Hackeur éthique : entre légalité et illégalité des intrusions, que dit le droit ?
Le hacking éthique, ou white hat hacking, est une pratique clé pour la cybersécurité. Contrairement aux black hats, ces experts détectent légalement les failles des systèmes d’information et les signalent afin qu’elles soient corrigées. Leurs missions – tests d’intrusion, analyses de vulnérabilités, audits de sécurité – sont désormais incontournables face à l’essor des cyberattaques. En 2020, le nombre de hackers éthiques a bondi de 63 %, tandis que les cyberattaques mondiales ont explosé de 38 % en 2022.
Alors que certains experts en ont fait carrière, d’autres revendiquent et utilisent le statut de white hat pour couvrir des intentions peu vertueuses. C’est pourquoi il est nécessaire d’encadrer les pratiques autours du white hacking de manière générale, et ce, y compris au plan mondial. En effet, les procédures pour le reporting de vulnérabilités volontaires sont différentes suivant les pays. Par exemple, dans l’Union européenne, la réglementation autour du hacking éthique est hétérogène. Certains États membres, comme la France, sont en train de structurer un cadre légal pour encadrer cette pratique en s’appuyant sur des mécanismes de signalement, tandis que d’autres pays n’ont pas encore envisagé le sujet.
Deux grandes situations se présentent généralement lorsqu’une vulnérabilité est découverte par une personne :
- soit elle est découverte dans le cadre d’un programme de bug bounty, à l’image de ceux proposés par YesWeHack, où il est possible – par exemple – de signaler des vulnérabilités, pour les bug bounty publics, via des rapports directement en ligne dans le cadre de la campagne,
- soit elle est découverte en dehors de tout cadre officiel de recherche de failles de sécurité par l’acteur concerné.
Selon le contexte de découverte de la vulnérabilité, la responsabilité du hacker éthique peut varier, soulevant des questions sur la légalité de ses actions, ses intentions véritables, les obligations légales de signalement et le bon respect de la procédure de signalement mise en place. Le mécanisme de signalement des failles de sécurité est un élément essentiel du régime juridique encadrant les activités de hacking éthique.
Le statut juridique de hackeur éthique vs la réglementation liée à l’activité de signalement éthique de failles de sécurité
Le hacking éthique repose sur une contradiction apparente : il vise à renforcer la sécurité numérique tout en s’appuyant sur des pratiques d’intrusion qui, dans d’autres contextes, seraient considérées comme illégales. Aujourd’hui, l’absence d’un cadre juridique mondial et harmonisé peut exposer les hackers éthiques à des poursuites potentielles dans certains pays.
Face à cette incertitude juridique, deux approches peuvent être discutées. La première consisterait à accorder aux hackers éthiques un statut juridique similaire à celui des lanceurs d’alerte, leur offrant des protections spécifiques liées à ce statut en cas de signalement de failles. La seconde privilégierait un cadre global de signalement éthique, garantissant que toute personne signalant une vulnérabilité de bonne foi bénéficie d’une protection juridique, indépendamment de son statut. Chacune de ces options présente des avantages et des limites en matière de reconnaissance et de responsabilisation des acteurs.
Si une meilleure protection des hackers éthiques semble indispensable, elle ne doit pas pour autant ouvrir la porte à des abus. Un cadre trop permissif risquerait d’encourager des pratiques opportunistes, tandis qu’un encadrement trop strict pourrait décourager le signalement de vulnérabilités critiques. L’enjeu est donc de trouver un équilibre entre la reconnaissance du rôle clé des hackers éthiques et la mise en place de garde-fous pour éviter toute dérive. Une régulation harmonisée, à l’échelle européenne ou internationale, pourrait offrir une solution adaptée aux défis actuels de la cybersécurité.
L’approche française du hackeur éthique
Le cadre juridique français encadre le signalement éthique des failles de sécurité informatique et vise à protéger les personnes de bonne foi qui transmettent à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.
