Ils pensaient bien faire. En dénonçant une faille de sécurité sur le site web du Forum international de cybersécurité (FIC), les deux patrons de Cesar Security, une start-up spécialisée dans les audits de sécurité et la prévention contre la fraude bancaire, n’imaginaient pas qu’ils se retrouveraient en garde à vue.

Tout commence par une trouvaille des deux entrepreneurs : le site Internet du FIC est vulnérable. Il est possible d’accéder à la base de données des participants du forum qui accueille, les 25 et 26 janvier à Lille, les spécialistes de la cybercriminalité, constatent les deux hommes.

Une plainte pour « accès frauduleux » aux données

Ils contactent alors la Compagnie européenne d’intelligence stratégique (CEIS), co-responsable de l’événement et également éditrice du site, puis postent une alerte sur Twitter le 14 janvier, raconte 01net. Après une entrevue téléphonique cordiale où les deux patrons ont eu le temps de glisser un devis pour un audit de sécurité, rien ne se passe. Le 20 janvier, ils demandent donc des nouvelles via Twitter.

Le lendemain, ils reçoivent la visite des gendarmes du Centre de lutte contre les cybercriminalités numériques. Motif ? L’éditeur du site a porté plainte pour « accès frauduleux à un système de traitement automatisé de données ». Les découvreurs de failles risquent deux ans d’emprisonnement et une amende de 60.000 euros si le délit est constitué.

La start-up s’excuse sur Twitter

« Nous sommes tombés de très haut. Nous qui pensions que le FIC aurait encouragé une jeune start-up, ils nous mettent à genoux. Nous avons perdu nos outils de travail, nous ne pouvons plus rien faire » précise l’un des co-dirigeant à 01net.

Pour le CEIS en revanche, il s’agissait d’un « audit sauvage », Cesar Security n’ayant jamais été autorisée à effectuer une recherche sur la sécurité du site Internet. L’organisateur a également peu apprécié l’annonce de la faille via Twitter. La société d’audit a d’ailleurs présenté dimanche ses excuses, toujours sur le réseau social.

« Avec du recul, il est vrai que nous étions totalement en tord d'auditer un site sans son autorisation.Nous regrettons que nos actions [1/2] — CesarSecurity (@SecurityCesar) January 25, 2016 »

« [...] furent nuisibles aux intérêts du FIC et du CEIS, et nous présentons nos excuses publiquement. [2/2] — CesarSecurity (@SecurityCesar) January 25, 2016  »

Devant le tribunal, les responsables de Cesar Security pourraient profiter d’un amendement qui vient d’être voté à l’Assemblée nationale. Il vise à « protéger les lanceurs d’alerte », s’ils ont « immédiatement averti l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause d’un risque d’atteinte aux données ou au fonctionnement du système. »