Reverse Engineering : ce que le droit autorise et interdit

Magazine
Marque
MISC
Numéro
92
Mois de parution
juillet 2017
Domaines


Résumé

La pratique du reverse engineering est à la fois attrayante, utile, nécessaire, elle contribue en divers domaines au progrès, à la connaissance, à l’industrie. Elle suscite également des polémiques : le reverse engineering est-il une atteinte aux droits des auteurs ou des inventeurs ?S’opposent ainsi autour de la légalité du reverse engineering de logiciels, d’un côté ceux qui le mettent en œuvre, de l’autre ceux qui comme les auteurs, développeurs, éditeurs, veulent défendre des droits qu’ils peuvent estimer bafoués par cette méthode. Tout n’est pas autorisé, tout n’est pas interdit non plus. Le droit a posé ses règles, en France, mais comme nous le verrons également en Europe ou aux États-Unis, pour ne prendre que quelques exemples, qui veillent à garantir les droits des auteurs, développeurs et distributeurs de logiciels, tout en maintenant des droits aux utilisateurs.


1. Définition du reverse engineering

Le reverse engineering (rétro-ingénierie) désigne l’ensemble des procédés qui visent à extraire des informations, de la connaissance, sur les objets créés par l’homme, et à les reproduire ou produire quelque chose de nouveau, mais fondé sur cette connaissance acquise. Pour cela, il faut notamment procéder à un démontage, à une déconstruction, un désassemblage de l’objet étudié, qu’il s’agisse d’un objet mécanique, électronique, ou encore de logiciels : en identifier les composantes, leur rôle, leur fonctionnement, leur organisation. Le Journal Officiel de la République Française (JORF, n°0001 du 1 janvier 2013) dans son « Vocabulaire de l'informatique et de l'internet (liste de termes, expressions et définitions adoptés) » [1], définit la rétro-ingénierie comme étant l’« ensemble des opérations d'analyse d'un logiciel ou d'un matériel destinées à retrouver le processus de sa conception et de...

Cet article est réservé aux abonnés. Il vous reste 94% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[1] JORF n°0001 du 1 janvier 2013 page 288, texte n° 114 , NOR: CTNX1242099K, https://www.legifrance.gouv.fr/affichTexte.do?dateTexte=&categorieLien=id&cidTexte=JORFTEXT000026872471&fastPos=3&fastReqId=2000738746&oldAction=rechExpTexteJorf

[2] https://en.wikipedia.org/wiki/Reverse_engineering#Reverse_engineering_of_software

[3] L’intégralité de son billet est reproduite sur le site : http://www.crypto.com/papers/oracle-blog.pdf

[4] http://www.lemondedudroit.fr/le-monde-du-droit-le-quotidien-des-juristes-daffaires/207324-decompilation-dun-logiciel-etat-des-lieux.html?start=2

[5] Journal officiel n° L 122 du 17/05/1991 p. 0042 – 0046, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31991L0250:FR:HTML

[6] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000713568

[7] L’intégralité du texte est disponible sur le site Legifrance.gouv.fr : https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006069414&idArticle=LEGIARTI000006278920&dateTexte=&categorieLien=cid

[8] JORF n°109 du 11 mai 1994, page 6863, https://www.legifrance.gouv.fr/affichTexte.do?dateTexte=&categorieLien=id&cidTexte=JORFTEXT000000713568&fastPos=2&fastReqId=1390453659&oldAction=rechExpTexteJorf

[9] Rappel des faits : http://www.lemondedudroit.fr/le-monde-du-droit-le-quotidien-des-juristes-daffaires/publications/dossiers/207324-decompilation-dun-logiciel-etat-des-lieux.html

[10] http://www.lemondedudroit.fr/le-monde-du-droit-le-quotidien-des-juristes-daffaires/publications/dossiers/207324-decompilation-dun-logiciel-etat-des-lieux.html

[11] http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex:32009L0024

[12] https://www.copyright.gov/legislation/hr2281.pdf

[13] https://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000024701253&fastReqId=316997419&fastPos=1

[14] https://cntk.ai/license/CUDNN_License.pdf

[15] https://www.industry.usa.siemens.com/topics/us/en/standard-tandc/Documents/SOFTWARE-LICENSE-WARRANTY-ADDENDUM.pdf

[16] http://www.adobe.com/content/dam/Adobe/en/products/adobe-access/pdfs/adobe-access-trial-eula-en-06252012-2108.pdf

[17] Les licences comportant ces clauses d’interdiction du reverse engineering sont aisément accessibles. Rechercher sur Internet la formule « Licensee will not reverse engineer… ».

