant tant les vulné­ra­bi­li­tés corri­gées que les vulné­ra­bi­li­tés pendantes pour­raient engen­drer un risque de piratage.

Sur cette base, le TF confirme que l’information requise ne peut être four­nie en vertu de l’intérêt prépon­dé­rant que consti­tue la sécu­rité publique (art. 16 al. 2 let. b LInfo), conclut que l’arrêt de l’instance infé­rieure n’est pas arbi­traire et rejette le recours.

La conclu­sion à laquelle abou­tit le TF nous paraît raison­nable. Sa moti­va­tion quant à l’admission de l’intérêt public prépon­dé­rant, natu­rel­le­ment plus expé­di­tive que celle de la CDAP, mérite d’être appro­fon­die. Comme relevé par la DGNSI et confirmé par la CDAP et le TF, la divul­ga­tion au public de vulné­ra­bi­li­tés est suscep­tible d’engendrer un risque impor­tant pour la sécu­rité publique, qu’il s’agisse de vulné­ra­bi­li­tés corri­gées ou non. Cette allé­ga­tion coule de source pour les vulné­ra­bi­li­tés auxquelles il n’a pas encore été possible de remé­dier, moins pour les vulné­ra­bi­li­tés corrigées.

La divul­ga­tion de préci­sions sur des vulné­ra­bi­li­tés déjà répa­rées est égale­ment suscep­tible d’engendrer un risque pour la sécu­rité publique. Les vulné­ra­bi­li­tés, même corri­gées, commu­niquent des infor­ma­tions utiles pour des acteurs malveillants portant sur le système et l’application en ques­tion. En outre, il n’en va pas unique­ment de l’application ACTIS dans la mesure où, compte tenu de l’interconnexion aujourd’hui recon­nue entre les diffé­rents systèmes, les préci­sions sur les vulné­ra­bi­li­tés trou­vées (et éven­tuel­le­ment répa­rées) sur cette plate­forme pour­raient servir de porte ouverte pour ACTIS comme pour d’autres appli­ca­tions et systèmes connexes. Finalement, les infor­ma­tions four­nies par les vulné­ra­bi­li­tés répa­rées permet­traient à des acteurs malveillants de décou­vrir et exploi­ter d’autres vulné­ra­bi­li­tés, dans la mesure où des vulné­ra­bi­li­tés distinctes peuvent présen­ter des similarités.

L’intérêt public que consti­tue la sécu­rité publique est donc admis à juste titre comme un inté­rêt primant celui de la trans­pa­rence dans le cas d’espèce.



Proposition de citation : Pauline Meyer, Accès refusé aux vulnérabilités d’une application informatique, 18 juillet 2022 in www.swissprivacy.law/157


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law