Avec les hackers blancs, on est passé de la cybercriminalité à la cybersécurité
Qu’appelle-t-on les « hackers blancs » ?
Il n’existe aucune définition légale du terme de “hacker”, et du hacker blanc encore moins ! Mais dès la première loi destinée à lutter contre la fraude informatique, promulguée en 1988, il a été question de ces spécialistes, qui s’introduisent sans autorisation dans les systèmes d’information et utilisent leurs connaissances de très bon niveau pour aider les entreprises. Contrairement aux intentions des hackers dits noirs, qui sont des pirates, le but des hackers blancs est d’apporter des solutions à certains problèmes : fuite de données, faille de sécurité…
Le hacker blanc pourrait être qualifié de « lanceur d’alerte ».
Ce sont des personnes qui aiment le challenge, souvent des étudiants. Ils effectuent des tests d’intrusion selon des méthodes qu’ils ont mises au point, pour informer le maître des lieux de la défaillance, sans avoir recueilli son accord préalable. Or, depuis trente ans, la tentative d’accès frauduleux dans un système de traitement automatisé de données (STAD) constitue elle aussi un délit punissable par le code pénal au même titre que le délit lui-même, bien que le mobile ne soit pas crapuleux. Par le passé, les hackers blancs ont aussi développé ces pratiques pour se faire connaître afin de se faire embaucher, que ce soit dans le secteur privé ou par les services étatiques. Ces profils étaient et sont toujours très recherchés.
La loi Lemaire de 2016 protège-t-elle ces chevaliers blancs ?
Aujourd’hui, le monde est totalement connecté au réseau numérique, et les attaques visent régulièrement les organismes aussi bien que les particuliers. Mais il y a très peu d’élucidations par la justice. La partie de gendarmes et de voleurs est inégale ! Alors que les gendarmes sont cantonnés au territoire national, les voleurs ont la possibilité de sévir un peu partout dans le monde avant d’atteindre leur cible. Il est devenu extrêmement compliqué de poursuivre et d’élucider ces dérives car les attaques rebondissent d’un pays à l’autre : un serveur est infecté depuis un premier pays, puis un proxy (un serveur qui sert d’intermédiaire entre les machines d’un réseau et un autre réseau) à partir d’un deuxième, avec une attaque dans un troisième, voire dans un quatrième pays. C’est pourquoi la coopération policière et judiciaire des États est devenue indispensable, mais ce sont des procédures longues et coûteuses à mettre en place. La répression étant très difficile à mettre en œuvre et souvent insatisfaisante, l’accent est mis désormais sur la prévention. On est passé de la cybercriminalité à la cybersécurité. Dans ce contexte, la loi Lemaire représente un tournant, car elle autorise l’ANSSI à recueillir des informations provenant de hackers blancs, tout en préservant leur anonymat pour qu’ils ne soient pas poursuivis.
Existe-t-il une procédure particulière pour assurer cette protection ?
Concrètement, c’est le hacker qui peut contacter l’ANSSI afin qu’elle informe l’entreprise de la faille qu’il a trouvée, mais sans le nommer. En effet, si le hacker blanc prévenait l’entreprise directement, celle-ci pourrait le poursuivre en justice (lire p. 19). L’agence ne communique pas sur le sujet, mais il y a probablement plusieurs milliers de cas chaque année. Par ailleurs, puisqu’il agit dans l’intérêt général, de manière désintéressée et de bonne foi, le hacker blanc pourrait aussi être qualifié de “lanceur d’alerte” au sens de la loi Sapin 2 de 2016 et échapper ainsi aux poursuites.
LIRE AUSSI :
Outre-mer : PPRN, relocalisations… les élus des Outre-mer se mobilisent- A Lille, Toulouse, Paris, des professeurs d’université interdisent les écrans
- « Faute d’agir maintenant, nous serons condamnés à l’avenir à acheter à l’étranger »
- Nouvelle-Aquitaine : Bordeaux : des tours en bois énergétiquement sobres
- Les gares deviennent des points de connexion avec les autres transports
- « La Cour suprême de Facebook »
- Périphéries des villes : le grand défi de la réhabilitation
