Face à ces chiffres alarmants et à l’essor de cette nouvelle forme de délinquance, les entreprises investissent de plus en plus dans les mesures de protection susceptibles de sécuriser leur Système d’Information (Par « Système d’Information » il faut entendre l’ensemble organisé de ressources permettant de collecter, stocker, traiter et distribuer de l’information, en général grâce à un réseau d’ordinateurs.)
Pour ce faire, les entreprises ont bien souvent besoin de passer par l’étape préalable de l’audit de sécurité de leur système d’information par le biais d’un pentest.
Lors d’un pentest, en anglais « Penetration Test » et en français « test d’intrusion », les systèmes ou les réseaux informatiques sont soumis à un test complet visant à déterminer la sensibilité aux attaques.
Le pentester (ou « Prestataire »), utilisera alors notamment des attaques ciblées dans le but de détecter la sensibilité des réseaux ou des systèmes informatiques aux tentatives d’intrusion et de captation frauduleuse de données ; et ce, dans l’unique but d’évaluer les risques potentiels.
Toutefois, la pratique du pentest n’est pas sans risque pour le Prestataire.
1. Les risques juridiques du pentest ou « test d’intrusion » :
Les opérations menées par le pentester dans le cadre de sa mission sont intrinsèquement susceptibles de faire naître des situations de non-conformité susceptibles d’engager sa responsabilité.
S’agissant de cette responsabilité, elle sera majoritairement d’ordre contractuelle, à la fois vis-à-vis du Prestataire - en l’espèce le pentester - envers son Client mais également d’ordre délictuelle [1] vis-à-vis des tiers au contrat des tests d’intrusions dont le Système d’Information aurait été exploré par inadvertance en raison d’une absence de délimitation du périmètre du réseau à auditer.
Il est en effet courant qu’en menant une telle opération de pentest, le Prestataire pénètre involontairement dans un réseau voisin, non couvert par le champs d’application du contrat initial de ce test d’intrusion.
Mêmement, en cas d’ « investigations » menées sur un Système d’Information n’appartenant pas au Client, le prestataire pourrait commettre une infraction : celle de l’accès et du maintien frauduleux sur un « système de traitement automatisé de données », réprimée par l’article 323-1 du Code pénal.
2. Le pentester et le délit d’accès et de maintien frauduleux sur un « système de traitement automatisé de données ».
L’incrimination d’accès frauduleux nécessite en particulier de rapporter la preuve de la matérialité de l’infraction.
De manière pragmatique, les faits retenus par les Tribunaux sont d’une grande simplicité et condamnent ainsi sur ce fondement tout accès irrégulier.
Il convient toutefois de préciser que cette notion d’« accès irrégulier » est plurielle et recouvre deux acceptions :
la conception active, s’entendant comme « tous modes de pénétration » [2] ;
la conception passive : principalement matérialisée par la mise sur écoute et l’interception de paquets ou de trames circulant sur un réseau au moyen d’un sniffer (c’est à dire un logiciel pouvant lire ou enregistrer des données transitant par le biais d’un réseau).
Néanmoins, il convient encore d’être en mesure de rapporter l’intention frauduleuse de l’auteur de cette intrusion.
Le délit prévu et réprimé par l’article 323-1 du Code pénal étant volontaire, il conviendra de rapporter la preuve que l’auteur de l’infraction a pu agir « sans autorisation » et « en connaissance de cause » [3].
2-a. Le critère de « défaut d’autorisation ».
S’agissant de ce critère de défaut d’autorisation, la Cour d’Appel de Toulouse [4], a précisé que « l’absence d’autorisation expresse du maître du système » devait être patente.
La doctrine [5] a cependant précisé que ledit caractère « exprès » ne semble pas s’imposer ; et ce, au regard du fait que la présence d’un dispositif de sécurité ne saurait être considérée comme étant une des conditions de caractérisation de l’infraction [6].
A cet égard, un arrêt du TGI de Vannes datant du 13 juillet 2005 : Université de Bretagne Sud / M.A et alii a précisé que : l’infraction était « constituée dès lors qu’une personne, non habilitée, pénètre dans ce système en sachant être dépourvue d’autorisation, peu importe le mobile » [7].
2-b. Sur le critère de la « connaissance de cause ».
S’agissant du critère de la pleine « connaissance de cause », l’intrus ne doit pas avoir agi par erreur et il faut que la conscience de l’irrégularité de l’acte commis soit manifeste.
Dès lors, il convient de distinguer deux concepts - à tort - bien souvent assimilés l’un à l’autre : la volonté et le mobile.
Ce dernier étant indifférent à la qualification de l’infraction, la motivation ne supprime pas l’intention frauduleuse.
La volonté est bien ce qui détermine l’infraction, alors que le mobile tente d’en justifier la commission, d’y apporter une simple raison ou un motif.
Dès lors, il convient de souligner que la motivation de l’auteur de l’intrusion - qui s’apparente le plus généralement à la volonté d’oeuvrer à l’amélioration de l’efficience de la sécurité du système audité - ne supprime en rien l’intention frauduleuse.
La volonté est alors le critère déterminant l’infraction quand le mobile ne prend que les atours de la justification de ladite infraction.
Cela ramène alors à ce dogme du droit pénal selon lequel l’acte conscient et volontaire est intentionnel ; et ce, quel qu’en soit le mobile, que ce dernier soit noble ou vicié.
Dès lors, peut légitimement émerger la croyance selon laquelle un pentester agissant moyennant autorisation et dans le périmètre réseau d’un Client ôterait tout caractère frauduleux à une intrusion irrégulière commise par hypothèse sur le système d’information d’un tiers ou une partie de ce système dudit Client qui ne ressortirait pas en réalité de son domaine de responsabilité.
