DANS LE MONDE DE LA CYBERSÉCURITÉ, LES « HACKEURS ÉTHIQUES », OU « WHITE HATS », ONT UN RÔLE ESSENTIEL À JOUER. CES CHEVALIERS BLANCS, ARMÉS DE LEURS ORDINATEURS ET DE LEUR SAVOIR-FAIRE, TESTENT LES SYSTÈMES D’INFORMATION AFIN D’IDENTIFIER LEURS VULNÉRABILITÉS, INFORMER LE RESPONSABLE ET LUI PERMETTRE DE RENFORCER LA SÉCURITÉ DE SES SYSTÈMES.

Les hackers éthiques, auréolés d’une morale sans faille, bénéficient d’une image positive dans l’écosystème de la cybersécurité. Cependant, s’ils pensent que leurs intentions honorables les protègent, ils peuvent tomber de haut lorsqu’ils reçoivent une convocation au commissariat ou lorsque la police frappe (plus ou moins doucement) à leur porte.

Car il faut comprendre que le droit n’est pas la morale. Juridiquement, l’activité de hacker éthique soulève des questions complexes. Même armée des meilleures intentions, la pénétration dans un système d’information, lorsqu’elle n’est pas sollicitée, reste un délit sanctionné par le Code pénal. Cependant, sous certaines conditions qu’il convient de détailler, cette activité peut bénéficier d’un statut protecteur et éviter la répression.

DÉFINITION ET RÔLE DU HACKEUR ÉTHIQUE

On distingue généralement deux types de hackers. Le « hacker éthique » ou « white hat » et le « cracker » ou « black hat ». Leurs compétences et techniques sont proches; ce sont surtout leurs intentions qui les distinguent. Le « black hat » tente de contourner les mesures de cybersécurité afin de les exploiter et d’en retirer un avantage (ransomware, collecte de données confidentielles, utilisation non autorisée d’un logiciel, perturbation des systèmes, usurpation d’identité, escroquerie, etc.). Les motivations de ces derniers sont parfois purement pécuniaires, elles peuvent aussi être guidées par des considérations patriotiques, des engagements militants ou parfois un peu de tout ça à la fois. Certains agissent seuls, quand d’autres agissent en groupes plus ou moins structurés.

À l’inverse, le « white hat » ou « hackeur éthique » utilise à peu près les mêmes techniques de contournement des mesures de sécurité, mais dans le but d’identifier les failles des systèmes d’information, de les analyser, et d’en informer le responsable afin de lui permettre de prendre les mesures appropriées.

Évidemment, dans la réalité, le chapeaux des individus changent parfois de couleur en fonction des opportunités, si bien qu’on parle parfois de « grey hat » pour ceux dont le positionnement sur cet échiquier est fluctuant.

I – L’APPLICATION DU DROIT PÉNAL AUX ACTIVITÉS DE HACKEUR ÉTHIQUE

Les activités des hackeurs, qu’elles soient éthiques ou non, peuvent constituer matériellement des infractions pénales. De nombreuses infractions non spécifiques au monde numérique peuvent s’appliquer. On pense notamment aux délits d’escroquerie, d’abus de confiance, de contrefaçon, d’usurpation d’identité, d’atteinte à un secret protégé par la loi ou encore d’extorsion de fonds. Cependant, ce type de comportement relève d’une exploitation mal intentionnée des failles de sécurité et concerne plutôt les « black hats ». Ici, nous nous intéresserons en particulier aux infractions qui peuvent s’appliquer aux « hackeurs éthiques », c’est à dire celles réalisées alors même qu’il n’y a pas d’intention de nuir.

ATTEINTES AUX STAD

Des infractions spécifiques sont prévues par le Code pénal concernant les atteintes au système de traitement automatisé de données (STAD). Pour commencer, qu’est-ce qu’un STAD ? 

Cette notion n’est pas définie dans le Code pénal. Lors des travaux préparatoires, le Sénat avait proposé une définition qui n’a finalement pas été retenue. Elle permet néanmoins de brosser les contours de la notion : « on doit entendre par système automatisé de données tout ensemble composé d’une ou plusieurs unités de traitement, de mémoires, de logiciels, de données, d’organes d’entrées-sorties et de liaisons, qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs déterminés » (Doc. AN 1987-1988, n°1009).

