Cybersécurité et « hackers blancs », vers le retour des chasseurs de prime ?

La conquête de l’ouest américain est pleine d’histoires de ces bounty hunters ou chasseurs de primes, qui traquaient des personnes recherchées par la justice pour avoir été condamnées ou suspectées d’avoir commis un vol ou un meurtre et d’être en fuite. Le cyberspace est-il en train de réactiver cette ancienne institution tombée en désuétude ?

Olivier IteanuArticle rédigé par Maître Olivier Iteanu, Avocat, chargé d’enseignement aux Universités Paris I Sorbonne et Paris Saclay. Son dernier ouvrage « Quand le digital défie l’Etat de droit » (Ed. Eyrolles) est paru en octobre 2016..
Cet article s’inscrit dans notre rubrique « Paroles de Pros » dans laquelle des acteurs réputés du numérique prennent la parole sur des sujets liés à l’impact d’internet et des nouvelles technologies sur nos modes de vie.
>> En savoir plus sur Paroles de Pros et retrouver tous les articles de la rubrique.


rss-blog-icontwitter-iconlinkedin-icon

On peut se le demander avec cette dernière disposition créée par la Loi pour la République numérique d’Axelle Lemaire du 7 octobre 2016. La Loi a, en effet, introduit des dispositions dans le droit positif français, pour protéger les hackers blancs.

Une loi pour protéger les « hackers blancs »

De quoi s’agil-il ? Un individu découvre une faille de sécurité dans un système d’information.

Pour avoir découvert cette fraude, il a pu accéder à l’intérieur du système d’information sans l’autorisation du maitre du système. Or, cet accès est un délit pénal. On l’appelle le délit d’accès ou de maintien frauduleux dans un système d’information puni des peines maximales de deux ans d’emprisonnement et de 60.000 euros d’amende par l’article L 323-1 du Code pénal.

Comment alors inciter cette personne à être vertueuse en dénonçant ce qu’elle a constaté au maître du système ou aux autorités ? Cela aurait un grand mérite : celui, au minimum, de réparer la vulnérabilité.

Or, s’il signale la vulnérabilité, il court alors le risque d’être poursuivi en justice et condamné.  C’est pourquoi le législateur vient de promulguer cette disposition légale ingénieuse et sans doute utile.

Le hacker éthique encore appelé « hacker blanc », pourra prendre contact avec l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) [LIEN https://www.ssi.gouv.fr/] et cette autorité prendra contact avec le responsable du système d’information défaillant, éventuellement son hébergeur ou son opérateur, pour leur signaler la vulnérabilité.

Surtout, le nouvel article L 2341-4 du Code de la défense prévoit que l’identité du hacker blanc sera conservée secrète par l’ANSSI, de même que la manière dont il a obtenu l’information, ce qui devrait logiquement le préserver d’une plainte pénale.

On pourrait regretter que le législateur ne soit pas allé plus loin en inscrivant dans la Loi une dispense de poursuites, car dans la situation actuelle, le statut de hacker blanc ne donne que l’anonymat décidé par l’ANSSI. Un responsable d’un système d’information peu reconnaissant vis-à-vis du hacker blanc, pourrait tout de même déposer une plainte pénale, et le Parquet n’est pas tenu par la position prise par l’ANSSI. Cependant, en pratique, on voit mal le Parquet contredire l’ANSSI. Il ne faut pas bouder notre plaisir, car dans le contexte de cyberattaques quotidiennes, de plus en plus sophistiquées et de plus en plus intrusives dans la vie des citoyens, il faut donner à ces derniers les moyens légaux de réagir et d’aider les autorités publiques à prévenir les dégâts.

Une question reste cependant posée : l’Etat ou même le responsable du système d’information concerné par la faille, peuvent-ils rémunérer ces cybercitoyens vigilants ? Ces hackers peuvent ils demander une rémunération ?

Pour répondre, on peut se reporter à une Loi prise deux mois après la Loi pour la République numérique, la Loi dite Sapin II du 9 décembre 2016, qui a introduit le statut de lanceur d’alerte dans le droit. Le lanceur d’alerte est défini comme « la personne physique qui révèle, de manière désintéressée et de bonne foi, un crime ou un délit (…) ou une menace ou un préjudice graves pour l’intérêt général … ».

Pour nous, le hacker blanc fait partie de la famille des lanceurs d’alertes

Dans le cas du hacker blanc, l’ANSSI qui fait bénéficier le hacker de l’anonymat et d’une sorte de dispense des poursuites, doit vérifier un seul critère avant de lui accorder ce statut, à savoir que la personne agit de « bonne foi ».

Pour le lanceur d’alerte, ce sont deux critères cumulatifs qui sont requis pour obtenir le statut, à savoir agir « de manière désintéressée et de bonne foi ».

Chacun aura remarqué qu’un critère n’a pas été repris par la Loi pour une République numérique, celui du désintéressement.

Il semble bien que dans l’esprit, la Loi a fermé la porte à une rémunération. Ainsi, une personne qui contacterait l’ANSSI et voudrait faire dépendre sa révélation d’information d’une rémunération, risquerait fortement de voir son statut de hacker blanc refusé et être menacé de poursuites judiciaire pour accès frauduleux à un système.

En revanche, en l’état du texte, il semble aussi que rien n’empêche pour la suite à l’Etat ou au responsable du système, d’utiliser les services contre paiement pour obtenir plus d’information ou une collaboration dans le temps, sans que cela remette en cause le statut de hacker blanc qui a mis l’individu à l’abri des poursuites.

Voilà donc une évolution du droit intéressante, même si on est quand même loin d’avoir créé en France un statut légal de chasseurs de primes en faille de sécurité.


Nos dernières vidéos

Un commentaire

Répondre