Paris 16ème
06 79 58 19 92
contact@legalbrain-avocats.fr

White hat : quels sont les risques juridiques pour les hackers blancs ?

Numérique et juridique

White hat : quels sont les risques juridiques pour les hackers blancs ?

risque juridique contre les hackers blancs

Un hacker peut-il être animé de bonnes intentions ? Au regard de la définition du terme “hacker” la réponse semble a priori négative. Emprunté de l’anglais, le mot “hack” signifie bidouiller, modifier, bricoler. A l’origine, le terme “hacker” désignait un amateur qui créait, modifiait ou transformait les systèmes informatiques. Aujourd’hui, le terme est péjorativement attribué aux personnes malveillantes qui cherchent des failles dans ces systèmes dans le but de commettre des délits (escroqueries, vols etc.). 

Serait-il alors seulement possible que des “hackers” agissent de manière bienveillante ? Oui. Ces personnes se nomment les “white hat” (ou “hacker blanc” en français). Mais existe-t-il des risques juridiques pour les hackers blancs ? Legal Brain vous répond.

Qu’est-ce qu’un white hat ?

Un white hat est un internaute qui révèle les failles de sécurité aux plateformes défaillantes. Un white hat exercerait donc la même activité qu’un hacker malveillant mais dans le but de renforcer la sécurité des plateformes qui présenteraient des failles. 

Certains pourraient penser que les “Anonymous” (célèbre groupe de hacker) sont des white hat. Or, un white hat ne passe jamais à l’offensive. Il ne fait que révéler les failles de sécurité, à l’inverse des Anonymous qui, bien que leur combat peut être considéré comme éthique, modifient bel et bien les systèmes informatiques dans le but de commettre des préjudices.

Que dit la loi sur les risques juridiques pour les hackers blancs ?

Un chapitre entier du Code pénal est consacré aux “atteintes aux systèmes de traitement automatisé de données” et vise donc spécifiquement les risques juridiques pour les hackers blancs. L’article 323-1, premier article du chapitre, réprime “le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données (STAD)”, c’est-à-dire que seront punies les personnes ayant accédé à un STAD sans autorisation. Or, c’est ce que font exactement les white hat. 

L’activité des white hat serait donc punie, selon la loi, de deux ans d’emprisonnement et de 60 000 euros d’amende. Pourtant, la plupart des white hat accèdent à ces réseaux sans aucune intention de nuire et même parfois sans avoir conscience de commettre une infraction.

Heureusement pour eux, l’article 121-3 du Code Pénal prévoit “il n’y a point de crime ou de délit sans intention de le commettre”. C’est pourquoi les juges ont relaxé certains hackers blancs lorsque leur bonne foi était caractérisée.

Un exemple de white hat relaxé

Dans la mesure où les actes commis par les white hat sont réprimés par la loi, il peut être difficile d’imaginer que les juges relaxent certains d’entre eux. Et pourtant. 

Dans une affaire Kitetoa datant des années 2000, un journaliste informatique avait trouvé des fichiers de données personnelles de clients librement accessibles sur le site internet de Tati. Tentant en vain de prévenir le magasin, il décida de publier un article sur ce problème de sécurité. La chaîne de magasins a ensuite porté plainte contre le journaliste.

Les juges ont finalement relaxé le journaliste en estimant qu’on ne pouvait reprocher à un internaute d’accéder, en utilisant un navigateur grand public, à des parties de site web qui ne sont ni protégées ni signalées comme confidentielles. A partir du moment où la plateforme ne mentionne pas que certains accès sont interdits, la personne s’étant introduite dans ces failles de sécurité ne peut être tenue responsable pénalement. En outre, le “hacker” ne doit pas causer de préjudice, ce qui n’était pas le cas en l’espèce.

Quelques exemples de white hat condamnés

Bien entendu, il existe beaucoup plus de cas où les white hat ont été condamnés pénalement, ce qui montre qu’il existe toujours aujourd’hui des risques juridiques pour les hackers blancs.

1er exemple :

Un parfait contre-exemple existe à l’affaire Kitetoa : l’affaire Bluetouff. Dans cette affaire, un internaute connu sous le pseudonyme de “Bluetouff” avait récupéré 8 giga octets de données sur le site de l’ANSES (Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail). Ces données étaient librement accessibles sur le site, tout comme dans l’affaire Tati.

Dans un premier temps, le tribunal correctionnel a suivi la jurisprudence Tati en estimant que l’ANSES n’avait « pas manifesté clairement l’intention de restreindre l’accès aux données récupérées ». Pourtant, “Bluetouff” a été condamné. Pourquoi un tel revirement de jurisprudence ?

