Dans quelle mesure les hackers éthiques peuvent-ils exercer sans s’exposer à des poursuites ? En Belgique, un cadre juridique est en vigueur depuis peu. Il englobe les activités de recherche et de signalement de vulnérabilités dans des réseaux et systèmes d’information situés sur le territoire national.
Ledit cadre s’applique s’il n’existe pas, dans les organisations concernées, de politique de divulgation coordonnée des vulnérabilités ou de programme de bug bounty. Ou bien en cas de difficultés lors du recours à ces mécanismes.
Parmi les principes de base à respecter pour les hackers éthiques, « ne pas agir au-delà de ce qui est nécessaire et proportionné pour vérifier l’existence d’une vulnérabilité ». Il faut par ailleurs agir de bonne foi (« sans intention frauduleuse ou dessein de nuire »). Et signaler « aussi vite que possible » les vulnérabilités à la fois au CERT belge (CCB) et, « pas plus tard », aux organisations responsables des SI concernés.
« Le but n’est pas d’utiliser la vulnérabilité afin d’examiner jusqu’où on peut pénétrer dans un système, un processus ou un contrôle, explique le CCB. De même, il n’est pas justifié de perturber la disponibilité des services fournis par l’équipement concerné. »
Ce cadre juridique vient compléter, entre autres, des lignes directrices établies fin 2020 dans le contexte de la stratégie nationale belge en cybersécurité. Leur objectif : encourager l’adoption de politiques de de divulgation coordonnée et de bug bountys.
La Belgique fait partie des premiers pays de l’UE à avoir ainsi encadré formellement l’exercice des hackers éthiques. L’ENISA l’a fait remarquer l’an dernier dans un rapport à ce sujet. Sur la base d’éléments collectés aux deuxième et troisième trimestres 2021, elle recensait trois autres pays ayant mis en place une politique. Nommément, les Pays-Bas, la Lituanie… et la France.
En 2016, la loi Lemaire « pour une République numérique » a effectivement modifié le Code la défense, y ajoutant un article L2321-4. Celui-ci exempte les hackers éthiques de poursuites (article 40 du Code de procédure pénale) sous deux conditions principales. D’une part, comme en Belgique, agir de bonne foi. De l’autre, signaler les vulnérabilités exclusivement à l’ANSSI.
La France fut pionnière dans l’adoption d’une telle politique, aux côtés des Pays-Bas. La Lituanie a pour sa part effectué un amendement à la législation nationale sur la cybersécurité. Entré en vigueur mi-2021, il proscrit strictement certaines actions comme l’usage de mots de passe piratés.
À consulter pour davantage de contexte :
Cybersécurité : que nous enseigne la vision des hackers éthiques ?
Bug bounty : OpenAI sollicite les hackers pour améliorer ChatGPT
Hacker les hackers : la « légitime défense numérique » existe-t-elle ?
Illustration principale © Who is Danny – Adobe Stock
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…
Le Premier ministre a précisé les usages de l'IA dans les services de l'administration et…
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
