Le meilleur rempart contre les hackers, ce sont les hackers eux-mêmes puisque face à la menace cyber leur expertise est notre meilleure arme. L’actualité est marquée par les tensions géopolitiques exacerbées. Il est primordial de mettre en avant le rôle bénéfique des hackers éthiques et des mécanismes de remontée de vulnérabilités afin de contrer les hackers malveillants qui ciblent aussi bien les PME, l’administration et les institutions, l’attaque lancée dernièrement contre le Sénat en étant un exemple.

La période du Covid a précédemment vu s’accroître les cyberattaques dont le nombre risque d’augmenter à l’approche des Jeux Olympiques 2024 de Paris. Ce contexte incite ainsi les entreprises, les organisations et les autorités concernées à prendre des mesures de sécurité robustes afin de protéger leurs systèmes, leurs données ainsi que leurs communications. Pour ce faire, des tests de pénétrations et des protocoles de sécurité avancés seront nécessaires pour contrer et anticiper les dangers qui pèsent sur l’ensemble des entreprises.

Le déploiement des différents systèmes de sécurité devient une priorité face à l’augmentation des risques cybers, c’est la raison pour laquelle les remontées de vulnérabilités occupent un rôle essentiel. Ce mécanisme permet à des individus de détecter puis de corriger les failles informatiques avant qu’elles ne soient exploitées par des tiers malveillants.

Toutefois, pour garantir l’efficacité de ladite remontée de vulnérabilités, il est primordial d’établir un cadre juridique clair et suffisamment protecteur pour les acteurs bien intentionnés. L’encadrement de cette démarche reste difficile à appréhender, notamment en raison de l’adoption de textes législatifs nébuleux sur le sujet.

Une vulnérabilité informatique ce n’est ni plus ni moins qu’une faiblesse au sein d’un système d’information qui constitue une faille permettant à un attaquant de porter atteinte au fonctionnement normal de ce système. De cette manière, un individu malveillant pourrait l’exploiter pour compromettre sa sécurité et affecter la confidentialité ainsi que l’intégrité des données ce qui est très courant dans le cas de ransomware, d’un malware ou d’une attaque par DDOS.

"White hat" versus "Black hat".

Il faut savoir faire la part entre un individu qui agirait dans un but malveillant en toute illégalité et celui qui souhaiterait porter à la connaissance des responsables d’un site une vulnérabilité des plus critiques. Ce premier individu malveillant, plus communément appelé « hacker » ou encore « pirate informatique », peut être inclus au sein d’une catégorie que l’on nomme « black hat ». A contrario, un « white hat » n’est autre qu’un chercheur en sécurité ou hacker éthique, qui fait preuve de moralité, d’éthique, et non de malveillance.

Lors de la découverte d’une vulnérabilité dans un système d’information, ce dernier n’en fera pas un mauvais usage en la rendant publique - ce qui pourrait causer d’énormes dommages pour le système en cause - et ne demandera pas de rançon. Afin de participer à la sécurité du système, les white hats vont signaler les failles de manière bienveillante et confidentielle. Certains vont même jusqu’à faire un rapport détaillé aux propriétaires du site en lui proposant des solutions pour y remédier.

Porter à la connaissance des RSSI l’existence d’un problème est un atout de taille pour ces derniers. De cette manière, ils peuvent traiter la faille, avant qu’elle ne puisse être exploitée par un black hat qui pourrait ternir leur réputation auprès de leurs clients. Contrairement à l’adage « tester c’est douter », les hackers vont venir challenger une application et ont le mérite d’avoir une vision extérieure car ils n’ont pas participé à l’élaboration du code qu’ils testent et peuvent déceler ses faiblesses.

Sécuriser les rapports des hackers éthiques : le cadre juridique français et européen.

Néanmoins, le hacker est confronté à une première difficulté lorsqu’il s’agit de remonter les vulnérabilités existantes de manière sécurisée via des canaux spécifiques. Il n’est en effet pas recommandé d’échanger avec un hacker fusse-t-il éthique via les réseaux sociaux (compte LinkedIn, Twitter,...) ou par simple email.

