Quelles protections juridiques pour les hackers éthiques ?

En Belgique, les activités des hackers éthiques ont depuis peu un cadre juridique. Qu’en est-il en France dans le reste de l’UE ?

Dans quelle mesure les hackers éthiques peuvent-ils exercer sans s’exposer à des poursuites ? En Belgique, un cadre juridique est en vigueur depuis peu. Il englobe les activités de recherche et de signalement de vulnérabilités dans des réseaux et systèmes d’information situés sur le territoire national.

Ledit cadre s’applique s’il n’existe pas, dans les organisations concernées, de politique de divulgation coordonnée des vulnérabilités ou de programme de bug bounty. Ou bien en cas de difficultés lors du recours à ces mécanismes.

Parmi les principes de base à respecter pour les hackers éthiques, « ne pas agir au-delà de ce qui est nécessaire et proportionné pour vérifier l’existence d’une vulnérabilité ». Il faut par ailleurs agir de bonne foi (« sans intention frauduleuse ou dessein de nuire »). Et signaler « aussi vite que possible » les vulnérabilités à la fois au CERT belge (CCB) et, « pas plus tard », aux organisations responsables des SI concernés.

« Le but n’est pas d’utiliser la vulnérabilité afin d’examiner jusqu’où on peut pénétrer dans un système, un processus ou un contrôle, explique le CCB. De même, il n’est pas justifié de perturber la disponibilité des services fournis par l’équipement concerné. »

Ce cadre juridique vient compléter, entre autres, des lignes directrices établies fin 2020 dans le contexte de la stratégie nationale belge en cybersécurité. Leur objectif : encourager l’adoption de politiques de de divulgation coordonnée et de bug bountys.

Hackers éthiques : un cadre également en France

La Belgique fait partie des premiers pays de l’UE à avoir ainsi encadré formellement l’exercice des hackers éthiques. L’ENISA l’a fait remarquer l’an dernier dans un rapport à ce sujet. Sur la base d’éléments collectés aux deuxième et troisième trimestres 2021, elle recensait trois autres pays ayant mis en place une politique. Nommément, les Pays-Bas, la Lituanie… et la France.

En 2016, la loi Lemaire « pour une République numérique » a effectivement modifié le Code la défense, y ajoutant un article L2321-4. Celui-ci exempte les hackers éthiques de poursuites (article 40 du Code de procédure pénale) sous deux conditions principales. D’une part, comme en Belgique, agir de bonne foi. De l’autre, signaler les vulnérabilités exclusivement à l’ANSSI.

La France fut pionnière dans l’adoption d’une telle politique, aux côtés des Pays-Bas. La Lituanie a pour sa part effectué un amendement à la législation nationale sur la cybersécurité. Entré en vigueur mi-2021, il proscrit strictement certaines actions comme l’usage de mots de passe piratés.

À consulter pour davantage de contexte :

Cybersécurité : que nous enseigne la vision des hackers éthiques ?
Bug bounty : OpenAI sollicite les hackers pour améliorer ChatGPT
Hacker les hackers : la « légitime défense numérique » existe-t-elle ?

Lire aussi : L’issue approche pour le « SecNumCloud européen »