Hacking éthique : trouver les failles et les signaler pour le bien commun
Myriam Quemener, magistrate, docteure en droit et spécialiste de la cybercriminalité, et Amelie Köcke, juriste spécialisée en droit du numérique ont signé en novembre dernier un essai intitulé : Hacker éthique et cybersécurité, aux éditions LGDJ Lextenso. Alors que le Français, Florent Curtet, vient d’être condamné pour association de malfaiteurs et complicité de tentative d’extorsion, que dit la justice de ce phénomène de société de plus en plus présent ? Comment le monde des entreprises s’en empare-t-il devant les enjeux grandissants ? Entretien avec deux regards sur le hacking éthique, tout en nuances.
Actu-Juridique : Comment avez-vous découvert le hacking éthique ?
Amelie Köcke : Pendant mon année de Master 2, j’ai fait un stage dans une startup en cybersécurité. Je devais chercher un sujet pour mon mémoire et le CEO, Farid Lahlou, est venu vers moi pour me demander quel était l’environnement légal des hackers éthiques. Ils avaient découvert une faille, qui n’était pas une faille de leur client mais du prestataire du client. Dès lors, des questionnements apparaissaient : comment est-ce qu’on signale cette faille ? Quels sont les risques pour l’entreprise ou pour le hacker éthique lorsqu’il va signaler cette faille ? Existe-t-il un risque pénal pour lui ? C’est comme ça que cela a inspiré mon mémoire. Tout est parti d’une situation concrète.
Myriam Quemener : J’enseigne dans le Master 2 de droit du numérique à Paris 1 et Amelie Köcke était mon étudiante. Elle m’a demandé de diriger son mémoire qui portait sur le régime juridique des hackers éthiques. J’ai trouvé que le sujet était intéressant, ce qui a été le point de départ de cet ouvrage. Par ailleurs, j’ai dû faire face à une situation concrète. En juridiction, j’avais été confrontée à l’affaire dite Bluetouff : un journaliste était rentré dans une base et s’y était maintenu. Il avait été relaxé en première instance et j’ai décidé de faire appel afin d’avoir un positionnement jurisprudentiel. Il a été condamné en appel pour vol de données et la Cour de cassation a confirmé cette décision. Il y avait cependant une insécurité juridique et des décisions divergentes au sujet de la notion de vol de données numériques. Le législateur a remédié à ce problème par la loi n° 2014-1353 du 13 novembre 2014 qui a modifié le Code pénal en retenant la notion d’extraction de données numériques, ce qui est tout à fait adapté. Notre point commun est donc d’être parties d’affaires concrètes qui nous avaient interpellées.
A-J : Pour écrire votre livre, vous avez interrogé des hackers éthiques via un questionnaire. Avez-vous été surprise du taux de réponse ?
Myriam Quemener : Nous avons établi un questionnaire, que nous avons adressé à une quinzaine de hackers ou de plateformes de bug bounty (programme de récompenses proposé par de nombreux sites web et développeurs de logiciel qui offrent des récompenses aux personnes signalant des bugs, NDLR), qui nous ont répondu. Dans le cadre des travaux que je mène sur la cybersécurité, j’ai des contacts avec certaines plateformes. Nous nous sommes aussi entretenues avec des hackers éthiques ayant des statuts variés, soit salariés experts, autoentrepreneurs et notamment le journaliste, Damien Bancal, qui signale des cyberattaques et des failles dans une démarche citoyenne.
A-J : Comment définit-on les hackers éthiques ? C’est un terme qui charrie une certaine symbolique…
Myriam Quemener : Dans l’ouvrage, on les a même qualifiés de lanceurs d’alerte en cybersécurité, je trouve que c’est assez adapté, car le terme de hacker éthique peut faire peur par méconnaissance. Par exemple, nous avons échangé avec une plateforme qui hésite à utiliser le terme de hacker éthique et qui opte plutôt pour les termes de chercheurs ou hunters, pour ne pas effrayer les entreprises. Normalement, un pirate informatique, c’est un cracker, mais dans le langage commun, on emploie le terme de hacker blanc ou noir.
Amelie Köcke : Le terme de hacker éthique a une connotation plutôt négative, même s’il y a une distinction entre « white hat » et « black hat », mais on le dit dans l’ouvrage, ce terme peut apparaître ambigu. La distinction entre les deux est parfois complexe voire « border line » car le Code pénal sanctionne le maintien dans un système informatique de manière frauduleuse. Mais comment signaler une faille si l’on ne peut pas accéder au système informatique ? Pour moi, c’est surtout quelqu’un qui utilise ses connaissances, son expertise en matière de cybersécurité et de hacking pour le bien commun, afin de signaler des vulnérabilités des systèmes informatiques aux éditeurs.
