Avec les hackeurs, on imagine souvent des groupes criminels à la recherche de vulnérabilités pour extorquer des entreprises. Pourtant, rien n'est plus faux : un grand nombre de hackeurs exercent cette profession précisément pour détecter les failles des logiciels des entreprises, sans avoir des intentions malveillantes. Cette profession est souvent qualifiée de "hackeurs éthiques". Des hackeurs qui agissent donc sur la base de normes et de valeurs partagées. Jusqu'à récemment, les hackeurs éthiques étaient punissables en Belgique s'ils fouillaient les logiciels d'entreprises belges sans mission officielle clairement définie ou sans une autorisation d'une autorité.
Plusieurs hackeurs ont déjà été poursuivis pour avoir signalé des fuites dans le cadre d'une divulgation responsable. Mais mercredi, une nouvelle loi belge est entrée en vigueur dans le but d'assouplir les règles du jeu pour les hackeurs éthiques. Ainsi, ils ne peuvent plus désormais simplement être poursuivis par les entreprises s'ils détectent des vulnérabilités dans leurs systèmes. Avec l'entrée en vigueur de cette loi, les entreprises ne doivent plus leur donner l'ordre de procéder à des piratages. Cela signifie que les hackeurs éthiques peuvent fouiner dans n'importe quelle entreprise pour vérifier la sécurité. Il y a cependant des règles strictes à respecter.
Le nouveau cadre juridique, qui est placé sous le contrôle du Centre pour la cybersécurité en Belgique (CCB), prévoit un système de signalement des vulnérabilités qui, s'il répond à des critères spécifiques, protège les hackeurs éthiques contre toute poursuite judiciaire. Conformément à la politique de divulgation des vulnérabilités (PDV) du CCB, les hackeurs éthiques doivent répondre aux critères suivants :
- les hackeurs doivent informer le propriétaire du système vulnérable dès que possible (idéalement dans les 72 heures) ;
- les hackeurs doivent soumettre un rapport de vulnérabilité au CCB dès que possible, mais pas avant d'avoir notifié le propriétaire du système vulnérable :
- les hackeurs ne sont pas tenus d'informer le CCB si l'organisation dispose déjà d'une politique de divulgation des vulnérabilités. Ils seront tout de même tenus d'informer la CCB si des difficultés surviennent ou si des entreprises ne disposant pas d'un PDV sont touchées.
- les hackeurs doivent agir sans intention malveillante ou frauduleuse ;
- les hackeurs ne doivent agir que de manière nécessaire et proportionnée :
- la plupart des politiques de divulgation des vulnérabilités déclarent que les attaques par force brute, l'ingénierie sociale et le phishing sont inutiles et disproportionnés ;
- les hackeurs ne doivent jamais mettre à la disposition du public les informations acquises lors d'un piratage éthique sans l'approbation du CCB.
Les hackeurs éthiques belges se réjouissent de l'entrée en vigueur de cette loi. « Jusqu'à présent, nous avions besoin de l'autorisation d'une entreprise pour commencer à pirater. On devait nous demander de tester la sécurité de leurs systèmes. Cela fait une dizaine d'années que j'attends cela avec impatience, mais je n'ai pas de liste d'entreprises à qui je veux donner une leçon ! Je vais pouvoir vérifier la sécurité des systèmes exploités par des entreprises dont je suis le client », a déclaré le hackeur éthique Inti De Ceukelaire. Le pirate a également déclaré qu'il ne pense pas que les hackeurs éthiques abuseront du nouveau cadre juridique belge.
Au contraire, il pense qu'il devrait devenir plus clair quelles entreprises belges ont une bonne cybersécurité et lesquelles ne l'ont pas. « En Belgique, il existe quelque 3 000 hackeurs éthiques. Ils seront désormais en mesure de découvrir si les données des citoyens ordinaires sont correctement sécurisées. Si le gouvernement présente une nouvelle application Corona, les hackeurs éthiques pourront la tester légalement. Plusieurs entreprises ignorent la question. Tant qu'il n'y a pas de problème, elles pensent qu'elles n'ont pas à résoudre quoi que ce soit et qu'elles n'ont pas besoin de mettre des fonds de côté pour le payer », a déclaré Inti.
En outre, la loi belge insiste sur le fait que les personnes qui se définissent comme étant des hackeurs éthiques ne sont pas autorisées à identifier des vulnérabilités et à envoyer ensuite une facture pour leur travail. « C'est clair dans la loi. Vous n'êtes pas autorisé à demander une récompense. Cela reviendrait à demander une rançon », explique Inti. De plus, les pirates sont également invités à garder un œil sur la législation RGPD de l'UE. Chaque fois qu'ils découvrent une vulnérabilité, ils doivent veiller au respect de la vie privée des utilisateurs de cette entreprise. L'utilisation de comptes de test est déjà recommandée par le hackeur éthique Inti.
Si la Belgique n'est pas le premier pays de l'UE à offrir des formes de protection aux hackeurs éthiques, les analystes estiment que le nouveau cadre juridique du CCB est celui qui se rapproche le plus d'une protection complète. Selon le responsable juridique du CCB, Valéry Vander Geeten, d'autres pays, comme la Lituanie, n'offrent une protection qu'en ce qui concerne les infrastructures critiques, tandis que la France et la Slovaquie n'offrent pas de "protection juridique complète". La loi française, qui date de 2014, permet à un hackeur éthique d'éviter une poursuite s'il signale de bonne foi à l'Anssi une faille qu'il a découverte dans un système donné.
Le ministère américain de la Justice a annoncé l'année dernière qu'il ne poursuivrait plus les hackeurs éthiques, revenant sur une décision prise en 2014 qui a modifié la loi sur la fraude informatique et les abus (CFAA). En Australie, alors qu'il n'existe pas de cadre juridique ou d'organisme spécifique pour protéger les hackeurs éthiques des poursuites judiciaires, il existe un certain nombre de conditions spécifiques dans la législation qui permettent aux hackeurs éthiques d'opérer. En outre, la Nouvelle-Galles du Sud a annoncé l'année dernière qu'il envisageait de modifier la législation pénale afin de promouvoir et de protéger le piratage éthique.
Source : Centre pour la cybersécurité en Belgique
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du cadre juridique belge pour les hackeurs éthiques ?
Selon vous, en quoi cette nouvelle loi pourrait-elle impacter sur les entreprises belges ?
Selon vous, les hackeurs éthiques belges vont-ils abuser de cette loi ? Comment prévenir une telle chose ?
Que pensez-vous du cadre juridique français qui n'offre qu'une protection minimale aux hackeurs éthiques contre les poursuites ?
Voir aussi
La Biélorussie légalise le piratage de films, de musique et de logiciels en provenance de pays "ennemis", en réponse aux sanctions qu'elle a subies pour avoir soutenu l'invasion russe en Ukraine
Certains pirates éthiques ne révèlent pas leurs découvertes en matière de cybersécurité, car ils ne savent pas à qui s'adresser, d'après HackerOne
Les attaques DDoS malveillantes ont augmenté de 150 % en 2022, d'après un récent rapport de Radware
Les entreprises européennes augmenteront leurs budgets de cybersécurité de 10 % d'ici à 2025 à cause de la complexité croissante des systèmes informatiques et de l'augmentation des cyberattaques