En tout état de cause, force est de constater que si une action en responsabilité pénale pour accès frauduleux était introduite, celle-ci revêtant un caractère personnel, elle pourrait alors peser directement sur les pentesters chargés de l’audit, ou alors, en vertu de l’article 323-6 du Code pénal, sur la personne morale au nom de laquelle lesdits pentesters ont agi.
Pour revenir sur les considérations ayant trait à l’invocation de la responsabilité contractuelle des pentesters, le partage de responsabilité entre le pentester prestataire et le client aura été préalablement acté entre les parties. Il conviendra alors simplement de se référer au contrat initial afin de déterminer s’il y a eu ou non un manquement contractuel.
Afin de se prémunir de ces risques, un contrat délimitant les contours de l’intervention du pentester se doit d’être méticuleusement rédigé.
3. La rédaction d’un contrat de pentest ou de « test d’intrusion ».
La pratique des professionnels de ce secteur d’activité tend à prouver que lors de la rédaction de ces contrats de pentest, le Préambule est bien souvent négligé voire absent.
Il s’agit là d’une grave erreur trop souvent commise.
En effet, le Préambule aura pour objet de décrire le contexte global dans lequel la mission du pentester sera effectuée. Il sera alors par exemple évoqué des éléments objectifs tels que le descriptif des biens sensibles du système d’information audité, le domaine d’activité du Client ou encore les raisons pour lesquelles ce dernier s’est orienté spécifiquement vers la société prestataire accomplissant le pentest.
Enfin, il convient de ne pas oublier que ce préambule contractuel aura pour but d’éclairer le juge sur l’intention des parties dans l’hypothèse où un litige serait porté devant lui.
Dans le cadre de missions de tests intrusifs, l’autorisation du Client est donc déterminante dans la mesure où c’est ce critère qui déterminera les éventuelles poursuites sur le fondement des articles 323-1 et suivants du Code pénal.
Mêmement, la clarté de la description des pouvoirs de la personne représentant la société Cliente et portant sa signature au contrat s’avère essentielle quant à la protection du pentester.
De surcroît, les parties au contrat ne doivent pas se hâter et comprendre que le lancement des opérations de test doit être figé jusqu’à l’obtention de l’ensemble des autorisations de tiers requises (le plus souvent, les sociétés partenaires du Client hébergeant une partie du système d’information objet du pentest).
S’agissant des articles constituant le corps du contrat, ces stipulations devront décrire les modalités de réalisation de la mission propre à garantir le bon déroulé des opérations menées par le pentester, à savoir :
La désignation des responsables du projet, comprenant leur identification claire ainsi qu’un moyen permettant de les joindre en cas d’urgence. En cas de découverte d’une vulnérabilité, le correspondant en charge du pentest devra alerter sans délai le client afin de lui proposer au plus vite des mesures correctives ;
La désignation des outils et techniques utilisés. Il s’agit là du listage et du descriptif sommaire des logiciels utilisés ;
Les délais de réalisation. Ces stipulations sont primordiales car elles vont permettre de borner dans le temps l’intervention du pentester et de délimiter la durée du « consentement à l’intrusion » octroyé par le propriétaire du système d’information ;
Le périmètre technique de l’intrusion. Il s’agira là de s’assurer que les contours techniques de l’intrusion soient clairs et parfaitement identifiables. Concrètement, le pentester pourra fournir le schéma de topologie du réseau qu’il est chargé d’analyser et demander au Client quels éléments lui appartiennent ; et ce, afin d’être en mesure de délimiter respectueusement son intervention ;
Création d’une phase de validation après la phase de recherche de vulnérabilité. En cas de découverte d’une faille importante de sécurité affectant le système d’information, le pentester sera contraint de solliciter une autorisation expresse du Client afin de pouvoir exploiter la vulnérabilité. De surcroît, en cas de découverte d’une telle faille, le Prestataire sera contraint d’avertir immédiatement le Client afin de lui permettre d’appliquer des correctifs et de parer toute intrusion malveillante qui pourrait survenir ;
Les ressources mises à disposition par le pentester. Cette dernière exigence tient sa justification dans le caractère intuitu personae très marqué dans le cadre de ce type de prestation. En effet, une attention méthodique doit être déployée dans le cadre du recrutement du pentester par la société cliente. La discipline étant relativement nouvelle et techniquement exigeante, il n’est pas rare que de nombreux aspirants pentesters ne disposent pas tout à fait de l’expérience requise pour certaines missions ;
Le Prestataire, se devra également de fournir un descriptif des actions qu’il a mené lors de son analyse du système d’information ; et ce, afin d’identifier au mieux le process mis en place par le pentester afin de débusquer les éventuelles failles. Un tel journal de bord, clair, lisible et didactique permettra bien souvent au Service Informatique de la société cliente de mieux identifier les manquements commis par le passé ;
Enfin, au-delà des dispositions classiques mais non moins essentielles ayant traits à la confidentialité et aux assurances, les responsabilités entre le pentester et son client se devront d’être établies.
Ainsi, ces stipulations auront pour vocation de sensibiliser le Client aux risques pouvant exister pour son système d’information et que le Prestataire - soumis à un devoir d’information, d’alerte et de conseil - lui prodigue des recommandations indispensables à la protection de ses données de toutes natures.
Au sein de ces mêmes stipulations, le pentester se devra de mettre en lumière les limites de son art et de l’obligation de moyen que ce dernier ne peut que poursuivre dans le cadre de sa mission.
Dès lors, les contours de l’intervention du pentester doivent nécessairement être définis et circonscrits à l’environnement qui lui est présenté et au moment auquel son expertise a été sollicitée.