A-J : Il existe donc des risques pénaux pour les hackers éthiques ?
Myriam Quemener : Le hacker éthique a besoin d’une protection, en termes juridiques, pour éviter d’éventuelles poursuites pénales. On a trouvé qu’une contractualisation était la meilleure garantie, qui garantit une protection dans les deux sens, aussi bien pour une entreprise que pour le hacker lui-même. Dans ces conditions, le hacker éthique va réaliser une prestation pour le compte d’une entreprise dans un cadre bien défini, ce qui va protéger aussi bien l’entreprise que le hacker. C’est important.
A-J : Est-ce suffisant d’encadrer la prestation avec un contrat ?
Amelie Köcke : L’encadrement permis par le contrat va garantir la protection du hacker, en définissant sa mission, le cadre dans lequel il peut agir mais parfois il est mal défini et la personne peut encourir un risque de poursuite. En France, il n’y a aucun mécanisme juridique non-contractuel mis en place pour garantir au hacker éthique qu’il ne sera pas sanctionné. Grâce à un dispositif de signalement, le hacker peut contacter l’ANSSI pour signaler une faille informatique. Dans l’article L. 2321-4 du Code de la défense, il est dit qu’à la suite, l’ANSSI n’est pas obligée de contacter les autorités judiciaires pour poursuivre le hacker, si de leur côté, ils considèrent que le hacker agit de bonne foi. Cela dépend de leur analyse. Mais comme il n’existe pas de cadre clairement défini, cela entraîne un flou juridique autour de la question.
A-J : Y a-t-il un changement de culture de l’entreprise ?
Myriam Quemener : Maintenant dans les grands groupes, la cybersécurité est inscrite au niveau des Comex comme une priorité stratégique, il y a une législation renforcée en cette matière, et en cas de non-respect des obligations, il existe des sanctions maintenant. La prise de conscience s’est accélérée depuis le RGPD et la cybersécurité est devenue une priorité pour les entreprises, au vu des préjudices potentiels. Aucune structure n’est à l’abri de cyberattaques ainsi qu’en témoigne l’actualité avec des failles de sécurité au niveau des entreprises mais aussi des collectivités territoriales et des hôpitaux. Les entreprises sont à la recherche de solutions de cybersécurité et c’est pourquoi, il nous semble que les hackers éthiques ont toute leur place dans cet écosystème.
Amelie Köcke : Aucune entreprise, quelle que soit sa taille, ne peut échapper aux cyberattaques. Normalement dans les grands groupes, il existe des dispositifs mis en place. Les petites entreprises, qui ne vont pas forcément l’intégrer en interne, vont faire appel à des hackers éthiques, afin de réaliser des « pen tests » (des tests de pénétration, NDLR), par des hackers qui vont voir s’il y a des failles, si les systèmes sont bien configurés et sécurisés. Les petites entreprises, si elles se font attaquer, peuvent mettre la clé sous la porte. Tout l’enjeu, ce sont les plateformes de bug bounty, comme Yeswehack ou Yogosha qui mettent en lien les hackers éthiques et les entreprises. Le principe du bug bounty en soi c’est qu’une entreprise donne l’accord à des hackers éthique de vérifier sa sécurité. S’ils découvrent une faille de telle criticité, l’entreprise s’engage à donner une rémunération de tel montant. C’est aussi une façon d’attirer les gens, de les inciter à ce que ces hackers éthiques vérifient la sécurité de leur système.
A-J : Justement, que dire de la question de la rémunération ? Les avis ne sont pas tranchés, pourquoi ?
Amelie Köcke : Si on s’en tient à la pure définition, on ne devrait pas être rémunéré, car il s’agit d’une démarche citoyenne. Par exemple, Damien Bancal nous a indiqué que pour lui, la recherche de la faille doit se faire de bonne foi, de manière désintéressée, et ne pas dépendre d’une rémunération en retour.
Myriam Quemener :Plusieurs hackers – Damien Bancal, un hacker éthique maintenant salarié d’un grand groupe – nous ont indiqué que le hacking éthique était devenu véritablement un business, dans un cadre contractuel, avec des salariés. Il y a même des experts judiciaires qui recrutent comme des salariés, de jeunes hackers éthiques, qui sont très compétents d’un point de vue technique et technologique, qui sont rémunérés. Compte tenu de l’augmentation des cyberattaques, du renforcement de la cybersécurité, les hackers éthiques ont vraiment acquis une place. C’est devenu un véritable métier, qui s’est « normalisé » sous forme de salariat.