[18] https://www.eff.org/fr/issues/coders/reverse-engineering-faq

[19] https://www.thesoftwareguild.com/blog/what-is-reverse-engineering/

[20] https://www.congress.gov/bill/113th-congress/senate-bill/607/textv



Articles qui pourraient vous intéresser...

Un œil technique sur les sanctions de la CNIL

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

Près de trois quarts des sanctions prononcées par la Commission Nationale de l’Informatique et des Libertés (CNIL) ont parmi leurs causes des vulnérabilités techniques de sécurité. À partir de ce constat, et au prisme de notre expérience à la fois en cybersécurité technique et en protection des données à caractère personnel, nous avons analysé les sanctions de la CNIL publiées sur le site https://www.legifrance.gouv.fr/. Nous avons notamment établi une correspondance avec les catégories de vulnérabilités techniques identifiées dans la nomenclature du top 10 de l'OWASP 2017 (Open Web Application Security Project). Nous avons également étudié les fuites de données majeures survenues en Europe et dans le monde. Il en ressort que les vulnérabilités les plus communes sont liées à l’authentification, au contrôle d’accès et à la protection des données au repos et en transit.

ISO 27701 : le Système de Management des Informations Privées (SMIP)

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

L’article 32 du RGPD formalise clairement non seulement les exigences organisationnelles et techniques de sécurité à apporter aux traitements de données à caractère personnel afin de limiter les risques sur la vie privée pour les personnes concernées, mais aussi les exigences d’évaluation et d’amélioration continue permettant de tester et de contrôler régulièrement la conformité et l’efficacité des mesures juridiques et de sécurité. Nous nous intéresserons à synthétiser la nouvelle norme ISO 27701 (août) 2019) formalisant les exigences d’un Système de Management des Informations Privées (SMIP) dans un but d’amélioration continue des mesures organisationnelles et techniques pour assurer la sécurité des traitements de données à caractère personnel. Nous montrerons comment l’implémentation du SMIP permettra aux organismes d’assurer leurs devoirs de conformité au RGPD, d’amélioration continue voire de certification.

L’intégration du « Privacy by Design » et de la SSI dans la gestion de projets en mode V ou Agile

Magazine
Marque
MISC
Numéro
106
Mois de parution
novembre 2019
Domaines
Résumé

L’analyse de l’actualité ne cesse de nous alerter sur la très faible prise en compte de la sécurité native dans un grand nombre de projets et plus particulièrement sur la sous-estimation de l’intégration des exigences de protection de la vie privée.Les articles 25 du RGPD « Protection des données dès la conception et protection des données par défaut » et 32 « Sécurité du traitement », formalisent l’obligation pour le responsable du traitement de prendre en compte les exigences juridiques et techniques pendant toutes les phases des projets de la conception jusqu’à la fin de vie du système cible.Nous nous attacherons à identifier les principaux acteurs concernés et leurs modes de concertation dans les gestions de projets en V ou Agile.Nous chercherons à souligner les points d’attention et d’amélioration dans les deux méthodes.

Écologie en entreprise : comment s’en sortir

Magazine
Marque
Linux Pratique
Numéro
115
Mois de parution
septembre 2019
Domaines
Résumé
Il ne se passe pas un jour sans que les questions de l’écologie, du recyclage et du changement climatique n’apparaissent dans les médias ou dans le monde politique. Pourtant, s’il existe beaucoup de dispositifs pour réutiliser le plastique, recycler le papier ou végétaliser les villes ultra-bétonnées, il reste au moins un domaine inexploré : l’informatique.  

Le RGPD expliqué aux informaticiens

Magazine
Marque
Linux Pratique
Numéro
114
Mois de parution
juillet 2019
Domaines
Résumé
Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données est une avancée majeure pour la protection des données personnelles. Il est pourtant souvent perçu de différentes façons. Certains le craignent de manière exagérée alors que d’autres le négligent ou même l’ignorent totalement. Il est donc temps de faire le point sur ce texte et sur ce qu’il implique concrètement pour les informaticiens.