Une modification récente de la loi permet de pratiquer le piratage éthique sans enfreindre la loi. Le piratage éthique est la pratique en vertu de laquelle les hackers identifient les faiblesses des systèmes informatiques pour que les organisations prennent conscience de leurs vulnérabilités. Cette méthode est déjà bien établie dans de nombreuses entreprises pour renforcer la cybersécurité.
Elle comporte toutefois un problème. Jusqu'à récemment, le piratage éthique était punissable et ne pouvait être pratiqué qu'avec l'autorisation de l'entreprise qui souhaitait être piratée. Cette situation a changé dernièrement. Dans le cadre de la stratégie nationale belge en matière de cybersécurité, un nouveau cadre juridique autorisant le piratage éthique a été mis en place. Les hackers éthiques peuvent désormais pirater n'importe quelle entreprise belge sans autorisation.
Bonne technique de marketing
Cependant, les hackers éthiques doivent respecter certaines conditions importantes. Bien que tout le monde s'accorde à dire qu'une meilleure sécurité des données est une bonne chose, la question conduit tout de même à des conversations animées autour de la machine à café du bureau.
« Tous les hackers éthiques n'ont pas un objectif commercial »
« Il faut nuancer », estime Ron, chef de produit chez DNS Belgium. « Certaines entreprises ont établi un programme de bug bounty ou prime aux bogues. Les hackers qui détectent un bogue reçoivent une gratification monétaire. Lorsqu'un pirate informatique se spécialise dans la recherche de problèmes de sécurité dans ces entreprises, cela ne pose naturellement aucun problème. Au contraire, moins il reste de problèmes pour les personnes mal intentionnées, mieux c'est. »
« Tous les hackers éthiques n'ont pas un objectif commercial”, ajoute Ward, ingénieur DevOps chez DNS Belgium. « Il s'agit également d'étudiants et de chercheurs qui seraient très heureux de pouvoir mentionner sur leur CV les entreprises dans lesquelles ils ont découvert des vulnérabilités.»
« On peut aussi y voir une bonne technique de marketing : pour attirer un client, il peut être intéressant de démontrer que l'on peut améliorer son infrastructure », explique Ward. Ron est d'accord : « Lorsqu'un pirate informatique est engagé pour effectuer un contrôle encore plus approfondi, cela ne pose aucun problème tant que l'entreprise peut choisir la partie avec laquelle elle souhaite s'associer pour améliorer la sécurité. »
Piratage à la demande
Selon David, juriste chez DNS Belgium, il serait préférable que le piratage ne se fasse pas de manière non sollicitée, mais plutôt à la demande des entreprises. « Nous évitons ainsi l'arbitraire. Les pirates pourraient se concentrer sur les entreprises qui se soucient de la sécurité de l'information ou qui expriment leur volonté de faire quelque chose à ce sujet. Nous n'accepterions certainement pas que des vendeurs de services de sécurité ou de systèmes d'alarme fassent du porte-à-porte pour tester le niveau de sécurité sans que cela ne leur soit demandé ? »
« C'est exact », répond Ward. « Mais cette loi stipule que vous pouvez toucher la poignée de porte de quelqu'un pour vérifier si la porte est verrouillée. Si elle est verrouillée, il n'y a pas de problème. Après tout, vous n'avez rien fait d'illégal. Si la porte n'est pas verrouillée, vous pouvez le faire savoir au propriétaire de la maison sans que cela n’entraîne la moindre conséquence juridique. Avant cette loi, le fait de toucher la poignée de la porte constituait théoriquement une infraction punissable. »
Contrairement à David, Ron estime que le piratage non sollicité ne comporte aucun problème. « Tant que les hackers donnent aux entreprises le temps de résoudre le problème avant de le rendre public (la “divulgation responsable”, voir ci-dessous) , je ne pense pas qu'il soit nécessaire que le piratage soit effectué à la demande des entreprises. »
La tête dans le sable
« Beaucoup de choses ont changé sur le plan juridique au cours des dernières décennies. Lorsque les banques belges ont commencé à promouvoir les services bancaires en ligne, j'étais déjà dans leurs fichiers journaux au bout de dix minutes, sans même quitter mon navigateur », explique Jan Guldentops, expert en sécurité, à propos de ses premières activités en tant que pirate informatique. Jan travaille aujourd'hui comme consultant en informatique, réseaux et sécurité, chargé de cours et chercheur. « De plus, je savais que je n'étais en aucun cas passible de poursuites à l'époque, étant donné qu’il n'y avait pas de législation sur le piratage informatique. »
« Beaucoup d'entreprises pratiquent encore la politique de l'autruche en matière de cybersécurité. »
La situation s'est ensuite complètement inversée et des pirates comme Red Attack ont été traînés devant les tribunaux avec beaucoup d’attention de la part des médias. «Heureusement, un cadre juridique a été mis en place, les accords contractuels ont permis de réaliser des audits et la responsible disclosure ou divulgation responsable est apparue. »
« Et avec la nouvelle législation, les pirates ont obtenu pour ainsi dire “carte blanche », poursuit Jan. « Mais je ne sais pas si cela fera une grande différence. Beaucoup d'entreprises pratiquent encore la politique de l'autruche en matière de cybersécurité et ne prennent des mesures que lorsqu'elles n’ont véritablement aucune autre solution, par exemple à la suite d’une cyberattaque. »
'Un effort louable'