Amelie Köcke : Nous avons échangé avec le hacker Roni Carta, qui nous a confié que les entreprises ne respectent pas toujours les rémunérations auxquelles elles se sont engagées, en ayant tendance à minimiser la criticité de la faille pour réduire la rémunération. Cela peut poser problème.
A-J : Faudrait-il systématiser la rémunération ?
Amelie Köcke : Les entreprises proposent une rémunération pour que davantage de hackers éthiques testent leur structure. Faut-il pour autant le généraliser ? À mes yeux, cela reste plutôt un acte de citoyens engagés pour le bien commun, mais il est vrai aussi que cela nécessite du temps et des compétences, des connaissances poussées qu’on met à disposition.
A-J. Existe-t-il des certifications de hacking éthique ?
Myriam Quemener : En Belgique, en Suisse, il existe de guidelines pour réguler l’activité des hackers éthiques. En France, il faudrait qu’au niveau étatique des chartes, des guides de bonne conduite, viennent assainir le fantasme sur ce personnage un peu sulfureux. L’ANSSI a fait un travail important sur la normalisation, mais il faut aussi que l’aspect juridique et contractuel aille de pair avec une labellisation, des normes ISO, qui contribueraient à la sécurité de tous les acteurs.
A-J : Que peut-on dire des dernières condamnations de hackers éthiques ?
Myriam Quemener : Il ne m’appartient pas de commenter une décision de justice. Mais la justice n’a pas de train de retard. Il existe bien un arsenal d’infractions issu de la loi du 5 janvier 1988 dite loi Godfrain qui réprime la plupart des infractions de piratage et d’atteintes aux systèmes de traitement automatisé de données. Il existe un parquet spécialisé (section J3 du parquet de Paris) en matière de cybersécurité et une chambre spécialisée en matière économique, financière et cyber à Paris. La justice traite de plus en plus ce type d’affaires et des magistrats sont spécialisés sur ce contentieux. Dans certaines procédures, il apparaît que des prévenus se revendiquent comme étant hacker éthique, en mode « je travaillais pour l’ANSSI, DGSI », développant ainsi un argument de défense pour échapper aux poursuites pénales.
Amelie Köcke : Le cas de Florent Curtet montre l’ambiguïté de ce statut. Le problème pour encadrer cette activité se résume à savoir où poser le curseur : si on protège trop les hackers éthiques, il y a un risque d’abus, s’ils ne sont pas assez protégés, on ne les incitera pas à détecter ces failles. Nous pensons qu’une charte serait nécessaire pour que la personne en question s’engage pour le bien public et que si un individu a exercé des activités malveillantes dans le passé, il ne puisse en rien devenir un hacker éthique.
A-J : Existe-t-il parfois un côté « Robin des bois » ?
Myriam Quemener : Il y a des cas d’effaçage de sites pour faire valoir des revendications, dans l’esprit Robin des Bois. Dans ce cas, ce sont plutôt des hacktivistes plutôt que des hackers éthiques. Je pense aussi à l’affaire Sébastien Raoult aux États-Unis, condamné pour usurpation d’identité : son argument développé, c’est qu’il considère que sa démarche était liée à de la curiosité plutôt qu’à de la délinquance.
Amelie Köcke : En France, il existe par exemple Rabbin des bois, qui utilise cette figure pour découvrir des failles, dans un but plus politique, dit le « hacker de Sciences Po ». Les hackers éthiques sont souvent des personnes qui aiment le défi, mais n’ont pas forcément de but politique. Ceci étant, cela pose la question : qu’est-ce qui motive un hacker à devenir malveillant, à s’enrichir personnellement ou à donner une faille à quelqu’un de malveillant ou à agir pour le bien commun ? Une actualité récente montre l’utilité de ces hackers éthiques. Je pense à une immense faille découverte par une association de hackers éthiques, le « Chaos Computer club » en Allemagne : les données de géolocalisation de 800 000 voitures électriques étaient accessibles depuis des mois ! L’association de hackers a déclaré que le groupe avait 30 jours pour remédier à cette faille, dans le cas contraire, ils mettraient ces informations à disposition du public. Et Volkswagen a réagi ! Ces hackers ont eu du poids pour infléchir une entreprise. Face à l’État ou les grandes entreprises, heureusement qu’ils sont là, font ces découvertes et les signalent.
Infos
Hacker éthique et cybersécurité, Myriam Quemener et Amelie Köcke, éditions LGDJ Lextenso : https://www.lgdj.fr/hacker-ethique-et-cybersecurite-9782275156255.html
Référence : AJU016u4