Communiquer un rapport dans un email non chiffré, en clair, rend ce dernier accessible par n’importe quel tiers. Dans la plupart des cas, aucun mécanisme n’est mis en place pour permettre au chercheur en sécurité de divulguer une vulnérabilité qu’il a découverte (aucune charte à accepter, aucune politique, pas de canal de paiement sécurisé en cas de rémunération). On parle alors de remontée sauvage lorsque la faille est communiquée sans chiffrement aucun sans recourir à une clef PGP via un message privé sur Twitter par exemple. Dans ce cas de figure, la loi Godfrain du 5 janvier 1988 relative à la fraude informatique s’applique, de même que les articles L323-1 et suivants du Code Pénal selon lesquels les remontées sauvages sans cadre juridique ne permettent pas de bénéficier d’une quelconque irresponsabilité pénale.

La Loi pour une République numérique de 2016, dite Loi Lemaire, a représenté une avancée en ce sens, puisqu’elle permet aux hackers de transmettre leurs « trouvailles » à l’Agence Nationale de la Sécurité des Systèmes d’Information (l’ANSSI).

De son côté la Directive NIS 2 [1], fraîchement promulguée, représente à son tour une volonté d’imposer aux différents États membres européens la mise en place des mécanismes qui pourraient faciliter la divulgation coordonnée de vulnérabilités. Aujourd’hui, il devient donc indispensable de favoriser la collaboration entre les entreprises et les chercheurs en sécurité.

Dans la même veine, certaines plateformes proposent un service qui permet de simplifier ce processus, grâce à un programme de divulgation de vulnérabilités plus communément dénommé « Vulnerability Disclosure Program » (VDP). Ce programme va permettre de mettre en place un canal sécurisé et chiffré dans le but de recueillir les rapports de vulnérabilités soumis par des hackers éthiques dûment sélectionnés.

Après avoir passé un Capture The Flag (test technique) et s’être soumis à un processus de Know Your Customer (KYC), les hackers éthiques s’engagent à respecter des CGU dans lesquelles figurent des engagements de confidentialité.

De cette manière, les remontées sont centralisées et encadrées. Ce service réduit les fuites de données dans le cas où un hacker éconduit transmettrait ces informations soit au mauvais service, soit par un simple e-mail n’ayant pas été chiffré ou sur un blog visible de tous.

Divulguer, tout en étant protégé : le dilemme du hacker éthique.

La seconde difficulté n’est autre que la protection du hacker éthique. Ce dernier pourrait faire l’objet de poursuites judiciaires bien qu’il n’ait pas agi dans un objectif malveillant. Dans cette situation, il n’y a pour lui aucun intérêt à prendre le risque de se faire poursuivre pour avoir remonté à une entité (hôpital, université, TPE, scale-up, ONG, …) une faille dans son système.

Droit comparé : l’exemple belge.

Le 15 février dernier, une nouvelle loi belge est entrée en vigueur [2]. Cette nouvelle loi vient élargir l’action du lanceur d’alerte et permet notamment de favoriser le signalement de vulnérabilités, renforçant ainsi la protection des chercheurs en sécurité. Ainsi, les hackers éthiques peuvent désormais chercher des failles dans les systèmes, sans risquer par la suite d’être poursuivis. Ils n’ont plus à demander en amont une autorisation à l’organisme concerné. Toutefois, ils sont dans l’obligation de signaler par la suite la vulnérabilité qui aurait été mise à nu. Il faut pour cela avoir bien respecté les conditions qui leur sont imposées, sans quoi aucune protection ne pourra leur être appliquée. Parmi les États membres, la Belgique se démarque en offrant le cadre juridique le plus avancé pour protéger les hackers éthiques, devançant ainsi les autres pays dans ce domaine.

Le hacker : un lanceur d’alerte spécialisé dans la cybersécurité.

Un parallèle existe entre ce mode de fonctionnement et celui du lanceur d’alerte puisque la législation offre une protection juridique aux personnes qui révèlent des informations d’intérêt public. La Commission Nationale de l’informatique et des Libertés (CNIL) a mis en place un dispositif dans l’optique de recueillir les signalements des lanceurs d’alertes, via une procédure interne aux entreprises. L’objectif est ainsi de protéger les lanceurs d’alerte contre un quelconque risque de représailles. Appliquer cette législation aux hackers éthiques pourrait présenter des avantages potentiels et encourager une divulgation responsable des vulnérabilités pour promouvoir la sécurité informatique. Le hacker éthique partage des similitudes avec le lanceur d’alerte traditionnel et contribue à renforcer la protection des organisations et à prévenir les cyberattaques.

Une transmission de vulnérabilités sécurisée via un hacker identifié.