David doute également que la nouvelle législation ait un impact significatif sur la cybersécurité dans notre pays. « Il s'agit d'un effort louable, mais je ne pense pas que cela ait été bien médité ou qu'il s'agisse de la meilleure idée à long terme. La question que nous devons nous poser est de savoir si c'est la meilleure façon de sensibiliser les personnes et les entreprises à l'importance de l’investissement dans la sécurité en ligne », ajoute-t-il. « Personnellement, je n'en suis pas tout à fait convaincu. »
« La loi est encore trop peu contraignante », reconnaît Jan. « Ces derniers mois, dans le contexte de la nouvelle loi, bon nombre de lignes d’assistance et de groupes de travail ont été établis, des lignes directrices ont été formulées... Mais nous le faisions depuis déjà 20 ans. Et cela ne nous a pas permis de résoudre le problème, pas plus que nous n’allons le résoudre maintenant. »
Cela dit, Jan pense tout de même que la nouvelle loi est un pas dans la bonne direction. «Si, par exemple, je détecte un énorme bogue chez DNS Belgium et que je vous le signale et le communique également à une tierce partie, le CERT, je dois être légalement protégé. Aujourd'hui, c'est enfin le cas », explique Jan. « J'ai déjà vu des entreprises auxquelles j'avais signalé une vulnérabilité utiliser la période de responsible disclosure ou divulgation responsable pour étudier les actions en justice qu’elles pouvaient engager contre moi. Ce ne peut pas être le but recherché. Il devrait être possible de signaler les vulnérabilités de manière responsable et honnête, mais il devrait également y avoir un cadre juridique à cet effet. Et c'est le cas aujourd'hui. »
Responsible disclosure
La responsible disclosure ou divulgation responsable est au cœur de cette loi. Cela signifie que les hackers doivent minimiser autant que possible leur intrusion et donner aux victimes le temps de résoudre le problème avant de divulguer la vulnérabilité dans le système.
« Il faut faire le nécessaire pour exposer la vulnérabilité, mais il ne faut pas aller plus loin”, explique Ward. « Vous pouvez démontrer que vous auriez pu collecter ou détruire des données. Dès le moment où vous le faites effectivement, il n'est plus question de responsible disclosure ou divulgation responsable et la nouvelle loi ne vous protège plus. »
Les règles relatives à la protection de la vie privée et des données continuent de s'appliquer et, même en tant que hacker éthique, vous devez traiter les données d'autrui de manière consciencieuse. Ron ne doute pas que les hackers éthiques agissent aussi de cette façon. « Je ne vois aucun problème, car un hacker éthique n'utilisera pas ces données à mauvais escient . Au contraire, les données seront mieux protégées lorsque les hackers signalent les vulnérabilités et que celles-ci sont corrigées. De plus, les données sont également à l'abri des pirates informatiques sans éthique. »
« Tant que le hacker respecte un délai raisonnable entre l'information et la divulgation, je ne vois pas de problème. »
« Si une entreprise n’agit pas sur la base des informations reçues et ne corrige pas la vulnérabilité, un hacker éthique peut toujours choisir de divulguer cette vulnérabilité, de sorte que l'entreprise est contrainte de réagir. Tant que le hacker respecte un délai raisonnable entre l'information et la divulgation, je ne vois pas de problème. »
Et une fois que la période de responsible disclosure ou divulgation responsable est écoulée, il n'y a que deux options, selon Jan. « L'entreprise doit avoir corrigé la vulnérabilité. Et si ce n'est pas le cas, des sanctions doivent être imposées. Ensuite, la vulnérabilité peut également être rendue publique. C’est la seule façon de contraindre les entreprises à prendre des mesures concrètes. »
Conclusion
Il semble que tout le monde s'accorde sur le fait que les hackers éthiques doivent être protégés. Et la nouvelle loi établit clairement jusqu'où ces hackers éthiques peuvent aller. C'est sans aucun doute une bonne chose. La question de savoir jusqu'où va la liberté d'action des hackers et si elle ouvre la porte à des objectifs moins éthiques (c'est-à-dire commerciaux) reste manifestement à débattre.
Uniquement, en ce qui concerne les entreprises qui sont piratées, la loi est encore trop peu contraignante. « Elles devraient être tenues d'aborder les questions de sécurité », estime Jan. « Si un hacker éthique a découvert un bogue, il est probable que d’autres hackers connaissent ce bogue et l'utilisent depuis longtemps déjà parce qu'il est utile à leurs fins. »
Project Zero
Google recherche activement les vulnérabilités de ses fournisseurs dans le cadre du Project Zero. Pour faire pression sur les fabricants, Google leur accorde un délai de 90 jours pour résoudre le problème de sécurité. Si le problème n'est pas résolu après 120 jours, la vulnérabilité est publiée sur https://googleprojectzero.blogspot.com/.
« Ils le font même lorsque le problème a été résolu”, explique Ward. “Les fournisseurs ont donc tout intérêt à réagir en temps opportun et à éviter toute mauvaise publicité ou atteinte à leur réputation. »
« D'ailleurs, bon nombre des vulnérabilités détectées et signalées sont connues depuis des années. Par exemple, la NSA (l’Agence de sécurité nationale américaine) connaissait les problèmes de sécurité de Windows depuis des années. Cependant, la NSA s'est abstenue de les communiquer à Microsoft, pour ainsi utiliser elle-même ces faiblesses afin de s'introduire dans les systèmes de Microsoft. »
Dossier cyberguerre
En savoir plus sur la cyberguerre? Ce dossier présente les opinions d'experts renommés sur la cyberguerre, ce que les gouvernements, les entreprises et les particuliers peuvent faire en cas d'une cyberguerre et ce qui se passe si une cyberguerre éclate.