A chaque piratage informatique d’envergure, quand les entreprises victimes se demandent ce qu’elles peuvent faire et une fois le sujet des actions contentieuses abordées (plaintes, etc.), une question revient constamment : pourquoi ne pourraient-elles pas profiter d’une « légitime défense numérique » ? C’est-à-dire hacker les hackers…
Or, si le sujet émerge de plus en plus régulièrement, ce n’est pas seulement en raison de la multiplication des attaques informatiques médiatisées d’envergure (Target, Home Depot, Sony, Microsoft Xbox Live, etc.). C’est surtout parce qu’il devient moins tabou et que certaines entités proposent plus ou moins ouvertement de tels services pour réagir face aux attaques (voir à ce propos l’article « hacker ceux qui vous ont hacké »).
De même, des sociétés expertes en sécurité des systèmes d’information publient de façon croissante des études extrêmement précises sur le mode de fonctionnement de certains malwares par exemple. Que l’on ne s’y trompe pas : les ellipses utilisées pour décrire la manière dont les informations ont été obtenues ne cachent qu’à grande peine, pour les experts, le fait que des actes normalement pénalement répréhensibles au sens du droit français ont été commis pour les obtenir. Peut-on parler de « légitime défense » dans ces cas ?
En droit français, en effet, les hypothèses où la loi autorise à commettre des actes assimilables en temps normal à des délits informatiques (réprimés par les art. 323-1 à 323-7 du Code pénal) sont très peu fréquentes, soit notamment[1] :
Dans l’hypothèse de la légitime défense qui nous intéresse, l’acte interdit a été commis, mais l’auteur n’est pas responsable pénalement s’il l’a fait uniquement pour se défendre (art. 122-5 al. 2 du Code pénal). Attention toutefois, les conditions sont très strictes : l’atteinte au SI doit être imminente ou concomitante à un acte d’agression injustifié (i.e. contraire au droit); avoir pour seul objectif de faire cesser l’attaque (pas de vengeance); et, surtout, doit être strictement nécessaire à l’atteinte de ce but. Les moyens employés doivent être proportionnés à la gravité de l’attaque (ce qui exclut tout homicide volontaire). Implicitement, il faut donc en déduire que l’exception pénale n’est possible que si cet acte de défense est effectivement dirigé contre l’attaquant[2].
Le caractère concomitant et la nécessité de ne se « défendre » directement contre l’assaillant sont les deux critères qui posent en pratique le plus de difficultés aux entreprises voulant se lancer dans la réponse offensive, à l’heure où l’identification des auteurs n’est que rarement acquise ou beaucoup trop tardive. Pour la loi, n’est pas l’ANSSI qui veut !
Cela ne signifie toutefois pas que rien n’est possible pour elles. Tout dépend ce que l’on entend par « réponses offensives » et comment il est possible de répondre aux critères stricts susmentionnés.
La contre-attaque informatique la plus pure, à supposer que cela soit la meilleure stratégie à adopter pour la victime, n’est possible sans respecter les critères susmentionnés qu’en prenant des risques, que certaines entreprises estiment calculés :
Reste que cela suppose que les actes effectués en réponse à l’agression n’aient pas fait de victimes collatérales, qui auraient elles, tout intérêt et toute légitimité à s’en plaindre en justice.
Si la loi rend difficile une réaction offensive, face à la multiplication des atteintes aux SI des entreprises, celles-ci ont vu toutefois l’arsenal juridique répressif fortement renforcé avec la reconnaissance de l’équivalence du « vol » d’information depuis la loi de renforcement de la lutte contre le terrorisme. L’article 323-3 du Code pénal permet maintenant de lutter contre l’extraction, la détention, la reproduction, la transmission, etc., frauduleuse des données d’un SI (ce qui comprend le sniff de trafic, auparavant moins évident à réprimer) ainsi que leur tentative.
Par François Coupez, Avocat à la Cour, Associé du cabinet ATIPIC Avocat et titulaire du certificat de spécialisation en droit des nouvelles technologies
[1] Passons sur l’existence de l’art. L. 122-6-1 du Code de la propriété intellectuelle institué par la LPM du 18 décembre 2013 : cette exception ne sert qu’à tester la sécurité des logiciels dont on a détient une licence d’utilisation sans avoir le consentement de l’auteur du logiciel (ce qui ne permet donc pas de tester la sécurité du maître du SI l’utilisant, nuance importante).
[2] Pirater un système d’information lui-même piraté par l’attaquant et lui servant de relais ne rentre pas dans le cadre de l’exception légale.
[3] Cf. notamment les articles 323-5, 323-6, 131-38 et 131-39 du Code pénal.
A lire aussi :
Encadrement juridique du Cloud : peut-on éviter l’orage ? (tribune)
Général Marc Watin-Augouard : « progresser dans l’attribution des cyberattaques »
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.