Les juges ont eu l’opportunité de préciser ce qui constituait un STAD. La jurisprudence a ainsi pu considérer que cela vise aussi bien un logiciel (Douai, 7 oct. 1992, JCP E 1994. I. 359), qu’un ordinateur (Cass. crim., 16 janvier 2018, n°16-87.168), qu’un réseau de communications électroniques, qu’un site internet (TGI Lyon, 27 mai 2008) ou un extranet (Cass. crim., 20 mai 2015, n°14-81.336). En définitive la notion de STAD est large et permet d’englober tout ensemble informatique permettant de collecter, traiter, stocker ou transmettre des données de façon automatisée.

. On distingue trois typologies d’atteinte au STAD :

  • Accès frauduleux et maintien dans un STAD (Art. 323-1 du Code pénal) Le fait de s’introduire et de se maintenir dans un système d’information en contournant les mesures de sécurité est puni de 3 ans d’emprisonnement et de 100 000 euros d’amende.
  • Atteinte à l’intégrité des systèmes (Art. 323-2 du Code pénal) Le fait d’entraver ou de fausser le fonctionnement d’un STAD est puni de 5 ans d’emprisonnement et de 150 000 euros d’amende.
  • Extraction ou reproduction des données (Art. 323-3 du Code pénal) Le fait d’introduire frauduleusement des données dans un STAD, d’extraire, de détenir, de reproduire ou de transmettre, frauduleusement, les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende. À noter que la jurisprudence a retenu par le passé l’infraction de vol de données sans dépossession (voir la jurisprudence Bluetouff). Cependant, cette jurisprudence venait pallier l’absence de disposition spécifique dans le Code pénal sanctionnant le vol de données numériques. Depuis, l’article 323-3 du Code pénal a été modifié afin de viser ces faits et la juriprudence concerant le vol de donnée numérique devrait donc tomber en désuétude. 

Au regard du droit pénal, les infractions d’atteinte au STAD sont constituées à partir du moment où :

  • L’atteinte au STAD s’est réalisée (élément matériel).
  • La personne avait la volonté de réaliser cette atteinte (élément moral).

Si vertueuses que soient les intentions des « white hats », leur activité les conduit nécessairement à contourner (ou tenter de contourner) des mesures de sécurité des systèmes d’information. Cela constitue, en soi, une atteinte au STAD réprimée par le Code pénal. Le mobile, c’est-à-dire les raisons qui poussent la personne à agir, est, par principe, indifférent pour caractériser l’infraction. En matière d’atteinte au STAD, un arrêt de la Cour de Cassation du 8 décembre 1999 (n°98-84.752) fait application de ce principe en précisant que « le seul fait de modifier ou supprimer, en violation de la réglementation en vigueur, des données contenues dans un système de traitement automatisé caractérise le délit prévu à l’article 323-3 du Code pénal, sans qu’il soit nécessaire (…) que leur auteur soit animé de la volonté de nuire ». L’atteinte au STAD est constituée peu importe que l’intrusion dans le système d’information ait été faite pour en retirer un avantage personnel ou pour permettre au responsable de renforcer ses mesures de sécurité. 

L’absence ou l’insuffisance des mesures de sécurité n’est pas non plus de nature à écarter totalement la responsabilité des hackeurs. C’est ce que nous enseigne notamment la jurisprudence Bluetouff. Dans cette affaire, la Cour de cassation a estimé que, même si la personne avait pu accéder au STAD à cause d’une défaillance technique (en l’espèce, via un simple moteur de recherche) et que cela permettait d’exclure l’accès frauduleux, la conscience de la personne de s’être maintenue dans ce système, alors qu’il aurait normalement nécessité un mot de passe pour y accéder, permettait de constituer le délit de maintien frauduleux (Cass. crim., 20 mai 2015, n°14-81.336, et voir aussi Cass. crim., 10 mai 2017, n°16-81.822, dans le même sens).

