On les appelle "white hats" ou "hackers blancs": ce sont des lanceurs d’alerte informatique qui veillent à avertir les responsables de traitement des failles dans leurs systèmes.

Ces hackers éthiques sont désormais protégés par la LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique portée par Axelle Lemaire.

Tout est parti d'un amendement "Bluetouff"  adopté en janvier 2016 par l’Assemblée nationale.

En effet, en l’état de la jurisprudence de la Cour de cassation, et notamment de son arrêt du 9 septembre 2009, tout accès non autorisé à un système constitue un trouble manifestement illicite alors même que cela peut permettre d’éviter des atteintes ultérieures aux données ou au fonctionnement du système

C'est ainsi que le hacker Bluetouff avait fait l'objet d'une condamnation par la Cour d’appel de Paris le 5 février 2014, la Cour de cassation n’ayant fait que confirmer cette position le 20 mai 2015. Son sort avait donc ému les députés qui avaient envisagé en conséquence  une exemption de la peine prévue par l'article 323-1 du code pénal.

La commission des lois du Sénat a ensuite modifié cette protection en permettant le signalement de failles de sécurité sans inciter à la cyber-délinquance. Elle a donc proposé de substituer au dispositif général d’exemption de peine adopté à l’Assemblée nationale la possibilité pour l’autorité avertie de la faille de ne pas saisir la justice par la prise en compte de la bonne foi, attestée en particulier par l’absence de publicité.

C'est donc l'article 47 de la loi du 7 octobre 2016 qui prévoit que le code de la défense soit complété par un article L. 2321-4 ainsi rédigé :

« Art. L. 2321-4.-Pour les besoins de la sécurité des systèmes d'information, l'obligation prévue à l'article 40 du code de procédure pénale n'est pas applicable à l'égard d'une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d'information une information sur l'existence d'une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données. 
« L'autorité préserve la confidentialité de l'identité de la personne à l'origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée. 
« L'autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d'avertir l'hébergeur, l'opérateur ou le responsable du système d'information
. »

La protection des citoyens détecteurs de faille informatique, est donc assurée par cette nouvelle disposition, afin de les inciter à révéler ces failles à l’Agence nationale pour la sécurité des systèmes d’information, sans encourir de risque pénal pour cette action.

Il est donc possible d'adresser un message à l'ANSSI(cert-fr.cossi@ssi.gouv.fr) en transmettant tous les éléments techniques nous permettant de procéder aux opérations nécessaires. Il est également possible d’opérer votre signalement par voie postale à :

Agence nationale de la sécurité des systèmes d’information
Secrétariat général de la défense et de la sécurité nationale
51, boulevard de La Tour-Maubourg
75700 Paris 07 SP

Il s'agit cependant d'une protection a minima, puisque le responsable du traitement pourra toujours attaquer le dénonciateur s'étant rendu coupable d'une intrusion informatique, sans que celui-ci puisse s'abriter derrière une immunité de l'article 323-1 du code pénal.