Le législateur français n’a pas reconnu de statut juridique particulier aux hackers éthiques, mais il a cherché à établir un cadre juridique clair et pragmatique qui repose sur l’intentionnalité et l’honnêteté de la personne qui signale : la bonne foi.
Le principe de bonne foi est un élément clé car il permet de discuter de l’intention réelle derrière l’intrusion. La bonne foi est conditionnée – en partie – par un signalement exclusif à l’ANSSI, notamment via le canal du CERT-FR. Concrètement, pour considérer un signalement comme éthique, et échapper à des condamnations pénales, il faut que le hackeur divulgue son signalement uniquement auprès de l’ANSSI selon la procédure en place à l’exclusion de tout autre acteur. Le principe juridique de bonne foi permet d’avoir une appréciation pratique et flexible du caractère honnête du signalement. Le but ? Éviter les abus.
En France, des initiatives récentes montrent une évolution positive sur l’inclusion de ces thématiques. Par exemple, la Direction interministérielle du numérique (DINUM) a mis à jour ses programmes de Bug Bounty pour renforcer la sécurité de la messagerie instantanée sécurisée Tchap et des systèmes d’authentification FranceConnect, FranceConnect+ et ProConnect. Cette démarche, en partenariat avec YesWeHack, vise à encourager les hackeurs éthiques à identifier et signaler les failles de sécurité, en augmentant significativement les primes offertes pour les vulnérabilités critiques.
Une approche commune à l’échelle de l’Union européenne est-elle suffisante ?
À ce jour, l’Union européenne ne dispose pas d’un cadre juridique harmonisé encadrant le hacking éthique. Cette absence entraîne une hétérogénéité des approches selon les États membres, générant des incertitudes pour les chercheurs en cybersécurité. Certains pays ont pris les devants, comme la France ou encore la Belgique, qui a publié des lignes directrices dès 2023 et lancé des initiatives innovantes telles que Hack the Government 2024, visant à renforcer la cybersécurité nationale tout en impliquant les hackeurs éthiques.
Si la directive NIS 2, adoptée en 2022, encourage des actions visant à sécuriser les systèmes d’information, elle ne prévoit pas encore de cadre spécifique pour le hacking éthique. Toutefois, l’ENISA, l’Agence de l’Union européenne pour la cybersécurité, joue un rôle clé dans la promotion d’une approche commune. Elle a notamment publié un rapport sur les politiques de divulgation coordonnée des vulnérabilités (CVD) dans l’UE, soulignant les disparités entre États membres et appelant à une meilleure protection des chercheurs en sécurité. L’ENISA encourage ainsi l’adoption de cadres juridiques facilitant la coopération entre les parties prenantes (entreprises, chercheurs, institutions publiques) et garantissant un environnement sécurisé pour le signalement des vulnérabilités. Plusieurs États membres ont commencé à formaliser leurs propres politiques CVD, mais sans cadre contraignant au niveau européen, ces initiatives restent disparates. En parallèle, l’ENISA organise des événements comme le Cyber Security Challenge qui favorise une convergence progressive des pratiques sans imposer de réglementation rigide.
Au-delà des initiatives européennes, plusieurs normes et recommandations internationales encouragent une harmonisation mondiale. Les normes ISO/IEC 29147 et ISO/IEC 30111 définissent respectivement les bonnes pratiques en matière de divulgation et de gestion des vulnérabilités, offrant ainsi un socle commun applicable à l’échelle internationale. Il est important d’avoir une approche mondiale de la cybersécurité et du hacking pour avoir un réel impact, comme nous le signale Guillaume Vassault-Houlière, co-fondateur de YesWeHack. En effet, en raison du caractère transfrontalier du numérique, limiter les approches réglementaires aux seules frontières est incohérent avec la matière. C’est un effort international qui doit être fait pour favoriser le commerce international numérique.