Depuis la mi-février, une nouvelle loi protège en Belgique le hacker éthique. Mais quel sens donne-t-on précisément à l’adjectif « éthique » ?

Jusqu’ici interdit, le piratage éthique est désormais autorisé en Belgique sous certaines conditions telles que le signalement en temps opportun et l’absence d’auto-profit. Ce changement de paradigme est souligné comme une première en Europe.

Avec la nouvelle loi, entrée en vigueur le 15 février 2023, le hackeur éthique peut désormais fureter dans les systèmes informatiques de n’importe quelle entreprise belge pour en vérifier la sécurité. Il peut le faire sans demander l’autorisation à une quelconque entité, à condition de signaler par la suite toute faille ou bug à l’entreprise concernée ou à l’autorité compétente.

C’est reconnaitre le statut de hacker éthique, lequel opérait jusqu’ici dans une zone grise. C’est délimiter, aussi, un cadre d’action. En revanche, rien sur sa responsabilité. « Je crains le risque de casse, le risque de détérioration, anticipe Ben Van Erck, CEO, Refracted Security. A savoir les conséquences de l’usage non-maîtrisé d’outils qui, pour certains, sont très puissants et pourraient impacter défavorablement des applicatifs et, par conséquent, mettre à mal une organisation. Involontairement, certes. Mais le risque est réel. C’est toute la différence entre un hacker éthique et un pen-testeur ; le second est un professionnel aguerri qui agit dans le cadre d’une mission clairement délimitée qui engage sa responsabilité. »

Entre amateurisme et professionnalisme

C’est la question de la professionnalisation qui est ici posée. La loi belge insiste sur le fait que la personne qui se définit comme étant un hackeur éthique n’est pas autorisée à monnayer ses recherches. La précision est nécessaire.

« Floue, l’appellation ‘éthique’ a tours été malmenée, estime Peter Braem, CEO, Cyber Security Management. Le hacker éthique est-il encore un ‘chevalier blanc’, une incarnation des valeurs morales ? » La question mérite d’être posée. La loi ne le dit pas. « La communauté hacker est aujourd’hui au cœur d’un système industriel ; la population hacker est devenue une ressource d’autant plus nécessaire que les compétences en cybersécurité sont rares et donc les bienvenues », note Ben Van Erck. De là, d’ailleurs, l’essor des « chasseurs de primes » du bug bounty.

Philosophiquement, la notion de hacker éthique devrait davantage tenir de l’engagement ; en soi, c’est un état d’esprit. Cela ne désigne donc aucun métier ; il est parfaitement possible d’être hacker éthique sans travailler dans la sécurité informatique. A l’opposé, le pen-testeur, lui, est d’abord un consultant ou auditeur. Sa mission consiste à rapporter au client une vision précise du niveau de sécurité de son système d’information en se basant sur les faits, puis de le conseiller et l’aider à améliorer sa sécurité. Le pen-testeur intervient dans le strict respect de la loi, les règles fixées par le commanditaire de l’audit et a un devoir de confidentialité

Un cadre, pas un blanc-seing

Le cadre juridique, placé sous le contrôle du CCB (Centre pour la Cybersécurité en Belgique), prévoit un système de signalement des vulnérabilités qui, s’il répond à des critères spécifiques, protège le hacker éthique contre toute poursuite judiciaire. Il devra informer le propriétaire du système vulnérable dès que possible (idéalement dans les 72 heures) ; soumettre un rapport de vulnérabilité au CCB dès que possible, mais pas avant d’avoir notifié le propriétaire du système vulnérable. Il ne sera toutefois pas tenu d’informer le CCB si l’organisation dispose déjà d’une politique de divulgation des vulnérabilités… mais le fera si des difficultés surviennent ou si des entreprises ne disposant pas d’une politique de divulgation des vulnérabilités sont touchées. La loi précise encore que le hacker éthique n’agira que de manière nécessaire et proportionnée. Et sans intention malveillante ou frauduleuse.

Bref, ce n’est en rien un blanc-seing pour s’introduire de n’importe quelle manière dans les systèmes. Jusqu’à récemment, le hacker éthique était punissable en Belgique s’il fouillait les logiciels d’entreprises belges sans mission officielle clairement définie ou sans une autorisation d’une autorité.

Et si le hacker éthique n’était pas… éthique ?

La volonté du législateur a été d’encadrer une pratique qui peut s’avérer précieuse en termes de sécurité informatique. Jusqu’ici, il existait un cadre juridique autorisant les « intrusions de courtoisie ». Mais cette procédure était très peu utilisée, donc insuffisamment efficace. D’où l’idée d’autoriser les intrusions « bienveillantes » même si elles proviennent des pirates eux-mêmes. « On sort d’une ‘zone grise’ »,  constate non sans satisfaction Ben Van Erck.

Il n’empêche. Quid si un hacker éthique n’était pas si… éthique ? Quid s’il tente de monnayer ce qu’il a identifié ? En somme, quid s’il essaie de se faire payer à l’instar de ses congénères du bug bounty, qui, eux, légalement, rémunèrent leurs trouvailles ? Pour Peter Braem, le risque n’est pas nul. « Quand devenir chasseur de primes ? Quand vivre confortablement et honnêtement du piratage informatique ? » Loin l’idée de négliger l’apport du bug bounty, qui répond à une demande. Avec des rapports de faille clairs et immédiatement activables, accompagnés d’un « proof of concept » qui illustre la façon dont la faille pourrait être exploitée à des fins malveillantes, il devient aisé pour quiconque dans l’entreprise de réaliser ce que peut être concrètement une attaque informatique à travers un exemple concret, qu’ils peuvent même parfois reproduire par eux-mêmes.

Bref, si la loi protège le hacker éthique, les entreprises s’interrogent toujours. Qui entendre ? A qui se fier ? Comment faire ? Ce n’est pas un chemin, mais plusieurs qui leur sont proposés. Et ce n’est pas l’adjectif « éthique » qui rassure.