Hacker les hackers : la « légitime défense numérique » existe-t-elle ? (tribune)

Quand elles sont attaquées, les entreprises sont souvent tentées de riposter en visant à leur tour les serveurs des hackers. Une pratique très encadrée et surtout risquée, prévient l’avocat François Coupez.

A chaque piratage informatique d’envergure, quand les entreprises victimes se demandent ce qu’elles peuvent faire et une fois le sujet des actions contentieuses abordées (plaintes, etc.), une question revient constamment : pourquoi ne pourraient-elles pas profiter d’une « légitime défense numérique » ? C’est-à-dire hacker les hackers…

Or, si le sujet émerge de plus en plus régulièrement, ce n’est pas seulement en raison de la multiplication des attaques informatiques médiatisées d’envergure (Target, Home Depot, Sony, Microsoft Xbox Live, etc.). C’est surtout parce qu’il devient moins tabou et que certaines entités proposent plus ou moins ouvertement de tels services pour réagir face aux attaques (voir à ce propos l’article « hacker ceux qui vous ont hacké »).

De même, des sociétés expertes en sécurité des systèmes d’information publient de façon croissante des études extrêmement précises sur le mode de fonctionnement de certains malwares par exemple. Que l’on ne s’y trompe pas : les ellipses utilisées pour décrire la manière dont les informations ont été obtenues ne cachent qu’à grande peine, pour les experts, le fait que des actes normalement pénalement répréhensibles au sens du droit français ont été commis pour les obtenir. Peut-on parler de « légitime défense » dans ces cas ?

Agir comme un pirate… en toute légalité ?

En droit français, en effet, les hypothèses où la loi autorise à commettre des actes assimilables en temps normal à des délits informatiques (réprimés par les art. 323-1 à 323-7 du Code pénal) sont très peu fréquentes, soit notamment[1] :

  • le fait pour l’ANSSI (Agence nationale pour la sécurité des systèmes d’information) de pouvoir « caractériser » l’attaque et « neutraliser » ses effets « en accédant aux systèmes d’information qui [en] sont à l’origine » (permis depuis la LPM);
  • la captation de données informatiques par la police judiciaire, prévue dans le Code de procédure pénale (art. 706-102-1 et s.) – soit la mise en place de « keyloggers » et assimilés;
  • la détention (cession, importation, etc.) d’outils, de logiciels ou d’informations susceptibles de servir à un piratage quand ils le sont à des fins légitimes (recherche, sécurité informatique, etc.) ou par l’ANSSI;
  • bien entendu toutes les hypothèses où l’entreprise, maître de son système d’information, autorise les faits (ex : prestataire autorisé à lancer des tests d’intrusion).

Des critères stricts

Dans l’hypothèse de la légitime défense qui nous intéresse, l’acte interdit a été commis, mais l’auteur n’est pas responsable pénalement s’il l’a fait uniquement pour se défendre (art. 122-5 al. 2 du Code pénal). Attention toutefois, les conditions sont très strictes : l’atteinte au SI doit être imminente ou concomitante à un acte d’agression injustifié (i.e. contraire au droit); avoir pour seul objectif de faire cesser l’attaque (pas de vengeance); et, surtout, doit être strictement nécessaire à l’atteinte de ce but. Les moyens employés doivent être proportionnés à la gravité de l’attaque (ce qui exclut tout homicide volontaire). Implicitement, il faut donc en déduire que l’exception pénale n’est possible que si cet acte de défense est effectivement dirigé contre l’attaquant[2].

Le caractère concomitant et la nécessité de ne se « défendre » directement contre l’assaillant sont les deux critères qui posent en pratique le plus de difficultés aux entreprises voulant se lancer dans la réponse offensive, à l’heure où l’identification des auteurs n’est que rarement acquise ou beaucoup trop tardive. Pour la loi, n’est pas l’ANSSI qui veut !

La légitime défense numérique, un risque calculé

Cela ne signifie toutefois pas que rien n’est possible pour elles. Tout dépend ce que l’on entend par « réponses offensives » et comment il est possible de répondre aux critères stricts susmentionnés.

La contre-attaque informatique la plus pure, à supposer que cela soit la meilleure stratégie à adopter pour la victime, n’est possible sans respecter les critères susmentionnés qu’en prenant des risques, que certaines entreprises estiment calculés :

  • invoquer la légitime défense suppose tout d’abord que la victime soit poursuivie en justice. Qu’elle le soit par le pirate originel n’est pas impossible même si la probabilité est faible. Mais que les faits rendus publics finissent par déclencher une enquête et une envie de réfréner des ardeurs de cyber justiciers l’est peut-être un peu moins. Attention alors aux impacts pour l’entreprise qui s’y livre du fait des peines complémentaires prévues au Code pénal (confiscation des matériels et logiciels incriminés, fermeture d’établissement, voire dissolution, etc.)[3] ;
  • un « pirate » qui se serait fait… pirater par sa victime pourrait, si son action aboutit malgré ce premier obstacle, lui demander des dommages-intérêts. Son comportement fautif serait toutefois pris en compte en droit français et diminuerait fortement le montant financier espéré.

Reste que cela suppose que les actes effectués en réponse à l’agression n’aient pas fait de victimes collatérales, qui auraient elles, tout intérêt et toute légitimité à s’en plaindre en justice.

Pas de légitime défense numérique pour tous

Si la loi rend difficile une réaction offensive, face à la multiplication des atteintes aux SI des entreprises, celles-ci ont vu toutefois l’arsenal juridique répressif fortement renforcé avec la reconnaissance de l’équivalence du « vol » d’information depuis la loi de renforcement de la lutte contre le terrorisme. L’article 323-3 du Code pénal permet maintenant de lutter contre l’extraction, la détention, la reproduction, la transmission, etc., frauduleuse des données d’un SI (ce qui comprend le sniff de trafic, auparavant moins évident à réprimer) ainsi que leur tentative.

Francois CoupezReste que l’essentiel est ailleurs : si les sanctions sont importantes sur le papier, on attend plutôt un renforcement des sanctions véritablement prononcées contre les attaques informatiques et une coopération internationale plus efficace, si l’on veut que les victimes privilégient systématiquement la réponse juridique à la contre-attaque.

Par François Coupez, Avocat à la Cour, Associé du cabinet ATIPIC Avocat et titulaire du certificat de spécialisation en droit des nouvelles technologies

[1] Passons sur l’existence de l’art. L. 122-6-1 du Code de la propriété intellectuelle institué par la LPM du 18 décembre 2013 : cette exception ne sert qu’à tester la sécurité des logiciels dont on a détient une licence d’utilisation sans avoir le consentement de l’auteur du logiciel (ce qui ne permet donc pas de tester la sécurité du maître du SI l’utilisant, nuance importante).

[2] Pirater un système d’information lui-même piraté par l’attaquant et lui servant de relais ne rentre pas dans le cadre de l’exception légale.

[3] Cf. notamment les articles 323-5, 323-6, 131-38 et 131-39 du Code pénal.

A lire aussi :

Encadrement juridique du Cloud : peut-on éviter l’orage ? (tribune)
Général Marc Watin-Augouard : « progresser dans l’attribution des cyberattaques »

Crédit photo : GlebStock / Shutterstock