LES AUTRES INFRACTIONS APPLICABLES

En fonction des circonstances et du type de données auxquelles le hackeur a accès, d’autres infractions sont susceptible d’être caractérisées, quand bien même le hackeur n’aurait pas l’intention de nuire :

  • Traitement illicite de données personnelles : Si, dans le cadre de leur intrusion, les hackeurs ont accès à des données personnelles, cela constitue également un traitement illicite de données personnelles, sanctionné par l’article 226-16 du Code pénal.
  • Atteinte au secret : De nombreux secrets bénéficient d’une protection, et la divulgation de ceux-ci est sanctionnée, notamment par les articles 226-13 à 226-15 du Code pénal.
  • Contrefaçon des droits des producteurs de bases de données : L’extraction non autorisée d’une partie substantielle d’une base de données est sanctionnée.
  • Contrefaçon de droits d’auteur : La reproduction illicite de logiciels ou d’œuvres protégées est réprimée.
  • Vol de données : Bien que surprenant, la jurisprudence a consacré le vol de données comme un délit (Art. 311-1 du Code pénal), même sans dépossession (affaire Bluetouff). Cette qualification tend à être supplantée par l’article 323-3.
  • Divulgation publique de la faille de sécurité : la divulgation publique des informations concernant les failles de sécurité peut également faire l’objet d’une sanction pénale distincte par l’article 323-3-1 du Code pénal, qui réprime le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, de mettre à disposition toute donnée conçue ou spécialement adaptée pour permettre une intrusion dans un STAD. 

Les activités de hacking, même éthiques, ne sont donc pas sans risque pénalement. Le Code pénal ne distingue pas la couleur des chapeaux. Les bonnes intentions du hackeur ne sauraient suffire à assurer sa protection juridique. Il ne faut pas pourtant en déduire que le droit pénal est hermétique aux intentions qui animent le hackeur. Cela sera nécessairement pris en compte lors de la détermination de la peine applicable, mais cela interviendra dans un second temps, après que l’infraction ait été caractérisée. Les juges pourront alors être sensibles aux motivations de la personne et cela sera probablement de nature à réduire le quantum de la peine.

Il existe cependant un moyen pour les hackeurs d’éviter d’engager leur responsabilité pénale : le contrat.

 

II – LA PROTECTION CONTRACTUELLE DES HACKEURS : PENTEST ET BUG BOUNTY

Les accords contractuels sont la principale protection juridique offerte au hackeur, afin d’éviter d’engager sa responsabilité pénale. En établissant le consentement explicite du propriétaire du système, ces accords éliminent le caractère « frauduleux » des atteintes au STAD et empêche donc que soit caractérisée l’infraction.

On distingue plusieurs typologies d’accords :

  • Les pen test. C’est le cas dans lequel une entreprise privée vient directement solliciter une autre entreprise pour la réalisation d’un test de pénétration permettant d’identifier les potentielles failles de sécurité. 
  • Les programmes de bug bounty public. Ce sont des programmes publics de signalement des vulnérabilités participatifs mis en place par les entreprises. Les hackeurs qui signalent les failles de sécurité à l’entreprise sont récompensés par l’octroi d’une prime, qui varie généralement en fonction de la faille identifiée. Ces programmes sont généralement lancés par le biais de plateformes comme Yes We Hack ou Bounty Factory, qui jouent le rôle d’intermédiaires entre les chercheurs en sécurité et les entreprises qui souhaitent tester leur dispositif de cybersécurité. Ces dispositifs sont souvent utilisés en complément des pentests afin de tester sur la durée les mesures de sécurité en place.

Dans les deux cas, les contrats doivent définir les système à tester, les méthodes autorisées, contenir des obligations de confidentialité concernant les données qui pourront être collectées et préciser les procédures de signalement des vulnérabilités ainsi que la responsabilité des hackers.

Une attention particulière doit être portée à la rédaction de ces accords. Une simple obligation large de réaliser des tests de pénétration est insuffisante pour garantir les intérêts des parties. Ce contrat devra, a minima, préciser :

  • Le champ d’application : Les systèmes ou réseaux à tester par le hacker.
  • Les méthodes autorisées : Tests d’intrusion, analyse de code, afin d’éviter les méthodes susceptibles d’impacter négativement le fonctionnement du système d’information de l’entreprise.
  • L’obligation de signalement ainsi que ses modalités pratiques, notamment la structuration des rapports communiqués.
  • La confidentialité des informations obtenues : obligation de non-divulgation des informations obtenues dans le cadre de la mission à des tiers sans autorisation.
  • Limites de responsabilité : prévoir les limites de responsabilité du hacker, notamment en cas d’impacts négatifs des tests sur le système d’information de l’entreprise.