Le but est d’agir de manière collaborative et en bonne intelligence en favorisant le dialogue entre les différents acteurs en présence (Ministères, collectivités territoriales, hôpitaux, start-ups, entreprises du secteur privé, …) et les hackers éthiques. De cette manière, les données des citoyens seront dûment sécurisées dans un environnement favorisant la résolution proactive de vulnérabilités. Loin de l’image péjorative d’un hacker mû par l’appât du gain et agissant sur le darkweb dans l’anonymat le plus total, les remontées de vulnérabilités via des plateformes de Bug Bounty [3] sécurisées permettent de démystifier l’image du hacker. Celui-ci devient alors un expert en sécurité dont l’identité est connue œuvrant pour l’identification de failles tout en respectant des obligations de confidentialité clairement stipulées et acceptées par lui.

Dépasser les réticences pour se conformer à NIS2.

Il est regrettable que les entreprises, privées comme publiques se méfient de ces procédés, craignant ainsi d’avoir à faire à des black hats alors que NIS2 [4] les invite à remonter les vulnérabilités les plus critiques à l’ENISA. Mettre en place un programme de VDP, ou lancer une campagne de Bug Bounty, n’accentue en rien le risque cyber qui plane sur les entreprises, bien au contraire, les VDP vont permettre à ces dernières de prendre davantage conscience des failles qui se trouvent au sein même de leur système afin de les corriger. Pour avoir une bonne photographie de ses actifs, recourir au Bug Bounty peut avoir le rôle d’un agent révélateur de failles. Cela permet également de se mettre en conformité avec l’article 32 du RGPD en testant l’efficacité de ses mesures techniques et organisationnelles.

Tel que cité précédemment, le Bug Bounty a également un rôle à jouer, valorisant à son tour les remontées de vulnérabilités. Ce programme vient récompenser, via des primes, des chercheurs en sécurité qui sont incités à remonter les vulnérabilités d’un système les encourageant ainsi à participer de manière active à l’amélioration de la sécurité informatique. Plus la faille remontée sera critique, plus la prime sera élevée. Lorsque la prime est versée, elle est conditionnée au fait que l’expert en cybersécurité ait passé un KYC, son identité étant connue et son RIB vérifié par un prestataire de services de paiement tel que Mangopay.

Ces programmes peuvent être privés comme publics :

• Bug Bounty privé : programme permettant d’inviter une communauté de hackers préalablement sélectionnés puisqu’ils doivent généralement avoir participé à un test technique appelé Capture The Flag pour y participer. Ce test reproduit un système d’information en conditions réelles dans lequel figurent des failles, lorsque les failles sont identifiées, l’expert en cybersécurité se voit attribuer un drapeau. Les hackers n’agissent pas sous couvert d’anonymat lors de Bug Bountys et passent par un processus de KYC, leur identité est connue des entreprises ;

• Bug Bounty public : ouvert à tous les chercheurs en sécurité qui souhaitent y participer, le but étant de maximiser les chances de découvrir des vulnérabilités. Les sociétés du MAGMA (Meta, Amazon, Google, Microsoft et Apple) utilisent depuis longtemps ce type de Bug Bounty tout comme OpenAI et Airbnb.

Le recours à un hacker éthique s’avère pertinent pour renforcer la sécurité des systèmes d’information surtout quand on a à l’esprit que le paysage de la cybersécurité est asymétrique : tout le monde sera victime d’une attaque, nul ne sait quand ni quelle ampleur elle aura. Il est donc nécessaire de mettre en place un cadre juridique clair et protecteur en complément des textes déjà existants pour protéger les white hats qui apportent leur expertise tout en facilitant les remontées de vulnérabilités de manière responsable, sans causer de préjudice à quiconque.

Les programmes de Bug Bounty ainsi que les VDP permettent d’établir des moyens sécurisés pour faciliter la communication entre les chercheurs et les entreprises concernées qui travaillent ainsi en bonne intelligence. La collaboration pour agir contre les cyberattaques et donc les violations de données est aujourd’hui plus que jamais au cœur des préoccupations des acteurs de la vie économique. En dépit des réticences, il est primordial de reconnaître que ces initiatives peuvent améliorer la sécurité des entreprises privées comme publiques dans l’optique de renforcer la protection des données assurant un environnement numérique plus sûr pour tous.

Finalement, lorsque le hacker remonte les failles d’une application ou d’un site internet, il agit de la même manière qu’un juriste qui identifie les risques dans un contrat, tous deux dans l’optique de protéger leur client.

Chloé Rama, Juriste chez Yogosha Ombline Marigliano, étudiante en Master de Droit de l'Intelligence Artificielle Stagiaire chez Yogosha