Les autorits belges se disent prtes ne pas poursuivre en justice les pirates informatiques locaux qui tentent de protger les entreprises nationales par leurs actions. Le pays a adopt une nouvelle loi qui lgalise le piratage thique, ce qui signifie que les hackeurs thiques peuvent dsormais fouiner dans les systmes informatiques de n’importe quelle entreprise belge pour vrifier la scurit. Ils peuvent le faire sans demander l’autorisation une quelconque entit, condition qu’ils signalent par la suite tout faille ou bogue qu’ils trouvent l’entreprise concerne ou l’autorit comptente. La France offre galement une protection minimale aux hackeurs thiques.
Avec les hackeurs, on imagine souvent des groupes criminels la recherche de vulnrabilits pour extorquer des entreprises. Pourtant, rien n’est plus faux : un grand nombre de hackeurs exercent cette profession prcisment pour dtecter les failles des logiciels des entreprises, sans avoir des intentions malveillantes. Cette profession est souvent qualifie de « hackeurs thiques ». Des hackeurs qui agissent donc sur la base de normes et de valeurs partages. Jusqu’ rcemment, les hackeurs thiques taient punissables en Belgique s’ils fouillaient les logiciels d’entreprises belges sans mission officielle clairement dfinie ou sans une autorisation d’une autorit.
Plusieurs hackeurs ont dj t poursuivis pour avoir signal des fuites dans le cadre d’une divulgation responsable. Mais mercredi, une nouvelle loi belge est entre en vigueur dans le but d’assouplir les rgles du jeu pour les hackeurs thiques. Ainsi, ils ne peuvent plus dsormais simplement tre poursuivis par les entreprises s’ils dtectent des vulnrabilits dans leurs systmes. Avec l’entre en vigueur de cette loi, les entreprises ne doivent plus leur donner l’ordre de procder des piratages. Cela signifie que les hackeurs thiques peuvent fouiner dans n’importe quelle entreprise pour vrifier la scurit. Il y a cependant des rgles strictes respecter.
Le nouveau cadre juridique, qui est plac sous le contrle du Centre pour la cyberscurit en Belgique (CCB), prvoit un systme de signalement des vulnrabilits qui, s’il rpond des critres spcifiques, protge les hackeurs thiques contre toute poursuite judiciaire. Conformment la politique de divulgation des vulnrabilits (PDV) du CCB, les hackeurs thiques doivent rpondre aux critres suivants :
- les hackeurs doivent informer le propritaire du systme vulnrable ds que possible (idalement dans les 72 heures) ;
- les hackeurs doivent soumettre un rapport de vulnrabilit au CCB ds que possible, mais pas avant d’avoir notifi le propritaire du systme vulnrable :
- les hackeurs ne sont pas tenus d’informer le CCB si l’organisation dispose dj d’une politique de divulgation des vulnrabilits. Ils seront tout de mme tenus d’informer la CCB si des difficults surviennent ou si des entreprises ne disposant pas d’un PDV sont touches.
- les hackeurs doivent agir sans intention malveillante ou frauduleuse ;
- les hackeurs ne doivent agir que de manire ncessaire et proportionne :
- la plupart des politiques de divulgation des vulnrabilits dclarent que les attaques par force brute, l’ingnierie sociale et le phishing sont inutiles et disproportionns ;
- les hackeurs ne doivent jamais mettre la disposition du public les informations acquises lors d’un piratage thique sans l’approbation du CCB.
Les hackeurs thiques belges se rjouissent de l’entre en vigueur de cette loi. Jusqu’ prsent, nous avions besoin de l’autorisation d’une entreprise pour commencer pirater. On devait nous demander de tester la scurit de leurs systmes. Cela fait une dizaine d’annes que j’attends cela avec impatience, mais je n’ai pas de liste d’entreprises qui je veux donner une leon ! Je vais pouvoir vrifier la scurit des systmes exploits par des entreprises dont je suis le client , a dclar le hackeur thique Inti De Ceukelaire. Le pirate a galement dclar qu’il ne pense pas que les hackeurs thiques abuseront du nouveau cadre juridique belge.
Au contraire, il pense qu’il devrait devenir plus clair quelles entreprises belges ont une bonne cyberscurit et lesquelles ne l’ont pas. En Belgique, il existe quelque 3 000 hackeurs thiques. Ils seront dsormais en mesure de dcouvrir si les donnes des citoyens ordinaires sont correctement scurises. Si le gouvernement prsente une nouvelle application Corona, les hackeurs thiques pourront la tester lgalement. Plusieurs entreprises ignorent la question. Tant qu’il n’y a pas de problme, elles pensent qu’elles n’ont pas rsoudre quoi que ce soit et qu’elles n’ont pas besoin de mettre des fonds de ct pour le payer , a dclar Inti.
En outre, la loi belge insiste sur le fait que les personnes qui se dfinissent comme tant des hackeurs thiques ne sont pas autorises identifier des vulnrabilits et envoyer ensuite une facture pour leur travail. C’est clair dans la loi. Vous n’tes pas autoris demander une rcompense. Cela reviendrait demander une ranon , explique Inti. De plus, les pirates sont galement invits garder un il sur la lgislation RGPD de l’UE. Chaque fois qu’ils dcouvrent une vulnrabilit, ils doivent veiller au respect de la vie prive des utilisateurs de cette entreprise. L’utilisation de comptes de test est dj recommande par le hackeur thique Inti.
Si la Belgique n’est pas le premier pays de l’UE offrir des formes de protection aux hackeurs thiques, les analystes estiment que le nouveau cadre juridique du CCB est celui qui se rapproche le plus d’une protection complte. Selon le responsable juridique du CCB, Valry Vander Geeten, d’autres pays, comme la Lituanie, n’offrent une protection qu’en ce qui concerne les infrastructures critiques, tandis que la France et la Slovaquie n’offrent pas de « protection juridique complte ». La loi franaise, qui date de 2014, permet un hackeur thique d’viter une poursuite s’il signale de bonne foi l’Anssi une faille qu’il a dcouverte dans un systme donn.
Le ministre amricain de la Justice a annonc l’anne dernire qu’il ne poursuivrait plus les hackeurs thiques, revenant sur une dcision prise en 2014 qui a modifi la loi sur la fraude informatique et les abus (CFAA). En Australie, alors qu’il n’existe pas de cadre juridique ou d’organisme spcifique pour protger les hackeurs thiques des poursuites judiciaires, il existe un certain nombre de conditions spcifiques dans la lgislation qui permettent aux hackeurs thiques d’oprer. En outre, la Nouvelle-Galles du Sud a annonc l’anne dernire qu’il envisageait de modifier la lgislation pnale afin de promouvoir et de protger le piratage thique.
Source : Centre pour la cyberscurit en Belgique
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du cadre juridique belge pour les hackeurs thiques ?
Selon vous, en quoi cette nouvelle loi pourrait-elle impacter sur les entreprises belges ?
Selon vous, les hackeurs thiques belges vont-ils abuser de cette loi ? Comment prvenir une telle chose ?
Que pensez-vous du cadre juridique franais qui n’offre qu’une protection minimale aux hackeurs thiques contre les poursuites ?
Voir aussi
Les attaques DDoS malveillantes ont augment de 150 % en 2022, d’aprs un rcent rapport de Radware