Pour ne pas engager leur responsabilité, les hackers éthiques doivent agir strictement dans les limites contractuelles définies, d’où la nécessité d’un contrat clair et précis, aussi bien pour le hacker que pour la société qui souhaite faire tester son système d’information. Dans le cas où le contrat ne serait pas respecté, outre sa responsabilité pénale, le hacker pourra voir sa responsabilité contractuelle engagée.

En dehors de tout accord contractuel, il existe également des dispositifs légaux qui permettent aux hackeurs éthiques de limiter leur responsabilité pénale. Néanmoins, ces dispositifs sont très strictement encadrées et ne permettent pas d’exclure totalement un risque de poursuite.

III- LA PROTECTION LÉGALE DES HACKEURS ÉTHIQUES ?

Dans la loi pour une République numérique, a été introduite une mesure visant à apporter une certaine protection aux hackers éthiques. Cependant, cette protection est loin d’être parfaite et obéit à des conditions strictes.

À certains égards, les hackers éthiques pourraient également être assimilés à des lanceurs d’alerte lorsqu’ils signalent des vulnérabilités qui, dans certains cas, concernent la sécurité publique ou sont d’intérêt général. Pourtant, l’application de la loi Sapin II (loi n° 2016-1691 du 9 décembre 2016), qui a introduit un cadre initial pour la protection des lanceurs d’alerte, renforcé par la loi Waserman (loi n° 2022-401 du 21 mars 2022), n’offre pas de protection spécifique pour les hackers éthiques, comme en Belgique.

A. DISPOSITIONS DE LA LOI POUR UNE RÉPUBLIQUE NUMÉRIQUE

La seule disposition spécifique a été introduite par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique. Elle vise à protéger les hackers qui signalent des vulnérabilités à l’ANSSI. L’article L2321-4 du Code de la défense prévoit ainsi que :

  • Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du Code de procédure pénale (obligation des autorités de dénoncer les crimes ou les délits dont elles ont connaissance) n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule Autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.
  • L’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.
  • L’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés, aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information.

Cette disposition protège les hackers éthiques contre les poursuites pour accès frauduleux, sous réserve de respecter les critères de bonne foi, de signalement rapide, et de non-divulgation. Toutefois, ce régime ne prévoit pas l’irresponsabilité pénale, mais uniquement l’absence d’obligation de dénoncer la personne qui viendrait de bonne foi informer l’ANSSI d’une faille de sécurité. Ainsi, l’autorité conserve la possibilité de dénoncer les faits, en particulier si elle estime que le hacker n’est pas de bonne foi. Rien n’empêche, par ailleurs, le responsable du système d’information de porter plainte s’il a connaissance de l’intrusion. La protection offerte est donc tout à fait relative.

Cela est d’autant plus vrai que la protection ne s’applique que si la divulgation a été faite uniquement à l’ANSSI. Dans le cas où le hacker aurait également informé la société propriétaire du système d’information ou aurait divulgué la faille de façon publique, l’absence d’obligation de dénonciation de l’ANSSI disparaît.

Dans ces cas spécifiques, se pose donc la question de savoir si le hacker ne pourrait pas bénéficier en plus de la protection offerte aux lanceurs d’alerte.

B. LA PROTECTION AU TITRE DE LANCEUR D’ALERTE ?

Le lanceur d’alerte est défini à l’article 6 de la loi Sapin II, telle que modifiée, comme « une personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, une violation ou une tentative de dissimulation d’une violation d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, du droit de l’Union européenne, de la loi ou du règlement ».

L’article 122-9 du Code pénal prévoit un dispositif spécifique d’irresponsabilité pénale pour les lanceurs d’alerte. Cette irresponsabilité est très circonstanciée. Elle concerne uniquement certains délits et obéit à des conditions strictes : 

 

« N’est pas pénalement responsable la personne qui porte atteinte à un secret protégé par la loi, dès lors que cette divulgation est nécessaire et proportionnée à la sauvegarde des intérêts en cause, qu’elle intervient dans le respect des conditions de signalement définies par la loi et que la personne répond aux critères de définition du lanceur d’alerte (…).N’est pas non plus pénalement responsable le lanceur d’alerte qui soustrait, détourne ou recèle les documents ou tout autre support contenant les informations dont il a eu connaissance de manière licite et qu’il signale ou divulgue dans les conditions mentionnées au premier alinéa du présent article.

