Piratage éthique et droit pénal

Le piratage implique souvent l'intrusion de systèmes avec une intention malveillante. Cette forme de piratage est définitivement punissable. Cependant, il y a aussi le piratage dans un but noble, appelé piratage éthique. C'est ce que l'on appelle le "white hat hacking", qui consiste à donner un chapeau noir aux pirates informatiques malveillants.

Les pirates éthiques trouvent les vulnérabilités des réseaux et des systèmes et se distinguent en n'en abusant pas, mais en signalant les vulnérabilités directement à l'administrateur du système. De cette façon, la fuite peut être colmatée et le système en question est mieux protégé.

Par exemple, le fait de signaler qu'une base de données via un formulaire sur un site web est susceptible d'être injectée en SQL peut relever du piratage en chapeau blanc. D'autres actions ne relèvent pas du piratage éthique, telles que la réalisation d'une attaque DDoS ou le fait de forcer grossièrement un système à accéder à un site.

La loi néerlandaise ne fait aucune distinction basée sur les intentions d'un hacker. Différentes dispositions pénales, dont la violation de la paix informatique (art. 138ab du code pénal), s'appliquent en principe également au piratage éthique. Le législateur a voulu souligner que le piratage d'un système est "inconditionnellement interdit" (voir B.J. Koops et J.J. Oerlemans (ed.), Criminal Law and ICT, La Haye : Sdu 2019, p. 39). En pratique, cependant, cela ne doit pas toujours conduire à une condamnation (dans la mesure où l'identité du hacker serait déjà connue). En premier lieu, un piratage consciencieux n'est pas toujours signalé. Deuxièmement, une condamnation doit impliquer l'illégalité. C'est là que se trouvent les chances du hacker éthique.

Pas de déclaration à la coordination de la divulgation de la vulnérabilité

De nombreuses organisations ont aujourd'hui des politiques concernant la divulgation coordonnée des vulnérabilités (CVD), également connue sous le nom de divulgation responsable (RD). Cela implique de signaler les vulnérabilités de manière responsable, selon des modalités déterminées par l'organisation. Si une vulnérabilité a été démontrée et signalée conformément à ces règles, en principe, aucun rapport ne sera fait. Au contraire, une mention honorable ou même une récompense est parfois promise.

La politique en matière de CVD est née de la prise de conscience que les organisations ont intérêt à être informées aussi rapidement et soigneusement que possible des vulnérabilités de leurs systèmes. Par le biais de cette politique, les organisations font savoir de quelle manière - et dans quelles conditions - elles sont prêtes à ne pas signaler une atteinte à la paix informatique, par exemple. Cela permet de clarifier à l'avance les "règles du jeu" du piratage éthique au sein de l'organisation en question.

En 2013, le Centre national de sécurité cybernétique (CNSS) aura un guide publié pour établir une pratique de divulgation responsable. Cette ligne directrice a été mise à jour en 2018 sur la base de l'expérience acquise. Le NCSC souligne que les rapports de ces dernières années ont amélioré la sécurité et la continuité des systèmes d'information, reconnaissant ainsi la valeur du piratage éthique.

Le ministère public a publié une lettre de politique générale en 2013. Dans cette lettre, le Conseil des procureurs généraux explique comment le ministère public doit agir en cas de piratage éthique. Le point de départ est qu'aucune enquête pénale n'aura lieu en cas de "restauration des droits" entre l'agent déclarant et l'organisation. Dans le même temps, la lettre souligne que le signalement responsable d'une vulnérabilité "n'exempte en aucun cas" le journaliste de la possibilité d'une enquête criminelle ou même de poursuites judiciaires après tout. En cas de doute, le ministère public veut être en mesure d'évaluer si un journaliste n'est pas allé trop loin.

Critères d'évaluation OM et juge

Les critères d'évaluation du piratage éthique sont de savoir si l'action était nécessaire et si les exigences de proportionnalité et de subsidiarité ont été respectées. Par nécessité, on évalue s'il y avait un intérêt public prépondérant. La proportionnalité consiste à savoir si les moyens choisis étaient raisonnablement proportionnés à l'objectif. La subsidiarité concerne enfin la question de savoir si le hacker aurait pu et aurait dû agir différemment. Il est important, entre autres, qu'une vulnérabilité soit signalée le plus tôt possible.

Si des poursuites pénales ont lieu, le pirate en chapeau blanc peut plaider que l'illégalité de ses actions n'était pas avérée. Si le tribunal confirme cette défense, l'acquittement suivra généralement (par exemple en cas de violation de la paix informatique).

Un hacker qui a envahi sur le serveur d'un hôpital, le tribunal a jugé nécessaire de prouver que le réseau était mal sécurisé. Néanmoins, le hacker n'est pas resté impuni car il a immédiatement informé un journaliste et a ensuite accédé au serveur à plusieurs reprises. De plus, il a recherché dans le système les données d'un Néerlandais connu. Le tribunal a donc jugé que les limites de la proportionnalité avaient été dépassées et a condamné le pirate informatique pour violation de la sécurité informatique.

Directement aux médias, un suspect a également été accusé dans une affaire datant de 2018. Ici aussi l'exigence de proportionnalité n'a pas été respectée.

Conclusion

En bref, pour le hacker éthique, il est conseillé de vérifier d'abord la politique de divulgation coordonnée de la vulnérabilité d'une organisation. Le contenu de cette politique est important. Après tout, elle peut décrire les cas dans lesquels un rapport est ou n'est pas fait. Par exemple, un balayage approfondi des systèmes n'est pas toujours apprécié, car l'organisation ne sait pas à l'avance s'il s'agit d'un hacker en chapeau blanc ou d'un intrus malveillant. Des coûts inutiles peuvent alors être encourus en déployant l'équipe d'intervention d'urgence informatique (CERT).

Il est surtout important de limiter autant que possible l'infraction en utilisant les moyens les moins invasifs, en ne reprenant pas les données et en signalant immédiatement la fuite. Ce dernier devrait également être fait avec prudence, par exemple avec un message électronique crypté afin que les tiers ne puissent pas prendre conscience de la vulnérabilité. Il n'est pas non plus conseillé de fixer activement ses propres conditions, par exemple une récompense. L'initiative de le faire devra appartenir à l'organisation. Enfin, il est conseillé de ne rendre publique la découverte qu'après que la vulnérabilité ait été résolue.

À moins que le hacker éthique ne reste totalement anonyme, des poursuites ne peuvent jamais être totalement exclues. Après tout, les critères offrent une marge d'interprétation. Cependant, lorsque toutes ces conditions sont remplies, le risque de poursuites pénales - malgré le texte juridique et l'histoire parlementaire quelque peu inexorables - est relativement faible. Dans ces cas-là, il ne faut jamais engager de poursuites. Après tout, le rapporteur qui limite l'infraction, ne prend rien en charge et fait un rapport directement selon les règles de la politique de RD de l'organisation, rendant ainsi service à l'organisation et à la société.