Dans quelle mesure les hackers éthiques peuvent-ils exercer sans s’exposer à des poursuites ? En Belgique, un cadre juridique est en vigueur depuis peu. Il englobe les activités de recherche et de signalement de vulnérabilités dans des réseaux et systèmes d’information situés sur le territoire national.
Ledit cadre s’applique s’il n’existe pas, dans les organisations concernées, de politique de divulgation coordonnée des vulnérabilités ou de programme de bug bounty. Ou bien en cas de difficultés lors du recours à ces mécanismes.
Parmi les principes de base à respecter pour les hackers éthiques, « ne pas agir au-delà de ce qui est nécessaire et proportionné pour vérifier l’existence d’une vulnérabilité ». Il faut par ailleurs agir de bonne foi (« sans intention frauduleuse ou dessein de nuire »). Et signaler « aussi vite que possible » les vulnérabilités à la fois au CERT belge (CCB) et, « pas plus tard », aux organisations responsables des SI concernés.
« Le but n’est pas d’utiliser la vulnérabilité afin d’examiner jusqu’où on peut pénétrer dans un système, un processus ou un contrôle, explique le CCB. De même, il n’est pas justifié de perturber la disponibilité des services fournis par l’équipement concerné. »
Ce cadre juridique vient compléter, entre autres, des lignes directrices établies fin 2020 dans le contexte de la stratégie nationale belge en cybersécurité. Leur objectif : encourager l’adoption de politiques de de divulgation coordonnée et de bug bountys.
La Belgique fait partie des premiers pays de l’UE à avoir ainsi encadré formellement l’exercice des hackers éthiques. L’ENISA l’a fait remarquer l’an dernier dans un rapport à ce sujet. Sur la base d’éléments collectés aux deuxième et troisième trimestres 2021, elle recensait trois autres pays ayant mis en place une politique. Nommément, les Pays-Bas, la Lituanie… et la France.
En 2016, la loi Lemaire « pour une République numérique » a effectivement modifié le Code la défense, y ajoutant un article L2321-4. Celui-ci exempte les hackers éthiques de poursuites (article 40 du Code de procédure pénale) sous deux conditions principales. D’une part, comme en Belgique, agir de bonne foi. De l’autre, signaler les vulnérabilités exclusivement à l’ANSSI.
La France fut pionnière dans l’adoption d’une telle politique, aux côtés des Pays-Bas. La Lituanie a pour sa part effectué un amendement à la législation nationale sur la cybersécurité. Entré en vigueur mi-2021, il proscrit strictement certaines actions comme l’usage de mots de passe piratés.
À consulter pour davantage de contexte :
Cybersécurité : que nous enseigne la vision des hackers éthiques ?
Bug bounty : OpenAI sollicite les hackers pour améliorer ChatGPT
Hacker les hackers : la « légitime défense numérique » existe-t-elle ?
Illustration principale © Who is Danny – Adobe Stock
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…