Le présent article est également applicable au complice de ces infractions. »

L’irresponsabilité ne concerne donc que les délits suivants :

  • Les atteintes au secret (art. 226-13 à 226-15 du Code pénal). Cependant, cela ne couvre pas les informations couvertes par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client.
  • Le vol de données (art. 311-1 du Code pénal) ou l’extraction frauduleuse de données (art. 323-3 du Code pénal).
  • L’abus de confiance (art. 314-1 du Code pénal).
  • Le recel de données volées ou extraites frauduleusement (art. 321-1 du Code pénal).

Concernant ces trois derniers délits, encore faut-il que les données aient été obtenues de façon licite, c’est-à-dire sans contournement de mesures de sécurité destinées à garantir la confidentialité de ces données. Cette condition semble difficilement remplies concernant les activités des hackers, qui visent justement à contourner les mesures de sécurité mises en place.

Par ailleurs, il faut que la divulgation soit effectuée selon les canaux spécifiquement prévus par la loi, à savoir :

  • Signalement interne (utilisation des processus internes de l’entreprise spécifiquement dédiés aux lanceurs d’alerte).
  • Signalement externe (signalement à une autorité compétente, ici l’ANSSI ou la CNIL).
  • Divulgation publique, mais uniquement dans les cas :
    • où un signalement externe a déjà été effectué et qu’aucune mesure appropriée n’a été prise,
    • en cas de danger grave et imminent,
    • dans le cas où la saisine de l’autorité compétente ferait courir à son auteur un risque de représailles ou qu’elle ne permettrait pas de remédier efficacement à l’objet de la divulgation.

En définitive, un hacker éthique (qui agit de bonne foi et sans contrepartie financière) qui divulguerait une faille de sécurité pourrait donc être considéré comme un lanceur d’alerte, à partir du moment où cette faille constituerait une violation d’une obligation légale. En pratique, de nombreux acteurs sont soumis à des obligations de cybersécurité, et notamment :

  • Les opérateurs de services essentiels,
  • Les fournisseurs de services numériques,
  • Les opérateurs d’importance vitale,
  • Les prestataires de services de confiance,
  • Les autres établissements soumis au RGS,
  • Les responsables de traitement de données personnelles.

Par exemple, un hacker éthique qui divulguerait une faille due à l’absence de mesures de sécurité conformes à l’état de l’art d’un responsable de traitement de données personnelles devrait pouvoir bénéficier du statut de lanceur d’alerte. Il en va de même pour la divulgation d’une faille de sécurité causée par l’absence de mise en place des mesures obligatoires par les opérateurs de services essentiels.

Cependant, quand bien même un hacker serait considéré comme un lanceur d’alerte, ce n’est pas pour autant qu’il pourrait bénéficier de l’irresponsabilité pénale.

D’une part, nous l’avons vu, les atteintes au STAD ne sont pas visées par le régime d’irresponsabilité pénale applicable aux lanceurs d’alerte. Une intrusion dans un système d’information pourra faire l’objet de poursuites, même si celle-ci a été effectuée de bonne foi et de façon désintéressée. D’autre part, la divulgation d’informations obtenues dans ce cadre (les « leaks ») ne bénéficierait pas non plus du régime d’irresponsabilité, puisque les données n’ont pas été obtenues de façon légitime.

En comparaison, des pays comme les Pays-Bas ou la Belgique ont intégré des dispositions spécifiques aux hackers éthiques dans leur dispositif relatif aux lanceurs d’alerte. En France, hormis le dispositif spécifique lié à l’ANSSI, l’assimilation des hackers éthiques à des lanceurs d’alerte reste marginale, et leur protection est loin d’être garantie. 

En l’absence d’un régime juridique véritablement protecteur, le contrat reste donc la meilleure protection juridique qu’un hacker puisse s’offrir.