Ce revirement s’explique par une prise de conscience d’une meilleure protection des données. Tati est une entreprise privée tandis que l’ANSES est un établissement public français appartenant au ministère, ce qui lui confère une protection spéciale selon les juges. Accéder à un ordinateur non protégé par un mot de passe et y copier des données n’est donc pas condamnable si ces données ne font pas l’objet d’une protection spécifique comme le secret de la Défense Nationale ou celle applicable au Potentiel Scientifique et Technique de la Nation. 

De plus, dans l’affaire Bluetouff, l’internaute a avoué être arrivé par hasard sur la page web litigieuse avant de prendre conscience que cet accès était interdit. La prise de conscience de cette interdiction ne l’avait pourtant pas empêché de copier les données de santé présentes sur l’ANSES. Donc, si l’intention n’était pas frauduleuse, le maintien, en revanche, l’était. De plus, le vol de données a été caractérisé ici.

2e exemple :

Quatre étudiants avaient réussi, grâce à un logiciel de décryptage de mot de passe, à récupérer les mots de passe d’autres utilisateurs de l’université. Pour justifier la possession d’un logiciel de décryptage de mot de passe, les étudiants plaidaient le but pédagogique de l’opération. L’article 323-3-1 du Code pénal réprime, notamment, le fait de posséder un programme informatique destiné à commettre des infractions informatiques, à moins d’avoir un motif légitime.

Pour les plaignants, le motif légitime était l’enseignement. Or, le fait d’apprendre à accéder aux comptes de tiers ne s’inscrivait dans aucun cursus de l’établissement et avait été réalisé sans que les responsables ne soient au courant.

3e exemple : 

Après avoir informé Microsoft d’une faille de sécurité sur un de leur logiciel, un informaticien avait publié un article sur le site de sa société qui montrait comment exploiter la faille découverte. Le tribunal condamne l’informaticien au motif que ce genre d’informations auraient dû rester confidentielles.

Pour sa défense, l’informaticien arguait qu’il avait publié l’article dans le but d’avertir ses abonnés de la faille. Les juges ont estimé que l’informaticien ne pouvait ignorer que ce genre de révélation pouvait permettre à des utilisateurs malveillants de nuire à la société Microsoft. De plus, relevant par ailleurs que cet internaute percevait des revenus publicitaires proportionnels au nombre de visiteurs de son site, et qu’il avait donc intérêt à accroître son audience par la publication d’informations sensibles, la cour a rejeté l’excuse de la bonne foi.

Peut-on espérer voir une plus grande clémence des juges envers les white hat à l’avenir ?

Le fait de révéler une faille de sécurité dans le but d’aider les organismes doit-il toujours à l’avenir être considéré comme une infraction ? Si aucun préjudice n’existe ni vis-à-vis de la société, ni vis-à-vis d’une personne physique ou morale, pourquoi maintenir cette infraction ? En effet, face à la numérisation accrue des services, il peut être utile pour la société d’anéantir toute forme de risques juridiques pour les hackers blancs.

Lors des débats sur la loi Lemaire ( dite “la loi pour une République numérique”) des propositions sur le statut des white hat avaient émergé de l’hémicycle. Un parlementaire avait notamment proposé de créer un nouvel article prévoyant : « Toute personne qui a tenté de commettre ou commis le délit prévu au présent article est exempte de peine si elle a immédiatement averti l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause d’un risque d’atteinte aux données ou au fonctionnement du système. »

La rédaction de cet article suscitait de nombreuses questions et certains parlementaires estimaient même qu’il ouvrait la porte à un plus grand nombre de commissions d’infractions. Cet article aurait en effet permis, par la simple prévention d’une autorité, de commettre des infractions numériques.

Ainsi, la proposition a été remanié et l’article L.2321-4 du Code de la défense aujourd’hui en vigueur dispose que : “Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable aux services de l’État, définis par le Premier ministre, lorsqu’ils sont informés de l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données, par une personne agissant de bonne foi et en l’absence de publicité de l’information.” L’identité du lanceur d’alerte reste confidentielle.

Cet article a deux avantages par rapport à la première proposition. D’une part, aucune poursuite pénale ne pourra être engagée à l’encontre d’un white hat de bonne foi ayant informé l’ANSSI d’une faille informatique. D’autre part, le fait d’informer l’ANSSI pourra tempérer les ardeurs de l’entreprise lors d’une éventuelle plainte.

Le législateur a donc entendu les white hat et une meilleure protection juridique leur est aujourd’hui consacrée. Toutefois, le comportement de bonne foi des white hat doit demeurer, ce qui sous-entend qu’aucune copie des données ou publication révélant la faille ne sera tolérée même postérieurement à l’avertissement de l’ANSSI. Cette dernière est seule compétente dans la gestion du problème technique.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.